重大國際體育賽事舉辦過程中個人信息保護(hù)的比較研究

夏玉潔，鄧勇

一、選題背景

2022 冬奧會的成功舉辦造就了北京在奧運歷史上首個“雙奧城市”的歷史地位。北京冬奧為中國贏得全球贊譽(yù)，許多重大國際體育賽事的主辦方正在努力開拓中國市場，各類國際賽事爭相搶灘中國。調(diào)研結(jié)果顯示，目前我國體育賽事中，超過40%的賽事公司或者俱樂部將國際賽事作為其日常的主營賽事，這也是數(shù)十年來中國體育和國際賽事頻繁交流、融合的結(jié)果①。近年來，我國中央和地方越來越重視發(fā)展體育產(chǎn)業(yè)，愈加支持和加強(qiáng)推廣國際體育賽事，對于重大國際體育賽事的舉辦，從賽事的籌備到舉行都十分注重追求更高的行業(yè)標(biāo)準(zhǔn)，助力各項體育賽事在中國的成功運營。

隨著算法應(yīng)用的發(fā)展和公眾個人信息保護(hù)意識的增強(qiáng)，各國紛紛制定個人信息保護(hù)的法律法規(guī)。重大國際體育賽事參與人員的國籍國、賽事舉辦地和賽事主辦方的所在地通常涉及不同的法域，例如冬奧會、亞運會、世界大運會、亞青會等國際體育賽事，根據(jù)《主辦城市合同》及相關(guān)賽事籌辦的文件，個人信息處理的目的和方式由境外賽事權(quán)利人決定，數(shù)據(jù)庫的知識產(chǎn)權(quán)也歸其所有，組委會受委托處理與賽事有關(guān)的個人信息。然而根據(jù)屬地管轄的原則，在我國舉辦的國際體育賽事應(yīng)受我國法律的管轄?？梢姡鐣头傻倪M(jìn)步對賽事的個人信息保護(hù)提出了法律上的新要求和新挑戰(zhàn)。伴隨大數(shù)據(jù)與人工智能向體育領(lǐng)域的拓展，數(shù)據(jù)的采集、分析和應(yīng)用成為國際體育組織及賽事承辦方提高風(fēng)險預(yù)測能力和提升監(jiān)管水平的重要工具，運動員、記者、工作人員、志愿者和觀眾等賽事參與主體的個人信息的采集與分析是奧運會等國際體育賽事組織工作中的重要部分。這是科技進(jìn)步給賽事的舉辦提供的新工具和新機(jī)遇。面對挑戰(zhàn)與機(jī)遇，重要國際賽事的主辦方紛紛加強(qiáng)個人信息的保護(hù)以應(yīng)對可能出現(xiàn)的法律風(fēng)險。例如，國際奧委會已將個人數(shù)據(jù)保護(hù)要求納入“辦奧新規(guī)范”②及相關(guān)文件。

有學(xué)者認(rèn)為，在現(xiàn)行法律框架下，個人信息的保護(hù)主要依托隱私權(quán)或人格權(quán)的規(guī)定展開，這兩種保護(hù)路徑適用到運動員數(shù)據(jù)保護(hù)上存在明顯不足。在具體規(guī)范設(shè)計上，宜將“使用許可”制度適用于運動員的數(shù)據(jù)保護(hù)，以避免不當(dāng)收集和無序使用［1］。有學(xué)者認(rèn)為，當(dāng)前國際體育賽事的舉辦，存在數(shù)據(jù)采集范圍不清晰、數(shù)據(jù)利用目的超出權(quán)限導(dǎo)致?lián)p害運動員權(quán)利以及“數(shù)據(jù)主權(quán)”對抗等問題，需要在數(shù)據(jù)采集范圍、利用限制和保護(hù)方式上作出安排，完善運動員數(shù)據(jù)采集的法律規(guī)范體系，平衡運動員數(shù)據(jù)的保護(hù)和利用［2］。有學(xué)者主張，我國應(yīng)以保護(hù)運動員隱私利益優(yōu)先為首要原則，健全運動員數(shù)據(jù)泄露補(bǔ)救措施，完善運動員數(shù)據(jù)合規(guī)審查與監(jiān)管機(jī)制，推進(jìn)運動員數(shù)據(jù)財產(chǎn)利益保護(hù)［3］。算法社會給個人信息的保護(hù)提出了新的課題，有學(xué)者認(rèn)為，應(yīng)采取公法與私法并重的制度構(gòu)建路徑，使公權(quán)力和算法權(quán)力聯(lián)結(jié)形成監(jiān)管合力實現(xiàn)運動員權(quán)利的共同體保障［4］。也有學(xué)者認(rèn)為，可以采取行業(yè)規(guī)范和合同治理路徑，嚴(yán)格約定生物識別數(shù)據(jù)的收集和處理［5］。還有學(xué)者認(rèn)為，應(yīng)總結(jié)國內(nèi)外實務(wù)中的先進(jìn)經(jīng)驗，遵從相關(guān)法律法規(guī)的要求，從慎用生物識別信息技術(shù)、加強(qiáng)政府監(jiān)管、明確公共利益免責(zé)邊界及鼓勵行業(yè)自律等4 個維度，形成多主體、多層次的治理措施［6］。

現(xiàn)有研究主要關(guān)注到運動員個人信息的人格和財產(chǎn)屬性，并從公法與私法、行業(yè)規(guī)范和合同治理等各個維度提出了對運動員個人信息采集與處理的原則。人工智能的應(yīng)用和智慧體育設(shè)備的普及讓個人信息的采集和利用成為體育賽事舉辦中的重要工作，體育賽事的舉辦和運營亟待形成多維度多層次的管理措施。相關(guān)研究多局限于宏觀界說層面。然而，國際賽事承辦方在賽事舉辦的過程中需要采集的不僅是運動員的信息，還包括新聞記者、隨行人員、工作人員、媒體記者、志愿者和觀眾等其他賽事參與主體的信息。對這些不同主體的個人信息應(yīng)該從采集范圍、利用限制及保護(hù)措施等方面區(qū)別對待，按照不同的應(yīng)用場景制定差異化的規(guī)則?，F(xiàn)代體育賽事日益信息化和智慧化，國際賽事承辦方與領(lǐng)先的科技公司合作已是現(xiàn)今的行業(yè)慣例，賽事承辦方對信息和數(shù)據(jù)的保護(hù)職責(zé)也相應(yīng)地延伸到對合作伙伴的監(jiān)督和管理。

本文試圖以現(xiàn)有研究為基礎(chǔ)，從國內(nèi)外典型法律的規(guī)定入手進(jìn)行比較法層面的考察。結(jié)合市場規(guī)模、規(guī)制范圍等因素，歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”）和中國《個人信息保護(hù)法》為當(dāng)今世界最具有影響力的法律文本。本文通過比較兩部法律的異同，參考國際奧林匹克委員會International Olympic Committee（以下簡稱“IOC”）的隱私政策、2022 年北京冬奧會奧通隱私政策和世界反興奮劑機(jī)構(gòu)World Anti-Doping Agency（以下簡稱“WADA”）的隱私政策，對國際重大體育賽事舉辦過程中的個人信息保護(hù)問題提一些思考。

二、GDPR和《個人信息保護(hù)法》的比較

（一）適用的范圍

1.地域范圍

GDPR 和《個人信息保護(hù)法》在立法模式上是類似的，都是綜合立法。兩部法律都規(guī)定境內(nèi)和境外適用，都具有域外適用的效力。GDPR 第3 條規(guī)定其適用的范圍包括：歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，不論其實際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行；歐盟境外向歐盟境內(nèi)個人提供商品或服務(wù)，或?qū)ζ浔O(jiān)控的情形?！秱€人信息保護(hù)法》第3條規(guī)定適用發(fā)生在中國境內(nèi)的數(shù)據(jù)處理活動，或者數(shù)據(jù)在境外處理，但是以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，或分析評估境內(nèi)自然人的行為，以及法律、行政法規(guī)規(guī)定的其他情形。從域外適用的范圍看，GDPR 的范圍更為寬泛，中國的《個人信息保護(hù)法》在地域范圍上做了適當(dāng)延伸，但相較GDPR 更為克制。兩部法律都采用了機(jī)構(gòu)設(shè)立地標(biāo)準(zhǔn)和目標(biāo)指向地標(biāo)準(zhǔn)，使地域管轄的范圍更為寬泛。

2.保護(hù)和規(guī)制對象

《個人信息保護(hù)法》中的個人信息處理者類似于歐盟GDPR 中的數(shù)據(jù)控制者。GDPR 中明確區(qū)分了數(shù)據(jù)控制者與數(shù)據(jù)處理者兩類主體，而中國《個人信息保護(hù)法》》未采取主體的二分法，而是在建立類似于控制者的概念后，通過委托關(guān)系明確受托人的義務(wù)。

表1 GDPR 與《個人信息保護(hù)法》的管轄范圍

3.受管轄的賽事

GDPR 對所有歐盟境內(nèi)組織和非歐盟組織處理歐盟境內(nèi)個人數(shù)據(jù)的行為都適用［7］。目前，GDPR 的實施已推動WADA 修訂了《隱私與個人信息保護(hù)的國際標(biāo)準(zhǔn)》、制定了《運動員反興奮劑權(quán)利法案》，并將持續(xù)影響國際大型體育賽事的運營規(guī)范和服務(wù)方式。我國舉辦重大國際賽事需要關(guān)注不同地區(qū)法律對個人信息保護(hù)的規(guī)定，這不僅有利于打造我們舉辦賽事的名片，也是為了規(guī)避法律風(fēng)險。

（二）個人信息的分類

關(guān)于個人信息的定義，兩部法律在具體的界定方式、概念的內(nèi)涵和外延上均存在區(qū)別。GDPR 第4 條規(guī)定個人信息為與任何已識別或可識別的自然人（“數(shù)據(jù)主體”）相關(guān)的信息，列舉了姓名、身份編號、地址數(shù)據(jù)、網(wǎng)上標(biāo)識等信息?！秱€人信息保護(hù)法》第4 條規(guī)定以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，無列舉。兩部法律都將所有可識別與已識別的自然人有關(guān)的個人信息納入了調(diào)整范圍，保護(hù)范圍廣，同時也都明確排除了匿名化信息。

1.敏感信息

GDPR 第9 條規(guī)定敏感信息為特殊類型數(shù)據(jù)?！秱€人信息保護(hù)法》第28 條、第29 條規(guī)定，敏感個人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身財產(chǎn)安全受到危害的個人信息［8］。兩部法律都用了列舉法，列舉的項目有較大差異，比如，GDPR 認(rèn)為種族和民族背景是敏感信息，我國把14 歲以下未成年人的信息列為了敏感信息。因為歷史和文化的差異，不同法域的法律對敏感信息的界定也是不一樣的，這就涉及到彼此如何尊重和包容的問題。

針對敏感個人信息的處理，GDPR 和中國《個人信息保護(hù)法》均采取了以禁止處理為原則，允許處理為例外的保護(hù)模式，也就是說需要積極同意［9］。GDPR 第9 條規(guī)定只有在數(shù)據(jù)主體明確同意，處理對于控制者履行責(zé)任以及行使其特定權(quán)利是必要的等情況下，才可以在采取合適與特定措施的前提下處理特殊類型個人數(shù)據(jù)。GDPR 第22 條第4 款還對利用特殊類型數(shù)據(jù)進(jìn)行自動化決策提出了要求，只有在數(shù)據(jù)主體明確同意或者處理對公共利益是必要的情況下，才能利用此類數(shù)據(jù)進(jìn)行對數(shù)據(jù)主體具有法律影響或類似嚴(yán)重影響的自動化決策。中國《個人信息保護(hù)法》也要求處理敏感個人信息必須具有特定的目的和充分的必要性，采取嚴(yán)格的措施，同時取得個人的單獨同意。重大體育賽事的舉辦要涉及到很多個人信息的采集，其中很多都是敏感信息，例如運動員的身體狀況信息。兩部法律加強(qiáng)了對敏感信息的保護(hù)力度，以積極同意為原則。

國內(nèi)現(xiàn)在很多公共場所都采用了人臉識別技術(shù)，我國《個人信息保護(hù)法》第27 條規(guī)定了收集圖像信息和個人身份特征信息的特別要求：在公共場所安裝此類設(shè)備應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識；收集的此類信息，除非取得個人的單獨同意，只能用于維護(hù)公共安全的目的，不得公開或者向他人提供。在GDPR 中，生物識別信息可被認(rèn)定為敏感信息，適用特殊類型個人數(shù)據(jù)更為嚴(yán)格的處理規(guī)則。

2.未成年人的個人信息

針對未成年人個人信息的處理，GDPR 和《個人信息保護(hù)法》都要求數(shù)據(jù)處理者必須獲得父母或其他監(jiān)護(hù)主體的授權(quán)，但兩部法律對授權(quán)的方式有細(xì)微的差異。兩部法律對未成年人的年齡定義也不一樣，GDPR 第8 條規(guī)定當(dāng)兒童年齡為不滿16 周歲（成員國可降低13周歲），《個人信息保護(hù)法》第31 條規(guī)定未成年人的年齡為不滿14 周歲。在賽事的舉辦過程中，需要兼顧和平衡體育組織所在國、參賽人員國籍國和賽事舉辦地所在國的要求。

3.特殊的信息類型（匿名化信息、假名化信息、去標(biāo)識化信息）

個人信息的定義與范圍的確定還涉及一類非常重要的概念：匿名化信息（Anonymous information）、假名化信息（Pseudonymisation information）和去標(biāo)識化信息（De-identified information）。GDPR 使用了匿名化和假名化的概念，匿名化和假名化是兩種不同的技術(shù)，區(qū)別在于數(shù)據(jù)是否可以被重新識別。匿名化要求該信息無法再識別到特定自然人，歐盟的WP29 工作組意見指出，真正的數(shù)據(jù)匿名化是一個極高的標(biāo)準(zhǔn)，數(shù)據(jù)控制者往往無法真正實現(xiàn)數(shù)據(jù)的匿名化③。GDPR 第4 條、引言第26 條規(guī)定了假名化信息是GDPR 的調(diào)整范圍。所謂假名化，是指一種處理個人信息的方式。經(jīng)假名化處理的信息，如不使用額外信息便不能將個人數(shù)據(jù)歸屬于某一特定信息主體。相較于未進(jìn)行假名化處理的個人數(shù)據(jù)，假名化信息適用更為寬松的處理規(guī)則?！秱€人信息保護(hù)法》第4 條、第73 條去標(biāo)識化信息是個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人［10］。中國《個人信息保護(hù)法》雖然區(qū)分了匿名化信息和去標(biāo)識化信息，但是針對去標(biāo)識化信息事項，并未規(guī)定特殊的處理規(guī)則。兩部法律都明確了匿名化信息不屬于受保護(hù)的個人信息。

（三）數(shù)據(jù)的跨境傳輸

GDPR 和《個人信息保護(hù)法》均構(gòu)建了個人信息跨境提供制度框架。GDPR 第45、46 和47 條從保障基本權(quán)利的角度出發(fā)，規(guī)定了允許個人數(shù)據(jù)轉(zhuǎn)移的兩種基本場景和八種例外情況。而中國《個人信息保護(hù)法》則主要從網(wǎng)絡(luò)安全和數(shù)據(jù)主權(quán)出發(fā)，規(guī)定了可以向境外提供個人信息的四種條件，以及特定情況下的數(shù)據(jù)本地化要求——關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。其具體標(biāo)準(zhǔn)的實施細(xì)則還有待于進(jìn)一步明確。

表2 GDPR 與《個人信息保護(hù)法》對數(shù)據(jù)跨境傳輸?shù)囊?guī)定

在重大國際體育賽事的舉辦過程中，數(shù)據(jù)跨境流動的情形很多。很多大型賽事的舉辦合同都設(shè)定了專門的章節(jié)以規(guī)范數(shù)據(jù)跨境傳輸，包含傳輸?shù)臄?shù)據(jù)類型和存儲方式、數(shù)據(jù)權(quán)益的歸屬和轉(zhuǎn)移期限等。賽事的舉辦合同中數(shù)據(jù)的約定越來越冗長和復(fù)雜。數(shù)據(jù)的任何約定都必須在現(xiàn)行法律的框架下，數(shù)據(jù)跨境傳輸要尊重雙邊和多邊國際規(guī)則，更要遵守我國對數(shù)據(jù)安全的規(guī)定，尊重我國的法治主權(quán)。

三、IOC、冬奧通和WADA的隱私政策比較

（一）三種隱私政策框架

表3 IOC、冬奧通和WADA 的隱私政策的框架④

2022 年冬奧會的應(yīng)用軟件冬奧通的隱私政策參考了IOC 的隱私政策，但更為全面和完善。北京冬奧奧組委充分細(xì)致地研究了GDPR 和我國法律的具體規(guī)定，使冬奧通的隱私政策符合GDPR 核心要求，兼顧了我們的國情，遵守了我國《個人信息保護(hù)法》的規(guī)定，滿足了我國對數(shù)據(jù)跨境轉(zhuǎn)移的要求。冬奧通的隱私政策是對IOC 隱私政策的繼承和發(fā)展，在尊重其他法域規(guī)定的同時，我們堅持了自己的法治主權(quán)和中國特色。

（二）三種隱私政策內(nèi)容解析

冬奧會冬奧通的隱私政策格式和框架吸收了歐盟的GDPR 的一些規(guī)定，其中部分條款在表述上也標(biāo)注出和GDPR 的相同用語。國際奧委會和冬奧會冬奧通的隱私政策在框架結(jié)構(gòu)上比較相近，而WADA 的隱私政策架構(gòu)則會明顯單薄一些。這一方面是因為冬奧會本身就是奧運會，在隱私政策上面與奧運會具有天然的聯(lián)系。另一方面是因為國際奧委會IOC的總部在瑞士洛桑，是GDPR 的適用范圍。我國的《個人信息保護(hù)法》和GDPR 具有很多相似之處。而WADA 的總部在加拿大蒙特利爾，當(dāng)下北美最具影響力的個人信息保護(hù)法是加州隱私法（CCPA&CPRA），這只是一個州法，目前北美還未有統(tǒng)一適用的隱私法?？梢?，《個人信息保護(hù)法》的施行使我國個人信息保護(hù)法治建設(shè)走在了世界前列。

四、冬奧會冬奧通隱私政策的特點

（一）適用范圍明確，定義明晰

冬奧會冬奧通的隱私政策載明其僅適用于冬奧通的使用過程，并列舉了具體適用的場景，北京奧組委的其他產(chǎn)品則適用其他的隱私政策，這明確了隱私政策的適用邊界。冬奧通的隱私政策專章對很多熟悉的名詞進(jìn)行了定義，例如：個人信息、個人信息的處理、個人信息的處理者、持卡注冊用戶、中國奧委會、中國奧委會轄區(qū)、未成年人、兒童、監(jiān)護(hù)人、國際奧委會、中國等，展現(xiàn)了非凡的嚴(yán)謹(jǐn)態(tài)度和精湛的專業(yè)水準(zhǔn)。

（二）操作步驟具體翔實

冬奧通的隱私政策并非簡單列舉法條和政策，更像是一部溫馨的指南，有詳細(xì)的操作步驟和翔實的說明，具有很強(qiáng)的可操作性和實用性。例如，在安裝下載項，隱私政策不僅有具體步驟說明，針對不同的系統(tǒng)（安卓Android、鴻蒙Harmony OS 和蘋果IOS）還分別給出了不同的提示，明確不同的手機(jī)系統(tǒng)需要獲取的具體權(quán)限，對所有品牌手機(jī)用戶都非常友好。

冬奧通根據(jù)不同的使用群體提供了差異化的服務(wù)內(nèi)容，分為持注冊卡用戶（例如奧委會官員、參賽人員等）和非注冊卡用戶（例如觀眾或者游客），同時區(qū)分了不同的應(yīng)用場景，例如即時通信、信息分享、打卡、餐飲、注冊信息、約車、健康監(jiān)測、行李查詢、海關(guān)申報和綠色健康碼等。冬奧通的隱私政策明確了在不同場景下信息收集的種類和目的，這是對IOC隱私政策的發(fā)展和完善。

（三）關(guān)于第三方機(jī)構(gòu)隱私政策披露的規(guī)定更為完善

IOC 的隱私政策列出了主要服務(wù)供應(yīng)商的名單，雖然也給出了聯(lián)系方式的鏈接，但并未明確具體的供應(yīng)商提供的服務(wù)類型，采集的信息種類等，而冬奧通的隱私政策則區(qū)分了具體的功能，包括這些功能適配的場景、針對不同功能需要的隱私信息，以及相關(guān)的服務(wù)商名單及服務(wù)商的隱私政策鏈接。

表4 冬奧通隱私政策的特色功能及對應(yīng)的隱私保障

冬奧會對個人信息的保護(hù)貫穿了整個賽事的舉辦過程，對主要的服務(wù)供應(yīng)商提出了明確要求實施了監(jiān)督，同時也用公開透明的態(tài)度向世界展示了中國充分尊重個人信息的國際形象。

（四）對未成年人的特殊保護(hù)更為全面和深入

IOC 的隱私政策僅對年齡限制做了寥寥幾句的規(guī)定，表述為：不會故意收集13 歲以下用戶的個人數(shù)據(jù)；除非服務(wù)條款另有規(guī)定，本服務(wù)適用于符合法定年齡的用戶，以便根據(jù)其居住國的法律進(jìn)行數(shù)據(jù)保護(hù)；您可以在這里了解更多有關(guān)我們年齡要求的信息，請詳見網(wǎng)站⑤。冬奧通隱私政策則是用專章規(guī)定了對未成年人個人信息的保護(hù)，包括未成年人的監(jiān)護(hù)人代理權(quán)、對兒童信息采取的特殊保護(hù)措施、適用的法律、兒童監(jiān)護(hù)人的查閱、復(fù)制、更正和刪除等其他權(quán)利。對于無法驗證用戶的真實年齡的情形，或者在中國奧委會轄區(qū)以外根據(jù)所在地法律被認(rèn)定為未成年人的情形，冬奧會提供郵箱等聯(lián)系方式，經(jīng)核實無誤后，按照未成年人的信息處理標(biāo)準(zhǔn)處理?？梢姸瑠W通隱私政策在未成年人個人信息保護(hù)上考慮得更為全面和周到，對不同法域的年齡認(rèn)定問題也給出了解決方案。冬奧通的隱私政策對未成年人信息保護(hù)的力度和廣度都是更高水平的。

冬奧通的隱私政策規(guī)定細(xì)致、場景多元、披露詳盡、信息完備，無不展現(xiàn)北京冬奧會對個人信息保護(hù)的重視。冬奧通的隱私政策不僅是北京冬奧會組委會法律人的工作成果，展現(xiàn)了他們卓越的專業(yè)意識和廣闊的國際視野，向世界展現(xiàn)了中國保護(hù)個人信息安全的國際形象，更是冬奧會的法治建設(shè)成果，值得重大國際賽事的承辦方研究和學(xué)習(xí)。北京冬奧會不僅讓全世界見識到了我國體育事業(yè)發(fā)展的蓬勃生機(jī)，也展現(xiàn)了我國體育法治建設(shè)的決心，為今后大型體育賽事的舉辦提供了一個樣板。

五、重大國際體育賽事舉辦過程中個人信息保護(hù)的完善

（一）制定和發(fā)布隱私政策

2022 年3 月16 日，在“法治冬奧的社會影響與大型賽會法律事務(wù)研究學(xué)術(shù)研討會”上，北京冬奧組委法律事務(wù)部法務(wù)審核處處長賀淑芳在主旨報告中講到冬奧會在個人信息保護(hù)方面的做法與創(chuàng)新探索，她在概括介紹冬奧會個人信息保護(hù)情況的基礎(chǔ)上，重點分享了對GDPR 的適用考量和處理，以及個人信息跨境傳輸?shù)墓ぷ鲗嵺`。為了在世界面前樹立我們充分尊重個人信息保護(hù)的國際形象，也為了規(guī)避可能面臨的法律風(fēng)險，本文認(rèn)為，后續(xù)重大國際賽事的舉辦可以參考冬奧會的實踐樣板和經(jīng)驗，建議對接國際標(biāo)準(zhǔn)，參考國際賽事的先進(jìn)做法，出臺自己的賽事隱私政策，做好數(shù)據(jù)合規(guī)和風(fēng)險管理。

對于GDPR 以及其他域外個人信息保護(hù)法律的適用問題，應(yīng)該充分考慮尊重我國的司法獨立和司法主權(quán)，參考冬奧會的經(jīng)驗，通過除外性原則的規(guī)定，在合同條款中盡量避免因GDPR 適用造成的法律責(zé)任不確定性，盡量采用吸收性規(guī)定，在合同條款中盡量避免GDPR的直接適用⑥。

（二）平衡不同法域的法律沖突

在中國舉辦重大國際賽事，毋庸置疑，必須首先遵守中國的法律法規(guī)。我國目前對個人信息的保護(hù)的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《刑法》和《消費者權(quán)益保護(hù)法等》等。在立法定位上，《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》是負(fù)責(zé)數(shù)據(jù)安全和網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)法［11］?？缇硵?shù)據(jù)轉(zhuǎn)移一定要遵守中國法律的具體的特殊規(guī)定，在符合國內(nèi)法的前提下，要考慮到具體賽事組織的所在國、以及部分運動員的國籍國在個人信息保護(hù)和數(shù)據(jù)安全方面的特殊規(guī)定，在維護(hù)法治主權(quán)的前提下，妥善處理法律沖突。

中國《個人信息保護(hù)法》和GDPR 具有很多的相似性，體現(xiàn)了大陸法系體系全面、制度健全的特點。兩部法律都以“個人”為中心，將個人權(quán)利居于核心位置，不區(qū)分規(guī)模大小和服務(wù)性質(zhì)，從公共領(lǐng)域到私營領(lǐng)域，從中小企業(yè)到跨國公司甚至是個人，只要涉及收集處理個人數(shù)據(jù)均受規(guī)制，遵守相同的高標(biāo)準(zhǔn)合規(guī)要求。因此，體育賽事隱私政策的制定可以參照《個人信息保護(hù)法》和GDPR 的具體要求，也可以借鑒IOC 和冬奧通的隱私政策，在這些優(yōu)秀經(jīng)驗的基礎(chǔ)上進(jìn)一步完善和發(fā)展。

（三）加強(qiáng)對個人信息的保護(hù)

不同的法律針對個人信息保護(hù)有不同的規(guī)定。例如：GDPR 認(rèn)為任何可以與一個可識別的自然人相關(guān)聯(lián)的信息，都應(yīng)當(dāng)被視為是個人信息；我的《民法典》第1340 條第2 款規(guī)定個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息；《網(wǎng)絡(luò)安全法》第76 條規(guī)定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。不同法律的表述有差異，毋庸置疑，個人信息的內(nèi)涵非常豐富，外延也是很廣闊的。判定某項信息是否是個人信息，可以考慮兩條路徑：一是識別、二是關(guān)聯(lián)。反向看，對個人信息的保護(hù)路徑就是：不可識別和切斷關(guān)聯(lián)。

匿名化信息無法關(guān)聯(lián)到具體個人，不具有關(guān)聯(lián)性，因此，GDPR 和《個人信息保護(hù)法》的適用范圍都排除了匿名化的信息。因此，重大賽事的舉辦應(yīng)該提前明確個人信息的權(quán)益歸屬，做好權(quán)責(zé)明晰。個人信息的處理要做到目的明確合理、權(quán)益影響最小、禁止過度收集、公開透明、信息質(zhì)量。不需要長期保存的信息，應(yīng)該明確刪除規(guī)則，完成使用目應(yīng)予以刪除。確需存儲的信息要具體分析，如果將來使用目的不僅是用于統(tǒng)計學(xué)或者社會學(xué)分析，不需要關(guān)聯(lián)到個人，那就可以對信息做匿名化處理，保留最小的信息元素，讓信息在實現(xiàn)其他價值的同時，不侵犯其他個人的合法權(quán)益。

當(dāng)前社會各種信息泛濫，個人信息內(nèi)涵豐富、邊界模糊，面對大量的信息，要做好對個人信息的保護(hù)工作，我們必須對個人信息進(jìn)行分類分級管理，提供差異化的保護(hù)措施。例如，GDPR 和《個人信息保護(hù)法》都專章提到敏感信息，雖然不同法域?qū)γ舾行畔⒂胁煌慕缍ǎ?2］，但大部分現(xiàn)存的法律對敏感信息均采取了以禁止處理為原則、允許處理為例外的保護(hù)模式。只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者方可處理敏感個人信息。例如，針對未成年人個人信息的處理，不同國家對兒童年齡的定義和兒童監(jiān)督權(quán)的主體等都存在差異，GDPR 和中國《個人信息保護(hù)法》都對未成年人的個人信息提升了保護(hù)要求。因此，在重大賽事的舉辦過程中，舉辦方需要對數(shù)據(jù)進(jìn)行分類分級的管理。確保一些特殊信息（例如敏感個人信息和未成年人信息等）得到更高標(biāo)準(zhǔn)的保護(hù)。如果有需要，也可以對這些特殊信息進(jìn)行專章規(guī)定。

（四）管理合作伙伴

當(dāng)今的管理工作往往具有很強(qiáng)的協(xié)作性，許多活動的組織實施，少數(shù)幾個團(tuán)體難以完成，需要多方的協(xié)調(diào)合作，重大國際體育賽事的舉辦更是如此。重大國際體育賽事的舉辦方自身不僅對個人信息保護(hù)要有高標(biāo)準(zhǔn)和強(qiáng)意識，對供應(yīng)商、服務(wù)商、媒體記者、志愿者等其他賽事參與主體也要加強(qiáng)培訓(xùn)，打通上下游，對個人信息的保護(hù)形成一個全鏈條。重大賽事的舉辦方不僅是個人信息保護(hù)的遵守者，更應(yīng)該是個人信息保護(hù)的倡導(dǎo)者和捍衛(wèi)者。

六、結(jié)語

《個人信息保護(hù)法》對接了國際個人信息保護(hù)通用原則，同時也體現(xiàn)了中國作為發(fā)展中國家的國情特色。它全面彰顯了我國政府在數(shù)字時代的法治理念和“以人為本”的決心。通過《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《刑法》等構(gòu)建的法律體系，我們國家在個人信息法律保護(hù)方面走在了世界前列。

北京冬奧會和冬殘奧會如期、安全、順利舉辦，離不開法治的保障和貢獻(xiàn)。作為冬奧遺產(chǎn)的重要組成部分，法治冬奧留下了豐厚的遺產(chǎn)，個人信息保護(hù)的實踐與探索卓有成效，期待同仁進(jìn)一步挖掘和研究。這些寶貴的法治資源，也將助力今后重大國際賽事的舉辦，助力中國特色社會主義法治建設(shè)。

注釋：

①根據(jù)中研產(chǎn)業(yè)研究院報告《2021—2026 年中國體育賽事行業(yè)市場前景預(yù)測及投融資戰(zhàn)略咨詢報告》進(jìn)行的分析。檢索網(wǎng)址https：//www.chinairn.com/report/20210224/103907803.html。

②2018年2月，國際奧委會在2014年通過的《2020年奧林匹克議程》的基礎(chǔ)上發(fā)布了《辦奧新規(guī)范》（Olympic Games：the New Norm），隨后發(fā)布最新版的合同原則（Host City Contract-Principle）與操作要求（Host City Contract-Operational Requirements）以反映新規(guī)范帶來的變化，其中包括新增的個人信息保護(hù)要求與數(shù)據(jù)保護(hù)合規(guī)要求。檢索網(wǎng)址https：//olympics.com/ioc/sustainability/ioc-as-owner-of-the-olympic-games。

③歐盟WP29工作組在歐盟第29條數(shù)據(jù)保護(hù)工作組第05/2014號意見書《匿名化技術(shù)》（EU WP 29 ：Opinion 05/2014 on Anonymisation Techniques）中對匿名化信息提出了不可復(fù)原的要求。檢索網(wǎng)址https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf。

④這些條款來自于國際奧組委的的隱私政策（檢索網(wǎng)址https：//olympics.com/en/privacy-policy）、冬奧通的隱私政策、世界反興奮劑機(jī)構(gòu)的隱私政策（檢索網(wǎng)址https：//www.wada-ama.org/en/privacy-policy）。

⑤國際奧組委隱私政策中對年齡限制的規(guī)定。檢索網(wǎng)址https：//olympics.com/en/privacy-policy 3.Age limitation。

⑥2022 年3 月16 日舉辦的法治冬奧的社會影響與大型賽會法律事務(wù)研究學(xué)術(shù)研討會的發(fā)言內(nèi)容，題為“法治冬奧的社會影響與大型賽會法律事務(wù)研究學(xué)術(shù)研討會會議綜述”。檢索網(wǎng)址https：//mp.weixin.qq.com/s/VD4Qd9RTKUMgBNOo2KEA4w。