國際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用問題研究
——以北京冬奧會數(shù)據(jù)跨境傳輸為視角

肖冬梅 蘇 瑩

當(dāng)前，各主權(quán)國家（地區(qū)）爭相制定數(shù)據(jù)治理規(guī)則，對數(shù)據(jù)的產(chǎn)生、收集、存儲、流動等活動進(jìn)行規(guī)范，其目的在于更好地保護(hù)其國民權(quán)益和數(shù)據(jù)主權(quán)，并取得數(shù)字經(jīng)濟(jì)發(fā)展的競爭優(yōu)勢。但數(shù)據(jù)跨境自由流動和安全流動一直是數(shù)據(jù)治理規(guī)則構(gòu)建中不可回避的一對矛盾。雖然從1980年起，經(jīng)濟(jì)合作與發(fā)展組織《隱私保護(hù)和個人數(shù)據(jù)跨境流動指南》就將“數(shù)據(jù)跨境流動”納入法律議題，但進(jìn)展緩慢，從20世紀(jì)80年代到2013年，能滿足各國破除貿(mào)易壁壘需求的“數(shù)據(jù)自由流動”主張一直占據(jù)主流，直至2013年“斯諾登事件”引發(fā)全球范圍內(nèi)的“數(shù)據(jù)本地化”立法運(yùn)動，60個國家實(shí)施了數(shù)據(jù)本地化法律①“數(shù)據(jù)本地化（data localization）”是主權(quán)國家進(jìn)行數(shù)據(jù)管控的一種方式，要求數(shù)據(jù)控制者將在一國收集的數(shù)據(jù)（個人信息和非個人信息）存儲在境內(nèi)，經(jīng)審查方可跨境傳輸。。近年來，隨著數(shù)據(jù)跨境流動日益頻繁，單純的數(shù)據(jù)“本地化存儲”局限凸顯，擴(kuò)張國家管轄權(quán)、對跨境數(shù)據(jù)進(jìn)行“域外管轄”成為不少發(fā)達(dá)經(jīng)濟(jì)體的選擇。在國際法上，域外管轄并不是一類獨(dú)立的管轄權(quán)，可以理解為一國在其境外行使主權(quán)權(quán)力或權(quán)威［1］（P169）。典型的有2016年歐盟頒布《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR），其“影響主義原則”將數(shù)據(jù)保護(hù)監(jiān)管擴(kuò)展到歐盟境外②GDPR第3條基于傳統(tǒng)屬人管轄和屬地管轄的連接點(diǎn)，從數(shù)據(jù)處理行為的效果入手，將歐盟境內(nèi)機(jī)構(gòu)境外處理個人數(shù)據(jù)的行為和歐盟境外機(jī)構(gòu)處理歐盟境內(nèi)個人數(shù)據(jù)的行為納入管轄。；2018年美國《云法案》（The Clarifying Lawful Overseas Use of Data Act，簡稱The CLOUD Act）通過長臂管轄原則擴(kuò)張了管轄范圍。為確保對本國數(shù)據(jù)的控制、管理與利用，我國自2016年以來相繼頒布《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法律，構(gòu)建了較為嚴(yán)密的數(shù)據(jù)限制性流動規(guī)則體系。基于以上國際數(shù)據(jù)跨境傳輸?shù)默F(xiàn)狀，本文將結(jié)合北京冬奧會數(shù)據(jù)跨境傳輸?shù)陌咐?，探討國際數(shù)據(jù)跨境傳輸規(guī)則適用難題的可選路徑。

一、問題的提出

舉辦國際體育賽事涉及境外參賽者數(shù)據(jù)的流入和賽事期間在境內(nèi)產(chǎn)生大量數(shù)據(jù)的流出問題。大型國際體育賽事尤其是冬奧會這樣的賽事因其規(guī)模大、項(xiàng)目廣、參與人數(shù)眾多，且涉及市場化運(yùn)作［2］（P26-28），須收集境外眾多參賽者的個人數(shù)據(jù)；境外參賽者亦會在我國境內(nèi)產(chǎn)生大量數(shù)據(jù)。大量數(shù)據(jù)的跨境傳輸，不管是流入或流出，都受相關(guān)主權(quán)國家（地區(qū)）有關(guān)數(shù)據(jù)跨境傳輸規(guī)則的規(guī)制。由于歐盟通過GDPR確立了域外管轄規(guī)則，我國構(gòu)建了數(shù)據(jù)限制性流動規(guī)則，使得北京冬奧會組委會不管是賽前從境外收集數(shù)據(jù)，還是賽后按要求將數(shù)據(jù)轉(zhuǎn)移至國際奧委會，都存在難以回避的規(guī)則適用難題與合規(guī)風(fēng)險。

（一）收集境外參賽者個人數(shù)據(jù)的合規(guī)風(fēng)險

我國作為賽事承辦方，一方面，為組織、協(xié)調(diào)、參與賽事籌備和舉辦活動，北京冬奧會和冬殘奧會組織委員會（以下簡稱北京奧組委）等相關(guān)主體必須收集境外參賽者個人數(shù)據(jù)。根據(jù)《奧林匹克憲章》第41條①《奧林匹克憲章》第41條“參賽資格條例”規(guī)定：運(yùn)動員、教練員、訓(xùn)練員或其他隨隊(duì)官員要想具備參加奧林匹克運(yùn)動會的資格，必須遵守《奧林匹克憲章》以及經(jīng)國際奧委會批準(zhǔn)的相關(guān)國際單項(xiàng)體育聯(lián)合會的規(guī)則，并且由其國家奧委會報名。的規(guī)定：“運(yùn)動員、教練員、訓(xùn)練員或隨行官員等參加冬奧會的資格必須由所在國國家奧委會報名。”而依據(jù)該憲章第44條，冬奧會舉辦的邀請和報名具體程序?yàn)椤霸诙瑠W會開幕前，國際奧委會將參加冬奧會的邀請發(fā)給所有國家奧委會，所有的國家奧委會根據(jù)國家單項(xiàng)體育協(xié)會推薦的名單為運(yùn)動員報名②《奧林匹克憲章》第44條“邀請及報名”第1款規(guī)定：參加奧林匹克運(yùn)動會的邀請應(yīng)由國際奧委會于開幕式前一年發(fā)送給所有國家奧委會；第3款規(guī)定：國家奧委會只能根據(jù)國家單項(xiàng)體育協(xié)會推薦的名單為運(yùn)動員報名。如果國家奧委會予以批準(zhǔn)，應(yīng)將該報名名單報送奧運(yùn)會組委會。奧運(yùn)會組委會收到后必須予以確認(rèn)。國家奧委會必須審查各國家單項(xiàng)體育協(xié)會推薦的報名名單的有效性。，并按國際奧委會的規(guī)定向北京奧組委提交?！雹邸秺W林匹克憲章》第44條“邀請及報名”規(guī)則的細(xì)則第3款規(guī)定：所有報名必須按國際奧委會的規(guī)定提交。可見，通過冬奧會運(yùn)動員注冊與報名程序，參加冬奧會的運(yùn)動員、教練、隨行官員的個人數(shù)據(jù)，還有境外觀眾購票所提交的個人數(shù)據(jù)以及境外媒體記者入境采訪報道所提交事先審核的個人信息等，不得不從其所在國傳輸至我國境內(nèi)。另一方面，以歐盟為代表的國家與地區(qū)嚴(yán)格限制個人數(shù)據(jù)跨境傳輸，從境外收集舉辦國際體育賽事相關(guān)的必要數(shù)據(jù)遭遇制度壁壘。因?yàn)楦鶕?jù)GDPR的規(guī)定，如果歐盟委員會沒有認(rèn)定數(shù)據(jù)傳輸?shù)哪康牡氐谌龂哂信c歐盟相當(dāng)?shù)臄?shù)據(jù)保護(hù)水平（即未達(dá)到“充分性保護(hù)水平”），歐盟個人數(shù)據(jù)的跨境傳輸應(yīng)當(dāng)以GDPR第46條中的數(shù)據(jù)傳輸工具（包括標(biāo)準(zhǔn)合同、約束性企業(yè)規(guī)則、行業(yè)準(zhǔn)則）為基礎(chǔ)。由于中國不是歐盟認(rèn)定的充分性保護(hù)水平國家，那么作為賽事舉辦者收集來自歐盟的運(yùn)動員、裁判、觀賽人員等主體的個人數(shù)據(jù)，不能直接適用GDPR有關(guān)“充分性保護(hù)水平”的規(guī)定。若不采用合適的數(shù)據(jù)傳輸工具就直接收集境外歐盟參賽者個人數(shù)據(jù)，面臨合規(guī)風(fēng)險，但若采用數(shù)據(jù)傳輸工具則有削足適履之嫌。

（二）賽后將賽事數(shù)據(jù)向境外轉(zhuǎn)移的合規(guī)風(fēng)險

依據(jù)北京奧組委與國際奧委會訂立的《2022年第24屆冬奧會主辦城市合同》（以下簡稱《主辦城市合同》），北京2022年冬奧會舉辦所產(chǎn)生的相關(guān)數(shù)據(jù)獨(dú)屬于國際奧委會所有，國際奧委會要求冬奧會結(jié)束之后北京奧組委將所有相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部?？梢姡本W組委作為受委托方僅在合同的權(quán)限范圍內(nèi)為舉辦冬奧會收集、處理相關(guān)數(shù)據(jù)，須在冬奧會結(jié)束之后將所有北京2022冬奧會相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部。另一方面，北京奧組委若依約進(jìn)行數(shù)據(jù)跨境傳輸，將面臨合規(guī)風(fēng)險。北京奧組委將冬奧會相關(guān)數(shù)據(jù)轉(zhuǎn)移至國家奧委會需滿足我國的數(shù)據(jù)出境傳輸規(guī)則。我國《網(wǎng)絡(luò)安全法》確定了我國關(guān)鍵信息基礎(chǔ)設(shè)施收集和產(chǎn)生的個人信息以及重要數(shù)據(jù)的本地化存儲原則；《數(shù)據(jù)安全法》進(jìn)一步明確重要數(shù)據(jù)的出境安全管理、主管機(jī)關(guān)批準(zhǔn)、法律責(zé)任承擔(dān)等多方面的規(guī)定，嚴(yán)格限制重要數(shù)據(jù)出境；《個人信息保護(hù)法》規(guī)定了個人信息出境的合規(guī)要求，列明允許及禁止個人信息出境的情形，明確安全評估等個人信息出境程序，在本地化存儲一般性原則的基礎(chǔ)上提供個人信息保護(hù)認(rèn)證與境外簽訂合同等跨境傳輸辦法。據(jù)此，北京奧組委為履行《主辦城市合同》，需要通過國家網(wǎng)信部門的安全評估或者經(jīng)由其他合法正當(dāng)途徑才可以向境外傳輸數(shù)據(jù)。否則，向境外轉(zhuǎn)移賽事數(shù)據(jù)將面臨合規(guī)風(fēng)險。

可見，我國作為冬奧會的承辦方，從歐盟境內(nèi)收集參賽者或消費(fèi)者的個人數(shù)據(jù)，需要遵守GDPR對個人數(shù)據(jù)跨境傳輸至第三國的規(guī)定，雖然可以選擇簽訂符合GDPR有關(guān)個人數(shù)據(jù)跨境傳輸規(guī)則的標(biāo)準(zhǔn)化合同，但此舉不僅是削足以適履，且承辦方的合規(guī)成本不菲；賽后北京奧組委悉數(shù)將冬奧會舉辦所產(chǎn)生的相關(guān)數(shù)據(jù)從中國境內(nèi)轉(zhuǎn)移至國際奧委會，履行《主辦城市合同》義務(wù)，勢必與我國數(shù)據(jù)本地化存儲的一般性原則相沖突，這種妥協(xié)事實(shí)上是對我國數(shù)據(jù)主權(quán)的讓渡。本文將以北京冬奧會數(shù)據(jù)跨境傳輸這一具體場景為視角，剖析國際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用難題及其解決路徑。

二、收集境外歐盟個人數(shù)據(jù)的有關(guān)規(guī)則及其適用問題

我國作為冬奧會等國際體育賽事的承辦方，從歐盟境內(nèi)收集參賽者或觀眾的個人數(shù)據(jù)，合規(guī)依據(jù)主要是歐盟通過GDPR明確的個人數(shù)據(jù)跨境傳輸至第三國的有關(guān)規(guī)定。

（一）歐盟個人數(shù)據(jù)跨境傳輸至第三國的有關(guān)規(guī)定

依據(jù)GDPR的規(guī)定，歐盟的個人數(shù)據(jù)跨境傳輸至第三國的可選路徑①《95指令》（Directive 95/46/EC）構(gòu)建了歐盟數(shù)據(jù)跨境傳輸整體框架，且一直延續(xù)至今。《95指令》第25條第1款設(shè)立了個人數(shù)據(jù)跨境傳輸?shù)摹俺浞直Ｗo(hù)水平”（adequacy level of protection）一般性原則，禁止將個人數(shù)據(jù)傳輸?shù)降谌龂W洲經(jīng)濟(jì)區(qū)以外的國家或地區(qū)），除非該第三國為處理個人數(shù)據(jù)的數(shù)據(jù)主體的權(quán)利和自由提供了充分的保護(hù)。若第三國采取了適當(dāng)?shù)谋Ｕ洗胧ˋppropriate Safeguards），也可進(jìn)行個人數(shù)據(jù)跨境傳輸。除此之外，還可能適用特定例外情形。2015年10月6號，歐盟法院針對Schrems案（C-362/14）作出判決，將充分性保護(hù)決定考量的“充分保護(hù)水平”（adequacy level of protection）確切為“實(shí)質(zhì)性等同”（essentially equivalent）水平。2016年4月14日，歐盟議會通過GDPR，延續(xù)了《95指令》中關(guān)于數(shù)據(jù)跨境傳輸?shù)南嚓P(guān)規(guī)定。包含：“獲得充分保護(hù)水平認(rèn)定”或“提供適當(dāng)保護(hù)措施”或“適用可行例外”?？缇硞鬏攤€人數(shù)據(jù)時應(yīng)依次適用這三條路徑，即首先考量個人數(shù)據(jù)接收國是否達(dá)到充分保護(hù)水平，其次考量其是否提供適當(dāng)保障措施，最后考量傳輸是否屬于例外情形。

1.獲得充分保護(hù)水平認(rèn)定

依據(jù)GDPR第45條，當(dāng)歐盟委員會認(rèn)定第三國或者特定部分或國際組織等的數(shù)據(jù)保護(hù)水平與歐盟實(shí)質(zhì)性等同時，向相關(guān)國家或組織的傳輸被視同為在歐盟內(nèi)部進(jìn)行。由此，來自歐盟的個人數(shù)據(jù)可自由跨境流動②GDPR第44條規(guī)定，個人數(shù)據(jù)轉(zhuǎn)移不僅包括從歐盟境內(nèi)向境外轉(zhuǎn)移個人數(shù)據(jù)的情形，還包括個人數(shù)據(jù)從第三國或者國際組織轉(zhuǎn)移至另外的第三國或者國際組織。。歐盟委員會進(jìn)行充分保護(hù)水平評估時的考量因素③依據(jù)GDPR第45條，委員會在評估時必須考慮：特定的第三國或國際組織是否尊重法治，保護(hù)人權(quán)及基本自由，以及相關(guān)立法是否涉及公共安全、國防和國家安全以及公共秩序與刑法；第三國或者國際組織是否確保對個人權(quán)利的行政和司法補(bǔ)救以及具備有效運(yùn)行的獨(dú)立監(jiān)管機(jī)構(gòu)；除所作的國際承諾外，第三國或者國際組織是否參與諸如“108號公約”的多邊或區(qū)域協(xié)定，而擔(dān)負(fù)個人數(shù)據(jù)保護(hù)相關(guān)義務(wù)。包括相關(guān)國家是否尊重法治與保護(hù)人權(quán)，相關(guān)立法是否涉及公共安全、國防和國家安全等。目前，包含新西蘭、澳大利亞、韓國在內(nèi)的13個國家獲得了充分性保護(hù)水平認(rèn)定④迄今為止，歐盟委員會已經(jīng)認(rèn)定安道爾、阿根廷、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國和烏拉圭為充分性保護(hù)國家（歐盟委員會充分性保護(hù)決定）。。此外，歐盟委員會的充分保護(hù)水平認(rèn)定也可針對部分或特定部門作出，如金融服務(wù)或者IT部門等。目前，加拿大的商業(yè)組織獲得了充分性保護(hù)水平認(rèn)定⑤其中涉及加拿大的決定是“部分”充分的，僅適用于加拿大《個人信息保護(hù)和電子文件法》（Personal Information Protection and Electronic Documents Act，PIPEDA）所覆蓋的企業(yè)。。

然而，我國并不在上述白名單之中，因此北京奧組委無法通過充分性保護(hù)認(rèn)定這一路徑來收集境外歐盟公民的個人數(shù)據(jù)。加之歐盟委員會自由裁量權(quán)過大且充分性保護(hù)認(rèn)定呈“動態(tài)化”，尤其是認(rèn)定標(biāo)準(zhǔn)往往與政治因素關(guān)聯(lián)甚密［3］，故歐盟委員會很難在評判第三國或者國際組織保持中立及客觀，通過充分性保護(hù)認(rèn)定這一路徑收集境外歐盟公民的個人數(shù)據(jù)，在短期內(nèi)難以實(shí)現(xiàn)。此外，即便獲得充分性保護(hù)水平認(rèn)定，也并非一勞永逸，依據(jù)GDPR第46條第3款的規(guī)定①GDPR文本包含99個條文以及173個獨(dú)奏會（Recitals）條款，獨(dú)奏會條款本身并不具有嚴(yán)格的法律約束力，但對于GDPR的理解與適用至關(guān)重要。第107條獨(dú)奏會闡述了充分性決定可適當(dāng)修改、撤銷和暫停。依據(jù)第106條獨(dú)奏會，歐盟委員會應(yīng)監(jiān)測和定期審查充分性決定國家或組織的數(shù)據(jù)保護(hù)水平。，歐盟委員會作出的充分性保護(hù)認(rèn)定決定之后，仍將依據(jù)至少每四年一次的定期審核機(jī)制繼續(xù)監(jiān)督充分性保護(hù)實(shí)踐。如有必要，歐盟委員會可以選擇廢除、修訂、暫停相關(guān)的充分性保護(hù)決定。歐盟在充分性認(rèn)定上擁有過大的自由裁量權(quán)，加之以常態(tài)化的監(jiān)管機(jī)制，即便是符合充分性認(rèn)定要件的第三國或國際組織，仍不得不承受不菲的合規(guī)成本。

2.提供適當(dāng)?shù)谋Ｗo(hù)措施

依據(jù)GDPR第46條，在缺乏充分性保護(hù)認(rèn)定時，數(shù)據(jù)控制者或數(shù)據(jù)處理者仍可通過采取適當(dāng)?shù)谋Ｗo(hù)措施跨境傳輸個人數(shù)據(jù)②GDPR第46條第2款、第3款規(guī)定了的八種適當(dāng)保護(hù)措施類型：歐盟委員會采用的“標(biāo)準(zhǔn)合同條款”（Standard Contractual Clauses，以下簡稱SCCs），相關(guān)監(jiān)管機(jī)構(gòu)批準(zhǔn)的“約束性企業(yè)規(guī)則”（Binding Corporate Rules，以下簡稱BCRs），經(jīng)歐盟數(shù)據(jù)保護(hù)委員會認(rèn)定或者經(jīng)歐盟委員會確認(rèn)效力的“行為準(zhǔn)則”（Code of Conduct），監(jiān)管機(jī)構(gòu)單獨(dú)授權(quán)的“合同條款”（ad hoc Contractual Clauses），認(rèn)證機(jī)制（certification mechanisms）等。當(dāng)前，多數(shù)適當(dāng)保護(hù)措施方案仍未有效實(shí)施。。其中，基于合同義務(wù)的標(biāo)準(zhǔn)合同條款、基于行為標(biāo)準(zhǔn)的約束性企業(yè)規(guī)則為非充分性保護(hù)水平國家或國際組織跨境傳輸歐盟個人數(shù)據(jù)的主要途徑。行業(yè)適用的行為準(zhǔn)則雖暫未實(shí)施，基于其鮮明的行業(yè)特色，值得關(guān)注。

第一，基于合同義務(wù)的標(biāo)準(zhǔn)合同條款。歐盟委員會提供覆蓋歐盟個人數(shù)據(jù)保護(hù)規(guī)定的《標(biāo)準(zhǔn)合同條款》（Standard Contractual Clauses，簡稱SCCs），認(rèn)可簽訂該標(biāo)準(zhǔn)合同條款能夠確保個人數(shù)據(jù)得到充分保護(hù)。舊版SCCs依據(jù)《95指令》第26條第4款而設(shè)定，包含數(shù)據(jù)控制者之間及數(shù)據(jù)控制者與數(shù)據(jù)處理者之間③歐盟委員會通過2001/497/EC決定首次引入數(shù)據(jù)控制者之間的SCCs，隨后在2004年12月27日通過2004/915/EC決定進(jìn)行細(xì)節(jié)性的修訂。歐盟委員會通過2010/87/EU決定，增加數(shù)據(jù)控制者與數(shù)據(jù)處理者之間的SCCs類型。的兩種類型。為涵蓋GDPR對個人數(shù)據(jù)保護(hù)的新要求，適用數(shù)字經(jīng)濟(jì)的發(fā)展，歐盟委員在2021年6月4日通過新版本的SCCs，舊版本SCCs留有18個月適用寬限期④歐盟委員會于2021年6月4日在最終實(shí)施決定中公布新SCCs。新SCCs將廢除和取代現(xiàn)有的SCCs，并規(guī)定了從生效日期起的18個月過渡期。新舊版本交替期間，舊版本SCCs有效期間最多持續(xù)到2022年12月27日。。新版本SCCs包含C2C、C2P、P2P、P2C四種類型（前者位于歐盟經(jīng)濟(jì)區(qū)內(nèi)）。不同類型的SCCs在保密性、數(shù)據(jù)處理安全性、第三方限制性轉(zhuǎn)移方面類似，在數(shù)據(jù)處理權(quán)限以及處理后數(shù)據(jù)的刪除或者返還等方面存在差別。無疑，SCCs是確保個人數(shù)據(jù)合法、安全跨境傳輸?shù)倪m當(dāng)保護(hù)措施的實(shí)用途徑。隨著歐美之間“隱私盾”失效，新版本的SCCs將愈發(fā)成為個人數(shù)據(jù)跨境傳輸?shù)闹匾窂健?/p>

當(dāng)前，歐盟要求在簽訂SCCs的基礎(chǔ)上，還應(yīng)提供補(bǔ)充措施。SCCs作為數(shù)據(jù)跨境流動方式的有效性，在2020年7月的Schrems II案（C-311/18）中得到歐盟法院確認(rèn)。但歐盟法院提出，第46條第2款中轉(zhuǎn)移工具為合同性質(zhì)，當(dāng)事人之間的承諾不能約束第三國當(dāng)局，簽訂SCCs之外還需要采取額外的補(bǔ)充措施［4］。同年11月，歐盟數(shù)據(jù)保護(hù)委員會（European Data Protection Board，簡稱EDPB）發(fā)布《關(guān)于數(shù)據(jù)跨境傳輸工具的補(bǔ)充措施建議以確保個人數(shù)據(jù)保護(hù)遵循歐盟水平01/2020》，附件2部分列明了補(bǔ)充措施的非詳盡清單，涉及簽定補(bǔ)充合同、采取技術(shù)措施，完善組織措施等。可見，對于舉辦國際體育賽事所面臨的歐盟個人數(shù)據(jù)收集障礙，可通過由舉辦方簽署SCCs的方式化解。北京冬奧組簽訂SCCs之后，基于合同法上的義務(wù)充分保護(hù)歐盟公民的個人數(shù)據(jù)。但根據(jù)Schrems II案，僅簽訂SCCs是不夠的，舉辦方還應(yīng)該簽訂補(bǔ)充合同、采用技術(shù)措施等。

第二，基于行為標(biāo)準(zhǔn)的約束性企業(yè)規(guī)則。對于在歐盟境內(nèi)有關(guān)聯(lián)公司的企業(yè)集團(tuán)或者從事聯(lián)合經(jīng)濟(jì)活動的企業(yè)團(tuán)體⑤依據(jù)第106條獨(dú)奏會，參與共同經(jīng)濟(jì)活動的企業(yè)應(yīng)涵蓋一個控制性企業(yè)及其受控企業(yè)，其中控制性企業(yè)應(yīng)是能夠?qū)ζ渌髽I(yè)施加支配性影響的企業(yè)，例如所有權(quán)、財務(wù)參與或管理它的規(guī)則或?qū)嵤﹤€人數(shù)據(jù)保護(hù)規(guī)則的權(quán)力。控制性企業(yè)及其受控企業(yè)一起視為一個企業(yè)集團(tuán)。，可通過實(shí)施約束性企業(yè)規(guī)則（Binding Corporate Rules，簡稱BCRs）將個人數(shù)據(jù)從歐盟境內(nèi)跨境傳輸至境外的同一企業(yè)集團(tuán)或團(tuán)體。BCRs最早源于《95指令》中關(guān)于數(shù)據(jù)跨境傳輸中的“行為準(zhǔn)則”標(biāo)準(zhǔn)。依據(jù)GDPR第47條，BCRs具有法律約束力，包括個人數(shù)據(jù)的一般保護(hù)原則及權(quán)利，在企業(yè)集團(tuán)或團(tuán)體成員中強(qiáng)制執(zhí)行，以確保為數(shù)據(jù)傳輸提供適當(dāng)?shù)谋Ｗo(hù)。BCRs由企業(yè)集團(tuán)或團(tuán)體向數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)提交，監(jiān)管機(jī)構(gòu)在聽取歐洲數(shù)據(jù)保護(hù)委員會的相關(guān)意見之后，決定是否予以批準(zhǔn)①相關(guān)主管監(jiān)管部門在初步審核之后將決定草案轉(zhuǎn)達(dá)給歐盟數(shù)據(jù)保護(hù)委員會，后者將就經(jīng)過初步審核的BCRs發(fā)表意見。最后，相關(guān)監(jiān)管機(jī)構(gòu)依據(jù)上述意見最終確定BCRs，再予以批準(zhǔn)。依據(jù)GDPR第45條第1款到第3款，為了使對企業(yè)集團(tuán)或者企業(yè)團(tuán)體具有法律約束力，BCRs必須：指出數(shù)據(jù)傳輸?shù)哪康暮陀嘘P(guān)的數(shù)據(jù)類別，考慮GDPR規(guī)定的要求，確認(rèn)由歐盟主導(dǎo)的數(shù)據(jù)出口商代表整個集團(tuán)承擔(dān)責(zé)任，解釋投訴程序，提供確保合規(guī)性的機(jī)制（例如審查）。BCRs依據(jù)主體的不同，分為數(shù)據(jù)控制者BCRs與數(shù)據(jù)處理者BCRs兩種不同類型。。若企業(yè)集團(tuán)或團(tuán)體在歐盟境內(nèi)多個國家營業(yè)，其BCRs需要通過多個監(jiān)管機(jī)構(gòu)的審核。目前，多家知名跨國公司已獲得BCRs認(rèn)可［5］。

我國也可利用BCRs收集國際體育賽事所需歐盟個人數(shù)據(jù)，但操作空間有限。一是BCRs途徑合規(guī)成本較高。BCRs在內(nèi)容上必須包括所有一般數(shù)據(jù)保護(hù)原則和可執(zhí)行權(quán)利，其批準(zhǔn)流程相當(dāng)煩瑣，必須先后通過相關(guān)監(jiān)管機(jī)構(gòu)與歐洲數(shù)據(jù)保護(hù)委員會審核。尤其企業(yè)集團(tuán)或者企業(yè)團(tuán)體在歐盟境內(nèi)多個國家擁有企業(yè)時，BCRs的審核還涉及多個監(jiān)管機(jī)構(gòu)。二是BCRs不能完全解決數(shù)據(jù)跨境傳輸?shù)淖璧K。因?yàn)锽CRs嚴(yán)格限制在企業(yè)集團(tuán)內(nèi)部使用，而國際體育賽事涉及項(xiàng)目廣、參與人數(shù)眾多且通常伴隨市場化運(yùn)作，這意味著無法利用BCRs向供應(yīng)商、客戶、分銷商或服務(wù)提供商等非內(nèi)部組織進(jìn)行數(shù)據(jù)傳輸。

第三，基于行業(yè)普遍適用的行為準(zhǔn)則。具有普遍約束力的行為準(zhǔn)則在歐盟境內(nèi)發(fā)生效力，貫徹行為準(zhǔn)則的相關(guān)企業(yè)或者組織享受數(shù)據(jù)跨境轉(zhuǎn)移的白名單待遇。行為準(zhǔn)則最早源于《95指令》第27條的規(guī)定，GDPR后續(xù)在起草主體、審查批準(zhǔn)機(jī)構(gòu)、監(jiān)督等方面進(jìn)一步細(xì)化。依據(jù)GDPR第40條，行為準(zhǔn)則由行業(yè)協(xié)會或他機(jī)構(gòu)起草，經(jīng)由相關(guān)數(shù)據(jù)監(jiān)管機(jī)構(gòu)審查批準(zhǔn)、歐洲數(shù)據(jù)保護(hù)委員會出具相關(guān)意見、歐盟委員會頒布實(shí)施性法令等措施，而后具有普遍約束力②具體而言，若符合GDPR的個人數(shù)據(jù)保護(hù)相關(guān)規(guī)定，行業(yè)協(xié)會或其他機(jī)構(gòu)起草的文件將經(jīng)由監(jiān)管機(jī)構(gòu)批準(zhǔn)，變成正式的草案文件。隨即，歐洲數(shù)據(jù)保護(hù)委員會將針對行為準(zhǔn)則草案是否提供適當(dāng)?shù)陌踩Ｕ洗胧┏鼍咭庖姟τ诜线m當(dāng)?shù)陌踩Ｕ洗胧?biāo)準(zhǔn)的草案，歐洲數(shù)據(jù)保護(hù)委員會有將肯定性意見提交給歐盟委員會的義務(wù)。歐盟委員會在收到上述肯定性意見之后，可以通過實(shí)施性法令的方式，使該準(zhǔn)則具有普遍約束力。。行業(yè)準(zhǔn)則反映了特定部門或行業(yè)的特定數(shù)據(jù)流的特定特征和需求，是歐盟鼓勵行業(yè)數(shù)據(jù)自治的重要舉措。

體育領(lǐng)域的行業(yè)協(xié)會或者相關(guān)機(jī)構(gòu)可以考慮針對舉辦國際體育賽事事宜達(dá)成具有普遍約束力的行為準(zhǔn)則。但這一途徑帶有一定的理想主義色彩③歐洲數(shù)據(jù)保護(hù)委員（European Data Protection Board）已經(jīng)針對兩份草案文件出具了部分肯定的意見，一是關(guān)于比利時監(jiān)管機(jī)構(gòu)提交的“歐盟云服務(wù)提供商數(shù)據(jù)保護(hù)行為準(zhǔn)則”（EU Data Protection Code of Conduct for Cloud Service Providers），另為法國監(jiān)管機(jī)構(gòu)提交的“云基礎(chǔ)設(shè)施服務(wù)提供商行為準(zhǔn)則”（The Code of Conduct of CISPE）。。一是歐盟關(guān)乎行為準(zhǔn)則的實(shí)踐并不成熟，當(dāng)前并未確立具有普遍約束力的行為準(zhǔn)則。二是體育行業(yè)行為準(zhǔn)則從起草到最終到歐盟委員會頒布實(shí)施性法令，涉及多方主體且程序復(fù)雜，使其具有普遍約束力難度大。

3.適用可行的例外規(guī)定

GDPR明確特殊情形下可克減個人數(shù)據(jù)保護(hù)義務(wù)，即基于特殊情形下的例外規(guī)定（Derogations for Specific Situations）向域外傳輸個人數(shù)據(jù)。依據(jù)第49條④GDPR第49條規(guī)定適用例外規(guī)定的七種情形：明確同意轉(zhuǎn)移；基于先合同義務(wù)所必須；數(shù)據(jù)主體利益合同所必要；行使、確立或抗辯法定請求權(quán)所必要；特殊情形無法同意但主體及他人利益所必要；依歐盟法規(guī)設(shè)立的登記簿為提供信息所必須；基于合法利益的限制性傳輸?shù)?。?dāng)前，多數(shù)適當(dāng)保護(hù)措施方案仍未有效實(shí)施。，例外規(guī)定具體包含先合同義務(wù)、明確同意、公共利益必要等八種特殊情形。其中，舉辦國際體育賽事往往涉及公共利益情形。

歐盟鼓勵跨境傳輸保護(hù)公共利益所需且必要的個人數(shù)據(jù)⑤依據(jù)第112條獨(dú)奏會，反興奮劑運(yùn)動以及疫情防控等屬于出于公共利益的重要原因而進(jìn)行的數(shù)據(jù)傳輸?shù)那樾?。。如在競爭監(jiān)管機(jī)構(gòu)、稅務(wù)或海關(guān)管理部門、金融監(jiān)管機(jī)構(gòu)、主管社會保障部門之間，在負(fù)責(zé)社會安全保障事務(wù)或公共健康的服務(wù)之間進(jìn)行國際數(shù)據(jù)交換。其限制性條件為，上述公共利益為歐盟或數(shù)據(jù)接收國法律所認(rèn)可。我國舉辦2022年冬奧會涉及的體育賽事興奮劑檢測、新冠肺炎疫情等傳染性疾病接觸者追蹤等事宜屬于公共利益的范疇。因而針對上述事宜，存在適用“公共利益”例外規(guī)定而收集歐盟個人數(shù)據(jù)的操作空間。

（二）歐盟個人數(shù)據(jù)跨境傳輸規(guī)則適用的問題

通過考察歐盟個人數(shù)據(jù)跨境傳輸分層級適用的三條路徑可以發(fā)現(xiàn)，其嚴(yán)密的數(shù)據(jù)跨境傳輸機(jī)制下數(shù)據(jù)跨境流動十分受限?？梢?，歐盟雖未明確數(shù)據(jù)本地化存儲的一般性原則，但卻形成了事實(shí)上的“軟數(shù)據(jù)本地化存儲”規(guī)則［6］（P25-49）。如圖1所示，作為國際體育賽事承辦者收集境外歐盟參賽者個人數(shù)據(jù)的可行路徑有：一是獲得充分性保護(hù)水平認(rèn)定；二是通過BCRs及SCCs及行為準(zhǔn)則提供適當(dāng)保護(hù)措施；三是適用公共利益例外規(guī)定。然而，我國舉辦冬奧會等國際體育賽事，在歐盟“軟數(shù)據(jù)本地化存儲”的規(guī)則體系下，以上三條路徑都還存在問題和挑戰(zhàn)。

圖1 國際體育賽事承辦者收集歐盟居民個人數(shù)據(jù)的路徑選擇

第一，我國尚未屬于歐盟委員會認(rèn)定的白名單國家。當(dāng)前存在歐盟委員會自由裁量權(quán)過大的問題，且對充分保護(hù)水平的認(rèn)定是動態(tài)的，其并非一勞永逸，如歐美之間《隱私盾協(xié)議》現(xiàn)已無效。

第二，“提供適當(dāng)保護(hù)措施”途徑可操作性不強(qiáng)，合規(guī)成本高。SCCs作為一類合同僅用于規(guī)范合同約定的數(shù)據(jù)處理活動，這意味著個人數(shù)據(jù)處理活動類型發(fā)生變化時都必須起草新合同。當(dāng)個人數(shù)據(jù)處理活動較為復(fù)雜時，存在數(shù)據(jù)接收方同時為數(shù)據(jù)控制者或數(shù)據(jù)處理者的情形，此時須多次簽訂多份不同類型的SCCs。此外Schrems II案判決提出了在SCCs基礎(chǔ)之上提供補(bǔ)充措施的要求。BCRs嚴(yán)格限制在企業(yè)集團(tuán)或團(tuán)體內(nèi)部使用，這意味著無法利用BCRs實(shí)現(xiàn)向非內(nèi)部組織進(jìn)行數(shù)據(jù)傳輸。此外，BCRs內(nèi)容要求高，批準(zhǔn)流程煩瑣，其須經(jīng)多個監(jiān)管機(jī)構(gòu)批準(zhǔn)，而帶有行業(yè)特色的行為準(zhǔn)則尚未實(shí)踐。

第三，“公共利益”例外情形的適用空間小，僅限于小規(guī)模數(shù)據(jù)流動。為開展體育賽事中的反興奮劑工作，相關(guān)數(shù)據(jù)控制者可基于“公共利益”例外規(guī)定收集特定歐盟公民的個人數(shù)據(jù)，但其所涉及的個人數(shù)據(jù)范圍也僅限定在為實(shí)現(xiàn)興奮劑監(jiān)管所需的、所必要的個人數(shù)據(jù)。此外，開展反興奮劑活動所需的個人數(shù)據(jù)在奧運(yùn)賽事相關(guān)數(shù)據(jù)中的占比不高。自然，基于公共利益例外規(guī)定進(jìn)行的個人數(shù)據(jù)跨境傳輸必然規(guī)模受限，且很難多次或經(jīng)常性適用。

三、我國數(shù)據(jù)出境規(guī)則及其適用的問題

根據(jù)《主辦城市合同》，國際奧委會要求冬奧會結(jié)束之后北京奧組委須將所有相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部。北京奧組委作為此次國際體育賽事數(shù)據(jù)出境合規(guī)的義務(wù)主體，需要依據(jù)我國數(shù)據(jù)出境相關(guān)規(guī)則，向位于瑞士的國際奧委會進(jìn)行數(shù)據(jù)轉(zhuǎn)移。

（一）我國數(shù)據(jù)出境相關(guān)規(guī)則

數(shù)據(jù)出境①國家互聯(lián)網(wǎng)信息辦公室最新發(fā)布的《數(shù)據(jù)出境安全評估辦法》中并未明確數(shù)據(jù)出境的定義，但就《辦法》答記者問時明確了數(shù)據(jù)出境包括：數(shù)據(jù)處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外；數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機(jī)構(gòu)、組織或者個人可以訪問或者調(diào)用。我國關(guān)于數(shù)據(jù)向境外轉(zhuǎn)移的跨境傳輸、數(shù)據(jù)出境、跨境提供等不同說法，但都表達(dá)相同的含義，其中數(shù)據(jù)出境使用較為主流，本文中數(shù)據(jù)出境及數(shù)據(jù)跨境傳輸?shù)茸鐾群x使用。指將在我國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)一次或多次提供給境外接受方，或允許境外相關(guān)的機(jī)構(gòu)訪問或調(diào)用。我國并未形成關(guān)乎數(shù)據(jù)出境的統(tǒng)一立法，對其之限制與監(jiān)管規(guī)定散見于各類法律法規(guī)、部門規(guī)章以及規(guī)范性文件當(dāng)中。依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等，我國數(shù)據(jù)出境整體上以數(shù)據(jù)本地化存儲為原則，以限制出境為例外。其目的在于降低跨境流通對我國國家安全、社會公共利益及個人合法利益帶來的風(fēng)險。當(dāng)前，我國數(shù)據(jù)出境的可行途徑包括通過數(shù)據(jù)出境安全風(fēng)險評估、與境外接收方訂立合同以及獲取個人信息保護(hù)認(rèn)證。

1.通過國家網(wǎng)信部門的安全評估

《網(wǎng)絡(luò)安全法》第37條確立了我國個人信息和重要數(shù)據(jù)本地化存儲的一般性原則，同時明確“安全評估”為本地化存儲之例外。自2022年9月1日實(shí)施的《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》）搭建起我國數(shù)據(jù)出境安全評估的基本框架?！掇k法》歷經(jīng)三次征求意見②2017年4月11日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，涉及個人信息與重要數(shù)據(jù)的出境安全評估。2019年6月13日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境安全評估辦法（征求意見稿）》，僅涉及個人信息的出境安全評估。隨后，2021年10月29日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》將個人信息與重要數(shù)據(jù)統(tǒng)一規(guī)范。后發(fā)布，針對數(shù)據(jù)出境安全評估的適用范圍、評估形式、評估流程以及常態(tài)化監(jiān)管等進(jìn)行了完善的規(guī)定。一是適用范圍。依據(jù)《辦法》第2條的規(guī)定，進(jìn)行安全評估的主體為數(shù)據(jù)處理者，其須存在向境外提供數(shù)據(jù)的情形，提供的數(shù)據(jù)須在我國境內(nèi)運(yùn)營中收集與產(chǎn)生，且這些數(shù)據(jù)為重要數(shù)據(jù)與個人信息。二是評估形式。依據(jù)《辦法》第3條、第5條規(guī)定，數(shù)據(jù)出境安全評估采用自評估與安全評估相結(jié)合的方式。在適用層級上，數(shù)據(jù)處理者應(yīng)先行開展自評估，自評估屬于《辦法》第4條③《數(shù)據(jù)出境安全評估辦法》第4條規(guī)定，數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估：數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。規(guī)定的四種情形而后進(jìn)行申報安全評估。三是評估流程。數(shù)據(jù)處理者應(yīng)當(dāng)經(jīng)自評，自認(rèn)為符合條件的前提下向省級網(wǎng)信部門提交安全評估申報材料。省級網(wǎng)信部門審核材料完備性，然后上報國家網(wǎng)信部門進(jìn)行安全評估。國家網(wǎng)信部門根據(jù)申報的情況，聯(lián)合省級網(wǎng)信部門或?qū)ｉT機(jī)構(gòu)進(jìn)行評估，作出通過評估與否的決定。四是常態(tài)化監(jiān)管。依據(jù)《辦法》第3條、第14條，安全評估的監(jiān)管是常態(tài)化的，且通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年?？梢?，我國數(shù)據(jù)出境安全評估已基本形成以國家網(wǎng)信部門為主導(dǎo)、自評估與申報風(fēng)險評估相結(jié)合、事前評估與監(jiān)督相結(jié)合的基本框架。

北京冬奧組委可通過國家網(wǎng)信部門的安全評估后向境外轉(zhuǎn)移數(shù)據(jù)。我國北京冬奧組委擔(dān)負(fù)有將奧運(yùn)賽事相關(guān)數(shù)據(jù)轉(zhuǎn)移至國際奧委會的義務(wù)，北京冬奧組委作為數(shù)據(jù)處理者，須向位于瑞士的國際奧委會提供數(shù)據(jù)，所提供數(shù)據(jù)為冬奧會賽事活動所收集或產(chǎn)生。具體的數(shù)據(jù)類型必然包含個人信息以及如北京冬奧會網(wǎng)絡(luò)及終端設(shè)備的配置數(shù)據(jù)等可能涉及國家安全的重要數(shù)據(jù)。由此，北京冬奧組委作為數(shù)據(jù)處理者應(yīng)當(dāng)進(jìn)行數(shù)據(jù)出境安全評估。依據(jù)《辦法》，若北京冬奧組委提交的數(shù)據(jù)轉(zhuǎn)移事項(xiàng)通過國家網(wǎng)信部門組織的安全評估，即可向國際奧委會轉(zhuǎn)移相關(guān)數(shù)據(jù)。

2.獲取專業(yè)機(jī)構(gòu)的個人信息保護(hù)認(rèn)證

依據(jù)《個人信息保護(hù)法》第38條第2款，個人信息處理者獲取專業(yè)機(jī)構(gòu)的個人信息保護(hù)認(rèn)證后即可向境外提供個人信息。2022年6月24日，國家信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范》（以下簡稱《認(rèn)證規(guī)范》）?！墩J(rèn)證規(guī)范》明確個人信息保護(hù)認(rèn)證將從個人信息跨境處理應(yīng)遵循的基本原則、要求以及個人信息主體權(quán)益保障方面展開。然而，其并未明確開展個人信息保護(hù)認(rèn)證的專門機(jī)構(gòu)。

北京冬奧組委向國際奧組委提供冬奧會相關(guān)數(shù)據(jù)時，涉及個人信息跨境轉(zhuǎn)移。北京冬奧組委可作為個人信息處理者，通過獲取專業(yè)機(jī)構(gòu)保護(hù)認(rèn)證的途徑，向國際奧組委轉(zhuǎn)移冬奧會數(shù)據(jù)中的個人信息。

3.依標(biāo)準(zhǔn)合同與境外接收方訂立合同

依據(jù)《個人信息保護(hù)法》第38條第3款，個人信息處理者可依照國家網(wǎng)信部門制度的標(biāo)準(zhǔn)合同與境外接收方簽訂合同的方式向境外提供個人信息。訂立標(biāo)準(zhǔn)合同這一途徑合規(guī)成本低且可操作性強(qiáng)。按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同是一種私法主體間的民事行為，操作簡便可行。此外，依據(jù)標(biāo)準(zhǔn)合同約定與接收方的權(quán)利和義務(wù)的合規(guī)成本低。標(biāo)準(zhǔn)合同由國家網(wǎng)信部門制定，合同內(nèi)容具備個人信息保護(hù)的當(dāng)然性。2022年6月30日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》（以下簡稱《標(biāo)準(zhǔn)合同規(guī)定》），《標(biāo)準(zhǔn)合同規(guī)定》涉及適用范圍、合規(guī)義務(wù)及法律責(zé)任等方面，其并非強(qiáng)制性適用，個人信息處理者可以自行擬定不相沖突的合同。

北京冬奧組委可以選擇同國際奧組委依據(jù)標(biāo)準(zhǔn)合同簽訂個人信息跨境流動的合同，同國際奧組委約定個人信息保護(hù)的權(quán)利與義務(wù)，如此便可合法合規(guī)地向國際奧組委提供冬奧會相關(guān)的個人信息。

（二）中國數(shù)據(jù)出境規(guī)則適用的問題

考察我國限制性數(shù)據(jù)出境規(guī)則后不難發(fā)現(xiàn)，北京奧組委作為數(shù)據(jù)處理者，可選擇通過安全評估、獲取保護(hù)認(rèn)證或訂立標(biāo)準(zhǔn)合同的方式向境外的國際奧委會轉(zhuǎn)移數(shù)據(jù)（見圖2），但將冬奧會產(chǎn)生的相關(guān)數(shù)據(jù)向境外提供仍將面臨合規(guī)挑戰(zhàn)。

圖2 向境外轉(zhuǎn)移國際體育賽事相關(guān)數(shù)據(jù)的可選路徑

第一，國際體育賽事舉辦方面臨數(shù)據(jù)切割難題。我國數(shù)據(jù)出境監(jiān)管指向個人信息與重要數(shù)據(jù)，在《網(wǎng)絡(luò)安全法》實(shí)施前后，受到跨境規(guī)制的數(shù)據(jù)類型還涉及銀行金融、醫(yī)療健康、自動駕駛、商業(yè)服務(wù)等多個行業(yè)領(lǐng)域的數(shù)據(jù)，對于國家秘密更是嚴(yán)格限制出境。由此，不屬于上述數(shù)據(jù)范疇的數(shù)據(jù)可不經(jīng)監(jiān)管直接轉(zhuǎn)移。冬奧會相關(guān)數(shù)據(jù)豐富多樣，涉及注冊、票務(wù)、住宿、餐飲、語言、醫(yī)療、交通等多領(lǐng)域，其中包含了個人信息，也可能包含重要數(shù)據(jù)，甚至是人口健康信息等行業(yè)領(lǐng)域數(shù)據(jù)或是國家秘密。目前，個人信息的內(nèi)涵界定業(yè)已形成“識別加關(guān)聯(lián)”的通識，《信息安全技術(shù)個人信息安全規(guī)范》附錄A部分也列明個人信息的具體類型，提供了相應(yīng)的判別指引。然而，我國當(dāng)前并未明晰重要數(shù)據(jù)的具體范圍。2022年1月13日發(fā)布的《信息安全技術(shù)重要數(shù)據(jù)的識別指南》（征求意見稿）表明我國對于重要數(shù)據(jù)的具體范圍仍停留在探索階段。

由此將導(dǎo)致如下問題：一是無法將不屬于個人信息、重要數(shù)據(jù)、國家秘密以及受監(jiān)管的行業(yè)領(lǐng)域數(shù)據(jù)切割出來，而這部分?jǐn)?shù)據(jù)理應(yīng)可自由流動。二是無法明確國家秘密以及受監(jiān)管的行業(yè)領(lǐng)域數(shù)據(jù)與重要數(shù)據(jù)的關(guān)系，這是因?yàn)閲颐孛芤约靶袠I(yè)領(lǐng)域數(shù)據(jù)是否必然屬于重要數(shù)據(jù)的范疇仍不明確。三是個人信息與重要數(shù)據(jù)存在重疊，個人信息可能屬于與國家安全、社會公益密切相關(guān)的重要數(shù)據(jù)，重要數(shù)據(jù)中包含非個人信息，將二者進(jìn)行切割的必要性及可行性存疑。

第二，相關(guān)配套規(guī)則未出臺，導(dǎo)致數(shù)據(jù)出境合規(guī)路徑尚未暢通?！掇k法》的適用范圍并不清晰，其并未明確安全評估四個要件中的“數(shù)據(jù)出境”以及“數(shù)據(jù)處理者”的定義，且我國仍未明確“重要數(shù)據(jù)”識別標(biāo)準(zhǔn)，這意味著當(dāng)前進(jìn)行安全評估尚存規(guī)則適用難題。此外，《認(rèn)證規(guī)范》并未明確開展個人信息保護(hù)認(rèn)證的專門機(jī)構(gòu)，《標(biāo)準(zhǔn)合同規(guī)定》尚未實(shí)施，缺乏相應(yīng)的實(shí)踐經(jīng)驗(yàn)。

四、國際體育賽事數(shù)據(jù)跨境傳輸規(guī)則適用難題的破解路徑

通過考察歐盟個人數(shù)據(jù)跨境傳輸路徑及我國數(shù)據(jù)出境限制規(guī)則可發(fā)現(xiàn)，國際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突體現(xiàn)在歐盟“軟數(shù)據(jù)本地化”的立場與我國“硬數(shù)據(jù)本地化”主張相沖突，由此產(chǎn)生的數(shù)據(jù)跨境流動的矛盾難以有根本的解決方案。結(jié)合舉辦國際體育賽事的特點(diǎn)，本文認(rèn)為可以考慮的解決路徑如表1所示。從我國被動應(yīng)對的角度，國際體育賽事舉辦方可在體育賽事相關(guān)協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款以直接應(yīng)對，也可適用歐盟SCCs及BCRs跨境傳輸工具以間接合規(guī)。從我國能動應(yīng)對的角度，我國可以致力于推動建立雙邊或者多邊合作機(jī)制，也可以由國家體育總局制定我國體育領(lǐng)域的專門性數(shù)據(jù)保護(hù)規(guī)范。

表1 數(shù)據(jù)跨境傳輸規(guī)則適用難題的解決路徑

（一）在舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款

就舉辦北京冬奧會而言，其數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)主要來源于《主辦城市合同》中的規(guī)定。GDPR生效之后，國際奧委會相繼更新了隨后將舉辦大型體育賽事的巴黎、洛杉磯等城市的《主辦城市合同》版本，這是國際奧委會作為數(shù)據(jù)控制者將高標(biāo)準(zhǔn)的歐盟個人數(shù)據(jù)保護(hù)義務(wù)內(nèi)化吸收的結(jié)果。未來的國際體育賽事主辦方可在國際體育賽事舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款，以確保外國公民的個人數(shù)據(jù)權(quán)益不受減損。若直接承認(rèn)GDPR的規(guī)則體系，可通過明確如下義務(wù)條款保護(hù)個人數(shù)據(jù)：遵循目的限制原則、透明度原則、準(zhǔn)確性與數(shù)據(jù)最小化原則等一般性原則，限期儲存?zhèn)€人數(shù)據(jù)；采取技術(shù)措施保保障數(shù)據(jù)處理安全，限制性向第三方轉(zhuǎn)移，限制對特殊類型個人數(shù)據(jù)的處理，等等。

在舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款屬于一事一議的方式，這種方式雖較為靈活直接，但在雙方長臂管轄原則呈對抗的情形下，一味追求義務(wù)合規(guī)可能喪失數(shù)據(jù)治理話語權(quán)。北京冬奧組委若悉數(shù)將奧運(yùn)賽事相關(guān)數(shù)據(jù)轉(zhuǎn)移，全然忽略數(shù)據(jù)本地化存儲的一般性原則，實(shí)際上不適用本國法律，而適用歐盟的相關(guān)法律，這是一種主權(quán)的讓渡。

（二）適用SCCs及BCRs跨境傳輸路徑

結(jié)合歐盟GDPR的相關(guān)規(guī)則來看，目前可行的數(shù)據(jù)傳輸路徑有BCRs以及SCCs。兩種途徑都是對歐盟規(guī)則事實(shí)上的承認(rèn)，也僅解決如何對將個人數(shù)據(jù)的跨境傳輸?shù)轿覈硟?nèi)的問題。

BCRs針對大中型的企業(yè)設(shè)立，鼓勵在歐盟存在經(jīng)濟(jì)實(shí)體的企業(yè)集團(tuán)或者企業(yè)實(shí)體使用。理論上，國際體育賽事舉辦方可與通過BCRs的跨國公司合作，跨境傳輸國際體育賽事所涉及的歐盟居民個人數(shù)據(jù)?；贐CRs嚴(yán)格限制在企業(yè)集團(tuán)內(nèi)部使用，與上述跨國公司合作只能確保將歐盟公民的個人數(shù)據(jù)從歐盟轉(zhuǎn)移到境外的跨國公司。如果為實(shí)現(xiàn)奧運(yùn)賽事相關(guān)活動目的，處于境外的跨國公司實(shí)體還需要向其他供應(yīng)鏈、酒店或者交通部門等數(shù)據(jù)控制者或處理者共享數(shù)據(jù)，該跨國公司需另外同這些主體簽訂新的SCCs以約束上述共享行為。此外，目前通過BCRs認(rèn)證的跨國公司僅80余家，從中找到能夠提供與國際體育賽事舉辦相關(guān)跨國服務(wù)的合作伙伴較為困難。

此外，國際體育賽事主辦方可與歐盟境內(nèi)的數(shù)據(jù)處理者或者數(shù)據(jù)控制者簽訂SCCs，通過合同條款保障歐盟公民的數(shù)據(jù)權(quán)利。國際體育賽事主辦方為數(shù)據(jù)控制者，為完成賽事相關(guān)事宜決定數(shù)據(jù)的處理目的與方式。其可能簽訂的標(biāo)準(zhǔn)合同條款（SCCs）有數(shù)據(jù)控制者至數(shù)據(jù)控制者（Transfer Controller to Controller，C2C）或者數(shù)據(jù)處理者至數(shù)據(jù)控制者（Transfer Processor to Controller，P2C）兩種類型。簽訂C2C之后，主辦方受目的限制原則約束，在為完成奧運(yùn)會相關(guān)事宜范圍內(nèi)進(jìn)行數(shù)據(jù)處理活動。舉辦方可以在權(quán)限范圍內(nèi)授權(quán)其他數(shù)據(jù)處理者處理個人數(shù)據(jù)，但需要保證數(shù)據(jù)主體的權(quán)利。舉辦方也可以與在歐盟境內(nèi)的數(shù)據(jù)處理者簽訂P2C，要求境內(nèi)的數(shù)據(jù)處理者按照舉辦方的指示進(jìn)行數(shù)據(jù)處理活動。SCCs相較于BCRs更為實(shí)用，國際體育賽事的舉辦方可能依據(jù)不同的數(shù)據(jù)處理目的需要簽訂多份SCCs，由此面臨不菲的數(shù)據(jù)合規(guī)成本。

（三）推動建立雙邊或者多邊合作機(jī)制

數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突給全球的行政法體制提出了新難題，有必要進(jìn)行國際協(xié)調(diào)，構(gòu)建雙邊或者多邊的國際協(xié)作機(jī)制和多元主體協(xié)同治理的格局。面對歐盟采取的單邊保護(hù)主義，我國可以與歐盟委員會進(jìn)行磋商，就個人信息與重要數(shù)據(jù)跨境傳輸探討雙邊合作機(jī)制。GDPR第50條、我國《數(shù)據(jù)安全法》第11條及《個人信息保護(hù)法》第12條都給未來中國與歐盟的國際合作預(yù)留了一定的空間。歐盟委員會以及監(jiān)管機(jī)構(gòu)有建立國際合作機(jī)制以促進(jìn)GDPR有效實(shí)施的義務(wù)；我國應(yīng)積極開展數(shù)據(jù)領(lǐng)域國際交流與合作，參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定，以促進(jìn)個人信息保護(hù)及數(shù)據(jù)跨境安全、自由流動。雙邊協(xié)議的達(dá)成受協(xié)議參與國自身經(jīng)濟(jì)、政治力量的制約［7］（P37-48）。面對歐盟強(qiáng)硬的單邊主義，我國絕不應(yīng)作出全面承認(rèn)GDPR規(guī)則的承諾，而應(yīng)該堅持雙方充分磋商之后達(dá)成數(shù)據(jù)跨境傳輸制度的共識。

即便達(dá)成雙邊合作，也只是解決我國與歐盟之間的數(shù)據(jù)跨境傳輸沖突問題。要真正形成多元主體協(xié)同治理的局面，在于形成一個剛性的多邊條約。如此便可以約束世界范圍內(nèi)的主要國家與地區(qū)，確保數(shù)據(jù)在共識框架基礎(chǔ)上的自由流動。但不可避免地，基于不同的文化背景、法律環(huán)境及政策考量，其較之雙邊條約談判成本更高，難度更大。當(dāng)下數(shù)據(jù)跨境傳輸?shù)钠惹鞋F(xiàn)實(shí)需求，亟待聯(lián)合國、WTO等國際組織積極推動構(gòu)建數(shù)據(jù)跨境傳輸?shù)亩噙厳l約。

（四）制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范

目前我國有制定體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范的需求。我國在《體育強(qiáng)國綱要》中明確了“體育產(chǎn)業(yè)更大、更活、更優(yōu)，成為國民經(jīng)濟(jì)支柱性產(chǎn)業(yè)”的戰(zhàn)略目標(biāo)。大型國際體育賽事涉及注冊、餐飲、抵離、酒店、醫(yī)療、語言、交通、技術(shù)等多個方面，其中必然收集與產(chǎn)生大量的個人信息與重要數(shù)據(jù)。國際體育塞所收集或產(chǎn)生的數(shù)據(jù)蘊(yùn)含著巨大的開發(fā)與分析價值，是促進(jìn)體育產(chǎn)業(yè)發(fā)展的“新石油”。然而，促進(jìn)體育數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展，打造現(xiàn)代產(chǎn)業(yè)體系，有著對體育數(shù)據(jù)更高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)需求。國家體育總局有必要出臺高于一般保護(hù)水平的體育領(lǐng)域數(shù)據(jù)保護(hù)規(guī)范，以暢通國際體育賽事數(shù)據(jù)自由跨境傳輸渠道，同時為賽事中的個人信息與重要數(shù)據(jù)提供充分性保護(hù)。如此便可在保護(hù)體育產(chǎn)業(yè)數(shù)據(jù)安全的前提下，推動以數(shù)據(jù)為關(guān)鍵要素的人工智能、物聯(lián)網(wǎng)等技術(shù)與體育產(chǎn)業(yè)的融合，為創(chuàng)新體育領(lǐng)域的生產(chǎn)方式、服務(wù)方式和商業(yè)模式提供制度保障。此外，制定體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范是基于產(chǎn)業(yè)格局與國際地位的重要考量［8］（P106-117）。我國體育產(chǎn)業(yè)有著自身的比較優(yōu)勢，積極主動地構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范，可構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)的中國話語。

五、結(jié) 語

歐盟嚴(yán)格限制個人數(shù)據(jù)跨境傳輸，中國明確數(shù)據(jù)本地化存儲原則，構(gòu)成數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用難題。規(guī)則適用問題的本質(zhì)在于主權(quán)國家以個人數(shù)據(jù)為抓手展開長臂管轄制度暗戰(zhàn)，爭奪數(shù)據(jù)治理規(guī)則話語權(quán)。當(dāng)前解決規(guī)則適用難題的可選路徑中，在協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款、適用BCRs及SCCs跨境傳輸工具都是一次一議的臨時性選擇；推動建立雙邊或者多邊合作機(jī)制，統(tǒng)籌推動制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范是長期、可制度化的解決方案。尤其在我國實(shí)施大數(shù)據(jù)戰(zhàn)略、體育強(qiáng)國戰(zhàn)略的背景下，制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范更是基于產(chǎn)業(yè)發(fā)展與國際地位的重要選擇，有助于構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)的中國話語，提升我國體育產(chǎn)業(yè)在世界范圍內(nèi)的影響力，這也是我國目前解決國際體育賽事數(shù)據(jù)跨境傳輸合規(guī)問題的優(yōu)選方案。