裘 韻

（蘇州大學(xué) 王健法學(xué)院，江蘇 蘇州215006）

歐盟制定的《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）設(shè)計了最嚴格的數(shù)據(jù)保護標準與跨境流動規(guī)則，堪稱全球隱私保護的最高標桿，自2018年5月25日生效后，在全球范圍內(nèi)發(fā)揮著不容忽視的影響力。該條例雖非國際強行法，但其在適用上采取的“長臂”管轄原則導(dǎo)致任何與歐盟有貿(mào)易往來的數(shù)字企業(yè)都可能受其管轄，在事實上已成為全球性的法律。從GDPR的目的及其影響力輻射范圍來看，其主要作用于跨境貿(mào)易領(lǐng)域，但從當前國際體育組織的一些行動來看，GDPR的影響并未止步于國際經(jīng)濟活動，對個人信息①需要明確的是，“個人數(shù)據(jù)”與“個人信息”并不是同一個概念，數(shù)據(jù)是信息的載體，信息是數(shù)據(jù)的內(nèi)容。因此，本文所討論的奧運賽事承辦方跨境傳輸?shù)膶ο笫恰皞€人數(shù)據(jù)”，但承辦方履行合規(guī)義務(wù)所保護的對象是“個人信息”。的保護要求在潛移默化中進入了體育領(lǐng)域，并將長期影響相關(guān)規(guī)則與實踐的發(fā)展。

1 GDPR對體育領(lǐng)域的影響

GDPR對體育領(lǐng)域產(chǎn)生影響，一方面是基于國際體育組織在自治之余，作為民事主體開展經(jīng)濟活動仍需遵守相關(guān)的法律法規(guī)，另一方面則是越來越受到重視的運動員權(quán)利保護層面的必然要求。

1.1 對全球反興奮劑斗爭的影響

體育領(lǐng)域的反興奮劑斗爭旨在遏制為獲得不正當?shù)膬?yōu)勢以提高比賽表現(xiàn)而實施的藥物濫用行為，但運動員及其團隊對作弊手段無止境的追求給反興奮劑組織開展反興奮劑工作帶來了極大的挑戰(zhàn)，越來越多最初以科學(xué)實驗或醫(yī)療為目的被研發(fā)的藥物因其“體育實用價值”而被帶入運動場，與此同時，為滿足市場需要而專門研發(fā)的隱蔽的新型“性能增強藥物（performance enhancing drugs，PEDs）”層出不窮，屢禁不止。為此，反興奮劑組織采取的監(jiān)督方法亦不斷地調(diào)整和發(fā)展，包括賽內(nèi)直接的藥物檢測、運動員生物護照（athletes biological passport，ABP）項目、為保證興奮劑檢查的有效性要求精英運動員上報行蹤信息等。通過全方位的監(jiān)控，反興奮劑成效顯著，但在上述收集證據(jù)的過程中，難免涉及敏感的對個人數(shù)據(jù)的處理問題，倘若反興奮劑組織不謹慎對待，極有可能侵犯運動員的隱私權(quán)及其他個人信息權(quán)利，既有悖于維護純潔體育、保護運動員健康等開展反興奮劑運動的初衷，也不符合相關(guān)人權(quán)保護法律法規(guī)的要求。

因此，世界反興奮劑機構(gòu)（World Anti-Doping Agency，WADA）早在2009年就響應(yīng)了利益相關(guān)方的要求，制定了《隱私與個人信息保護的國際標準》（International Standard for the Protection of Privacy and Personal Information，簡稱《隱私標準》），要求各反興奮劑組織在開展反興奮劑斗爭時遵循隱私保護原則，以充分保障運動員在履行接受藥物檢測、上報行蹤信息和醫(yī)療信息等義務(wù)時，對其個人信息享有的基本權(quán)利。受GDPR出臺的影響，該文件于2018年完成了新一輪的修訂。WADA在草擬并公布修改方案后，考慮并采納了利益相關(guān)方的建議：在總體上，對反興奮劑組織處理個人數(shù)據(jù)的合法性提出了明確的要求（第4條）；修改了“安全違規(guī)（security breach）”和“敏感的個人信息（sensitive personal information）”的定義（第3.2條）；澄清了處理個人數(shù)據(jù)應(yīng)遵循的法律或批文（第6條）以及相關(guān)主體對其個人信息享有的權(quán)利（第11條）；要求反興奮劑組織承擔維護其所掌握的個人信息的安全性的責任（第9條）并確保相關(guān)主體的知情權(quán)（第7條）。

上述修訂使《隱私標準》充分反映了GDPR的數(shù)據(jù)處理原則，并推廣了目前全球最高的數(shù)據(jù)隱私保護標準，在無形中將GDPR的影響力擴散至整個體育領(lǐng)域。

1.2 對國際大型體育賽事的影響

除反興奮劑活動因涉及大量運動員的敏感數(shù)據(jù)而有必要充分考慮GDPR的影響外，國際性的體育賽事在組織籌辦和商業(yè)運作的過程中，因涉及不同國籍的參賽成員（運動員、輔助人員等）、志愿者和媒體的信息注冊，以及向觀眾提供票務(wù)、餐飲、住宿服務(wù)等市場運營行為，均無法避免對個人數(shù)據(jù)的收集與處理。換言之，當舉辦此類賽事的體育組織需要獲取來自歐盟境內(nèi)的參賽者、志愿者與消費者的個人信息，或委托設(shè)立在歐盟境內(nèi)的承辦方舉辦此類賽事，就有必要考慮GDPR的數(shù)據(jù)保護合規(guī)要求。作為目前世界范圍內(nèi)運作最成功的國際大型體育賽事之一，面對GDPR帶來的影響，奧林匹克運動會（以下簡稱“奧運會”）勢必首當其沖。

眾所周知，根據(jù)《奧林匹克憲章》（以下簡稱“《憲章》”）的規(guī)定，奧運會是國際奧林匹克委員會（以下簡稱“國際奧委會”）的專有財產(chǎn)，與奧運會有關(guān)的所有權(quán)利均屬于國際奧委會所有。有意舉辦奧運會的城市需按《憲章》規(guī)定的選舉程序，經(jīng)投票當選后，才有資格與國際奧委會簽訂《主辦城市合同》以獲得賽事的主辦權(quán)。該合同的簽署者一般為國際奧委會與申辦城市以及該城市所在國的國家奧委會，但在履行階段主要由承辦城市為舉辦奧運賽事而專門設(shè)立的組織委員會（以下簡稱“奧組委”）負責協(xié)調(diào)與運作。實際上，在籌備和舉辦比賽的過程中，奧組委不僅受合同的約束，還需要在最大限度內(nèi)滿足國際奧委會對賽事舉辦的具體要求。2018年2月，國際奧委會在2014年通過的《2020年奧林匹克議程》的基礎(chǔ)上正式發(fā)布了包含一百余項措施在內(nèi)的“辦奧新規(guī)范（Olympic Games：the New Norm）”，旨在將《議程》的構(gòu)想落到實處，讓未來的奧運會更加靈活、可持續(xù)，以實現(xiàn)奧林匹克運動長期發(fā)展的目標，而2022年北京冬奧會將是首屆落實并受益于上述改革的奧運會（新華社,2018）。同時，國際奧委會特別審查了2022年、2024年和2028年奧運會的《主辦城市合同》，并于同年發(fā)布了最新版的合同原則（Host City Contract-Principle）與操作要求（Host City Contract-Operational Requirements）以反映新規(guī)范帶來的變化，其中就包括新增的個人信息保護要求與數(shù)據(jù)保護合規(guī)要求。

可見，在奧運賽事中，GDPR帶來的連鎖效應(yīng)與潛在的合規(guī)義務(wù)實際將由受國際奧委會委托的承辦方負擔。為進一步觀察GDPR在體育領(lǐng)域的影響力，筆者擬以率先落實改革，最能體現(xiàn)新變化的2022年北京冬奧會為例，結(jié)合相關(guān)法律文件，就奧運會承辦方（城市、國家奧委會與奧組委）在數(shù)據(jù)跨境傳輸方面需承擔的義務(wù)與實踐中可能存在的問題展開分析。

2 奧運賽事承辦方跨境傳輸個人數(shù)據(jù)的合規(guī)義務(wù)來源

理論上，根據(jù)承辦賽事的城市與國家奧委會簽署的承諾①《2022年冬季奧運會主辦城市合同》第一部分“基本原則”的第4條明確約定：“城市、國家奧委會和奧運會組委會對那些無論是單獨簽訂還是共同簽訂的，無論是與奧運會的規(guī)劃、組織、融資和舉辦有關(guān)的，還是其他方面的，包括本合同產(chǎn)生的義務(wù)有關(guān)的所有保證、陳述、聲明、契約、其他承諾和義務(wù)，都應(yīng)承擔連帶責任，但國家奧委會不負責有關(guān)的財政承諾?！保瑠W委會在組建完畢后將自動成為合同的一方，因此由城市、國家奧委會與奧組委組成的承辦方可能負擔的跨境傳輸個人數(shù)據(jù)的合規(guī)義務(wù)主要來源于《主辦城市合同》的要求。但需要注意的是，在奧運賽事的反興奮劑工作中，WADA制定的《隱私標準》亦是承辦方的義務(wù)來源之一。

2.1 《主辦城市合同》及其附件的要求

從現(xiàn)有的一系列奧運會合同文件②截止目前為止，國際奧委會與各承辦城市訂立的尚未完成的合同及相關(guān)附件包括：1）《2020年第32屆奧運會主辦城市合同》及其附錄；2）《2022年第24屆冬奧會主辦城市合同》及其附件《主辦城市合同-詳細義務(wù)》（2015年7月24日）；3）《主辦城市合同-操作要求》（2015年9月）；4）《2024年第33屆奧運會主辦城市合同》；5）《主辦城市合同-操作要求》（2016年12月）；6）《2026年第25屆冬季奧運會主辦城市合同（候選程序）-原則》；7）《2028年主辦城市合同-原則》；8）《主辦城市合同-操作要求》（2018年6月）。來看，《主辦城市合同》及其附件在訂立后并不是一成不變的，通過比較國際奧委會先后公布的各版本合同內(nèi)容可以發(fā)現(xiàn)，與個人數(shù)據(jù)跨境傳輸有關(guān)的合同條款呈數(shù)量明顯增加、具體操作要求進一步細化的趨勢。

以2022年北京冬奧會為例，2015年北京市與中國國家奧委會同國際奧委會訂立的《2022年第24屆冬奧會主辦城市合同》及其附件《主辦城市合同-詳細義務(wù)》對個人數(shù)據(jù)跨境傳輸方面的要求為數(shù)不多，首先，主合同明確了奧運會以及與之相關(guān)的一切權(quán)利和數(shù)據(jù)獨屬于國際奧委會所有，即國際奧委會只是通過合同有條件的向承辦城市委托部分權(quán)利，如為舉辦比賽的必要而收取、處理相關(guān)數(shù)據(jù)等。因此，承辦方需確保向國際奧委會傳輸用戶的數(shù)據(jù)和資料用于促進奧林匹克運動；其次，若承辦方需要將獲取或存儲的用戶個人信息或敏感的個人信息傳輸給第三方，則需要事先向國際奧委會提交所有數(shù)據(jù)傳輸?shù)挠媱澮怨┡鷾?；最后，該合同在《詳細義務(wù)》部分進行了補充，要求承辦方確保，在適用法律允許的最大范圍內(nèi)使國際奧委會或其授權(quán)的第三方可以始終免費使用奧運會過程中收集和處理的所有用戶數(shù)據(jù)，且無需有關(guān)的數(shù)據(jù)主體進一步同意或授權(quán)。

但就在北京冬奧會的合同文件及其詳細義務(wù)附件發(fā)布不久，國際奧委會又為將于2024年舉辦的第33屆奧運會發(fā)布了《主辦城市合同-操作要求（2015年9月）》，而巴黎作為申辦城市于2017年獲得了該屆奧運會的承辦權(quán)。從國際奧委會官方網(wǎng)站公布的2024年巴黎奧運會文件列表來看，該文件已替代《主辦城市合同-詳細義務(wù)》作為2015年后各版本《主辦城市合同》的重要組成部分，旨在詳細說明合同原則要求下的一系列核心要素，為運動員和所有參與者展示奧運會的服務(wù)質(zhì)量和條件，同時允許潛在的主辦城市將其奧運會理念與自身的體育、經(jīng)濟、社會和環(huán)境長期規(guī)劃需求相匹配（International Olympic Committee, 2015a）。此后，《主辦城市合同-原則》及其配套的《操作要求》在2016－2018年期間又發(fā)布了兩個版本，分別適用于2028年的洛杉磯奧運會與申辦城市待定的2026年冬季奧運會。

比較可以發(fā)現(xiàn)，2018年以前發(fā)布的各版本合同及配套的操作要求在個人數(shù)據(jù)跨境傳輸方面的要求與2015年版的《詳細義務(wù)》相比，未見明顯變化，僅在2017年對《主辦城市合同-操作要求（2016年12月）》的內(nèi)容進行微調(diào)時，增加了1項關(guān)于合作合同條款與當?shù)胤ㄒ?guī)的通報義務(wù)。但在為2026年第25屆冬奧會候選城市準備的《主辦城市合同-原則》與2018年6月更新的《主辦城市合同-操作要求》中，受“新規(guī)范”的影響，國際奧委會明顯提高了對個人數(shù)據(jù)保護的重視，不僅將“數(shù)據(jù)保護（Data Protection）”列為一項獨立的主合同條款，在配套文件中還整合并增列了相關(guān)的細節(jié)要求，由此產(chǎn)生了2018年以后的奧運賽事承辦方在個人數(shù)據(jù)的跨境傳輸方面需要履行的新義務(wù)。

2.2 WADA《隱私標準》的強制性要求

不同于前述基于契約而產(chǎn)生的尚有協(xié)商空間的合同義務(wù)，WADA為反興奮劑工作制定的《隱私標準》與《世界反興奮劑條例》（World Anti-Doping Code，WADC）（以下簡稱“《條例》”）及其他4項標準（禁用物質(zhì)清單、檢測和調(diào)查、實驗室、治療用藥豁免）共同構(gòu)成世界反興奮劑體系，對《條例》的簽約方具有強制約束力（李真,2018）。因此，在奧運會反興奮劑工作方面，賽事承辦方應(yīng)根據(jù)WADC和相關(guān)國際標準的要求收集、儲存和處理運動員及相關(guān)人員的個人信息。

值得一提的是，北京冬奧會簽署的合同詳細義務(wù)文本中雖未涉及與WADA隱私指南相關(guān)的內(nèi)容，但在2018年版的《主辦城市合同-操作要求》中，國際奧委會明確要求奧組委確保所有與醫(yī)療服務(wù)和反興奮劑計劃有關(guān)的活動都要遵守世界反興奮劑機構(gòu)和國際奧委會、國際殘奧會為反興奮劑目的制定的任何附加的安全或隱私標準（IOC, 2017）。換言之，在合同約定的情形下，承辦方就更加無法逃避與反興奮劑有關(guān)的跨境傳輸個人數(shù)據(jù)的合規(guī)義務(wù)。

3 個人數(shù)據(jù)跨境傳輸合規(guī)義務(wù)的主要內(nèi)容

根據(jù)奧運賽事承辦方在跨境傳輸個人數(shù)據(jù)方面可能的義務(wù)來源可知，對履行義務(wù)將產(chǎn)生影響的法律文件主要包括：承辦城市簽署的《主辦城市合同》及其配套附件、《主辦城市合同-操作要求》及其更新、其他可適用的國內(nèi)法律法規(guī)以及WADA制定的具有強制約束力的國際標準。

3.1 合同規(guī)定的個人信息保護要求

以2022年北京冬奧會為例，結(jié)合北京市與中國國家奧委會簽署的《第24屆冬奧會主辦城市合同》及其配套的《主辦城市合同-詳細義務(wù)》與最新的2018年版《主辦城市合同-操作要求》來看，奧組委在舉辦比賽的過程中對于一般個人數(shù)據(jù)的跨境傳輸需履行的義務(wù)大致包括3個方面的內(nèi)容。

3.1.1 與傳輸數(shù)據(jù)有關(guān)的行動需事先書面批準

主合同與詳細義務(wù)附件中涉及的“數(shù)據(jù)共享”與“事先批準”義務(wù)主要與奧運會數(shù)據(jù)的所有權(quán)有關(guān)，且屬于冬奧會組委必須履行的義務(wù)范疇。鑒于奧運會的所有權(quán)利與數(shù)據(jù)均屬于國際奧委會所有，雖然承辦方因舉辦奧運會的需要從注冊、交通、住宿、票務(wù)、數(shù)字媒體等渠道直接獲取了大量個人信息，但僅能依據(jù)與國際奧委會簽署的承辦合同獲得數(shù)據(jù)的使用權(quán)。因此，合同要求承辦方應(yīng)在適用法律允許的最大范圍內(nèi)負擔向國際奧委會傳輸相關(guān)個人數(shù)據(jù)的義務(wù)，確保擁有數(shù)據(jù)所有權(quán)的主辦方可以免費使用上述數(shù)據(jù)以促進奧林匹克運動，而無需數(shù)據(jù)主體的進一步授權(quán)或同意。

此外，當承辦方需要將其存儲的任何個人數(shù)據(jù)傳輸給第三方時，所有相關(guān)的傳輸計劃應(yīng)事先提交給國際奧委會批準，相關(guān)的隱私政策、使用條款或類似的合同條款也被納入事先批準的范圍。

3.1.2 通報影響個人數(shù)據(jù)跨境傳輸?shù)暮贤c法律法規(guī)

根據(jù)2018年國際奧委會“新規(guī)范”要求下的《主辦城市合同-操作要求》，承辦方在數(shù)據(jù)跨境傳輸方面的義務(wù)將顯著增加，包括向國際奧委會通報與數(shù)字媒體平臺訂立的合同和東道城市當?shù)乜蛇m用的法律條款。

通報的目的旨在排查潛在的可能阻止冬奧會組委收集個人信息，或向國際奧委會傳輸數(shù)據(jù)的因素，以確保奧運會能夠順利運營，且保證國際奧委會能無阻礙接收、訪問和長期使用其所擁有的數(shù)據(jù)。

3.1.3 確保合法地處理個人信息

在《操作要求》新增的條款中，合規(guī)問題受到了重點關(guān)注，冬奧會組委不僅需要謹慎履行其合同義務(wù)中包含的合規(guī)要求，還負有協(xié)助國際奧委會履行其在數(shù)據(jù)保護立法下的義務(wù)。奧組委的合規(guī)義務(wù)主要涵蓋以下兩方面的要求：

1）對于一般個人信息，合同要求“確保為促進奧運會的參與、組織和推廣而處理個人信息，并在必要范圍內(nèi)遵守所有適用的法律和法規(guī)，特別是所有適用的隱私和數(shù)據(jù)保護法律（包括東道國以外的國家可以適用的法律）”；2）對于敏感個人信息，則要求奧組委所有與醫(yī)療服務(wù)和反興奮劑計劃有關(guān)的活動都必須遵守可適用的法律法規(guī)，尤其是與保護運動員個人權(quán)利有關(guān)的數(shù)據(jù)保護法律及其他法律，以及世界反興奮劑機構(gòu)和國際奧委會或國際殘奧委會為上述特殊目的制定的隱私標準或安全指南。

從內(nèi)容來看，上述要求均以明確的目的為處理個人信息的前提，但劃定的合規(guī)范圍較為寬泛，僅能為承辦方履行義務(wù)提供原則上的指引，具體的要求需要結(jié)合可適用的法律法規(guī)予以判斷。

3.2 可適用的法律法規(guī)對一般個人數(shù)據(jù)跨境傳輸?shù)囊?/h3>

嚴格來說，合同要求的“處理（processing）”程序?qū)嶋H上包含了收集、存儲、檢索、咨詢、使用、披露、傳播、刪除或銷毀等一系列的操作，而不同文件的定義中對“處理”的過程是否包含“傳輸（transferring）”未有定論。但鑒于“收集（collection）”的過程離不開數(shù)據(jù)的傳輸，且合同本身亦涉及向國際奧委會“傳輸”個人數(shù)據(jù)的要求，本節(jié)擬從收集數(shù)據(jù)與傳輸數(shù)據(jù)這兩個角度出發(fā)，探討可適用的法律對承辦方履行合規(guī)義務(wù)的影響。

3.2.1 對承辦方收集境外數(shù)據(jù)的要求

承辦方對境外一般個人信息的收集主要通過注冊、交通、住宿、票務(wù)、數(shù)字媒體等渠道獲得，數(shù)據(jù)主體一般為外籍運動員、輔助人員、官員、媒體、志愿者以及觀看賽事或購買紀念品等享受有關(guān)服務(wù)的消費者等。其中，要求參與人員注冊的目的是用于鑒別人員身份，確認他們在奧運會中所擔負的職能或角色以授予必要的權(quán)限，且注冊工作主要依據(jù)《憲章》和國際奧委會制定的《奧運會注冊和報名用戶指南》開展，而涉及境外觀眾個人數(shù)據(jù)的收集則可視為提供跨境服務(wù)貿(mào)易的必要過程，負責票務(wù)服務(wù)的合作商也應(yīng)當遵循相關(guān)的數(shù)據(jù)保護立法。

目前全球大部分國家都制定了數(shù)據(jù)保護立法，但保護的對象側(cè)重不同，以俄羅斯為代表的國家注重對涉及國家安全的數(shù)據(jù)保護，強調(diào)一國的數(shù)據(jù)主權(quán)，而以歐盟為代表的立法注重人權(quán)保護，強調(diào)數(shù)據(jù)主體對其個人信息享有的權(quán)利?？紤]到歐盟制定的GDPR在個人數(shù)據(jù)保護方面的影響力，雖然該法規(guī)對非歐盟地區(qū)的東道國不產(chǎn)生直接的域外效力，奧運賽事的承辦方無義務(wù)遵守GDPR的標準，但在舉辦賽事的過程中承辦方需要收集來自歐盟地區(qū)的參與人員和消費者的個人信息，意味著至少在一定范圍內(nèi)無法逃避GDPR對其境內(nèi)數(shù)據(jù)主體的個人數(shù)據(jù)傳輸至第三國或國際組織的要求。

GDPR對個人數(shù)據(jù)跨境傳輸至第三國或國際組織的要求主要規(guī)定在第五章，其中可能影響承辦方履行跨境傳輸個人數(shù)據(jù)義務(wù)的要求主要集中于3項規(guī)則：

首先需要明確的是，在舉辦奧運會的過程中接收來自歐盟境內(nèi)的個人數(shù)據(jù)的控制者處理者是賽事的承辦者，而非享有奧運會所有權(quán)利和數(shù)據(jù)所有權(quán)的國際奧委會，但因承辦方還負有向國際奧委會傳輸數(shù)據(jù)的義務(wù)，涉及GDPR第44條①GDPR第44條“傳輸?shù)囊话阍瓌t”規(guī)定：對于正在處理中的個人數(shù)據(jù)或擬在傳輸?shù)降谌龂驀H組織后進行處理的個人數(shù)據(jù)，在不違背本條例其他規(guī)定的前提下，控制者和處理者滿足第五章規(guī)定后方可傳輸，包括個人數(shù)據(jù)從第三國或國際組織再傳輸?shù)狡渌谌龂驀H組織。第五章的所有規(guī)定應(yīng)當適用以確保條例所保障的對自然人的保護程度不受減損。規(guī)定的對此類數(shù)據(jù)進行再傳輸?shù)那樾?，因而國際奧委會亦受GDPR合規(guī)義務(wù)的約束。

其次，根據(jù)GDPR第45條“基于充分性決議傳輸數(shù)據(jù)”的要求，經(jīng)歐盟委員會決定認為能夠確?！俺浞值谋Ｗo程度”的第三國或國際組織無疑具備接收跨境傳輸個人數(shù)據(jù)的資格。但目前為止，歐盟委員會僅承認安道爾共和國、阿根廷、加拿大、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭和美國能夠提供充分的保護（European Commission,2019）。因此，未與歐盟簽署數(shù)據(jù)保護協(xié)議以獲得充分性決議認可的東道國就需要滿足其他條款規(guī)定的條件。

最后，根據(jù)GDPR在第49條提供的“豁免”例外，在無“充分性決議”的情形下，只要滿足該條規(guī)定的7個條件之一，承辦方也可獲得相應(yīng)的數(shù)據(jù)傳輸資格。根據(jù)第49條，GDPR允許的特定情形包括：1）數(shù)據(jù)主體的明確同意；2）為履行先合同的必要傳輸；3）為訂立或履行合同的必要傳輸；4）因公共利益的需要；5）提起、行使或抗辯法律訴求的必要；6）因客觀原因無法給予同意，但具有保護該數(shù)據(jù)主體或其他人的重大利益之必要；7）旨在向公眾提供信息可供查閱的登記冊傳輸必要等。作為奧運會的承辦方，在收集數(shù)據(jù)的過程中可能極有可能因數(shù)據(jù)主體的明確同意或因公共利益（反興奮劑）的需要而獲得豁免，但需要注意的是，不得濫用數(shù)據(jù)主體的同意，損害相關(guān)參與人員或消費者的基本權(quán)利。

3.2.2 對承辦方向境外傳輸數(shù)據(jù)的要求

除前述提到的對來自歐盟境內(nèi)的個人數(shù)據(jù)的再傳輸仍需符合GDPR的要求外，承辦方向國際奧委會或國際殘奧會傳輸個人數(shù)據(jù)還需遵守東道國的數(shù)據(jù)保護立法中對數(shù)據(jù)出境的規(guī)定。例如，若2022年北京冬奧組委向國際奧委會或國際殘奧會傳輸個人數(shù)據(jù)，需遵守《中華人民共和國網(wǎng)絡(luò)安全法》及其他與個人信息保護相關(guān)的法律法規(guī)。

目前，我國的《中華人民共和國網(wǎng)絡(luò)安全法》總體上更側(cè)重于國家層面的網(wǎng)絡(luò)和數(shù)據(jù)安全，對于個人數(shù)據(jù)保護方面的要求相對籠統(tǒng)，且該法配套的規(guī)范文件《個人信息和重要數(shù)據(jù)出境安全評估辦法》仍在制定過程中，目前主管部門發(fā)布的征求意見稿僅供參考，難以為奧組委跨境傳輸相關(guān)的個人數(shù)據(jù)出境提供確切的指引。綜合現(xiàn)有的法律法規(guī)來看①主要參考法規(guī)：1）《網(wǎng)絡(luò)安全法》第37條：關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲，因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；2）《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第4條： 個人信息出境，應(yīng)向個人信息主體說明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國家或地區(qū)，并經(jīng)其同意。未成年人個人信息出境須經(jīng)其監(jiān)護人同意。，我國強調(diào)“數(shù)據(jù)主體同意”的原則，要求個人數(shù)據(jù)出境應(yīng)向數(shù)據(jù)主體說明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方以及接收方所在的國家或地區(qū)，經(jīng)個人同意后方可傳輸出境，涉及未成年人的信息還需監(jiān)護人同意。同時，重視數(shù)據(jù)出境的安全評估，要求在境內(nèi)產(chǎn)生的個人數(shù)據(jù)需本地存儲，確實需要向境外提供的，應(yīng)按照監(jiān)管部門制定的辦法進行安全評估。因此，我國的法律法規(guī)中可能影響2022年北京冬奧組委履行跨境傳輸個人數(shù)據(jù)義務(wù)的要求主要包括數(shù)據(jù)主體授權(quán)和安全評估兩個方面，這意味著屆時傳輸相關(guān)的個人數(shù)據(jù)出境可能需要數(shù)據(jù)主體的進一步同意，并經(jīng)監(jiān)管機構(gòu)評估。

3.3 以反興奮劑為目的跨境傳輸敏感個人數(shù)據(jù)的要求

根據(jù)主辦城市合同及其附件的具體要求，奧組委應(yīng)在國際奧委會的授權(quán)下，根據(jù)國際奧委會的指示、《世界反興奮劑條例》以及國際奧委會將在奧運會舉行期間實施的《國際奧委會反興奮劑規(guī)則》的規(guī)定，自費建立并實施反興奮劑檢測。因此，當需要傳輸?shù)膫€人數(shù)據(jù)屬于與醫(yī)療服務(wù)或反興奮劑活動有關(guān)的敏感信息時，承辦方對運動員及相關(guān)人員個人敏感數(shù)據(jù)的處理需符合WADA制定的具有強制約束力的《隱私標準》的要求。

從《隱私標準》的結(jié)構(gòu)體系及其內(nèi)容來看，影響承辦方在反興奮劑活動中履行特別義務(wù)的規(guī)定主要包括以下幾個方面：

首先，《隱私標準》對“敏感個人信息（sensitive personal information）”的定義為承辦方履行義務(wù)劃定了明確的范圍，與參與者的種族或族裔、犯罪、健康（包括從分析運動員樣本或樣本中獲得的信息）以及與生物特征和遺傳信息有關(guān)的個人信息。之所以將上述信息稱之為“敏感”并予以特別保護，主要與其泄露、非法提供或濫用可能對個人生活、名譽、身心健康等造成的嚴重損害有關(guān)。2

其次，《隱私標準》對“處理”的定義②《隱私標準》將“處理”定義為：收集、保存、儲存、披露、傳輸、傳播、修改、刪除或以其他方式使用個人信息。中明確包括了“傳輸”這一活動，意味著即使文本中除定義外，未出現(xiàn)明確地對敏感個人數(shù)據(jù)跨境傳輸?shù)囊?，也可參考WADA對處理個人敏感數(shù)據(jù)的要求操作。

再次，《隱私標準》于2018年修改后采納了較為嚴格的個人信息保護標準，要求反興奮劑組織只有在取得與個人信息有關(guān)的參與者或個人的明確同意后，方能處理敏感個人信息，且應(yīng)當按照適用的數(shù)據(jù)保護法律法規(guī)規(guī)定的具體保障措施或程序進行。按照該項要求，在奧運會舉辦過程中負責反興奮劑工作的承辦方在處理敏感個人信息方面也將負擔合規(guī)義務(wù)，可能因此受到GDPR的影響。例如，當運動員的尿樣或血樣需要送往WADA認證的歐洲實驗室檢測時，難免涉及敏感的個人數(shù)據(jù)的跨境傳輸問題，雖然根據(jù)GDPR第49條所列的例外情形及前言第112項③GDPR前言的第112條“為公共利益等重要理由傳輸數(shù)據(jù)”中申明：豁免的例外情形適用于基于重大公共利益而需進行的數(shù)據(jù)轉(zhuǎn)移，例如……為減少或消除在體育競技比賽中使用興奮劑之間的國際數(shù)據(jù)交換。的說明，基于反興奮劑目的而收集歐盟境內(nèi)的數(shù)據(jù)主體的敏感數(shù)據(jù)可被豁免以取得接收數(shù)據(jù)的資格，但因該實驗室在歐盟境內(nèi)，承辦方仍需遵守GDPR的程序規(guī)則來獲取數(shù)據(jù)。

最后，在對個人敏感信息的處理上，WADA還對反興奮劑組織提出了更為詳細的告知義務(wù)，包括收集信息的反興奮劑組織的資格身份；將處理的個人信息類型；收集的個人信息的用途；個人信息潛在接受者的類別；在適用法律允許的情況下，公開披露個人信息的可能性；參與者在國際標準下的個人信息權(quán)利及行使權(quán)利的方式；向監(jiān)管機構(gòu)投訴的可能性與程序；個人信息存儲期限；以及確保公平處理個人信息所需的其他信息。

可見，對于涉及醫(yī)療與反興奮劑的個人敏感信息，作為數(shù)據(jù)主體的運動員及相關(guān)人員應(yīng)享有必要的知情權(quán)、決定權(quán)，不論是擁有奧運會的數(shù)據(jù)所有權(quán)的國際奧委會還是因負責承辦奧運賽事而獲得部分權(quán)利處理個人敏感信息的奧組委，在收集、傳輸及其他處理環(huán)節(jié)中應(yīng)充分尊重數(shù)據(jù)主體的權(quán)利。

4 存在的問題與解決的方案

結(jié)合合同條款、附件明細、法學(xué)理論、相關(guān)法律文件以及具體實踐對奧運賽事承辦方需履行的跨境傳輸個人數(shù)據(jù)義務(wù)進行評估，可以發(fā)現(xiàn)體育領(lǐng)域的數(shù)據(jù)保護意識整體上朝著積極的方向發(fā)展。因奧運會涉及大量的個人數(shù)據(jù)出入境，國際奧委會等國際體育組織對一般個人信息處理的合規(guī)要求予以了充分的重視，合同條款在全球數(shù)據(jù)保護立法、修法熱潮的影響下得以不斷細化；而反興奮劑方面，因涉及的個人信息更為敏感，已更早地形成了嚴格且強制適用的規(guī)范，且從奧運會反興奮劑工作的分工安排來看，主要部分仍由國際奧委會及其附屬委員會與WADA合作完成，可以在一定程度上減輕承辦方履約的負擔。

但仍有個別問題需要進一步明確，包括但不限于合同變更的追溯適用、數(shù)據(jù)主體權(quán)利的真實保障、國際奧委會等國際體育組織的數(shù)據(jù)接收資格、東道國數(shù)據(jù)監(jiān)管的干預(yù)等。

4.1 合同更新的追溯適用及其法律依據(jù)

國際奧委會與時俱進地提高承辦方在個人信息保護方面的責任，固然響應(yīng)了多數(shù)利益相關(guān)方的呼聲，也符合其改革的目標和方向。但鑒于國際奧委會與奧會賽事承辦方的一切行動建立在合同法律關(guān)系的基礎(chǔ)上，后提出的新要求能否追溯適用于在先訂立的合同，是否符合合同適用的一般法理等問題的答案對承辦方履行義務(wù)的判定至關(guān)重要，值得探討。

首先，《主辦城市合同》屬于體育領(lǐng)域特有的賽事承辦合同，在性質(zhì)上類似于委托合同①需明確的是，奧運賽事的承辦合同與一般的委托合同仍有一定的區(qū)別，不能將兩者完全等同起來，主要是因為《主辦城市合同》文件中已明確排除了當事人之間具有代理關(guān)系的可能性，且作為主辦方的國際奧委會無需為承辦方的行為承擔連帶責任。，在形式上表現(xiàn)為格式合同，合同標的為賽事的承辦權(quán)，主體一方涉外，并具有公私混合的表征②公私混合的表征指奧運賽事承辦合同在簽訂時通常以申辦城市的政府和國家奧委會為代表，且賽事運作的過程中離不開當?shù)卣臋?quán)力配合，表面上具有行政合同的屬性，但實際上賽事承辦合同屬于涉外民事合同，不宜將合同中的“城市”視為行政主體，否則可能影響對承辦方履行義務(wù)的判斷。。結(jié)合《憲章》規(guī)定的賽事承辦城市遴選程序與《主辦城市合同》中的基本原則、主要條款及其修辭來看，雖然此類合同是雙方當事人基于合意自愿締結(jié)而成的，但主體雙方的權(quán)利義務(wù)并不平等，主要表現(xiàn)為：1）合同文本并非雙方當事人共同擬定，而是由國際奧委會事先根據(jù)《憲章》、國際慣例及其他相關(guān)文件制定完畢并發(fā)送給申辦城市，如果申辦城市不接受則其申請將無法通過；2）由于主辦方獨享奧運會所有權(quán)利，事實上處于優(yōu)勢地位，承辦方為獲取承辦權(quán)勢必在一些方面要做出讓步，如放棄用于奧運會、賽事轉(zhuǎn)播及所使用的相關(guān)設(shè)備的納稅權(quán)等（侯亞楠,2018）。因此，從產(chǎn)生雙方權(quán)利義務(wù)法律關(guān)系的合同本身來看，雖然締約雙方在身份上應(yīng)被視為平等的從事民事活動的主體，但實際上國際奧委會掌握更多的主動權(quán)，通過在合同中設(shè)定的格式條款可以實現(xiàn)追溯適用。

其次，現(xiàn)有的各版本《主辦城市合同》及其配套文件中相關(guān)的條款雖未明確指示追溯適用，但可以提供一些參考。以2022年北京冬奧會為例，2015年簽訂的合同文本第6條“主辦城市合同詳細義務(wù)的發(fā)展”和第7條“主辦城市選舉后所做的修改或變更”為國際奧委會修改或發(fā)布新版本的《詳細義務(wù)》提供了依據(jù)。第6條主要為“修改或更新合同詳細義務(wù)”提供了理由，結(jié)合實踐來看，從雙方訂立合同到舉辦賽事間隔約7年時間，此前約定的義務(wù)內(nèi)容難免因政策、技術(shù)和其他方面的變化而遭遇履行困難等情形，其中一些變化可能明顯超出合同各方的控制，因此，不難理解國際奧委會保留修改《主辦城市合同詳細義務(wù)》和發(fā)布新版本的權(quán)利的初衷。第7條則列明了承辦方在“修改或更新”方面的權(quán)利義務(wù)，即承辦方有適應(yīng)國際奧委會所做的修改或變更，以主辦方確定的最佳方式組織奧運會的義務(wù)，但如果此類修改對其利益有重大影響時，應(yīng)及時向主辦方說明，雙方采用談判的方式協(xié)商解決，如果不能達成協(xié)議，則將提交仲裁解決。此外，在北京冬奧會的《主辦城市合同-詳細義務(wù)》文件中還明確提到了該文件適用于其他版本的奧運賽事合同的可能性，允許國際奧委會決定將文件所載的部分或全部義務(wù)也適用于在先的2018年第23屆冬奧會主辦城市合同或2020年第32屆奧運會主辦城市合同，由此可見奧運賽事合同對追溯適用的態(tài)度（International Olympic Committee，2015b）。34

雖然北京冬奧會簽署的合同中允許對《詳細義務(wù)》文件的修改或變更，但不可忽略的是，2015年后《詳細義務(wù)》在后續(xù)的文件中就已被《操作要求》所取代，能否直接將兩者等同，從而追溯適用《操作要求》的條款還有待商榷。從目前3個版本的《操作要求》對追溯適用的態(tài)度來看，2015年和2016年的版本中均明確包含“適用于其他版本的奧運會和冬奧會”這一條款，以支持國際奧委會與奧運組委會在協(xié)調(diào)的基礎(chǔ)上，將更新的內(nèi)容全部或部分追溯適用于先前的合同，但規(guī)定的較為簡單，并沒有涉及協(xié)調(diào)的具體情形。而2018年版的《操作要求》中卻沒有出現(xiàn)較為醒目的追溯適用條款，僅在“定期更新主辦城市合同操作要求”條款③該條款指出，為了提高效率和適用快速發(fā)展的世界，奧運會的模式一直在發(fā)展，這就要求國際奧委會和國際殘奧會定期審查和更新操作要求。同時在承辦城市選舉之后更新的操作要求的適用，應(yīng)有國際奧委會和有關(guān)各方根據(jù)《主辦城市合同-原則》中規(guī)定的變更管理機制達成一致。中提到更新后的適用需經(jīng)2018年制定的《主辦城市合同-原則》文件第30條規(guī)定的變更管理機制（change management process）①該條款規(guī)定的“變更管理機制”的內(nèi)容與《主辦城市合同-詳細義務(wù)》第7條規(guī)定的協(xié)調(diào)程序相似，要求承辦方根據(jù)國際奧委會對《主辦城市合同-操作要求》的修改或更新及時調(diào)整其奧運會計劃，如果相關(guān)更新可能產(chǎn)生重大不利影響，則通過談判解決，不能達成協(xié)議的將提交有約束力的仲裁。此外，該條款設(shè)置了一段期間，要求承辦方在規(guī)定期限內(nèi)書面確認同意主辦方所做修改或更新。達成一致，結(jié)合相關(guān)條文來看，對追溯適用仍持“原則上允許，重大不利影響例外”的態(tài)度。

最后，在先的承辦城市追溯適用新《操作要求》的實踐也可以為之后舉辦奧運會的城市提供一些思路。以即將于2020年舉辦的東京奧運會為例，該屆奧運會的主辦城市合同雖于2013年訂立，且訂立時并沒有任何詳細義務(wù)的附件，但最終以與國際奧委會簽訂補充協(xié)議的方式追溯適用了國際奧委會2015年發(fā)布的《主辦城市合同-操作要求》，該協(xié)議載于附錄1中，與附錄2以及2015年的《操作要求》共同構(gòu)成東京奧運會合同的一部分。因此，即使先合同沒有相關(guān)的配套性義務(wù)明細，承辦方也可以考慮采用訂立補充協(xié)議的方式與奧委會就新要求的追溯適用或一些新問題的分歧達成諒解。

綜合上述分析可知，倘若國際奧委會于2018年制定的新《操作要求》可為2022年北京冬奧會承辦方同意接受，則產(chǎn)生追溯適用的效果，即新要求中對個人信息保護方面的要求或?qū)⒊蔀楸本┒瑠W會承辦方跨境傳輸個人數(shù)據(jù)的合規(guī)義務(wù)來源。

4.2 數(shù)據(jù)主體是否真實“知情并同意”

通過對合規(guī)義務(wù)內(nèi)容的梳理可以發(fā)現(xiàn)，不論是GDPR、我國的數(shù)據(jù)保護立法還是WADA制定的國際標準都強調(diào)充分尊重數(shù)據(jù)主體的權(quán)利，如GDPR將數(shù)據(jù)主體的“知情同意”作為個人數(shù)據(jù)跨境傳輸至第三國或國際組織的豁免條件，而我國法與《隱私標準》則將“知情同意”作為個人數(shù)據(jù)出境的重要前提。

但在體育領(lǐng)域，以格式合同條款為代表的強制“知情同意”可能導(dǎo)致數(shù)據(jù)主體的授權(quán)被濫用，甚至因此難獲救濟。造成這一現(xiàn)象的主要原因是數(shù)據(jù)主體（運動員）與數(shù)據(jù)控制者（反興奮劑組織、承辦方或國際奧委會）之間存在顯著失衡，具體表現(xiàn)為：運動員想要參加比賽必須事前與體育組織或賽事組織方簽訂參賽合同，合同中通常包括運動員“同意”體育組織收集并處理其個人信息的條款，但運動員在授權(quán)時又明顯欠缺決定權(quán)，因為任何不予注冊、提供信息或拒絕“同意”的行為都將導(dǎo)致其無法參賽；同時，根據(jù)合同意思自治原則，當數(shù)據(jù)控制者通過參賽合同獲得了運動員的授權(quán)后，除非違背運動員母國或東道國當?shù)胤芍械膹娭菩砸?guī)則，他方將不能干涉，即“知情同意”條款可能構(gòu)成運動員日后向數(shù)據(jù)控制方主張隱私權(quán)及個人信息權(quán)利的障礙（楊春然,2018）。因此，以運動員的“知情同意”作為個人數(shù)據(jù)跨境傳輸至第三方或國際組織的法律基礎(chǔ)是相對脆弱的，即使運動員的同意在反興奮劑工作中已被普遍接受，也僅能被視為一項無可避免地法律要求，還需要法律提供其他的保障（Jacob et al., 2017）。

在奧運賽事中，此類隱蔽的霸王條款也可能出現(xiàn)在為奧運會服務(wù)的數(shù)字平臺跨境提供服務(wù)或商品的過程中。例如，消費者為獲得平臺提供的票務(wù)、紀念品等需要在線注冊，并點擊確認用戶注冊協(xié)議，用戶注冊協(xié)議的準入性質(zhì)與電子合同的特殊形式使平臺有機會利用其優(yōu)勢地位濫用契約自由原則（王紅霞 等,2016）。而大多情況下，由于用戶并沒有耐心看完冗長且不醒目的授權(quán)條款，無論是否真實“知情并同意”一概接受，以至于無形中為個人信息被提供給第三方或濫用埋下隱患。因此，采取措施規(guī)范奧運會合作方跨境提供服務(wù)或商品的格式條款，避免相關(guān)數(shù)據(jù)主體的授權(quán)被濫用，亦是賽事承辦方履行義務(wù)需要考慮的問題。

4.3 國際體育組織如何獲得“充分保護”認證

根據(jù)GDPR第五章的規(guī)定，除第三國外，國際組織也可以在獲得歐委會的充分性決議后成為傳輸個人數(shù)據(jù)的安全港，由此產(chǎn)生的問題是：以國際奧委會為代表的國際體育組織能否獲得相關(guān)認證，及如何獲得認證？

從條例給出的定義來看，此處的國際組織指的是依照國際公法，或根據(jù)兩個或多個國家協(xié)議所設(shè)立的組織及其下屬機構(gòu)，并非國際法學(xué)者們研究的嚴格意義上的政府間國際組織，因此在此語境下，以國際奧委會為代表的作為私法人的非政府間國際組織在滿足條件的情況下也可以獲得充分保護水平的認證，從而獲得法律上的確定性，無需再經(jīng)授權(quán)轉(zhuǎn)移數(shù)據(jù)。6

目前，雖未發(fā)現(xiàn)任何有關(guān)歐委會認可國際體育組織為數(shù)據(jù)跨境傳輸安全港的文件，但從WADA在GDPR影響下委托知名律師事務(wù)所對其反興奮劑管理系統(tǒng)與歐洲數(shù)據(jù)保護法的兼容性出具的法律意見中可以獲取一些思路：反興奮劑運行管理系統(tǒng)②該系統(tǒng)包括運動員的行蹤信息、興奮劑的結(jié)果管理平臺、治療用藥豁免的管理以及存儲信息的中樞等多個模塊，便于利益相關(guān)方（運動員或其指定代表、體育組織、實驗室、反興奮劑組織等）隨時更新和共享數(shù)據(jù)，其訪問的權(quán)限和數(shù)據(jù)使用權(quán)一般是通過與使用者簽訂保密協(xié)議來預(yù)先設(shè)定的，且ADAMS需符合反興奮劑組織所在國家的數(shù)據(jù)保護法的要求以及WADA制定的《隱私標準》的規(guī)定。（Anti-Doping Administration & Management System，ADAMS），是WADA為簡化各利益相關(guān)方和運動員的日?；顒樱ㄟ\動員提供行蹤信息、實驗室提交檢測報告及反興奮劑組織管理結(jié)果等）而特別開發(fā)的在線數(shù)據(jù)管理系統(tǒng)。就該系統(tǒng)跨境傳輸數(shù)據(jù)方面，法律意見指出，雖然歐洲數(shù)據(jù)保護法律限制個人數(shù)據(jù)從歐盟轉(zhuǎn)移到歐盟以外未經(jīng)歐委會充分性決議的國家，但ADAMS顯然受益于WADA總部在加拿大的運營，該國恰巧是少數(shù)獲得的充分性保護決議認證的國家，因此歐洲的反興奮劑機構(gòu)有資格向WADA傳輸數(shù)據(jù)，以履行相關(guān)的數(shù)據(jù)傳輸協(xié)議的合同義務(wù)?？梢姡瑖H體育組織的數(shù)據(jù)接收資格與其設(shè)立地所在國或監(jiān)管機構(gòu)所在國有關(guān)，相關(guān)數(shù)據(jù)保護法律條款的規(guī)定也充分暗示了這一點。根據(jù)GDPR第45條第2款，歐委會在評估充分保護程度時將重點考慮：1）法治、尊重人權(quán)和基本自由、數(shù)據(jù)保護規(guī)則、數(shù)據(jù)跨境傳輸規(guī)則及安全措施等；2）第三國境內(nèi)是否存在約束國際組織的獨立監(jiān)管機構(gòu)以及是否有效運作；3）是否存在第三國或國際組織達成的國際承諾、具有約束力的公約或文件等。結(jié)合前言部分對立法、締約等情況的說明來看，國際組織能否獲得歐委會的決議認可，確實與其設(shè)立地或經(jīng)營地所在國的數(shù)據(jù)保護水平有關(guān)。因此，總部位于瑞士洛桑的國際奧委會、總部位于德國波恩的國際殘奧委會以及總部位于瑞士蘇黎世的國際足聯(lián)等國際體育組織可充分利用其地理優(yōu)勢獲得歐委會在個人數(shù)據(jù)跨境傳輸方面的認可。但這種優(yōu)勢造成的不公平可能引發(fā)其他設(shè)立或經(jīng)營地不在歐洲境內(nèi)、所在國也尚未獲得歐盟認證的體育組織的不滿，且獲得充分保護水平認證的國際組織并不能通過合同分享其許可，仍需要與未獲得充分性保護水平認證而不得不另尋他法的賽事承辦方有所協(xié)調(diào)。

4.4 東道國政府的過度監(jiān)管能否被約束

此外，奧運賽事中承辦方收集個人信息的風險，還包括東道國政府以安全名義監(jiān)管，但實際超出必要范圍收取和使用數(shù)據(jù)。在2014年第22屆索契冬奧會上，俄羅斯當局以確保奧運賽事的安全為由，對該次運動會進行了全方位的監(jiān)管，通過Cookies技術(shù)、電話以及其他的通信設(shè)施，全面地收集游客（包括觀眾）、運動員、輔助人員和體育組織的官員等的個人信息，但俄羅斯當局對這種信息的使用實際上遠超過其收集數(shù)據(jù)時所宣稱的保護冬奧會安全的目的，如通過軟件分析關(guān)鍵詞的方式來研究比賽結(jié)束后人們的行為等（Rein et al.,2016）。有學(xué)者認為，對于此種情況，國際體育組織應(yīng)當設(shè)置強制性的規(guī)定，責令相應(yīng)組織應(yīng)當將上述情況下所收集的個人信息銷毀，并且對擅自使用運動員個人信息的行為進行處罰，除非這已經(jīng)取得了運動員的同意（楊春然,2018）。

在這一說法上存在的問題是：雖然國際奧委會與主辦城市、國家奧委會就奧運賽事的舉辦達成合意，從而形成了具有法律約束力的契約關(guān)系，作為奧運會相關(guān)數(shù)據(jù)的所有權(quán)主體，國際奧委會可基于合同要求承辦方在授權(quán)使用及傳輸完成后及時刪除所收集的個人信息，但是否有權(quán)處罰擅自使用運動員個人信息的承辦方？且私法合同層面的約束能否實在對抗東道國政府基于安全理由開展的監(jiān)控行為？如果不能，應(yīng)通過何種方式解決各國參與人員的此種普遍擔憂。

應(yīng)當明確的是，《奧林匹克憲章》作為“準國際法”雖然在體育領(lǐng)域具有絕對的影響力，但其約束的對象始終是國際奧委會、國際單項體育聯(lián)合會、國家奧委會、組委會及俱樂部和個人，不能超出體育自治的范圍，尤其無法約束一國政府的公法行為。而國際奧委會與承辦方之間始終為契約關(guān)系，根據(jù)主辦城市合同“基本原則”的要求，城市、國家奧委會與奧組委對于所簽署的所有保證、承諾、聲明、契約義務(wù)等負有連帶責任，因違法合同而導(dǎo)致的任何直接或間接賠償、責任等，國際奧委會有權(quán)對上述承辦方采取法律措施，即通過仲裁解決。

可見，東道國的過度監(jiān)管行為一旦上升至公法層面，將難以約束，僅能在私法層面以違約或侵權(quán)等方式抗爭，更多的還需要東道國政府遵守申辦承諾，恪守契約精神，避免過分干預(yù)。

4.5 建立個人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)審查與監(jiān)管機制

目前看來，要解決奧運賽事承辦方在履行跨境傳輸個人數(shù)據(jù)的合規(guī)義務(wù)過程中遇到的理論與實踐層面的問題，包括追溯適用的不確定性、GDPR跨境接收個人數(shù)據(jù)資格、東道國可能阻礙個人數(shù)據(jù)出境的立法、濫用格式條款損害數(shù)據(jù)主體利益及東道國政府利用數(shù)據(jù)監(jiān)視等，可行的路徑是采用2018年版《主辦城市合同-操作要求》中給出的方案①2018年版《操作要求》“ACR 05 個人信息保護”條款中指出，“（為在必要范圍內(nèi)遵守所有可適用的法律法規(guī)）必要時與國際奧委會、國際殘奧委會或任何相關(guān)第三方就處理注冊人員的個人信息達成進一步協(xié)議，并采取必要措施，包括酌情與東道國或其他地區(qū)的數(shù)據(jù)監(jiān)管機構(gòu)協(xié)調(diào)。”，即協(xié)商訂立有關(guān)個人數(shù)據(jù)處理的補充協(xié)議，以進一步細化賽事承辦合同對個人數(shù)據(jù)跨境傳輸?shù)囊螅⒃趯嵺`中產(chǎn)生的一些未決問題上達成共識。

首先，對于未獲得充分的保護程度認證的東道國，通過談判在最大限度內(nèi)達成合意的靈活性顯然優(yōu)于歐盟單方的充分性評估機制，且奧運會的所有數(shù)據(jù)為承辦方所收集后，還需提供給國際奧委會和國際殘奧委會及其控制的第三方，通過協(xié)議的方式可以實現(xiàn)為多方取得接收相關(guān)個人數(shù)據(jù)的資格；其次，通過協(xié)議可以適當提高體育組織、賽事承辦方的告知義務(wù)，如采取特別聲明的方式確保注冊人員對所提供的個人信息的用途、傳輸?shù)取爸楹笸狻?；最后，盡管與國際奧委會簽訂協(xié)議的是主辦城市，但一國的某一城市舉辦奧運會實際上離不開政府的配合，在保障承辦合同中的各項義務(wù)得到切實履行上，東道國政府無法推卸責任。從這一點出發(fā)，可以通過協(xié)議方式，協(xié)調(diào)東道國法律中可能影響奧組委履行將個人數(shù)據(jù)傳輸給國際奧委會的要求，如東道國法規(guī)要求個人數(shù)據(jù)出境需獲得數(shù)據(jù)主體的進一步同意與原合同要求國際奧委會獲取信息無需數(shù)據(jù)主體進一步授權(quán)之間的沖突等。

總體而言，補充協(xié)議的訂立需建立在充分尊重數(shù)據(jù)主體基本權(quán)利的基礎(chǔ)上，明確協(xié)議的性質(zhì)屬于涉外民事合同，承辦方（城市、國家奧委會和奧運會組委會）作為民事主體時所做的承諾，在不違反東道國強制性規(guī)則或損害該國利益的范圍內(nèi)，應(yīng)得到政府當局的尊重。

但協(xié)議的達成僅僅是解決問題的第一步，最終需要由各方采取措施將合同、操作要求與補充協(xié)議的內(nèi)容落到實處，否則上述文件將淪為一紙空文。鑒于奧運賽事及其產(chǎn)生的所有數(shù)據(jù)的所有權(quán)歸國際奧委會所有，而與賽事有關(guān)的數(shù)據(jù)的收集、處理、傳輸?shù)然顒又饕蓨W運賽事的承辦方負責，本研究認為上述兩個主體在落實個人數(shù)據(jù)跨境傳輸合規(guī)要求的過程中缺一不可，需共同合作以完成合規(guī)監(jiān)管機制的構(gòu)建。

就國際奧委會而言，建議成立專門的數(shù)據(jù)委員會或加強協(xié)調(diào)委員會①協(xié)調(diào)委員會是合同中明確要求的，在國際奧委會主導(dǎo)下為奧運會特別成立的獨立委員會，主要處理奧組委與主辦國政府各部門與國際奧委會、國際聯(lián)合會和各國家（地區(qū)）奧委會之間的關(guān)系。在個人信息處理與跨境傳輸合規(guī)方面的外部監(jiān)督作用，同時對適用數(shù)據(jù)保護法可能產(chǎn)生的沖突、數(shù)據(jù)保護補充協(xié)議在具體實踐中產(chǎn)生的新問題，以及東道國數(shù)據(jù)監(jiān)管機構(gòu)審查、攔截或數(shù)據(jù)他用等情形進行及時地協(xié)調(diào)，必要時對違約的承辦方追究法律責任。

就奧運賽事的承辦方而言，其在事實上承擔著合規(guī)自審與監(jiān)管的主要職責。從GDPR出臺后，2020年東京奧運會承辦方在隱私政策方面所做的努力來看，奧運賽事中的個人數(shù)據(jù)跨境傳輸正積極向合規(guī)的方向靠攏，但仍存在一些問題。根據(jù)2020年東京奧運會官方網(wǎng)站公布的《隱私政策》，東京組委會將遵守本國的《個人信息保護法》和所有其他相關(guān)的法律法規(guī)，承諾將通過適當?shù)某绦颢@取個人信息、采取適當措施以安全地管理個人信息、限制向第三方提供個人信息、在個人信息的披露、更正、添加、刪除等方面采取適當措施，并對承包商進行監(jiān)督。具體來看，東京奧組委并沒有制定專門的、條款式的規(guī)范性文件，而是采用問答形式在隱私政策中明確地解釋了奧組委收集信息的過程及相關(guān)注意事項，包括個人信息的獲取、與第三方的信息共享、對個人信息的使用目的、數(shù)據(jù)主體享有的權(quán)利及其行使等。同時，考慮到日本與歐盟間訂立的數(shù)據(jù)共享協(xié)議，東京奧組委在隱私政策中特別強調(diào)了將根據(jù)GDPR收集和處理歐盟公民的個人信息。但隨之產(chǎn)生的問題是，這一做法對于其他奧運賽事承辦方，特別是與歐盟之間不存在數(shù)據(jù)共享協(xié)議的國家有無參考價值？若照搬這一“原則+例外”的政策制定模式，是否于無形中對歐盟以外的參賽國構(gòu)成“歧視性待遇”？在個人數(shù)據(jù)傳輸?shù)囊?guī)定上，若GDPR與東道國的數(shù)據(jù)傳輸規(guī)定存在沖突，何者優(yōu)先？基于承辦方單方承諾的隱私政策能否取代數(shù)據(jù)保護補充協(xié)議達到協(xié)調(diào)各方利益的效果？對此，筆者認為單方公告的隱私政策確實可以增加透明度，確保個人信息在被收集、使用、傳輸?shù)倪^程中獲得真實知情同意，尊重和保障數(shù)據(jù)主體的權(quán)利，同時適當約束東道國潛在的過度監(jiān)管。但僅有隱私政策是遠遠不夠的，也不能直接替代數(shù)據(jù)保護補充協(xié)議，對于大部分尚未與歐盟達成數(shù)據(jù)共享協(xié)議的國家而言，仍建議采用“補充協(xié)議+執(zhí)行保障機制”的模式，明確對參賽者、國家代表團成員、觀眾、志愿者等個人數(shù)據(jù)主體權(quán)利的充分尊重與平等保護，建立符合實際、程序嚴格、內(nèi)容合理、部署到位的合規(guī)審查與監(jiān)管機制。

5 對我國舉辦2022年冬季奧運會的啟示

與前述東京奧運會相比，2022年北京冬奧組委會在個人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)問題上將面臨更多的挑戰(zhàn)，一方面我國與頒布GDPR的歐盟之間不存在任何數(shù)據(jù)共享協(xié)議；另一方面我國有關(guān)個人信息保護的規(guī)定散見于《民法總則》《網(wǎng)絡(luò)安全法》《消費者保護法》《電子商務(wù)法》和《刑法》等法律法規(guī)中，《個人信息保護法》雖被列入立法規(guī)劃，卻進展緩慢，且以《網(wǎng)絡(luò)安全法》為代表的涉及數(shù)據(jù)跨境流動的立法規(guī)定得過于籠統(tǒng)，缺乏指導(dǎo)性。因此，北京冬奧組委會除有必要在一些關(guān)鍵問題上與國際奧委會、國際殘奧會及一些利益相關(guān)方，如歐洲奧委會等達成共識外，關(guān)鍵是要建立并完善對與個人數(shù)據(jù)跨境傳輸有關(guān)的文件和相關(guān)工作的合規(guī)審查與監(jiān)督機制，以規(guī)避潛在的違法或違約風險。筆者擬結(jié)合現(xiàn)有的賽事承辦合同文本與相關(guān)的法律文件，分析構(gòu)建合規(guī)審查與監(jiān)管的必要性，并嘗試從審查的責任主體、監(jiān)管的范疇與原則等方面提出一些制度建設(shè)的改進建議。7

5.1 合規(guī)審查與監(jiān)管的必要性

擬開展合規(guī)審查與監(jiān)管活動前應(yīng)當考慮的問題是北京2022年冬奧會和冬殘奧會組織委員會（以下簡稱“北京冬奧組委”）在“奧運賽事承辦合同方”與“依據(jù)《中華人民共和國民法通則》成立的獨立事業(yè)單位法人”這兩重身份下所負擔的合規(guī)義務(wù)之層次，這將影響審查與監(jiān)管的必要性與正當性。

具體來看，位于第一層次的是北京冬奧組委作為法人應(yīng)當遵守的直接義務(wù)來源，即我國民事、行政與刑事等國內(nèi)法律法規(guī)要求的個人數(shù)據(jù)跨境傳輸必經(jīng)的操作流程與禁止性事項，主要表現(xiàn)為對數(shù)據(jù)主體權(quán)利的尊重、對個人隱私的保護與對個人數(shù)據(jù)出境的審查。其中，對于數(shù)據(jù)主體的尊重與數(shù)據(jù)安全的保護應(yīng)當自覺貫穿數(shù)據(jù)收集與處理等活動的始終，而在數(shù)據(jù)出境方面將受到國家安全機關(guān)的監(jiān)管，涉及的合規(guī)問題更為集中。這一方面，目前可以參考的法律文件包括《網(wǎng)絡(luò)安全法》的原則性要求與《信息安全技術(shù) 個人信息安全規(guī)范》（以下簡稱“《安全規(guī)范》”）提供的國家標準等。此外，《個人信息和重要數(shù)據(jù)出境安全評估辦法》作為《網(wǎng)絡(luò)安全法》的配套文件雖處于草案的修訂階段，但該文件正式發(fā)布后將成為北京冬奧組委及相關(guān)合作方傳輸相關(guān)個人數(shù)據(jù)出境時重要的合規(guī)操作指南。

位于第二層次的是北京冬奧組委因履行合同義務(wù)而承擔的連帶義務(wù)，主要指GDPR等域外數(shù)據(jù)保護法雖然只作用于國際體育組織，不會直接對北京冬奧組委產(chǎn)生域外效力，但基于賽事承辦合同，北京冬奧組委有義務(wù)保證不影響國際奧委會等體育組織遵守所有可適用的數(shù)據(jù)保護法律。因此，筆者認為履行這一層次的義務(wù)而開展的審查與監(jiān)督應(yīng)重點關(guān)注“所有可適用的數(shù)據(jù)保護法律”涉及個人數(shù)據(jù)跨境傳輸出境的法律基礎(chǔ)與禁止性規(guī)定，以避免在收集和再轉(zhuǎn)移數(shù)據(jù)的過程中，給授權(quán)賽事承辦的國際體育組織帶來違規(guī)的風險，進而構(gòu)成違約。

位于第三層次的義務(wù)主要來源于北京冬奧組委與招標購買或委托服務(wù)的第三方之間訂立的合同，以及與政府部門之間的對接合作。在冬奧會與冬殘奧會籌辦的過程中，一些專業(yè)性或技術(shù)性的事宜往往依賴于第三方的數(shù)據(jù)處理者，如數(shù)據(jù)平臺搭建、票務(wù)、官方網(wǎng)站運營和數(shù)據(jù)中心維護等，在交通管制、人員出入境流動、賽事外圍的安全保障等方面也需要公安部門和邊境管理部門的配合。若第三方在提供服務(wù)的過程中濫用收集到的個人信息，賽事舉辦期間承擔著數(shù)據(jù)“控制者”角色的北京冬奧組委也將受牽連，為避免被動違約，有必要肩負起監(jiān)管者和協(xié)調(diào)者的責任。因此，在這一層次上，北京冬奧組委既有必要與相關(guān)部門在共享信息的方面明確合作的邊界，就相關(guān)個人信息的使用達成共識，也要及時審查和監(jiān)督第三方是否在受委托范圍內(nèi)處理數(shù)據(jù)及處理活動的合規(guī)性。

因此，北京冬奧組委不論是為遵守國內(nèi)法、履行賽事承辦合同義務(wù)，還是為委托服務(wù)過程中保障自身的權(quán)益考慮，都有必要對涉及個人數(shù)據(jù)的收集與傳輸出境的處理活動，以及與之相關(guān)的合同條款進行審查，對可能共享信息的第三方也有必要盡到監(jiān)督的義務(wù)。

5.2 合規(guī)審查的責任主體

從當前的運作模式來看，奧運賽事舉辦期間大量的法律工作與敏感事項都是由北京冬奧組委法律事務(wù)部負擔，包括參加重要的談判、監(jiān)督并落實《主辦城市合同》及其他附件或是補充協(xié)議、統(tǒng)一管理委內(nèi)合同、協(xié)助國家奧委會與國際奧委會處理關(guān)聯(lián)冬奧會的法律事務(wù)等。其中，如合同審查、出具法律意見書、研究法律問題、分析風險提出對策等工作通常委托專業(yè)的法律服務(wù)機構(gòu)予以協(xié)助。而本次冬奧會，除發(fā)布招標信息繼續(xù)聘請律師事務(wù)所參與籌辦工作以提供法律支持外，北京冬奧組委還與一些法律學(xué)術(shù)團體訂立了協(xié)議①北京2022年冬奧會和冬殘奧會組織委員會于2016年同中國法學(xué)會體育法學(xué)研究會、北京市法學(xué)會體育法學(xué)與奧林匹克法律事務(wù)研究會訂立了《學(xué)術(shù)團體協(xié)助北京冬奧組委承辦法律業(yè)務(wù)的框架協(xié)議》，兩法學(xué)學(xué)術(shù)團體根據(jù)北京冬奧組委需求，承辦冬奧組委日常法律事務(wù)和其他法律事務(wù)。，旨在更有效地降低法律風險，避開合同陷阱，力求實現(xiàn)“法治奧運”目標。

考慮到評估個人數(shù)據(jù)跨境傳輸合規(guī)工作的成本、效率、專業(yè)性及相關(guān)業(yè)務(wù)的敏感性，在前述常規(guī)模式（以北京冬奧組委法律部工作人員為主，受托的專業(yè)律師、學(xué)術(shù)團體、安全顧問等為輔）的基礎(chǔ)上開展合規(guī)審查與監(jiān)督，還有必要建立與國家網(wǎng)絡(luò)信息安全監(jiān)管機構(gòu)、境外數(shù)據(jù)合規(guī)監(jiān)管機構(gòu)以及國內(nèi)行政、司法機關(guān)之間的合作與聯(lián)動，以充分實現(xiàn)合規(guī)風險的預(yù)警、監(jiān)管信息的互通、審查結(jié)果的備案與違規(guī)的應(yīng)急處置。8

作為多方聯(lián)動機制中的關(guān)鍵紐帶，北京冬奧組委法律事務(wù)部應(yīng)承擔組織、核定與協(xié)調(diào)者的角色。一方面，有必要組織專家群體對所有可適用數(shù)據(jù)保護法律、與我國法規(guī)有沖突的條款等關(guān)聯(lián)文件進行跟蹤調(diào)研，研究應(yīng)對策略，同時盡快與國際奧委會、國際殘奧會及以歐洲奧委會為代表的利益相關(guān)方展開協(xié)商談判，就新版合同操作要求的追溯適用、所有可適用法律關(guān)于個人數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突、數(shù)據(jù)保護水平等關(guān)鍵問題達成合理的補充協(xié)議，并及時公布；另一方面，明確審查與監(jiān)管的范圍、手段、程序、期限等，包括委托專業(yè)團隊審查的權(quán)限、對反饋結(jié)果的備案、對結(jié)果的審核、與國內(nèi)外的數(shù)據(jù)出入境監(jiān)管機構(gòu)的合作等，建議起草、審定上述內(nèi)容后形成文件，作為辦賽期間的正式制度實施。

作為合規(guī)審查的參與者，受聘的法律服務(wù)機構(gòu)律師、學(xué)術(shù)團體的學(xué)者、合規(guī)公司顧問等應(yīng)根據(jù)委托合同、框架協(xié)議及北京冬奧組委的現(xiàn)實要求提供協(xié)助。在此過程中，既要保證北京冬奧組委法律事務(wù)部能及時收到審查的反饋，以便做好處理的預(yù)案，也要確保審查結(jié)果的專業(yè)性、真實性，對于可能存在違規(guī)風險的合同或行為應(yīng)出具整改或建議處理方案，包括補充先合同中有關(guān)個人信息保護的條款，與違約的第三方解除委托合同，訴諸爭端解決機構(gòu)維權(quán)等。同時，應(yīng)重視對數(shù)據(jù)合規(guī)疑難問題的研究，如北京冬奧組委、國際奧委會、WADA等多個數(shù)據(jù)“控制者”對數(shù)據(jù)的聯(lián)合控制權(quán)、處理個人數(shù)據(jù)（特別是個人敏感數(shù)據(jù)）的法律基礎(chǔ)、合規(guī)評估的標準（比例性）等。

5.3 合規(guī)審查的范疇與原則

理論上，責任主體在個人數(shù)據(jù)的跨境傳輸方面開展合規(guī)審查與監(jiān)督活動至少應(yīng)涵蓋文本審查與實踐評估兩個方面。

5.3.1 對合同及相關(guān)文本的審查

文本審查主要指審核合同、合同的補充附件及與履行合同有關(guān)的文本，包括但不限于票務(wù)銷售、特許銷售、酒店住宿協(xié)議等合同中，是否涵蓋有關(guān)個人信息保護的義務(wù)條款，條款的要求是否完備，采用的數(shù)據(jù)安全標準是否為國家標準等，同時有必要關(guān)注相關(guān)票務(wù)、住宿服務(wù)提供商等涉及個人信息注冊的平臺所制定的注冊協(xié)議中是否存有任意搜集用戶信息等被濫用的格式條款。

對文本的審查應(yīng)堅持合法、公平、透明，及保障數(shù)據(jù)主體真實“知情同意”的原則。特別是在征詢數(shù)據(jù)主體意見的方面，冬奧會組委法律部門可以參考和借鑒東京奧運會組委會的做法，采用問答的形式，在官方網(wǎng)站上明確告知數(shù)據(jù)主體：2022年北京冬奧會將收集哪些個人信息、將從第三方獲取的個人信息、使用個人信息的目的、如何共享信息及共享對象、數(shù)據(jù)主體享有的權(quán)利與行使方式、撤回“同意”的方式以及數(shù)據(jù)權(quán)利受侵犯的救濟途徑等。需要注意的是，為避免造成變相的歧視性待遇，不建議仿照東京奧運會單獨給予歐盟公民以GDPR下的特殊待遇作為例外，而應(yīng)當承諾給予所有數(shù)據(jù)主體以完整的數(shù)據(jù)權(quán)利和高標準的數(shù)據(jù)保護待遇。上述要求同樣適用于對合作方收集個人信息的監(jiān)督，北京冬奧組委的法律部門代表委內(nèi)與公共機構(gòu)或私人合作伙伴訂立合同時，應(yīng)當明確經(jīng)委托獲得個人數(shù)據(jù)訪問權(quán)或可共享個人收據(jù)的服務(wù)提供商有義務(wù)保證數(shù)據(jù)主體“明知”并對其個人信息享有控制權(quán)，承諾在獲得真實同意后處理和傳輸信息，否則將構(gòu)成違約，委托方和數(shù)據(jù)主體有權(quán)追責。

5.3.2 對實踐操作的合規(guī)評估

實踐評估則指應(yīng)當定期調(diào)查和評估數(shù)據(jù)處理者的操作是否合規(guī)，包括委托方是否安排“數(shù)據(jù)保護專員”負責記錄、報告和對接數(shù)據(jù)處理的合規(guī)事宜，對共享信息的處理是否在授權(quán)范圍內(nèi)等。

為了增加個人數(shù)據(jù)跨境傳輸合規(guī)操作的透明度與各方對規(guī)則的可預(yù)期性，筆者認為冬奧會組委有必要結(jié)合實際，針對具體問題與國際奧委會、國際殘奧會及利益相關(guān)方協(xié)商，達成書面協(xié)議或共識，在此基礎(chǔ)上整合國內(nèi)外可適用的個人數(shù)據(jù)保護的要求，集合專家力量進行解讀，并公開合規(guī)審查的范圍、要求與程序等制度，形成一套符合國情，便利履約，具有指導(dǎo)性且完備的“2022年北京冬奧會與冬殘奧會個人數(shù)據(jù)合規(guī)處理指南”。通過指南，可以明確處理冬奧會個人數(shù)據(jù)應(yīng)當遵循的基本原則，包括目的限制、數(shù)據(jù)最小化、完整性與保密性原則等，設(shè)置數(shù)據(jù)共享的邊界，以保證個人信息在共享過程中不被不當使用或披露，劃定不得濫用格式條款壓制數(shù)據(jù)主體權(quán)利等紅線條款來警示一些重要的不可為事項，既可作為合規(guī)監(jiān)督工作的手冊，也可用于對冬奧會組委負責數(shù)據(jù)工作的員工、合作方相關(guān)工作人員的培訓(xùn)。

此外，在反興奮劑方面，雖然與WADA的合作可以在一定程度上減輕收集和傳輸敏感個人數(shù)據(jù)出入境的風險，但作為賽事的承辦者，奧組委仍有必要對此進行必要的監(jiān)督。事實上，因為反興奮劑工作涉及比一般個人數(shù)據(jù)更為棘手的敏感個人數(shù)據(jù)，此類數(shù)據(jù)的保護問題與可被獲取、處理、傳輸?shù)姆苫A(chǔ)一度受到質(zhì)疑，尤其是運動員“同意”的虛構(gòu)性（非自由的同意），即不同意的后果可能導(dǎo)致運動員失去參賽權(quán)利而迫使參賽者不得不同意。雖然反興奮劑可以在沒有立法干預(yù)的情況下，被視為“實質(zhì)性公共利益”而獲得GDPR等數(shù)據(jù)保護法的豁免，體育組織及受合同約束的奧運賽事承辦方必須遵守WADA《隱私標準》更新后經(jīng)審查也被認同符合歐洲數(shù)據(jù)保護法，但使用WADA反興奮劑管理系統(tǒng)的ADAMS的冬奧會組委應(yīng)考慮到的問題是：能否因數(shù)據(jù)刪除等權(quán)力的實質(zhì)受限，而主張在運動員個人敏感數(shù)據(jù)的跨境傳輸方面免責，以及使用該系統(tǒng)跨境傳輸在境內(nèi)收集、處理的敏感個人數(shù)據(jù)出境，如何通過網(wǎng)絡(luò)與信息安全監(jiān)管部門的評估審查。

6 結(jié)語

奧運賽事承辦方履行跨境傳輸個人數(shù)據(jù)的合規(guī)義務(wù)及其存在的問題充分反映了GDPR出臺后為體育領(lǐng)域帶來的變革與契機。各方已充分意識到體育領(lǐng)域保障運動員及相關(guān)人員的個人信息權(quán)利和隱私權(quán)，及大型賽事中采取必要措施避免賽事承辦方在個人信息處理方面出現(xiàn)信任危機的重要性。然而，本文所探討的跨境個人數(shù)據(jù)傳輸問題僅是數(shù)據(jù)處理中的一環(huán)，且基于單純的跨境傳輸僅涉及提供保護、用戶知情同意等方面的問題，尚能通過協(xié)議等方式協(xié)調(diào)，而在其他數(shù)據(jù)處理環(huán)節(jié)還存在更多難以調(diào)和的問題，如數(shù)據(jù)的本地化存儲方面因各國立法本身存在價值取向上的矛盾，部分國家甚至明確要求敏感個人信息不允許在境外存儲等沖突，有待進一步研究與探討。