• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      國際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用問題研究
      ——以北京冬奧會數(shù)據(jù)跨境傳輸為視角

      2022-10-29 06:58:10肖冬梅
      關(guān)鍵詞:數(shù)據(jù)保護(hù)出境體育賽事

      肖冬梅 蘇 瑩

      當(dāng)前,各主權(quán)國家(地區(qū))爭相制定數(shù)據(jù)治理規(guī)則,對數(shù)據(jù)的產(chǎn)生、收集、存儲、流動等活動進(jìn)行規(guī)范,其目的在于更好地保護(hù)其國民權(quán)益和數(shù)據(jù)主權(quán),并取得數(shù)字經(jīng)濟(jì)發(fā)展的競爭優(yōu)勢。但數(shù)據(jù)跨境自由流動和安全流動一直是數(shù)據(jù)治理規(guī)則構(gòu)建中不可回避的一對矛盾。雖然從1980年起,經(jīng)濟(jì)合作與發(fā)展組織《隱私保護(hù)和個人數(shù)據(jù)跨境流動指南》就將“數(shù)據(jù)跨境流動”納入法律議題,但進(jìn)展緩慢,從20世紀(jì)80年代到2013年,能滿足各國破除貿(mào)易壁壘需求的“數(shù)據(jù)自由流動”主張一直占據(jù)主流,直至2013年“斯諾登事件”引發(fā)全球范圍內(nèi)的“數(shù)據(jù)本地化”立法運(yùn)動,60個國家實(shí)施了數(shù)據(jù)本地化法律①“數(shù)據(jù)本地化(data localization)”是主權(quán)國家進(jìn)行數(shù)據(jù)管控的一種方式,要求數(shù)據(jù)控制者將在一國收集的數(shù)據(jù)(個人信息和非個人信息)存儲在境內(nèi),經(jīng)審查方可跨境傳輸。。近年來,隨著數(shù)據(jù)跨境流動日益頻繁,單純的數(shù)據(jù)“本地化存儲”局限凸顯,擴(kuò)張國家管轄權(quán)、對跨境數(shù)據(jù)進(jìn)行“域外管轄”成為不少發(fā)達(dá)經(jīng)濟(jì)體的選擇。在國際法上,域外管轄并不是一類獨(dú)立的管轄權(quán),可以理解為一國在其境外行使主權(quán)權(quán)力或權(quán)威[1](P169)。典型的有2016年歐盟頒布《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡稱GDPR),其“影響主義原則”將數(shù)據(jù)保護(hù)監(jiān)管擴(kuò)展到歐盟境外②GDPR第3條基于傳統(tǒng)屬人管轄和屬地管轄的連接點(diǎn),從數(shù)據(jù)處理行為的效果入手,將歐盟境內(nèi)機(jī)構(gòu)境外處理個人數(shù)據(jù)的行為和歐盟境外機(jī)構(gòu)處理歐盟境內(nèi)個人數(shù)據(jù)的行為納入管轄。;2018年美國《云法案》(The Clarifying Lawful Overseas Use of Data Act,簡稱The CLOUD Act)通過長臂管轄原則擴(kuò)張了管轄范圍。為確保對本國數(shù)據(jù)的控制、管理與利用,我國自2016年以來相繼頒布《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法律,構(gòu)建了較為嚴(yán)密的數(shù)據(jù)限制性流動規(guī)則體系。基于以上國際數(shù)據(jù)跨境傳輸?shù)默F(xiàn)狀,本文將結(jié)合北京冬奧會數(shù)據(jù)跨境傳輸?shù)陌咐?,探討國際數(shù)據(jù)跨境傳輸規(guī)則適用難題的可選路徑。

      一、問題的提出

      舉辦國際體育賽事涉及境外參賽者數(shù)據(jù)的流入和賽事期間在境內(nèi)產(chǎn)生大量數(shù)據(jù)的流出問題。大型國際體育賽事尤其是冬奧會這樣的賽事因其規(guī)模大、項(xiàng)目廣、參與人數(shù)眾多,且涉及市場化運(yùn)作[2](P26-28),須收集境外眾多參賽者的個人數(shù)據(jù);境外參賽者亦會在我國境內(nèi)產(chǎn)生大量數(shù)據(jù)。大量數(shù)據(jù)的跨境傳輸,不管是流入或流出,都受相關(guān)主權(quán)國家(地區(qū))有關(guān)數(shù)據(jù)跨境傳輸規(guī)則的規(guī)制。由于歐盟通過GDPR確立了域外管轄規(guī)則,我國構(gòu)建了數(shù)據(jù)限制性流動規(guī)則,使得北京冬奧會組委會不管是賽前從境外收集數(shù)據(jù),還是賽后按要求將數(shù)據(jù)轉(zhuǎn)移至國際奧委會,都存在難以回避的規(guī)則適用難題與合規(guī)風(fēng)險。

      (一)收集境外參賽者個人數(shù)據(jù)的合規(guī)風(fēng)險

      我國作為賽事承辦方,一方面,為組織、協(xié)調(diào)、參與賽事籌備和舉辦活動,北京冬奧會和冬殘奧會組織委員會(以下簡稱北京奧組委)等相關(guān)主體必須收集境外參賽者個人數(shù)據(jù)。根據(jù)《奧林匹克憲章》第41條①《奧林匹克憲章》第41條“參賽資格條例”規(guī)定:運(yùn)動員、教練員、訓(xùn)練員或其他隨隊(duì)官員要想具備參加奧林匹克運(yùn)動會的資格,必須遵守《奧林匹克憲章》以及經(jīng)國際奧委會批準(zhǔn)的相關(guān)國際單項(xiàng)體育聯(lián)合會的規(guī)則,并且由其國家奧委會報名。的規(guī)定:“運(yùn)動員、教練員、訓(xùn)練員或隨行官員等參加冬奧會的資格必須由所在國國家奧委會報名。”而依據(jù)該憲章第44條,冬奧會舉辦的邀請和報名具體程序?yàn)椤霸诙瑠W會開幕前,國際奧委會將參加冬奧會的邀請發(fā)給所有國家奧委會,所有的國家奧委會根據(jù)國家單項(xiàng)體育協(xié)會推薦的名單為運(yùn)動員報名②《奧林匹克憲章》第44條“邀請及報名”第1款規(guī)定:參加奧林匹克運(yùn)動會的邀請應(yīng)由國際奧委會于開幕式前一年發(fā)送給所有國家奧委會;第3款規(guī)定:國家奧委會只能根據(jù)國家單項(xiàng)體育協(xié)會推薦的名單為運(yùn)動員報名。如果國家奧委會予以批準(zhǔn),應(yīng)將該報名名單報送奧運(yùn)會組委會。奧運(yùn)會組委會收到后必須予以確認(rèn)。國家奧委會必須審查各國家單項(xiàng)體育協(xié)會推薦的報名名單的有效性。,并按國際奧委會的規(guī)定向北京奧組委提交?!雹邸秺W林匹克憲章》第44條“邀請及報名”規(guī)則的細(xì)則第3款規(guī)定:所有報名必須按國際奧委會的規(guī)定提交。可見,通過冬奧會運(yùn)動員注冊與報名程序,參加冬奧會的運(yùn)動員、教練、隨行官員的個人數(shù)據(jù),還有境外觀眾購票所提交的個人數(shù)據(jù)以及境外媒體記者入境采訪報道所提交事先審核的個人信息等,不得不從其所在國傳輸至我國境內(nèi)。另一方面,以歐盟為代表的國家與地區(qū)嚴(yán)格限制個人數(shù)據(jù)跨境傳輸,從境外收集舉辦國際體育賽事相關(guān)的必要數(shù)據(jù)遭遇制度壁壘。因?yàn)楦鶕?jù)GDPR的規(guī)定,如果歐盟委員會沒有認(rèn)定數(shù)據(jù)傳輸?shù)哪康牡氐谌龂哂信c歐盟相當(dāng)?shù)臄?shù)據(jù)保護(hù)水平(即未達(dá)到“充分性保護(hù)水平”),歐盟個人數(shù)據(jù)的跨境傳輸應(yīng)當(dāng)以GDPR第46條中的數(shù)據(jù)傳輸工具(包括標(biāo)準(zhǔn)合同、約束性企業(yè)規(guī)則、行業(yè)準(zhǔn)則)為基礎(chǔ)。由于中國不是歐盟認(rèn)定的充分性保護(hù)水平國家,那么作為賽事舉辦者收集來自歐盟的運(yùn)動員、裁判、觀賽人員等主體的個人數(shù)據(jù),不能直接適用GDPR有關(guān)“充分性保護(hù)水平”的規(guī)定。若不采用合適的數(shù)據(jù)傳輸工具就直接收集境外歐盟參賽者個人數(shù)據(jù),面臨合規(guī)風(fēng)險,但若采用數(shù)據(jù)傳輸工具則有削足適履之嫌。

      (二)賽后將賽事數(shù)據(jù)向境外轉(zhuǎn)移的合規(guī)風(fēng)險

      依據(jù)北京奧組委與國際奧委會訂立的《2022年第24屆冬奧會主辦城市合同》(以下簡稱《主辦城市合同》),北京2022年冬奧會舉辦所產(chǎn)生的相關(guān)數(shù)據(jù)獨(dú)屬于國際奧委會所有,國際奧委會要求冬奧會結(jié)束之后北京奧組委將所有相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部??梢姡本W組委作為受委托方僅在合同的權(quán)限范圍內(nèi)為舉辦冬奧會收集、處理相關(guān)數(shù)據(jù),須在冬奧會結(jié)束之后將所有北京2022冬奧會相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部。另一方面,北京奧組委若依約進(jìn)行數(shù)據(jù)跨境傳輸,將面臨合規(guī)風(fēng)險。北京奧組委將冬奧會相關(guān)數(shù)據(jù)轉(zhuǎn)移至國家奧委會需滿足我國的數(shù)據(jù)出境傳輸規(guī)則。我國《網(wǎng)絡(luò)安全法》確定了我國關(guān)鍵信息基礎(chǔ)設(shè)施收集和產(chǎn)生的個人信息以及重要數(shù)據(jù)的本地化存儲原則;《數(shù)據(jù)安全法》進(jìn)一步明確重要數(shù)據(jù)的出境安全管理、主管機(jī)關(guān)批準(zhǔn)、法律責(zé)任承擔(dān)等多方面的規(guī)定,嚴(yán)格限制重要數(shù)據(jù)出境;《個人信息保護(hù)法》規(guī)定了個人信息出境的合規(guī)要求,列明允許及禁止個人信息出境的情形,明確安全評估等個人信息出境程序,在本地化存儲一般性原則的基礎(chǔ)上提供個人信息保護(hù)認(rèn)證與境外簽訂合同等跨境傳輸辦法。據(jù)此,北京奧組委為履行《主辦城市合同》,需要通過國家網(wǎng)信部門的安全評估或者經(jīng)由其他合法正當(dāng)途徑才可以向境外傳輸數(shù)據(jù)。否則,向境外轉(zhuǎn)移賽事數(shù)據(jù)將面臨合規(guī)風(fēng)險。

      可見,我國作為冬奧會的承辦方,從歐盟境內(nèi)收集參賽者或消費(fèi)者的個人數(shù)據(jù),需要遵守GDPR對個人數(shù)據(jù)跨境傳輸至第三國的規(guī)定,雖然可以選擇簽訂符合GDPR有關(guān)個人數(shù)據(jù)跨境傳輸規(guī)則的標(biāo)準(zhǔn)化合同,但此舉不僅是削足以適履,且承辦方的合規(guī)成本不菲;賽后北京奧組委悉數(shù)將冬奧會舉辦所產(chǎn)生的相關(guān)數(shù)據(jù)從中國境內(nèi)轉(zhuǎn)移至國際奧委會,履行《主辦城市合同》義務(wù),勢必與我國數(shù)據(jù)本地化存儲的一般性原則相沖突,這種妥協(xié)事實(shí)上是對我國數(shù)據(jù)主權(quán)的讓渡。本文將以北京冬奧會數(shù)據(jù)跨境傳輸這一具體場景為視角,剖析國際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用難題及其解決路徑。

      二、收集境外歐盟個人數(shù)據(jù)的有關(guān)規(guī)則及其適用問題

      我國作為冬奧會等國際體育賽事的承辦方,從歐盟境內(nèi)收集參賽者或觀眾的個人數(shù)據(jù),合規(guī)依據(jù)主要是歐盟通過GDPR明確的個人數(shù)據(jù)跨境傳輸至第三國的有關(guān)規(guī)定。

      (一)歐盟個人數(shù)據(jù)跨境傳輸至第三國的有關(guān)規(guī)定

      依據(jù)GDPR的規(guī)定,歐盟的個人數(shù)據(jù)跨境傳輸至第三國的可選路徑①《95指令》(Directive 95/46/EC)構(gòu)建了歐盟數(shù)據(jù)跨境傳輸整體框架,且一直延續(xù)至今。《95指令》第25條第1款設(shè)立了個人數(shù)據(jù)跨境傳輸?shù)摹俺浞直Wo(hù)水平”(adequacy level of protection)一般性原則,禁止將個人數(shù)據(jù)傳輸?shù)降谌龂W洲經(jīng)濟(jì)區(qū)以外的國家或地區(qū)),除非該第三國為處理個人數(shù)據(jù)的數(shù)據(jù)主體的權(quán)利和自由提供了充分的保護(hù)。若第三國采取了適當(dāng)?shù)谋U洗胧ˋppropriate Safeguards),也可進(jìn)行個人數(shù)據(jù)跨境傳輸。除此之外,還可能適用特定例外情形。2015年10月6號,歐盟法院針對Schrems案(C-362/14)作出判決,將充分性保護(hù)決定考量的“充分保護(hù)水平”(adequacy level of protection)確切為“實(shí)質(zhì)性等同”(essentially equivalent)水平。2016年4月14日,歐盟議會通過GDPR,延續(xù)了《95指令》中關(guān)于數(shù)據(jù)跨境傳輸?shù)南嚓P(guān)規(guī)定。包含:“獲得充分保護(hù)水平認(rèn)定”或“提供適當(dāng)保護(hù)措施”或“適用可行例外”??缇硞鬏攤€人數(shù)據(jù)時應(yīng)依次適用這三條路徑,即首先考量個人數(shù)據(jù)接收國是否達(dá)到充分保護(hù)水平,其次考量其是否提供適當(dāng)保障措施,最后考量傳輸是否屬于例外情形。

      1.獲得充分保護(hù)水平認(rèn)定

      依據(jù)GDPR第45條,當(dāng)歐盟委員會認(rèn)定第三國或者特定部分或國際組織等的數(shù)據(jù)保護(hù)水平與歐盟實(shí)質(zhì)性等同時,向相關(guān)國家或組織的傳輸被視同為在歐盟內(nèi)部進(jìn)行。由此,來自歐盟的個人數(shù)據(jù)可自由跨境流動②GDPR第44條規(guī)定,個人數(shù)據(jù)轉(zhuǎn)移不僅包括從歐盟境內(nèi)向境外轉(zhuǎn)移個人數(shù)據(jù)的情形,還包括個人數(shù)據(jù)從第三國或者國際組織轉(zhuǎn)移至另外的第三國或者國際組織。。歐盟委員會進(jìn)行充分保護(hù)水平評估時的考量因素③依據(jù)GDPR第45條,委員會在評估時必須考慮:特定的第三國或國際組織是否尊重法治,保護(hù)人權(quán)及基本自由,以及相關(guān)立法是否涉及公共安全、國防和國家安全以及公共秩序與刑法;第三國或者國際組織是否確保對個人權(quán)利的行政和司法補(bǔ)救以及具備有效運(yùn)行的獨(dú)立監(jiān)管機(jī)構(gòu);除所作的國際承諾外,第三國或者國際組織是否參與諸如“108號公約”的多邊或區(qū)域協(xié)定,而擔(dān)負(fù)個人數(shù)據(jù)保護(hù)相關(guān)義務(wù)。包括相關(guān)國家是否尊重法治與保護(hù)人權(quán),相關(guān)立法是否涉及公共安全、國防和國家安全等。目前,包含新西蘭、澳大利亞、韓國在內(nèi)的13個國家獲得了充分性保護(hù)水平認(rèn)定④迄今為止,歐盟委員會已經(jīng)認(rèn)定安道爾、阿根廷、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國和烏拉圭為充分性保護(hù)國家(歐盟委員會充分性保護(hù)決定)。。此外,歐盟委員會的充分保護(hù)水平認(rèn)定也可針對部分或特定部門作出,如金融服務(wù)或者IT部門等。目前,加拿大的商業(yè)組織獲得了充分性保護(hù)水平認(rèn)定⑤其中涉及加拿大的決定是“部分”充分的,僅適用于加拿大《個人信息保護(hù)和電子文件法》(Personal Information Protection and Electronic Documents Act,PIPEDA)所覆蓋的企業(yè)。。

      然而,我國并不在上述白名單之中,因此北京奧組委無法通過充分性保護(hù)認(rèn)定這一路徑來收集境外歐盟公民的個人數(shù)據(jù)。加之歐盟委員會自由裁量權(quán)過大且充分性保護(hù)認(rèn)定呈“動態(tài)化”,尤其是認(rèn)定標(biāo)準(zhǔn)往往與政治因素關(guān)聯(lián)甚密[3],故歐盟委員會很難在評判第三國或者國際組織保持中立及客觀,通過充分性保護(hù)認(rèn)定這一路徑收集境外歐盟公民的個人數(shù)據(jù),在短期內(nèi)難以實(shí)現(xiàn)。此外,即便獲得充分性保護(hù)水平認(rèn)定,也并非一勞永逸,依據(jù)GDPR第46條第3款的規(guī)定①GDPR文本包含99個條文以及173個獨(dú)奏會(Recitals)條款,獨(dú)奏會條款本身并不具有嚴(yán)格的法律約束力,但對于GDPR的理解與適用至關(guān)重要。第107條獨(dú)奏會闡述了充分性決定可適當(dāng)修改、撤銷和暫停。依據(jù)第106條獨(dú)奏會,歐盟委員會應(yīng)監(jiān)測和定期審查充分性決定國家或組織的數(shù)據(jù)保護(hù)水平。,歐盟委員會作出的充分性保護(hù)認(rèn)定決定之后,仍將依據(jù)至少每四年一次的定期審核機(jī)制繼續(xù)監(jiān)督充分性保護(hù)實(shí)踐。如有必要,歐盟委員會可以選擇廢除、修訂、暫停相關(guān)的充分性保護(hù)決定。歐盟在充分性認(rèn)定上擁有過大的自由裁量權(quán),加之以常態(tài)化的監(jiān)管機(jī)制,即便是符合充分性認(rèn)定要件的第三國或國際組織,仍不得不承受不菲的合規(guī)成本。

      2.提供適當(dāng)?shù)谋Wo(hù)措施

      依據(jù)GDPR第46條,在缺乏充分性保護(hù)認(rèn)定時,數(shù)據(jù)控制者或數(shù)據(jù)處理者仍可通過采取適當(dāng)?shù)谋Wo(hù)措施跨境傳輸個人數(shù)據(jù)②GDPR第46條第2款、第3款規(guī)定了的八種適當(dāng)保護(hù)措施類型:歐盟委員會采用的“標(biāo)準(zhǔn)合同條款”(Standard Contractual Clauses,以下簡稱SCCs),相關(guān)監(jiān)管機(jī)構(gòu)批準(zhǔn)的“約束性企業(yè)規(guī)則”(Binding Corporate Rules,以下簡稱BCRs),經(jīng)歐盟數(shù)據(jù)保護(hù)委員會認(rèn)定或者經(jīng)歐盟委員會確認(rèn)效力的“行為準(zhǔn)則”(Code of Conduct),監(jiān)管機(jī)構(gòu)單獨(dú)授權(quán)的“合同條款”(ad hoc Contractual Clauses),認(rèn)證機(jī)制(certification mechanisms)等。當(dāng)前,多數(shù)適當(dāng)保護(hù)措施方案仍未有效實(shí)施。。其中,基于合同義務(wù)的標(biāo)準(zhǔn)合同條款、基于行為標(biāo)準(zhǔn)的約束性企業(yè)規(guī)則為非充分性保護(hù)水平國家或國際組織跨境傳輸歐盟個人數(shù)據(jù)的主要途徑。行業(yè)適用的行為準(zhǔn)則雖暫未實(shí)施,基于其鮮明的行業(yè)特色,值得關(guān)注。

      第一,基于合同義務(wù)的標(biāo)準(zhǔn)合同條款。歐盟委員會提供覆蓋歐盟個人數(shù)據(jù)保護(hù)規(guī)定的《標(biāo)準(zhǔn)合同條款》(Standard Contractual Clauses,簡稱SCCs),認(rèn)可簽訂該標(biāo)準(zhǔn)合同條款能夠確保個人數(shù)據(jù)得到充分保護(hù)。舊版SCCs依據(jù)《95指令》第26條第4款而設(shè)定,包含數(shù)據(jù)控制者之間及數(shù)據(jù)控制者與數(shù)據(jù)處理者之間③歐盟委員會通過2001/497/EC決定首次引入數(shù)據(jù)控制者之間的SCCs,隨后在2004年12月27日通過2004/915/EC決定進(jìn)行細(xì)節(jié)性的修訂。歐盟委員會通過2010/87/EU決定,增加數(shù)據(jù)控制者與數(shù)據(jù)處理者之間的SCCs類型。的兩種類型。為涵蓋GDPR對個人數(shù)據(jù)保護(hù)的新要求,適用數(shù)字經(jīng)濟(jì)的發(fā)展,歐盟委員在2021年6月4日通過新版本的SCCs,舊版本SCCs留有18個月適用寬限期④歐盟委員會于2021年6月4日在最終實(shí)施決定中公布新SCCs。新SCCs將廢除和取代現(xiàn)有的SCCs,并規(guī)定了從生效日期起的18個月過渡期。新舊版本交替期間,舊版本SCCs有效期間最多持續(xù)到2022年12月27日。。新版本SCCs包含C2C、C2P、P2P、P2C四種類型(前者位于歐盟經(jīng)濟(jì)區(qū)內(nèi))。不同類型的SCCs在保密性、數(shù)據(jù)處理安全性、第三方限制性轉(zhuǎn)移方面類似,在數(shù)據(jù)處理權(quán)限以及處理后數(shù)據(jù)的刪除或者返還等方面存在差別。無疑,SCCs是確保個人數(shù)據(jù)合法、安全跨境傳輸?shù)倪m當(dāng)保護(hù)措施的實(shí)用途徑。隨著歐美之間“隱私盾”失效,新版本的SCCs將愈發(fā)成為個人數(shù)據(jù)跨境傳輸?shù)闹匾窂健?/p>

      當(dāng)前,歐盟要求在簽訂SCCs的基礎(chǔ)上,還應(yīng)提供補(bǔ)充措施。SCCs作為數(shù)據(jù)跨境流動方式的有效性,在2020年7月的Schrems II案(C-311/18)中得到歐盟法院確認(rèn)。但歐盟法院提出,第46條第2款中轉(zhuǎn)移工具為合同性質(zhì),當(dāng)事人之間的承諾不能約束第三國當(dāng)局,簽訂SCCs之外還需要采取額外的補(bǔ)充措施[4]。同年11月,歐盟數(shù)據(jù)保護(hù)委員會(European Data Protection Board,簡稱EDPB)發(fā)布《關(guān)于數(shù)據(jù)跨境傳輸工具的補(bǔ)充措施建議以確保個人數(shù)據(jù)保護(hù)遵循歐盟水平01/2020》,附件2部分列明了補(bǔ)充措施的非詳盡清單,涉及簽定補(bǔ)充合同、采取技術(shù)措施,完善組織措施等。可見,對于舉辦國際體育賽事所面臨的歐盟個人數(shù)據(jù)收集障礙,可通過由舉辦方簽署SCCs的方式化解。北京冬奧組簽訂SCCs之后,基于合同法上的義務(wù)充分保護(hù)歐盟公民的個人數(shù)據(jù)。但根據(jù)Schrems II案,僅簽訂SCCs是不夠的,舉辦方還應(yīng)該簽訂補(bǔ)充合同、采用技術(shù)措施等。

      第二,基于行為標(biāo)準(zhǔn)的約束性企業(yè)規(guī)則。對于在歐盟境內(nèi)有關(guān)聯(lián)公司的企業(yè)集團(tuán)或者從事聯(lián)合經(jīng)濟(jì)活動的企業(yè)團(tuán)體⑤依據(jù)第106條獨(dú)奏會,參與共同經(jīng)濟(jì)活動的企業(yè)應(yīng)涵蓋一個控制性企業(yè)及其受控企業(yè),其中控制性企業(yè)應(yīng)是能夠?qū)ζ渌髽I(yè)施加支配性影響的企業(yè),例如所有權(quán)、財務(wù)參與或管理它的規(guī)則或?qū)嵤﹤€人數(shù)據(jù)保護(hù)規(guī)則的權(quán)力。控制性企業(yè)及其受控企業(yè)一起視為一個企業(yè)集團(tuán)。,可通過實(shí)施約束性企業(yè)規(guī)則(Binding Corporate Rules,簡稱BCRs)將個人數(shù)據(jù)從歐盟境內(nèi)跨境傳輸至境外的同一企業(yè)集團(tuán)或團(tuán)體。BCRs最早源于《95指令》中關(guān)于數(shù)據(jù)跨境傳輸中的“行為準(zhǔn)則”標(biāo)準(zhǔn)。依據(jù)GDPR第47條,BCRs具有法律約束力,包括個人數(shù)據(jù)的一般保護(hù)原則及權(quán)利,在企業(yè)集團(tuán)或團(tuán)體成員中強(qiáng)制執(zhí)行,以確保為數(shù)據(jù)傳輸提供適當(dāng)?shù)谋Wo(hù)。BCRs由企業(yè)集團(tuán)或團(tuán)體向數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)提交,監(jiān)管機(jī)構(gòu)在聽取歐洲數(shù)據(jù)保護(hù)委員會的相關(guān)意見之后,決定是否予以批準(zhǔn)①相關(guān)主管監(jiān)管部門在初步審核之后將決定草案轉(zhuǎn)達(dá)給歐盟數(shù)據(jù)保護(hù)委員會,后者將就經(jīng)過初步審核的BCRs發(fā)表意見。最后,相關(guān)監(jiān)管機(jī)構(gòu)依據(jù)上述意見最終確定BCRs,再予以批準(zhǔn)。依據(jù)GDPR第45條第1款到第3款,為了使對企業(yè)集團(tuán)或者企業(yè)團(tuán)體具有法律約束力,BCRs必須:指出數(shù)據(jù)傳輸?shù)哪康暮陀嘘P(guān)的數(shù)據(jù)類別,考慮GDPR規(guī)定的要求,確認(rèn)由歐盟主導(dǎo)的數(shù)據(jù)出口商代表整個集團(tuán)承擔(dān)責(zé)任,解釋投訴程序,提供確保合規(guī)性的機(jī)制(例如審查)。BCRs依據(jù)主體的不同,分為數(shù)據(jù)控制者BCRs與數(shù)據(jù)處理者BCRs兩種不同類型。。若企業(yè)集團(tuán)或團(tuán)體在歐盟境內(nèi)多個國家營業(yè),其BCRs需要通過多個監(jiān)管機(jī)構(gòu)的審核。目前,多家知名跨國公司已獲得BCRs認(rèn)可[5]。

      我國也可利用BCRs收集國際體育賽事所需歐盟個人數(shù)據(jù),但操作空間有限。一是BCRs途徑合規(guī)成本較高。BCRs在內(nèi)容上必須包括所有一般數(shù)據(jù)保護(hù)原則和可執(zhí)行權(quán)利,其批準(zhǔn)流程相當(dāng)煩瑣,必須先后通過相關(guān)監(jiān)管機(jī)構(gòu)與歐洲數(shù)據(jù)保護(hù)委員會審核。尤其企業(yè)集團(tuán)或者企業(yè)團(tuán)體在歐盟境內(nèi)多個國家擁有企業(yè)時,BCRs的審核還涉及多個監(jiān)管機(jī)構(gòu)。二是BCRs不能完全解決數(shù)據(jù)跨境傳輸?shù)淖璧K。因?yàn)锽CRs嚴(yán)格限制在企業(yè)集團(tuán)內(nèi)部使用,而國際體育賽事涉及項(xiàng)目廣、參與人數(shù)眾多且通常伴隨市場化運(yùn)作,這意味著無法利用BCRs向供應(yīng)商、客戶、分銷商或服務(wù)提供商等非內(nèi)部組織進(jìn)行數(shù)據(jù)傳輸。

      第三,基于行業(yè)普遍適用的行為準(zhǔn)則。具有普遍約束力的行為準(zhǔn)則在歐盟境內(nèi)發(fā)生效力,貫徹行為準(zhǔn)則的相關(guān)企業(yè)或者組織享受數(shù)據(jù)跨境轉(zhuǎn)移的白名單待遇。行為準(zhǔn)則最早源于《95指令》第27條的規(guī)定,GDPR后續(xù)在起草主體、審查批準(zhǔn)機(jī)構(gòu)、監(jiān)督等方面進(jìn)一步細(xì)化。依據(jù)GDPR第40條,行為準(zhǔn)則由行業(yè)協(xié)會或他機(jī)構(gòu)起草,經(jīng)由相關(guān)數(shù)據(jù)監(jiān)管機(jī)構(gòu)審查批準(zhǔn)、歐洲數(shù)據(jù)保護(hù)委員會出具相關(guān)意見、歐盟委員會頒布實(shí)施性法令等措施,而后具有普遍約束力②具體而言,若符合GDPR的個人數(shù)據(jù)保護(hù)相關(guān)規(guī)定,行業(yè)協(xié)會或其他機(jī)構(gòu)起草的文件將經(jīng)由監(jiān)管機(jī)構(gòu)批準(zhǔn),變成正式的草案文件。隨即,歐洲數(shù)據(jù)保護(hù)委員會將針對行為準(zhǔn)則草案是否提供適當(dāng)?shù)陌踩U洗胧┏鼍咭庖姟τ诜线m當(dāng)?shù)陌踩U洗胧?biāo)準(zhǔn)的草案,歐洲數(shù)據(jù)保護(hù)委員會有將肯定性意見提交給歐盟委員會的義務(wù)。歐盟委員會在收到上述肯定性意見之后,可以通過實(shí)施性法令的方式,使該準(zhǔn)則具有普遍約束力。。行業(yè)準(zhǔn)則反映了特定部門或行業(yè)的特定數(shù)據(jù)流的特定特征和需求,是歐盟鼓勵行業(yè)數(shù)據(jù)自治的重要舉措。

      體育領(lǐng)域的行業(yè)協(xié)會或者相關(guān)機(jī)構(gòu)可以考慮針對舉辦國際體育賽事事宜達(dá)成具有普遍約束力的行為準(zhǔn)則。但這一途徑帶有一定的理想主義色彩③歐洲數(shù)據(jù)保護(hù)委員(European Data Protection Board)已經(jīng)針對兩份草案文件出具了部分肯定的意見,一是關(guān)于比利時監(jiān)管機(jī)構(gòu)提交的“歐盟云服務(wù)提供商數(shù)據(jù)保護(hù)行為準(zhǔn)則”(EU Data Protection Code of Conduct for Cloud Service Providers),另為法國監(jiān)管機(jī)構(gòu)提交的“云基礎(chǔ)設(shè)施服務(wù)提供商行為準(zhǔn)則”(The Code of Conduct of CISPE)。。一是歐盟關(guān)乎行為準(zhǔn)則的實(shí)踐并不成熟,當(dāng)前并未確立具有普遍約束力的行為準(zhǔn)則。二是體育行業(yè)行為準(zhǔn)則從起草到最終到歐盟委員會頒布實(shí)施性法令,涉及多方主體且程序復(fù)雜,使其具有普遍約束力難度大。

      3.適用可行的例外規(guī)定

      GDPR明確特殊情形下可克減個人數(shù)據(jù)保護(hù)義務(wù),即基于特殊情形下的例外規(guī)定(Derogations for Specific Situations)向域外傳輸個人數(shù)據(jù)。依據(jù)第49條④GDPR第49條規(guī)定適用例外規(guī)定的七種情形:明確同意轉(zhuǎn)移;基于先合同義務(wù)所必須;數(shù)據(jù)主體利益合同所必要;行使、確立或抗辯法定請求權(quán)所必要;特殊情形無法同意但主體及他人利益所必要;依歐盟法規(guī)設(shè)立的登記簿為提供信息所必須;基于合法利益的限制性傳輸?shù)?。?dāng)前,多數(shù)適當(dāng)保護(hù)措施方案仍未有效實(shí)施。,例外規(guī)定具體包含先合同義務(wù)、明確同意、公共利益必要等八種特殊情形。其中,舉辦國際體育賽事往往涉及公共利益情形。

      歐盟鼓勵跨境傳輸保護(hù)公共利益所需且必要的個人數(shù)據(jù)⑤依據(jù)第112條獨(dú)奏會,反興奮劑運(yùn)動以及疫情防控等屬于出于公共利益的重要原因而進(jìn)行的數(shù)據(jù)傳輸?shù)那樾?。。如在競爭監(jiān)管機(jī)構(gòu)、稅務(wù)或海關(guān)管理部門、金融監(jiān)管機(jī)構(gòu)、主管社會保障部門之間,在負(fù)責(zé)社會安全保障事務(wù)或公共健康的服務(wù)之間進(jìn)行國際數(shù)據(jù)交換。其限制性條件為,上述公共利益為歐盟或數(shù)據(jù)接收國法律所認(rèn)可。我國舉辦2022年冬奧會涉及的體育賽事興奮劑檢測、新冠肺炎疫情等傳染性疾病接觸者追蹤等事宜屬于公共利益的范疇。因而針對上述事宜,存在適用“公共利益”例外規(guī)定而收集歐盟個人數(shù)據(jù)的操作空間。

      (二)歐盟個人數(shù)據(jù)跨境傳輸規(guī)則適用的問題

      通過考察歐盟個人數(shù)據(jù)跨境傳輸分層級適用的三條路徑可以發(fā)現(xiàn),其嚴(yán)密的數(shù)據(jù)跨境傳輸機(jī)制下數(shù)據(jù)跨境流動十分受限??梢?,歐盟雖未明確數(shù)據(jù)本地化存儲的一般性原則,但卻形成了事實(shí)上的“軟數(shù)據(jù)本地化存儲”規(guī)則[6](P25-49)。如圖1所示,作為國際體育賽事承辦者收集境外歐盟參賽者個人數(shù)據(jù)的可行路徑有:一是獲得充分性保護(hù)水平認(rèn)定;二是通過BCRs及SCCs及行為準(zhǔn)則提供適當(dāng)保護(hù)措施;三是適用公共利益例外規(guī)定。然而,我國舉辦冬奧會等國際體育賽事,在歐盟“軟數(shù)據(jù)本地化存儲”的規(guī)則體系下,以上三條路徑都還存在問題和挑戰(zhàn)。

      圖1 國際體育賽事承辦者收集歐盟居民個人數(shù)據(jù)的路徑選擇

      第一,我國尚未屬于歐盟委員會認(rèn)定的白名單國家。當(dāng)前存在歐盟委員會自由裁量權(quán)過大的問題,且對充分保護(hù)水平的認(rèn)定是動態(tài)的,其并非一勞永逸,如歐美之間《隱私盾協(xié)議》現(xiàn)已無效。

      第二,“提供適當(dāng)保護(hù)措施”途徑可操作性不強(qiáng),合規(guī)成本高。SCCs作為一類合同僅用于規(guī)范合同約定的數(shù)據(jù)處理活動,這意味著個人數(shù)據(jù)處理活動類型發(fā)生變化時都必須起草新合同。當(dāng)個人數(shù)據(jù)處理活動較為復(fù)雜時,存在數(shù)據(jù)接收方同時為數(shù)據(jù)控制者或數(shù)據(jù)處理者的情形,此時須多次簽訂多份不同類型的SCCs。此外Schrems II案判決提出了在SCCs基礎(chǔ)之上提供補(bǔ)充措施的要求。BCRs嚴(yán)格限制在企業(yè)集團(tuán)或團(tuán)體內(nèi)部使用,這意味著無法利用BCRs實(shí)現(xiàn)向非內(nèi)部組織進(jìn)行數(shù)據(jù)傳輸。此外,BCRs內(nèi)容要求高,批準(zhǔn)流程煩瑣,其須經(jīng)多個監(jiān)管機(jī)構(gòu)批準(zhǔn),而帶有行業(yè)特色的行為準(zhǔn)則尚未實(shí)踐。

      第三,“公共利益”例外情形的適用空間小,僅限于小規(guī)模數(shù)據(jù)流動。為開展體育賽事中的反興奮劑工作,相關(guān)數(shù)據(jù)控制者可基于“公共利益”例外規(guī)定收集特定歐盟公民的個人數(shù)據(jù),但其所涉及的個人數(shù)據(jù)范圍也僅限定在為實(shí)現(xiàn)興奮劑監(jiān)管所需的、所必要的個人數(shù)據(jù)。此外,開展反興奮劑活動所需的個人數(shù)據(jù)在奧運(yùn)賽事相關(guān)數(shù)據(jù)中的占比不高。自然,基于公共利益例外規(guī)定進(jìn)行的個人數(shù)據(jù)跨境傳輸必然規(guī)模受限,且很難多次或經(jīng)常性適用。

      三、我國數(shù)據(jù)出境規(guī)則及其適用的問題

      根據(jù)《主辦城市合同》,國際奧委會要求冬奧會結(jié)束之后北京奧組委須將所有相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部。北京奧組委作為此次國際體育賽事數(shù)據(jù)出境合規(guī)的義務(wù)主體,需要依據(jù)我國數(shù)據(jù)出境相關(guān)規(guī)則,向位于瑞士的國際奧委會進(jìn)行數(shù)據(jù)轉(zhuǎn)移。

      (一)我國數(shù)據(jù)出境相關(guān)規(guī)則

      數(shù)據(jù)出境①國家互聯(lián)網(wǎng)信息辦公室最新發(fā)布的《數(shù)據(jù)出境安全評估辦法》中并未明確數(shù)據(jù)出境的定義,但就《辦法》答記者問時明確了數(shù)據(jù)出境包括:數(shù)據(jù)處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外;數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機(jī)構(gòu)、組織或者個人可以訪問或者調(diào)用。我國關(guān)于數(shù)據(jù)向境外轉(zhuǎn)移的跨境傳輸、數(shù)據(jù)出境、跨境提供等不同說法,但都表達(dá)相同的含義,其中數(shù)據(jù)出境使用較為主流,本文中數(shù)據(jù)出境及數(shù)據(jù)跨境傳輸?shù)茸鐾群x使用。指將在我國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)一次或多次提供給境外接受方,或允許境外相關(guān)的機(jī)構(gòu)訪問或調(diào)用。我國并未形成關(guān)乎數(shù)據(jù)出境的統(tǒng)一立法,對其之限制與監(jiān)管規(guī)定散見于各類法律法規(guī)、部門規(guī)章以及規(guī)范性文件當(dāng)中。依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等,我國數(shù)據(jù)出境整體上以數(shù)據(jù)本地化存儲為原則,以限制出境為例外。其目的在于降低跨境流通對我國國家安全、社會公共利益及個人合法利益帶來的風(fēng)險。當(dāng)前,我國數(shù)據(jù)出境的可行途徑包括通過數(shù)據(jù)出境安全風(fēng)險評估、與境外接收方訂立合同以及獲取個人信息保護(hù)認(rèn)證。

      1.通過國家網(wǎng)信部門的安全評估

      《網(wǎng)絡(luò)安全法》第37條確立了我國個人信息和重要數(shù)據(jù)本地化存儲的一般性原則,同時明確“安全評估”為本地化存儲之例外。自2022年9月1日實(shí)施的《數(shù)據(jù)出境安全評估辦法》(以下簡稱《辦法》)搭建起我國數(shù)據(jù)出境安全評估的基本框架?!掇k法》歷經(jīng)三次征求意見②2017年4月11日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》,涉及個人信息與重要數(shù)據(jù)的出境安全評估。2019年6月13日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境安全評估辦法(征求意見稿)》,僅涉及個人信息的出境安全評估。隨后,2021年10月29日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》將個人信息與重要數(shù)據(jù)統(tǒng)一規(guī)范。后發(fā)布,針對數(shù)據(jù)出境安全評估的適用范圍、評估形式、評估流程以及常態(tài)化監(jiān)管等進(jìn)行了完善的規(guī)定。一是適用范圍。依據(jù)《辦法》第2條的規(guī)定,進(jìn)行安全評估的主體為數(shù)據(jù)處理者,其須存在向境外提供數(shù)據(jù)的情形,提供的數(shù)據(jù)須在我國境內(nèi)運(yùn)營中收集與產(chǎn)生,且這些數(shù)據(jù)為重要數(shù)據(jù)與個人信息。二是評估形式。依據(jù)《辦法》第3條、第5條規(guī)定,數(shù)據(jù)出境安全評估采用自評估與安全評估相結(jié)合的方式。在適用層級上,數(shù)據(jù)處理者應(yīng)先行開展自評估,自評估屬于《辦法》第4條③《數(shù)據(jù)出境安全評估辦法》第4條規(guī)定,數(shù)據(jù)處理者向境外提供數(shù)據(jù),有下列情形之一的,應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估:數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息;自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息;國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。規(guī)定的四種情形而后進(jìn)行申報安全評估。三是評估流程。數(shù)據(jù)處理者應(yīng)當(dāng)經(jīng)自評,自認(rèn)為符合條件的前提下向省級網(wǎng)信部門提交安全評估申報材料。省級網(wǎng)信部門審核材料完備性,然后上報國家網(wǎng)信部門進(jìn)行安全評估。國家網(wǎng)信部門根據(jù)申報的情況,聯(lián)合省級網(wǎng)信部門或?qū)iT機(jī)構(gòu)進(jìn)行評估,作出通過評估與否的決定。四是常態(tài)化監(jiān)管。依據(jù)《辦法》第3條、第14條,安全評估的監(jiān)管是常態(tài)化的,且通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年??梢?,我國數(shù)據(jù)出境安全評估已基本形成以國家網(wǎng)信部門為主導(dǎo)、自評估與申報風(fēng)險評估相結(jié)合、事前評估與監(jiān)督相結(jié)合的基本框架。

      北京冬奧組委可通過國家網(wǎng)信部門的安全評估后向境外轉(zhuǎn)移數(shù)據(jù)。我國北京冬奧組委擔(dān)負(fù)有將奧運(yùn)賽事相關(guān)數(shù)據(jù)轉(zhuǎn)移至國際奧委會的義務(wù),北京冬奧組委作為數(shù)據(jù)處理者,須向位于瑞士的國際奧委會提供數(shù)據(jù),所提供數(shù)據(jù)為冬奧會賽事活動所收集或產(chǎn)生。具體的數(shù)據(jù)類型必然包含個人信息以及如北京冬奧會網(wǎng)絡(luò)及終端設(shè)備的配置數(shù)據(jù)等可能涉及國家安全的重要數(shù)據(jù)。由此,北京冬奧組委作為數(shù)據(jù)處理者應(yīng)當(dāng)進(jìn)行數(shù)據(jù)出境安全評估。依據(jù)《辦法》,若北京冬奧組委提交的數(shù)據(jù)轉(zhuǎn)移事項(xiàng)通過國家網(wǎng)信部門組織的安全評估,即可向國際奧委會轉(zhuǎn)移相關(guān)數(shù)據(jù)。

      2.獲取專業(yè)機(jī)構(gòu)的個人信息保護(hù)認(rèn)證

      依據(jù)《個人信息保護(hù)法》第38條第2款,個人信息處理者獲取專業(yè)機(jī)構(gòu)的個人信息保護(hù)認(rèn)證后即可向境外提供個人信息。2022年6月24日,國家信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范》(以下簡稱《認(rèn)證規(guī)范》)?!墩J(rèn)證規(guī)范》明確個人信息保護(hù)認(rèn)證將從個人信息跨境處理應(yīng)遵循的基本原則、要求以及個人信息主體權(quán)益保障方面展開。然而,其并未明確開展個人信息保護(hù)認(rèn)證的專門機(jī)構(gòu)。

      北京冬奧組委向國際奧組委提供冬奧會相關(guān)數(shù)據(jù)時,涉及個人信息跨境轉(zhuǎn)移。北京冬奧組委可作為個人信息處理者,通過獲取專業(yè)機(jī)構(gòu)保護(hù)認(rèn)證的途徑,向國際奧組委轉(zhuǎn)移冬奧會數(shù)據(jù)中的個人信息。

      3.依標(biāo)準(zhǔn)合同與境外接收方訂立合同

      依據(jù)《個人信息保護(hù)法》第38條第3款,個人信息處理者可依照國家網(wǎng)信部門制度的標(biāo)準(zhǔn)合同與境外接收方簽訂合同的方式向境外提供個人信息。訂立標(biāo)準(zhǔn)合同這一途徑合規(guī)成本低且可操作性強(qiáng)。按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同是一種私法主體間的民事行為,操作簡便可行。此外,依據(jù)標(biāo)準(zhǔn)合同約定與接收方的權(quán)利和義務(wù)的合規(guī)成本低。標(biāo)準(zhǔn)合同由國家網(wǎng)信部門制定,合同內(nèi)容具備個人信息保護(hù)的當(dāng)然性。2022年6月30日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》(以下簡稱《標(biāo)準(zhǔn)合同規(guī)定》),《標(biāo)準(zhǔn)合同規(guī)定》涉及適用范圍、合規(guī)義務(wù)及法律責(zé)任等方面,其并非強(qiáng)制性適用,個人信息處理者可以自行擬定不相沖突的合同。

      北京冬奧組委可以選擇同國際奧組委依據(jù)標(biāo)準(zhǔn)合同簽訂個人信息跨境流動的合同,同國際奧組委約定個人信息保護(hù)的權(quán)利與義務(wù),如此便可合法合規(guī)地向國際奧組委提供冬奧會相關(guān)的個人信息。

      (二)中國數(shù)據(jù)出境規(guī)則適用的問題

      考察我國限制性數(shù)據(jù)出境規(guī)則后不難發(fā)現(xiàn),北京奧組委作為數(shù)據(jù)處理者,可選擇通過安全評估、獲取保護(hù)認(rèn)證或訂立標(biāo)準(zhǔn)合同的方式向境外的國際奧委會轉(zhuǎn)移數(shù)據(jù)(見圖2),但將冬奧會產(chǎn)生的相關(guān)數(shù)據(jù)向境外提供仍將面臨合規(guī)挑戰(zhàn)。

      圖2 向境外轉(zhuǎn)移國際體育賽事相關(guān)數(shù)據(jù)的可選路徑

      第一,國際體育賽事舉辦方面臨數(shù)據(jù)切割難題。我國數(shù)據(jù)出境監(jiān)管指向個人信息與重要數(shù)據(jù),在《網(wǎng)絡(luò)安全法》實(shí)施前后,受到跨境規(guī)制的數(shù)據(jù)類型還涉及銀行金融、醫(yī)療健康、自動駕駛、商業(yè)服務(wù)等多個行業(yè)領(lǐng)域的數(shù)據(jù),對于國家秘密更是嚴(yán)格限制出境。由此,不屬于上述數(shù)據(jù)范疇的數(shù)據(jù)可不經(jīng)監(jiān)管直接轉(zhuǎn)移。冬奧會相關(guān)數(shù)據(jù)豐富多樣,涉及注冊、票務(wù)、住宿、餐飲、語言、醫(yī)療、交通等多領(lǐng)域,其中包含了個人信息,也可能包含重要數(shù)據(jù),甚至是人口健康信息等行業(yè)領(lǐng)域數(shù)據(jù)或是國家秘密。目前,個人信息的內(nèi)涵界定業(yè)已形成“識別加關(guān)聯(lián)”的通識,《信息安全技術(shù)個人信息安全規(guī)范》附錄A部分也列明個人信息的具體類型,提供了相應(yīng)的判別指引。然而,我國當(dāng)前并未明晰重要數(shù)據(jù)的具體范圍。2022年1月13日發(fā)布的《信息安全技術(shù)重要數(shù)據(jù)的識別指南》(征求意見稿)表明我國對于重要數(shù)據(jù)的具體范圍仍停留在探索階段。

      由此將導(dǎo)致如下問題:一是無法將不屬于個人信息、重要數(shù)據(jù)、國家秘密以及受監(jiān)管的行業(yè)領(lǐng)域數(shù)據(jù)切割出來,而這部分?jǐn)?shù)據(jù)理應(yīng)可自由流動。二是無法明確國家秘密以及受監(jiān)管的行業(yè)領(lǐng)域數(shù)據(jù)與重要數(shù)據(jù)的關(guān)系,這是因?yàn)閲颐孛芤约靶袠I(yè)領(lǐng)域數(shù)據(jù)是否必然屬于重要數(shù)據(jù)的范疇仍不明確。三是個人信息與重要數(shù)據(jù)存在重疊,個人信息可能屬于與國家安全、社會公益密切相關(guān)的重要數(shù)據(jù),重要數(shù)據(jù)中包含非個人信息,將二者進(jìn)行切割的必要性及可行性存疑。

      第二,相關(guān)配套規(guī)則未出臺,導(dǎo)致數(shù)據(jù)出境合規(guī)路徑尚未暢通?!掇k法》的適用范圍并不清晰,其并未明確安全評估四個要件中的“數(shù)據(jù)出境”以及“數(shù)據(jù)處理者”的定義,且我國仍未明確“重要數(shù)據(jù)”識別標(biāo)準(zhǔn),這意味著當(dāng)前進(jìn)行安全評估尚存規(guī)則適用難題。此外,《認(rèn)證規(guī)范》并未明確開展個人信息保護(hù)認(rèn)證的專門機(jī)構(gòu),《標(biāo)準(zhǔn)合同規(guī)定》尚未實(shí)施,缺乏相應(yīng)的實(shí)踐經(jīng)驗(yàn)。

      四、國際體育賽事數(shù)據(jù)跨境傳輸規(guī)則適用難題的破解路徑

      通過考察歐盟個人數(shù)據(jù)跨境傳輸路徑及我國數(shù)據(jù)出境限制規(guī)則可發(fā)現(xiàn),國際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突體現(xiàn)在歐盟“軟數(shù)據(jù)本地化”的立場與我國“硬數(shù)據(jù)本地化”主張相沖突,由此產(chǎn)生的數(shù)據(jù)跨境流動的矛盾難以有根本的解決方案。結(jié)合舉辦國際體育賽事的特點(diǎn),本文認(rèn)為可以考慮的解決路徑如表1所示。從我國被動應(yīng)對的角度,國際體育賽事舉辦方可在體育賽事相關(guān)協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款以直接應(yīng)對,也可適用歐盟SCCs及BCRs跨境傳輸工具以間接合規(guī)。從我國能動應(yīng)對的角度,我國可以致力于推動建立雙邊或者多邊合作機(jī)制,也可以由國家體育總局制定我國體育領(lǐng)域的專門性數(shù)據(jù)保護(hù)規(guī)范。

      表1 數(shù)據(jù)跨境傳輸規(guī)則適用難題的解決路徑

      (一)在舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款

      就舉辦北京冬奧會而言,其數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)主要來源于《主辦城市合同》中的規(guī)定。GDPR生效之后,國際奧委會相繼更新了隨后將舉辦大型體育賽事的巴黎、洛杉磯等城市的《主辦城市合同》版本,這是國際奧委會作為數(shù)據(jù)控制者將高標(biāo)準(zhǔn)的歐盟個人數(shù)據(jù)保護(hù)義務(wù)內(nèi)化吸收的結(jié)果。未來的國際體育賽事主辦方可在國際體育賽事舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款,以確保外國公民的個人數(shù)據(jù)權(quán)益不受減損。若直接承認(rèn)GDPR的規(guī)則體系,可通過明確如下義務(wù)條款保護(hù)個人數(shù)據(jù):遵循目的限制原則、透明度原則、準(zhǔn)確性與數(shù)據(jù)最小化原則等一般性原則,限期儲存?zhèn)€人數(shù)據(jù);采取技術(shù)措施保保障數(shù)據(jù)處理安全,限制性向第三方轉(zhuǎn)移,限制對特殊類型個人數(shù)據(jù)的處理,等等。

      在舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款屬于一事一議的方式,這種方式雖較為靈活直接,但在雙方長臂管轄原則呈對抗的情形下,一味追求義務(wù)合規(guī)可能喪失數(shù)據(jù)治理話語權(quán)。北京冬奧組委若悉數(shù)將奧運(yùn)賽事相關(guān)數(shù)據(jù)轉(zhuǎn)移,全然忽略數(shù)據(jù)本地化存儲的一般性原則,實(shí)際上不適用本國法律,而適用歐盟的相關(guān)法律,這是一種主權(quán)的讓渡。

      (二)適用SCCs及BCRs跨境傳輸路徑

      結(jié)合歐盟GDPR的相關(guān)規(guī)則來看,目前可行的數(shù)據(jù)傳輸路徑有BCRs以及SCCs。兩種途徑都是對歐盟規(guī)則事實(shí)上的承認(rèn),也僅解決如何對將個人數(shù)據(jù)的跨境傳輸?shù)轿覈硟?nèi)的問題。

      BCRs針對大中型的企業(yè)設(shè)立,鼓勵在歐盟存在經(jīng)濟(jì)實(shí)體的企業(yè)集團(tuán)或者企業(yè)實(shí)體使用。理論上,國際體育賽事舉辦方可與通過BCRs的跨國公司合作,跨境傳輸國際體育賽事所涉及的歐盟居民個人數(shù)據(jù)?;贐CRs嚴(yán)格限制在企業(yè)集團(tuán)內(nèi)部使用,與上述跨國公司合作只能確保將歐盟公民的個人數(shù)據(jù)從歐盟轉(zhuǎn)移到境外的跨國公司。如果為實(shí)現(xiàn)奧運(yùn)賽事相關(guān)活動目的,處于境外的跨國公司實(shí)體還需要向其他供應(yīng)鏈、酒店或者交通部門等數(shù)據(jù)控制者或處理者共享數(shù)據(jù),該跨國公司需另外同這些主體簽訂新的SCCs以約束上述共享行為。此外,目前通過BCRs認(rèn)證的跨國公司僅80余家,從中找到能夠提供與國際體育賽事舉辦相關(guān)跨國服務(wù)的合作伙伴較為困難。

      此外,國際體育賽事主辦方可與歐盟境內(nèi)的數(shù)據(jù)處理者或者數(shù)據(jù)控制者簽訂SCCs,通過合同條款保障歐盟公民的數(shù)據(jù)權(quán)利。國際體育賽事主辦方為數(shù)據(jù)控制者,為完成賽事相關(guān)事宜決定數(shù)據(jù)的處理目的與方式。其可能簽訂的標(biāo)準(zhǔn)合同條款(SCCs)有數(shù)據(jù)控制者至數(shù)據(jù)控制者(Transfer Controller to Controller,C2C)或者數(shù)據(jù)處理者至數(shù)據(jù)控制者(Transfer Processor to Controller,P2C)兩種類型。簽訂C2C之后,主辦方受目的限制原則約束,在為完成奧運(yùn)會相關(guān)事宜范圍內(nèi)進(jìn)行數(shù)據(jù)處理活動。舉辦方可以在權(quán)限范圍內(nèi)授權(quán)其他數(shù)據(jù)處理者處理個人數(shù)據(jù),但需要保證數(shù)據(jù)主體的權(quán)利。舉辦方也可以與在歐盟境內(nèi)的數(shù)據(jù)處理者簽訂P2C,要求境內(nèi)的數(shù)據(jù)處理者按照舉辦方的指示進(jìn)行數(shù)據(jù)處理活動。SCCs相較于BCRs更為實(shí)用,國際體育賽事的舉辦方可能依據(jù)不同的數(shù)據(jù)處理目的需要簽訂多份SCCs,由此面臨不菲的數(shù)據(jù)合規(guī)成本。

      (三)推動建立雙邊或者多邊合作機(jī)制

      數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突給全球的行政法體制提出了新難題,有必要進(jìn)行國際協(xié)調(diào),構(gòu)建雙邊或者多邊的國際協(xié)作機(jī)制和多元主體協(xié)同治理的格局。面對歐盟采取的單邊保護(hù)主義,我國可以與歐盟委員會進(jìn)行磋商,就個人信息與重要數(shù)據(jù)跨境傳輸探討雙邊合作機(jī)制。GDPR第50條、我國《數(shù)據(jù)安全法》第11條及《個人信息保護(hù)法》第12條都給未來中國與歐盟的國際合作預(yù)留了一定的空間。歐盟委員會以及監(jiān)管機(jī)構(gòu)有建立國際合作機(jī)制以促進(jìn)GDPR有效實(shí)施的義務(wù);我國應(yīng)積極開展數(shù)據(jù)領(lǐng)域國際交流與合作,參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定,以促進(jìn)個人信息保護(hù)及數(shù)據(jù)跨境安全、自由流動。雙邊協(xié)議的達(dá)成受協(xié)議參與國自身經(jīng)濟(jì)、政治力量的制約[7](P37-48)。面對歐盟強(qiáng)硬的單邊主義,我國絕不應(yīng)作出全面承認(rèn)GDPR規(guī)則的承諾,而應(yīng)該堅持雙方充分磋商之后達(dá)成數(shù)據(jù)跨境傳輸制度的共識。

      即便達(dá)成雙邊合作,也只是解決我國與歐盟之間的數(shù)據(jù)跨境傳輸沖突問題。要真正形成多元主體協(xié)同治理的局面,在于形成一個剛性的多邊條約。如此便可以約束世界范圍內(nèi)的主要國家與地區(qū),確保數(shù)據(jù)在共識框架基礎(chǔ)上的自由流動。但不可避免地,基于不同的文化背景、法律環(huán)境及政策考量,其較之雙邊條約談判成本更高,難度更大。當(dāng)下數(shù)據(jù)跨境傳輸?shù)钠惹鞋F(xiàn)實(shí)需求,亟待聯(lián)合國、WTO等國際組織積極推動構(gòu)建數(shù)據(jù)跨境傳輸?shù)亩噙厳l約。

      (四)制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范

      目前我國有制定體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范的需求。我國在《體育強(qiáng)國綱要》中明確了“體育產(chǎn)業(yè)更大、更活、更優(yōu),成為國民經(jīng)濟(jì)支柱性產(chǎn)業(yè)”的戰(zhàn)略目標(biāo)。大型國際體育賽事涉及注冊、餐飲、抵離、酒店、醫(yī)療、語言、交通、技術(shù)等多個方面,其中必然收集與產(chǎn)生大量的個人信息與重要數(shù)據(jù)。國際體育塞所收集或產(chǎn)生的數(shù)據(jù)蘊(yùn)含著巨大的開發(fā)與分析價值,是促進(jìn)體育產(chǎn)業(yè)發(fā)展的“新石油”。然而,促進(jìn)體育數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展,打造現(xiàn)代產(chǎn)業(yè)體系,有著對體育數(shù)據(jù)更高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)需求。國家體育總局有必要出臺高于一般保護(hù)水平的體育領(lǐng)域數(shù)據(jù)保護(hù)規(guī)范,以暢通國際體育賽事數(shù)據(jù)自由跨境傳輸渠道,同時為賽事中的個人信息與重要數(shù)據(jù)提供充分性保護(hù)。如此便可在保護(hù)體育產(chǎn)業(yè)數(shù)據(jù)安全的前提下,推動以數(shù)據(jù)為關(guān)鍵要素的人工智能、物聯(lián)網(wǎng)等技術(shù)與體育產(chǎn)業(yè)的融合,為創(chuàng)新體育領(lǐng)域的生產(chǎn)方式、服務(wù)方式和商業(yè)模式提供制度保障。此外,制定體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范是基于產(chǎn)業(yè)格局與國際地位的重要考量[8](P106-117)。我國體育產(chǎn)業(yè)有著自身的比較優(yōu)勢,積極主動地構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范,可構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)的中國話語。

      五、結(jié) 語

      歐盟嚴(yán)格限制個人數(shù)據(jù)跨境傳輸,中國明確數(shù)據(jù)本地化存儲原則,構(gòu)成數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用難題。規(guī)則適用問題的本質(zhì)在于主權(quán)國家以個人數(shù)據(jù)為抓手展開長臂管轄制度暗戰(zhàn),爭奪數(shù)據(jù)治理規(guī)則話語權(quán)。當(dāng)前解決規(guī)則適用難題的可選路徑中,在協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款、適用BCRs及SCCs跨境傳輸工具都是一次一議的臨時性選擇;推動建立雙邊或者多邊合作機(jī)制,統(tǒng)籌推動制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范是長期、可制度化的解決方案。尤其在我國實(shí)施大數(shù)據(jù)戰(zhàn)略、體育強(qiáng)國戰(zhàn)略的背景下,制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范更是基于產(chǎn)業(yè)發(fā)展與國際地位的重要選擇,有助于構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)的中國話語,提升我國體育產(chǎn)業(yè)在世界范圍內(nèi)的影響力,這也是我國目前解決國際體育賽事數(shù)據(jù)跨境傳輸合規(guī)問題的優(yōu)選方案。

      猜你喜歡
      數(shù)據(jù)保護(hù)出境體育賽事
      2022年冬奧會對中國體育賽事轉(zhuǎn)播的影響
      巧用“體育賽事”解釋相遇與追及的兩類典型問題
      中華人民共和國出境入境管理法
      金橋(2018年9期)2018-09-25 02:53:28
      中華人民共和國出境入境管理法
      金橋(2018年7期)2018-09-25 02:28:22
      中華人民共和國出境入境管理法
      金橋(2018年5期)2018-09-22 02:16:50
      TPP生物藥品數(shù)據(jù)保護(hù)條款研究
      В первом квартале 2016 года через КПП Маньчжоули прошли 220 международных грузовых железнодорожных составов
      中亞信息(2016年4期)2016-07-07 09:38:14
      歐盟數(shù)據(jù)保護(hù)立法改革之發(fā)展趨勢分析
      歐盟《一般數(shù)據(jù)保護(hù)條例》新規(guī)則評析
      體育賽事品牌化發(fā)展研究
      體育科技(2016年2期)2016-02-28 17:06:12
      卓尼县| 玉树县| 汝州市| 卓尼县| 新源县| 通榆县| 延寿县| 陵川县| 图们市| 讷河市| 吐鲁番市| 湾仔区| 金坛市| 江都市| 壶关县| 台安县| 鹤岗市| 廊坊市| 南开区| 玉龙| 汉阴县| 巨野县| 武邑县| 镇康县| 咸丰县| 苍南县| 仁布县| 茌平县| 曲周县| 古交市| 乐山市| 合肥市| 银川市| 雅安市| 宁陵县| 长阳| 安丘市| 西宁市| 兰考县| 喀喇| 黔西|