刘 韵
(1.南京师范大学 法学院,江苏 南京 210023;2.江苏高校区域法治发展协同创新中心,江苏 南京 210023)
在数据驱动生活的今天,数据更像是我们呼吸的空气,而不只是21世纪的“石油”(布拉德·史密斯 等,2020),大数据已经从一种数据处理模式变成了当下的时代特征(韩旭至,2018),人类社会的数字化时代已然到来。数字技术以其多元化的方式运用于包括体育竞技、体育参与、体育消费等在内的体育领域中。数字技术和体育的交互逐步形成和发展了与传统物理世界的体育行业所不同的现代体育,我们可以“数字体育”来描述跨学科的理论互动和现代体育的数字技术发展。
对于“数字体育”的具体含义,目前尚未形成统一界定。张立等(2012)从广义和狭义两个层面阐释了“数字体育”:广义的数字体育指以微电子、计算机、通信等软、硬件技术为手段,对体育过程及相关因素进行信息采集、整理、加工、建模等数字处理,以达到管理、体验、传播体育等目的的体育及其相关活动;狭义的数字体育指被数字化的体育活动,包括体育行为的数学建模、虚拟体育仿真、数字运动项目(如电子竞技)等。广义或狭义理解上的数字体育都强调以计算机技术为中心的新型技术对传统领域的摄入、影响、交互和融合。Osmond等(2015)认为,数字技术具有挑战、动摇和重新创造历史的能力。Pope等(2009)则认为,数字技术可以改变体育运动的组织、生产和分布,但它的影响是进化式的而非革命性的,是强化型的而非创造型的。创造型说和强化型说的辩争共同指向了数字时代对于体育行业的巨大影响这一事实。我国相关部门亦对数字体育的发展予以了极大关注,在其出台的规范文件中强调了体育竞技表演产业与互联网产业融合发展,要求竞技体育要发展和融合包括人工智能、移动互联网、大数据、云计算等在内的高新技术①如《国务院办公厅关于加快发展体育竞赛表演产业的指导意见》(国办发〔2018〕121号)第2条“基本原则”部分中的“加强融合发展”要求:坚持“体育+”和“+体育”做法,促进体育竞赛表演产业与文化和旅游、娱乐、互联网等相关产业深度融合,拓展发展空间,为经济增长提供支撑;第10条“鼓励创新创业”部分要求:重视和鼓励新型转播技术、安全监控技术、人工智能等高新技术在体育竞赛表演产业中的应用。鼓励以移动互联网、大数据、云计算技术为支撑,提升赛事报名、赛事转播、媒体报道、交流互动、赛事参与等综合服务水平。。
大数据技术常应用于竞技体育比赛、日常运动训练及预测运动员身体状况,还可用于体育违规与体育犯罪行为的防范、体育比赛转播等(杨春然,2018)。数字技术在竞技体育的具体应用中,围绕运动员数据展开的流程化的数字处理位于传统体育向现代体育转化的关键位置,构成了数字体育的基础。数字技术发展下数据处理的法律规则也在各方博弈中形成和发展,类似运动员个人数据是人身权还是财产权、谁享有运动员个人数据的所有权、运动员个人数据如何共享和使用、谁有权控制运动员个人数据等问题随着数字技术的不断摄入而愈加凸显,数据处理成为权利体系下回答以上问题的关键和基础。
除体育领域外的一般社会领域,围绕数据处理已经逐渐形成了一套理论和实践交互影响的框架和模型。体育作为社会生活的重要组成部分,在数字化社会下产生了关于运动员个体数据的生成、收集、使用、传输等一系列与传统体育所不同的新环节和新问题。在“数据驱动经济”的社会背景下,竞技体育领域在数据竞争和数据合作这一对立统一的价值观中博弈,运动员个体数据的处理已然成为各方关注的焦点。作为社会特殊领域的体育领域,对于一般社会领域中数据处理理论和模型的一般化借鉴和具体化发展将成为运动员个人数据妥适化处理的必然路径。由此,本文将在一般社会领域和体育领域的双向互动中,基于广义数字体育视域围绕运动员个人数据处理视角具体展开。
学界对于个人信息和个人数据之间的涵摄关系有不同认识,主要分为个人信息包括个人数据说、个人数据包括个人信息说、个人数据和个人信息交叉说等学说,各国在立法中也存在交互使用数据和信息的情况,如德国、法国、英国、挪威等国以“数据”来表示对个人信息的保护(齐爱民,2009)。本文采认个人信息包括个人数据说,即认为个人数据是特殊的个人信息,信息的外延大于数据(梅夏英,2016),数据只是信息表达的一种方式,除了电子数据外,信息还可以通过诸如纸张、音响等传统媒介来表达(陆小华,2009)。由此,对于个人数据涵义的厘清,首先需要对其上位概念即个人信息有所理解。法律意义上的个人信息指的是已识别或者能识别自然人的任何信息。可识别性是法律意义上个人信息与其他信息的本质区别,是个人信息的本质特性。需要注意的是,可识别性包括独立的可识别性和结合的可识别性,亦可称为直接的可识别性和间接的可识别性。前者指的是某项个人信息可以直接单独指向具体个人,与个人发生特定联系;与此相对应,后者指的是某项个人信息虽无法独立地指向具体个人,但通过与其他信息的关联和结合,其具有间接地与个人发生联系的能力。如果某条个人信息具有完全的匿名性,或者具有不可逆地阻止识别个人身份的属性,则该信息不是法律意义上的个人信息。所以,可识别性使得个人信息具有强烈的人格属性,对于个人信息的保护由此呈现出一定的强制性效力和公共利益特征。
作为下位概念的个人数据,指的是通过现代高新技术以电子数据方式保存、记录、读取的具有可识别性的个人信息。“数据”侧重于突出载体或媒介本身,而“信息”强调的则是所要传达的内容与本质。因而,信息具有更为深刻的内涵,它不只可以通过数据的形式来呈现,也可以借助其他的媒介(劳东燕,2020)。与个人信息一样,可识别性为个人数据的本质属性。当然,对于个人数据而言,是否具有可识别性会因技术发展而有所弹性,比如可能基于爬虫技术、数据挖掘技术、深度学习技术等在不同技术发展阶段下产生相异的判断。换言之,个人数据的范围会因为可识别性的技术化发展而产生变化。总体而言,在技术迅猛发展的社会背景下,将有更多的数据获得可识别性能力,个人数据亦具有与生俱来的技术烙印。
就其类型而言,个人数据大体上可以分为一般数据和特殊数据。特殊数据又可称为敏感数据,相较于一般数据,其呈现出更为明显的隐私性和敏感性,应受到更高程度的保护。一般认为,种族或族裔、政治见解、宗教或信仰、工会会员资格、个人健康情况等均属于特殊数据。具体至运动员个人数据,可以认为其指的是运动员相关体育事实和活动的数字化记录,初步包括运动员身份信息、运动员生物识别信息、运动员技术动作信息和运动员健康生理信息等(徐伟康等,2019)。而在运动员数据的分类上,运动员的年龄、身高、体重等较为常态化的数据,比赛成绩、训练成绩等较为暂定化的数据,可归入一般数据类别,而运动员的生物识别数据、健康生理数据等具有明显的隐私性和敏感性的数据可被归类为特殊数据类别。需要强调的是,个人数据类型化本就是一项弹性的概念和制度,具有一定的相对性和动态性。对于运动员个人数据类型而言,在类型弹性化基础上应吸收体育行业的特殊因子,如考虑各类体育项目的具体需求或基于不同职业化程度的特别考量而予以特殊化建制。
数据处理是对运动员个人数据施加一种合目的性的行为,是主体作用于客体的具体方式。那么什么是数据处理,或者说数据处理又涵盖了哪些具体行为?我们可以从3个方面予以理解。首先,数据处理是一种全过程性概念。数据处理并非节点性概念,如果说数据收集、数据存储、数据公开等是强调节点性的行为方式和行为结果,数据处理就具有明显的全过程性意义。其次,数据处理是多行为的集合体。数据处理涵盖了从收集数据开始的一系列对数据进行存储、管理、使用的行为,是多种行为的集合体,其包括但不限于以上节点性行为方式。最后,数据处理由多方主体参与。数据处理的全过程性和行为集合体属性可以自然引申出数据处理的主体多元性。《中华人民共和国民法典》(以下简称《民法典》)将“草案”中的“个人信息使用”改为“个人信息处理”,并明确规定“处理”包括“收集、存储、使用、加工、传输、提供、公开”等行为,相应的主体范围亦包括数据收集者、存储者、使用者、加工者、传输者、提供者、公开者等(刘韵,2020),即数据处理是由多方主体展开的一种多行为、全过程性概念。
运动员数据处理主要包括运动员数据的收集、存储、传输和使用等具体行为。一方面,实施运动员数据收集、存储、传输和使用行为的主体之间可能存在交叉,比如俱乐部收集运动员数据后又对数据进行存储、传输和使用。另一方面,实施运动员数据的收集、存储、传输和使用行为的主体之间又可能存在区别,比如俱乐部委托第三方体育数据收集机构对数据进行收集,而后转交俱乐部予以存储,俱乐部在特定时候将数据传输给第三方数据分析公司如赞助企业等进行分析和使用;又如世界反兴奋剂机构(World Anti-Doping Agency,WADA)委托国际兴奋剂检查管理公司(International Doping Tests&Management,IDTM)提供兴奋剂检查服务,IDTM承担了包括运动员个人数据收集、保存、运输、分析等在内的行为。
尽管在不同具体情境中存在具体化的不同主体,但大体上可将运动员数据处理过程涉及的主体分为数据主体和数据控制者。数据主体指的是相关个人数据所指向的运动员个人,他们是数据的提供者或被收集者,是相关数据可以识别的具体对象,主要指的是运动员。数据控制者指的是可以决定如何以及为什么处理个人数据的主体,具有实际意义上的数据控制权。对于数据控制者的理解,本文采用广义的解释论,即数据控制者是除了数据主体之外的其他对数据施加行为的主体,包括狭义上的数据控制者和数据处理者。质言之,广义上的数据控制者进行数据的收集、存储、使用、加工、传输、公开等具体行为。申言之,运动员个人数据控制者的范围在具体不同情境下涵盖了体育俱乐部、体育行政管理机构、国际或国内单项体育协会(如国际田径联合会、中国足球协会等)、国际体育组织(如国际奥林匹克委员会、世界反兴奋剂机构等)、体育博彩公司,甚至是体育市场开发领域的体育设备供应商、体育游戏设计方等。
2.2.1 应然视角下主体间的权利义务关系
法律上对于数据主体和数据控制主体之间关系的探讨,主要是围绕两者间的权利义务关系展开。从应然角度来看,数据主体和数据控制主体之间应互为权利义务关系。举例而言,作为数据主体的运动员,应负有在规定时间内提供符合要求的相关个人数据的义务,如作为“飞行检查”前提和基础的“行踪规则”要求运动员上报自己真实的住宅数据、作息数据、行踪数据等,以便于兴奋剂检查服务机构及时、准确地收集血液样本、尿液样本。与运动员提供真实数据的义务相对应,数据控制者就享有相应的及时获得运动员真实个人数据的权利。当然,作为数据控制者而言,在处理运动员个人数据过程中应满足相应的合规性要求,承担一系列合规义务,运动员亦因此享有相应的作为数据主体而被赋予的权利,如WADA制定的《保护隐私和个人信息国际标准》(International Standard for the Protection of Privacy and Personal Information,ISPPPI)第5.4条要求反兴奋剂组织应公平、准确和完整处理个人数据信息,其承担着公平、准确和完整处理运动员数据的义务。
2.2.2 实然视角下主体间的权利义务关系
首先,作为数据主体的运动员和由包括体育管理机构、俱乐部等在内的数据控制者之间存在明显的势力差。运动员不履行相关数据义务或者瑕疵履行数据义务,将承担的责任或者处罚是明显的、严格的甚至是苛刻的,如兴奋剂纠纷的归责原则一般采取严格责任原则,涉嫌违规运动员的免责条件受到严格限制。违反反兴奋剂规则的情形除了在样瓶中检测出违禁物质外,《世界反兴奋剂条例》(World Anti-Doping Code)第2.3条、第2.4条、第2.5条分别规定了逃避、拒绝和未能提交样瓶违规、行踪规则失败违规和篡改或企图篡改兴奋剂管理程序违规等,即以上情形均可推定触犯了《世界反兴奋剂条例》。行踪规则失败涉及运动员提交包括家庭住址等在内的相关数据的准确性义务和及时更新性义务,而在严格责任归责原则下,并不需要考虑运动员提交相关数据的主观过错情况。在目前的国际反兴奋剂体系中,运动员个人在强大的体育组织面前是弱小的,尤其是严格责任的实行,运动员对抗规则可能要付出禁赛的代价(韩勇,2020)。
其次,数据主体和数据控制者之间的权利义务并非对等。作为被管理方的运动员相较于作为管理方的数据控制者,在数据处理过程中能够享有的实质性权利较少。从数据处理的特性而言,大数据时代的个人数据具有二次利用以及永久保存的特性(王秀哲,2017),运动员个人数据在由运动员主体提供至数据控制者后,在后续数据处理的实在推进中,运动员主体似乎已经与个人数据失去了有效的、实质的联系。由于运动员的数据并非自己控制,体育组织或数据服务商如果向第三方转让运动员的数据,运动员也无法对此施加任何实际影响(徐伟康等,2019)。从主观上而言,信息承载量“微小”的每一项具体数据似乎难以激发运动员去控制和主导的意愿;从客观上观之,因运动员数据处理的多层级化、强流动化、高技术化所形成的专业壁垒,是运动员个人难以涉猎的具体领域。
在运动员数据处理领域,数据主体与数据控制者在实然层面的失衡的权利义务关系表现得更为明显和突出。与一般自然人相比,运动员的权利义务兼具一般公民社会所赋予自然人的普遍性特点,同时又呈现出体育行业给予的特殊性要求。对于运动员个人数据处理所遵循的基本原则,应在一般自然人数据处理的基础上,摄入体育行业的特殊因子。换言之,运动员数据处理的法律适用应在自然人数据处理的原则上予以体育行业的特殊化考量。由此,对于一般社会领域相关规则的选择和适用,成为厘清和具体化运动员个人数据处理中各主体权利义务关系的前提。
运动员个人数据是主要从事竞技体育活动的自然人的相关数据,对于运动员个人数据处理首先要遵循现有一般法律规则。当然,目前涉及个人数据保护的法律规范已经形成了专门法规与部分条款相结合的立法体系模式。我国关于个人数据保护的专门法律规范主要是尚在制定中的《个人信息保护法》,关涉个人数据保护条款的其他法律规范主要有《中华人民共和国刑法》(以下简称《刑法》)①《中华人民共和国刑法》对于个人信息的保护呈现出推进式立法模式,主要体现在2009年《刑法修正案(七)》增加了出售、非法提供公民个人信息罪,2015年《刑法修正案(九)》将该罪名改为“侵犯公民个人信息罪”,进一步拓宽了该罪的适用范围。、《民法典》《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)②《中华人民共和国消费者权益保护法》第29条规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。、《中华人民共和国网络安全法》(以下简称《网络安全法》)③《中华人民共和国网络安全法》第41条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。该法第42条规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。等。《刑法》适用于严重的个人数据违法行为,如侵犯公民个人信息罪的犯罪构成要件是出售或提供个人信息且至少达到情节严重才能入罪。但运动员个人数据在更多时候涉及的是私权利益,难以进入《刑法》视野。《消费者权益保护法》主要限定在消费者领域,具有特殊法地位。运动员个人数据处理所涉及的主体间关系并非消费者和经营者之间的关系,运动员数据控制者和运动员之间多是管理和被管理关系,他们在数据处理问题上难以适用消费者领域的数据保护规则。《网络安全法》立法目的主要在于宏观层面的保障网络安全、维护网络空间主权和国家安全等,运动员个人数据处理在绝大多数情况下也难以上升至国家安全领域层面。由此,在《个人信息保护法》尚未正式施行之前,对于运动员个人数据处理所适用的国内法将围绕一般意义上的、私权领域的、以保护公民个人权利为立法目的的《民法典》展开。
由于《民法典》并非是针对个人数据保护的专门立法,其中相关规定具有普通法的一般化性质,就其条款内容而言,具有一定的抽象性和模糊性,有进一步细化的必要。另外,体育行业具有较强的国际化趋势,特别是在体育行业市场化和全球化背景下,行业治理呈现出明显的跨越一国国家管理权限范围或者超出某国国内法适用的趋势。就运动员个人数据处理而言,其跨区域性和国际性更为明显。比如,国际赛事由不同国家(地区)的体育协会组织、在不同国家(地区)举办、由不同国籍运动员参与、关涉不同国家赞助商的利益等。体育行业对全球性的、统一的法律制度的需求更为迫切。尽管国际法本身不成体系(王秀梅,2006),有无存在强制性的国际法仍存在争议(何志鹏,2018),但不可忽视的是,在国际合作仍是主流的国际体育领域中,将相关国际规则、区域性规则纳入本国立法或本国相关主体行为模式的考量和参考中,仍然是必要的实践路径。
在全球范围内,欧盟于2018年5月25日施行的《通用数据保护条例》(General Data Protection Regulation,GDPR)具有重要的参考和借鉴价值。而之所以将其作为运动员个人数据处理的国际法律规则参考和适用范本,主要基于以下考量。
第一,欧盟是全球范围内最具有统一性的政府间区域性国际组织,其制定的规则在区域内具有一定的强制力和约束力。从历史进程而言,欧洲一体化是欧盟成员国社会及政治组织形式更新和公民身份重构的进程。尽管存在以欧盟为共同体范围的团结和以成员国为共同体范围的团结之辩争,但是团结原则自《罗马条约》(Treaty of Rome)以来即从法律原则和具体规则两个层面充斥着欧盟法(杨国栋,2020),一体化是欧盟的最大特点之一。在全球化步伐的推进以及高新技术迅猛发展的背景之下,数据收集、访问和使用具有了新的时代意义和技术支撑,跨越国界的、统一的数据保护规则成为需要。GDPR即在此种主客观需求下应运而生。申言之,在欧盟成员国国内法和欧盟法之间的关系问题或者优先性问题上,欧盟条约和欧盟立法在各成员国具有直接适用性,无需成员国启动转化程序,即国内法院在具体案件中可以直接适用,当事人或其代理人可以在国内法院直接援引(《国际公法学》编写组,2016)。所以,GDPR在欧盟范围内具有整体约束力,对于成员国而言,其具有直接效力,无需进行国内法的转换程序即可直接适用,该条例极大地提高了欧盟成员国在数据保护方面的一致性和协调性。当然,GDPR也允许成员国在某些情况下制定更为具体的规则,如劳动者的数据处理等。
第二,包括欧盟各国在内的欧洲国家对于国际体育的发展具有不可取代的影响力,这一点可以通过国际体育中心城市理论予以阐述。国际体育中心城市(Global Sports City)指的是在当今世界对全球体育生态、体育事务有重要影响的一类城市,其既是全球主要体育活动的区域节点城市,也是具有广泛国际影响力的区域中心城市(鲍明晓,2010)。纽约、巴黎、悉尼、伦敦、巴塞罗那和墨尔本是当前世界公认的国际体育中心城市(宋忠良,2012),可以看到近一半位于欧洲。以英国为例,虽然英国于2020年1月31日正式进入脱欧“过渡期”,并于2020年12月31日正式完成脱欧,但欧盟对英国的约束力特别是法律约束力仍然存在。而且英国在2018年颁布生效的新《数据保护法案》(Data Protection Act 2018),其立法目的之一即是在脱欧后确保英国与欧盟相关贸易的持续性、开放性,该法律文本亦明确表明引入GDPR相关条款。另外,虽然国内外学者并未形成统一的关于国际体育中心城市的衡量标准,但国际化体育组织的数量及其影响力、体育赛事的数量及其影响力应是其中重要的衡量指标(李先雄等,2017;陆乐 等,2019)。陆乐等(2019)对比了伦敦、巴黎、东京、纽约和上海5座城市体育产业的发展,在国际体育组织吸引力方面,伦敦、巴黎和东京吸引了众多国际体育组织;在国际体育赛事吸引力方面,巴黎仍旧表现最优。可见,国际体育组织数量和国际体育赛事数量保证了欧洲国家在国际体育领域中的关键地位。国际体育组织具有控制全球相关运动项目运动员数据的权力,国际体育赛事的举办亦能推动运动员个人数据的跨境处理,所以,国际体育组织数量和国际体育赛事数量是衡量该地数据法规在体育领域影响力的重要指标。
第三,包括欧盟在内的欧洲地区是数据保护法律规则最为发达的地区之一,其数据保护领域的相关规则及其成员国的国内立法已在全球范围内成为非成员国和其他国际组织参照和移植的母本。在20世纪70年代初期,通过计算机处理个人信息的情况逐步增加,在欧洲经济共同体(European Economic Community,EEC)的推动下,跨境贸易进一步促进了信息共享。而在大型机及电子数据处理技术的发展下,政府管理部门、大型企业通过建立数据库以进一步收集、处理和共享个人数据。具体而言,欧洲是在全球范围内最早注意到个人数据保护的地区,德国黑森州在1970年引入第一部现代隐私法——《黑森州数据保护法》(Hessisches Datenschutzgesetz);1973年,瑞典制定了《数据法》(Swedish Data Act 1973);1979年,奥地利、丹麦、法国、卢森堡和挪威颁布了“通用数据法”;1980年,经济合作与发展组织(Organization for Economic Cooperation and Development,OECD)(以下简称“经合组织”)通过了《隐私保护与个人数据跨境流动准则》(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data);1981年,欧洲理事会通过了《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)。从德国《黑森州数据保护法》开始,欧洲各国及欧洲的相关国际组织在个人数据保护立法方面已有数十年历史,相关法律文本成为他国制定相关规则的参考。
第四,GDPR适用范围的泛全球化。GDPR强调其适用于以下情形:在欧盟境内设立的组织,或虽未在欧盟境内设立但其为欧盟境内提供商品、服务或者对欧盟境内个人进行监控。许可(2019)将GDPR的管辖原则界定为“保护管辖”,以区别于管辖范围更广和更为任意性的美国《澄清境外数据合法使用法案》(The Cloud Act)的“长臂管辖”,但保护管辖相较于传统的更具确定性的“属地管辖”和“属人管辖”,在客观上扩大了实际管辖和适用范围。例如,国际奥林匹克委员会(International Olympic Committee,IOC)在内的国际体育组织管理的位于欧盟境内的个人(运动员、裁判员等)及会在欧盟境内举办的奥林匹克运动体系下的涉及全球运动员参加的相关比赛的数据,其数据处理环节不可能摆脱GDPR的管辖。由此,即便是其他并未在欧盟境内设立相关机构的组织、企业等向欧盟境内的个人如运动员、体育管理者、俱乐部成员行使管理职能,或者提供免费或付费服务等,均可能触发GDPR的适用。GDPR虽非国际强行法,但其在事实上已成为全球性法律(裘韵,2019)。
基于GDPR适用的广泛性,全球体育领域对于运动员个人数据的处理将受到GDPR相关规定的约束,对GDPR的参考和借鉴是各国立法者特别是体育领域相关规则制定者的必然选择;对GDPR相关条款的遵循是运动员个人数据控制者的行为导向,是判断其有无合规处理运动员个人数据的衡量标准。另外,我国《民法典》对于个人信息、个人数据的相关规定虽仍具有一定的抽象性,但其对于《个人信息保护法》起着引领作用。在《个人信息保护法》正式出台之前对《民法典》的相关条款予以分析,具有一定的指导性意义。由此,围绕《民法典》和GDPR厘清在运动员个人数据处理中各主体间权利义务关系,阐释其中蕴含的基本原则,将有助于建构和形成我国运动员个人数据处理的价值标准和实在路径。
虽然运动员对于个人数据的控制是保护运动员人格权益、财产权益等基本权益的有效途径,但正如前文所述,运动员对于其个人数据的控制在主观和客观上存在“控制无能”的现实困境。这导致在实践层面,运动员数据控制者对于数据的控制存在侵犯运动员基本权益的风险。竞技体育发展中的不同主体具有不同的核心利益追求,相互之间的利益冲突与博弈成为一种常态化的社会现象(辜德宏,2016)。而在运动员个人数据领域,数据控制者和数据主体之间亦存在一定张力。《民法典》和GDPR为我们从整体上平衡两者关系提供了价值导向。
一方面,应强调和扩展作为数据主体的运动员对于个人数据所享有的权利。例如,《民法典》在“人格权编”中详细阐述了“隐私权和个人信息保护”。在条文设置上,立法者有意将“个人信息保护”从“隐私权”中抽离出来,两者之间的区隔表述表明了立法者对个人信息保护的关注和强调。《民法典》第1034~1039条对个人信息保护作出规定,强调了个人信息的受法律保护性。虽然并未将个人信息升格为“个人信息权”,但对个人信息保护的强调表明个人信息至少是一种受法律保护的民事利益。《民法典》对于个人信息保护的整体引入为《个人信息保护法》指引了方向,国家保护个人信息已是大势所趋。在数据主体所享有的具体权利上,《民法典》第1037条赋予个人以一定的信息决定权,即数据主体享有对信息的查阅、复制、异议、更正、删除等权利。GDPR亦引入了新的规则以扩展数据主体的权利,如数据主体的被遗忘权(right to be forgotten),即数据主体有权要求数据控制者删除其个人数据;数据可携权(right to data portability),即数据主体有权要求数据控制者提供结构化的、常用的、机器可读格式的数据副本。数据可携权旨在增强个人数据控制权,促进个人数据自由流动和数据控制者之间的竞争(付新华,2019)。
另一方面,应强化运动员数据控制者的义务,对其数据处理行为提出更为严格的合规性要求。数据控制者负有个人信息安全义务,数据控制者应采取必要措施确保个人数据安全,以防止发生数据泄露、篡改、丢失等风险。《民法典》第1035条规定了数据处理所需要遵循的原则,或者可将其视为数据控制者处理个人数据的合规性要求;第1036条对数据控制者处理个人数据的免责事由进行了规定;第1038条明确了数据处理者(数据控制者)应履行的相应义务。而GDPR要求数据控制者评估所涉数据处理活动可能存在的风险,并采取妥适措施(如加密技术、限制访问等)以防止数据丢失和未经授权的访问等,即数据处理活动应采取适当的技术措施,以达到适合的安全级别。
在运动员数据主体权利的扩张和运动员数据控制者义务的强化的价值取向下,运动员数据处理仍需遵循相应的原则,将抽象化的价值取向具体化,为后续相关规则的制定和执行提供指引。
4.2.1 合法、公平和透明原则
合法、公平和透明原则是指运动员个人数据控制者在处理相关运动员个人数据时,必须基于一定法律依据,以合法、公平和透明的方式处理运动员数据。具体而言,合法性是指运动员个人数据控制者只有在具有处理运动员数据的合法理由时,方可处理个人数据。一般情况下,合法性要求对于运动员个人数据的处理应在适用规则的允许范围内进行。数据控制者能够对运动员个人数据进行处理的合法情形可分为两大类:一类为运动员意思自治下的同意,包括运动员同意和基于合同的履行;另一类为排除了或者基于无法考虑到运动员个体意思下的、具有一定单方决定意味的数据处理行为,主要包括保护运动员切身利益、基于第三方合法权益和公共利益的考量等情形。例如,为了保障运动员身体健康权、保护体育行业的健康持续发展等,在此类具有实质性重大个人利益、公共利益和行业利益的情境下,可以推定数据控制者对与此相关的运动员医疗健康数据、兴奋剂防控数据等的处理具有合法性。
除了合法之外,数据控制者对于运动员个人数据的处理应满足公平要求。此处的公平主要指数据主体和数据控制者之间的一种实质性平等的关系。申言之,运动员必须清楚地知晓其个人数据的处理流程,包括如何收集、如何保存和如何使用,以便于能够清晰地决定是否同意相关处理行为。所以,数据主体同意是公平原则的具体化,公平原则是数据主体同意的前提和基础。
透明性要求与公平原则直接相关,要求运动员个人数据控制者在处理数据时,必须将其对运动员开放和明确。具体而言,数据控制者承担着一定的通知义务,即要求数据控制者应适时妥适地告知运动员如何处理其个人数据。GDPR第12条第1款规定数据控制者应当以简洁、透明、可理解、易于访问的方式处理数据。《民法典》第1035条亦将公开处理信息作为个人信息处理的合规性要求。
4.2.2 目的限制原则
目的限制原则是指运动员个人数据控制者对于运动员数据的收集和处理必须在既定的、明确的目的之下进行,不得超出既定目的收集和处理数据,除非该处理行为与最初收集运动员个人数据的目的相兼容。申言之,运动员数据控制者在收集运动员数据时必须确定其收集行为的特定目的,此目的为合法收集及处理与非法收集及处理之间设定了界限。如果后续再次收集或处理运动员数据的行为目的与初始目的难以契合或者无法兼容,则应经由运动员重新同意或者满足其他合法目的(如基于上文所述的运动员个人重大利益、行业利益和社会公共利益)时,可对运动员相关数据进行处理。
4.2.3 数据最小化原则
数据最小化原则是指运动员个人数据控制者应将运动员个人数据的收集范围和数量限制在为实现特定目的的最低程度。具体而言,数据最小化原则可以解构为必要性要求和比例性要求。首先,必要性主要强调数据的性质,要求个人数据的收集需要有实现既定目的所必须的性质,或者是与实现既定目的直接相关的性质。例如,体育俱乐部为了对运动员的竞技能力进行评估,需要收集的数据应当是能够直接体现运动员个人竞技水平的数据如年龄、身高、体重、伤病情况等,至于与此目的无关的其他数据如运动员的家庭成员信息、是否单身、家庭和睦情况、住址信息等就不符合必要性要求;再如,如果可以通过收集运动员的年龄段来达到既定目的,就无必要要求运动员必须准确提供自己的具体年龄。其次,比例性主要强调数据的数量范围,即数据收集的数量应控制在可以实现既定目的的最小值范围内。例如,如果运动员近5年的医疗数据即可达到数据收集和处理目的,就无需要求运动员提供近10年的医疗数据。
4.2.4 准确性原则
准确性原则是指运动员个人数据控制者必须采取合理和必要的措施以确保运动员的相关数据保持准确。准确性原则要求数据控制者对运动员相关数据进行及时更新,避免因为数据处理延误而导致的各方权益受损。例如,职业俱乐部应及时更新和处理体现运动员身体健康的数据、展示运动竞技水平的数据,以保证运动员相关评估的准确性;反兴奋剂组织应及时更新运动员相关数据,以保证运动员的参赛权利及体育竞技的“干净性”。当然,在运动员数据的存储、传输和使用等过程中也应当遵循相关规范,从流程上保证数据的准确性。
4.2.5 存储有限化原则
存储有限化原则是指运动员个人数据的储存时间不得超过处理数据所需要的必要时间。换言之,一旦基于数据收集目的处理完该数据后,应对其进行安全删除。在操作层面,运动员个人数据控制者必须评估某项运动员个人数据是用于一项还是多项目的,并基于此评估设定相应的、必要的处理期间。例如,职业运动员和俱乐部因为雇佣合同关系、管理与被管理的关系会产生一系列基于竞技比赛、运动员商业价值、俱乐部管理等目的而收集、处理的运动员个人数据,以上数据的控制者有权对相关数据进行合目的性处理,而在双方解除劳动合同关系后,作为运动员数据控制者的俱乐部应安全删除或者以其他合规方式处理该运动员的相关个人数据。当然,如果运动员的个人数据经过技术化处理具有了不可逆的匿名数据的特点,因其不再具有可识别性,则数据控制者可以将之无限期保留。
4.2.6 完整和保密原则
完整和保密原则要求运动员个人数据控制者必须确保以适当和安全的方式处理运动员个人数据,防止未经授权的访问和非法处理及数据的意外丢失、破坏和损坏,以保证运动员个人数据的完整性和机密性。而个人数据假名化技术(pseudonymisation)和个人数据加密技术(encryption)是实现完整和保密原则的重要方式。GDPR对个人数据假名化作出了定义:在不使用附加信息的情况下,不可再将个人数据归因于已识别或可识别的特定个人。换言之,假名化技术使得未经授权的用户无法访问诸如个人识别码和个人数据等信息。假名化技术从外观上切断了数据和特定个人之间的联系,使个人数据的可识别性暂时封存起来,是实现数据最小化原则和数据保密原则的重要保障。当然,保密原则的具体化仍需要结合不同数据性质(如是运动员一般数据还是敏感数据),而予以类型化处理。
数字化时代的人文社会科学具有开放性、合作性、协作连通性、多样性和实验性5种核心价值(Spiro,2012)。数字时代的核心是协作性的跨学科研究,传统学科和数字技术的结合产生着奇妙的化学反应。尽管包括《民法典》和GDPR在内的法律、规范性文本能为运动员数据处理提供一般化参考,但作为具有典型行业特质的体育行业,其存在个别性和专业性的行业发展需求,呈现出与一般社会交往规则所不同的行业特性。对于运动员数据处理规则的建制,需要充分考虑体育行业发展的特殊性要求,并予以具体化展开。但不可忽视的是,运动员数据主体和其数据控制者之间所存在的势力差,相较于一般社会生活中的自然人数据主体和其数据控制者之间,更为不均衡、不对等,运动员个人数据权益受到侵害的可能性更大,不利后果也更加难以弥补。在运动员数据处理过程中,对于运动员数据主体权利的扩张以及与此相对的对数据控制主体义务的强化,应是运动员数据处理流程文本化和规范化的价值选择。在此种价值取向下的基本原则的设定,为建构运动员数据处理的规则提供了具体指引。