足球运动员生物识别信息保护：美国经验与中国策略

2022-02-01 10:54张鹏

上海体育学院学报 2022年2期

张鹏

（1. 南京师范大学中国法治现代化研究院，江苏南京 210023；2. 南京师范大学法学院，江苏南京 210023）

1 问题的提出：生物识别信息立法保护的兴起

国际足球联合会（FIFA，以下简称“国际足联”）及其理事会于2015年批准使用可穿戴技术（wearable technologies）来收集足球运动员生物识别信息，并于2017年创建“全球足球可穿戴技术”的统一标准。可穿戴技术应用在国际上已成为高增长行业，而足球运动员生物识别信息的获取也成为健康、医疗、保健、游戏甚至网络赌博等产业竞相追逐的目标，威胁着足球运动员的隐私权、知情权、形象权（publicity right）以及合同利益。从美国既有实践看，足球运动员生物识别信息的收集、存储和使用主要涉及三方主体：足球运动员、其所在俱乐部、第三方（包括信息处理者、其他利益相关者等）。足球运动员生物识别信息保护所面临的法律风险主要表现为以下3个方面：①足球俱乐部与运动员之间的权利冲突。通过可穿戴技术收集的运动员在训练和比赛中的生物识别信息，其所有权归俱乐部而非运动员[1]，这意味着足球运动员在转会时，上述生物识别信息并不会自动随之转移至新加盟的俱乐部。除非两家足球俱乐部在球员转会时达成协议，否则原足球俱乐部对其所收集的运动员生物识别信息具有独占权。②信息处理者与运动员之间的权利冲突。如生物特征识别设备的生产商和运营商为获取商业利益，可能会转售其收集并存储至内部服务器的足球运动员生物识别信息，对运动员相关权益造成潜在威胁。③利益相关者与运动员之间的权利冲突。体育类电子游戏公司在研发过程中需要收集并应用游戏角色所对应的足球运动员生物识别信息。如“FIFA”系列足球游戏的开发商EA Sports公司已连续多年使用足球运动员生物识别信息[2]，近年来，该公司遭遇了侵犯运动员肖像权、隐私权等诸多诉讼[3]。

国际足联规则对于足球运动员生物识别信息保护语焉不详，中国足球协会（以下简称“中国足协”）亦缺乏相应的制度规范，但从国外立法看，美国已有4个州通过专门立法保护生物识别信息。在我国，《中华人民共和国民法典》（以下简称《民法典》）第1034条、《中华人民共和国网络安全法》第76条、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第28条等均将个人生物识别信息纳入保护范畴。然而，《个人信息保护法》并未明确生物识别信息的内涵与外延，配套规则设定也需要进一步厘清。为此，有必要借鉴国外立法和司法实践的有益经验，为系统构建足球运动员生物识别信息的保护规范提出具有前瞻性和针对性的建议。

2 生物识别信息的界定

生物识别信息是指基于个人的生物特征识别标志（biometric identifier）采集而成，可用于分辨不同个体的所有信息[4]。生物特征识别标志包括指纹、虹膜、面容、声音等[5]。总体而言，个人信息是敏感个人信息（personal sensitive information）的属概念，生物识别信息则构成敏感个人信息的种概念。《个人信息保护法》将个人信息区分为敏感个人信息和一般个人信息，而敏感个人信息又被区分为生物识别信息与一般敏感信息。该法第4条将个人信息界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”；第28条将敏感个人信息界定为“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”，主要包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。这一界定延续了国家质量监督检验检疫总局、国家标准化管理委员会2012年颁布并于2013年开始实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》对于敏感个人信息的界定①该保护指南将敏感个人信息界定为一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业敏感个人信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如，敏感个人信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。。

生物识别信息具有以下不同于一般个人信息的显著特征。①个体唯一性和不可变更性[6]。身份证号码等经过二次编码的个人信息、生物识别信息一旦泄露，极易导致个人深层信息被挖掘和泄露，金融、购物等活动恐将遭遇严重威胁，信息主体的名誉、身心健康也难免受损。②程序识别性。传统个人信息无须计算机算法的辅助、采集与识别，而生物识别信息必须经过相关程序的识别才能得以生成。如人脸识别技术通过使用局部二值模式（local binary pattern）的影像强度（image intensity）技术、图像序列（video sequences）技术和3D信息技术，确定代表人脸特定图像的数字串，然后在所存储的用户人脸模板数据库中查找匹配项，形成数字身份[7]。③信息关联性。通过生物特征识别系统来鉴别个人，离不开生物识别信息与其他个人信息的绑定，同样也离不开信息记录的安全性保障②2019年6月25日，国家质量监督检验检疫总局、国家标准化管理委员会发布国家标准《信息技术安全技术生物特征识别信息的保护要求（征求意见稿）》，规定了生物特征识别信息的安全保护要求，包括生物特征识别系统的威胁和对策，生物识别信息和身份主体之间绑定的安全要求、应用模型以及个人信息保护要求等。。④信息的可复制性。生物识别信息经计算机程序识别后具有可复制性，在技术支持下存在被模仿、复制甚至更改的可能性[8]。⑤伤害不可变更性。生物识别信息若不加以特别保护，会给当事人带来物质和精神上不可预测、不可逆转、难以消除的伤害，也会给社会治理甚至国家安全带来隐患[9]。

3 足球领域生物识别信息收集处理技术的发展

回顾足球领域生物识别信息收集处理技术的发展历史，对于形成足球运动员生物识别信息的有效法律规制具有基础性意义。随着足球运动发展成为“世界第一运动”，如何提高运动员的竞技状态以取得更多赛事的胜利成为教练员、俱乐部甚至国际体育组织普遍关心的问题。足球运动员在训练、热身赛、正式比赛中的技术表现指标（technical performance metrics）包括跑动总距离、冲刺跑次数、高强度跑占比、最高心率、平均心率、心率负荷、代谢负荷等身体状态数据，以及控球时间、传球次数和成功率、射门效率等技能数据，这些数据已成为教练员“排兵布阵”的重要参考因素。集全球定位系统、本地位置测量系统（local position measurement system）、心率监测器、加速度计（accelerometer）等先进技术于一体的可穿戴技术应运而生，成为数据收集的“利器”[10]。可穿戴设备感应器被置于足球运动员的训练背心、比赛服、鞋袜、手表之中③如在训练背心中设置专门的安装袋，将专业运动感应模块放置其中，让其紧贴足球运动员的背部，同时胸前安装一条心率带，可以监测运动员的跑动总距离等身体、技能数据并给出分析，这些运动数据会通过场边的无线基站传递到教练员或专业科研人员的笔记本电脑等设备上。参见《科技改变足球，可穿戴设备在绿茵场上的应用》， https://www.sohu.com/a/296270352_299921。，全面监测足球运动员的心跳、体温、血压、血氧水平等生命体征，通过对各项指标的算法整合，综合展现足球运动员的身体健康和竞技状态，还可帮助队医发现运动员的伤病状况和潜在隐患，从而给出个性化的治疗与恢复方案[11]。

国际足联及其理事会于2015年3月批准使用可穿戴技术，但同时设定了2项前提条件：①在该技术被证明具有预防性医疗用途之前，不能使用实时采集的数据；②技术设备的使用不能对赛场上的任何球员造成伤害[12]。2016年国际足联启动与可穿戴技术公司的合作[13]，可达沛（Catapult）公司是第一家获得国际足联批准提供符合质量标准的可穿戴设备生产商[14]。在这一过程中，可穿戴设备与场上摄像设备等相结合①场上摄像设备主要包括动作捕捉、视觉套件两套系统设备。如：在足球场上设置的多角度摄像电脑跟踪系统可收集足球运动员在竞赛过程中的奔跑距离和强度；足球中内置的传感器以力量、旋转、轨迹等数据反映足球运动员的生物识别信息。，构成电子表现追踪系统（Electronic Performance and Tracking Systems, EPTS）[15]。2017 年，国际足联开始创建“全球足球可穿戴技术”的统一标准，推出“国际足联可穿戴电子表现追踪系统质量标准”（FIFA Quality Programme for Wearable Electronic Performance and Tracking Systems），为市场上不同的可穿戴设备提供统一的质量标准，以提高各项设备的准确性和安全性，并在不干预市场竞争和科技创新的前提下，探索最适合足球运动的可穿戴电子表现追踪系统[16]。仅2019年，国际足联就与13家可穿戴技术公司开展合作，共同收集并测试足球运动员场上位置、速度等数据，旨在为教练员和俱乐部医疗人员提供足球比赛的科学分析，同时为足球赛事转播提供更多有益信息[17]。

可穿戴技术已经进入中国，被中国国家足球队、足球俱乐部、中国足球协会超级联赛等所采用，应用于训练、比赛、青少年培养等领域②一线队更关注球队的临场比赛，而青训队则更需要关注球员的长期发展，也正因这种差异，可穿戴技术所需反馈、分析的数据类型并不相同。，如作为中国足协中国之队③中国足协中国之队包括中国国家男子足球队、中国国家女子足球队、中国国家U-23男子足球队、中国国家U-21男子足球队、中国国家青少年足球队等。参见 http://www.thecfa.cn/zgzd/index.html。2017—2020年技术数据服务合作伙伴的威维体育是英国可穿戴设备公司斯戴特体育（STATSports）在中国的代理商[18]。在中国足协官方网站教练员项下，专门载有“可穿戴设备在足球负荷监控中的作用”的讲解视频[19]。在青少年运动员培养方面，教练员通过可穿戴技术所收集的数据了解其真正的足球能力，有针对性地创造训练场景，实现因材施教；进而把不同年龄段中能力相同或接近的球员集合在一起，使每个年龄段的球员训练都能得到正确的评估与促进，实现从启蒙到提高继而到强化的目标，为青少年球员的快速成长保驾护航[20]。

4 美国足球运动员生物识别信息的法律保障

截至2020年底，美国已有4个州正式出台了生物识别信息立法。其中：伊利诺伊州在2008年专门制定并开始实施《生物识别信息隐私法案》（Biometric Information Privacy Act），先后于2017年开始实施的《学生网络个人保护法》（Student Online Personal Protection Act）、2019年开始实施的《体育博彩法》（Sports Wagering Act）等立法中规定了个人生物识别信息的保护条款；得克萨斯州2009年开始实施的《商业和贸易法》、华盛顿州2017年开始实施的《商业规制法》、加利福尼亚州2020年开始实施的《消费者隐私法》也有专门规定。另外，亚利桑那州、佛罗里达州和马萨诸塞州等多个州的生物识别信息法案已开始进入立法程序[21]。除立法之外，美国普通法也为足球运动员生物识别信息保护提供了有效支撑。从美国立法和司法实践看，足球运动员生物识别信息保护主要涉及隐私权、形象权、合同利益和同意（consent）规则，其中同意规则构成生物识别信息处理的关键环节。

4.1 隐私权

由于生物识别信息属于个人独有的敏感信息，在美国法律体系中属于隐私权的保护范畴。如：伊利诺伊州《生物识别信息隐私法案》第5条第3款和第4款明确指出，生物识别信息与财务等个人隐私信息密切相关；加利福尼亚州《消费者隐私法》也在第2条第5款中强调，生物识别信息已成为个人隐私保护的新种类。足球运动员生物识别信息的不当使用对其个人隐私权的侵害主要体现在以下4个方面：①对足球运动员私人事务的不合理干涉[22]，如相关主体将所收集的足球运动员健康信息不当泄露。按照伊利诺伊州《生物识别信息隐私法案》第20条的规定，故意泄露上述信息的行为人将承担实际损失与5 000美元之中较高数额的罚款，而过失泄露上述信息的行为人需承担实际损失与1 000美元之中较高数额的罚款。②在未经许可的前提下，使用足球运动员生物识别信息，如在商业广告中非法使用足球运动员的肖像、赛事表现数据等。③未经同意曝光足球运动员生物识别信息，如故意披露对运动员不利的健康指标，误导公众认为该运动员职业生涯行将结束，从而对其造成负面影响。④滥用足球运动员生物识别信息，如操纵运动员生物识别信息的使用，对运动员身体健康、竞技状态等给出误导性结论[1]。

4.2 形象权

形象权又被称为公开权、人格权（personality rights），指运动员对其身份符号、与运动项目密切相关的形象要素所产生商业价值利益享有的权利[23]。包括出于以下目的而开展的活动：电视（直播或录制）、广播（直播或录制）、摄影、音频录制；电影、视频或电子图片（包括但不限于电脑合成图像的制作）；静态照片；个人仪表；所有媒体上的产品代言和广告；出于宣传或商业目的对人物名称、肖像、签名、故事和成就的使用权（包括版权和其他知识产权），包括但不限于人物的实际或模拟肖像、声音、照片、表演、个人特质或其他个人身份识别标志；等等[24]。如《密西西比州校际田径补偿权利法》第2条第1款第7项将形象权的保护范围明确为个人姓名和图像等身份识别标志。美国法律上的形象权是由隐私权演化而成的一项财产权，本质上是个人对其人格属性的商业价值享有的支配权[25]。两者的区别在于：隐私权被用于保护人身权利，而形象权被用于保护财产权利。足球运动员的训练和竞赛表现等个人生物识别信息构成形象权的重要内容[22]，一旦未获授权即被用于广播、广告、电子游戏等商业用途，行为人将承担相应的民事责任。如伊利诺伊州《形象权法》第40条规定，故意侵害他人形象权的行为人将承担惩罚性赔偿责任。

4.3 合同利益

在职业合同的谈判和签订过程中，足球俱乐部可能会滥用其以往所掌握的足球运动员生物识别信息，影响后者的谈判能力，操控合同薪酬，从而实现盘剥运动员的非法目的。如足球俱乐部依据其所收集的运动员表现数据，指责其相较于其他运动员更易疲倦，或相对于同龄人会更早出现运动能力衰退现象，从而向该运动员施加压力，借机压低其薪酬[1]。在足球运动员转会过程中，生物识别信息也可能成为两家俱乐部谈判的筹码，影响是否引进该运动员的最终决定、转会合同的价款以及运动员的个人薪酬等。上述情况可能违背美国普通法中的诚信原则和公平交易原则，构成合同法中的恶意磋商行为。在“艾利斯-查默斯公司诉吕克案”（Allis-Chalmers Corp. v. Lueck）[26]中，美国最高法院强调诚信原则和公平交易原则是合同签订的默示义务，足球俱乐部应对因此给足球运动员、对方俱乐部所造成的损失承担责任。

4.4 同意规则

前述美国各州生物识别信息立法均将同意作为核心概念。立法要求收集和使用生物识别信息的公司或其他组织必须明确书面告知被收集者，并取得被收集者的同意。同意是指适格主体自愿为特定行为、目的订立协议或给予批准、许可[27]。同意主要分为明示同意和默示同意，前者指行为人通过语言清楚无误地加以表达，后者则借由主体行为、环境结果推导得知。得克萨斯州《商业和贸易法》第503条和华盛顿州《商业规制法》第115条均采用概括意义上的同意规定，即究竟采取明示同意还是默示同意的方式取决于个案的具体情势。与此不同，伊利诺伊州《生物识别信息隐私法案》第14条采用医疗领域知情同意（informed consent）的概念，指行为人在知道即将发生的情况事实、内在危险和替代方案的基础上做出的同意决策[27]。

此外，以下3种情形被加利福尼亚州《消费者隐私法》明确排除在同意范畴之外：①当事人概括接受包含生物识别信息与其他信息在内的一般规定或合同条款，不构成同意；②当事人对特定内容的犹豫、沉默、停顿等表示，不构成同意；③通过“黑暗模式”（dark pattern）签订的协议，不构成同意。所谓“黑暗模式”，指利用网页、App等媒介，通过用户界面（User Interface，UI）设计引诱用户做出原本不会做的行为，如注册会员、点击广告等。上述立法存在的现实问题是，在足球运动员与俱乐部签订合同时，运动员可能会放弃特定个人权利，而个人生物识别信息是否包含在这一让渡权利范围之内，尚未有明确规定。

5 完善我国足球运动员生物识别信息保护的策略

在前述足球运动员生物识别信息保护的三方主体关系中，足球俱乐部、第三方无疑较为强势，而足球运动员个人则处于弱势地位。为矫正这一失衡的状况，建议发挥立法和行业规范的引领和推动作用，从以下5个方面系统完善足球运动员生物识别信息的法律保护。

5.1 厘清生物识别信息的概念和范畴

《个人信息保护法》并未给出生物识别信息的专门界定，建议出台生物识别信息保护的专门化、可操作的规定给予细化落实。美国加利福尼亚州《消费者隐私法》区别于其他3个州的立法界定，采用更为广泛的规制范畴：生物识别信息除包括前述指纹、虹膜、面容、声音等狭义内容外，还包括个人的关键行为模式、行走步态、睡眠、健康、运动等。而伊利诺伊州《生物识别信息隐私法案》将以下数据排除在生物识别信息之外：书写字体、手写签名、照片、用于科学实验或检测的生物样本、人口统计数据、纹身、身高、体质量、头发颜色、眼睛颜色、基因、捐赠的人体器官或组织、为器官移植所储存的血液或血清、为医疗诊断所采集的X射线和MRI、PET扫描影像等。

此外，欧盟2016年制定并于2018年开始实施的《通用数据保护条例》（General Data Protection Regulation）即在《关于在个人数据处理方面对自然人保护和此类数据自由流动的第2016/679号条例》第9条中，将人体基因区别于生物识别信息。尽管两者同属敏感个人信息，但也有清晰的边界：基因信息是自然人先天继承和后天获得的有关基因特征的信息，属于个人信息的深层次内容，不仅能显示个人独特的生理、健康、疾病、缺陷等信息，更具有种族、家族相关性，基因信息的泄露还可能导致对个人乃至其家族的歧视；生物识别信息是通过对自然人的身体、生理、行为进行特定技术处理而得到的个人信息，可基于该信息识别个人身份，并据此开展愈发广泛的个性化信息服务，如利用指纹、面容开启手机、转账付款等[28]。

由此，建议明确生物识别信息的范畴，以定义和列举的方式给出详细的外延清单，厘清例外情形，并将指纹、虹膜、面容、声音、行为模式、行走步态、睡眠、健康、运动等纳入保护范畴。此外，应注重《个人信息保护法》与《民法典》中隐私权保障的衔接。个人生物识别信息属于《民法典》第1032条第2款中规定的“私密信息”的范畴。因此，在明确个人信息保护立法出发点并非绝对禁止收集个人生物识别信息[29]的同时，应强化个人生物识别信息的隐私权保障①侵犯个人隐私权在法律构成要件上仍存在争议。根据《民法典》第1165条的规定，行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。但《民法典》中并未明确损害后果是侵犯隐私权的构成要件。在司法实践中，法院采取了截然相反的做法。因此，隐私权的法律保障还需要进一步在理论和实践中加以探讨。参见：张璐. 何为私密信息？—基于《民法典》隐私权与个人信息保护交叉部分的探讨[J]. 甘肃政法大学学报，2021（1）：86-100。。

5.2 明确同意规则的界限与形式

尽管我国《个人信息保护法》明确了敏感个人信息的同意规则有别于一般个人信息，但相对于医疗卫生健康领域立法的保护力度仍显不足，建议在立法实施过程中明确同意规则的界限范畴和表达形式。如前所述，有别于一般个人信息，生物识别信息具有个体唯一性和不可更改性，一旦泄露或遭非法使用后不可能再恢复到保密状态，所造成的损失也是灾难性、不可挽回的[30]。因此，足球运动员生物识别信息的处理②个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，参见《个人信息保护法》第4条第2款。，必须采用相较于一般个人信息更为严格的同意规则。从学理上而言，根据同意的对象范围划分，同意可分为概括同意与特别同意[31]。概括同意又称一般同意，指个人在数据采集协议中做出的明示同意[32]，并不一定针对一个具体的事项，可以是针对将来信息处理行为概括的、一揽子的同意。特别同意又称严格同意、具体同意，指在一般同意的数据采集协议外，另需单独做出的明示书面同意，或在同一合同中设置的特别提示同意条款[33]。

从我国现有立法看，对于一般个人信息的处理，民事立法采用概括式的告知同意规则③对于一般个人信息，《民法典》第1035条第1款第1项规定，处理个人信息的，应当征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。《中华人民共和国网络安全法》第41条第1款规定，网络运营者收集、使用个人信息，应当明示收集、使用信息的目的、方式和范围，并经被收集者同意。，即统一要求征得当事人或其监护人的同意④对于个人信息保护的告知同意规则，之前在学界有不同称谓，有学者将其称为“告知同意原则”，但鉴于《民法典》第1035条已经将该原则具体化，并将告知同意作为处理个人信息的必要“条件”，故学理上的抽象原则已经转化为立法中的具体规则，据此应将其界定为同意规则。参见：吕炳斌.个人信息保护的“同意”困境及其出路 [J]. 法商研究，2021，38（2）：87-101。。《个人信息保护法》第13条第1项同样规定处理个人信息必须“取得个人的同意”；第14条第1款明确了同意的前提，即“由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定”①有学者指出，我国现有同意规则在个人信息保护领域必然面临诸多困境，如“隐私政策”无人读、不可读、读不懂，信息主体被“胁迫同意”以致难以行使拒绝权，大数据处理时难以取得有效的同意，问责机制难以发挥功效等。参见：韩旭至.个人信息保护中告知同意的困境与出路—兼论《个人信息保护法（草案）》相关条款 [J]. 经贸法律评论，2021（1）：47-59。。对于敏感个人信息，《个人信息保护法》则在第29条做出特殊规定，明确了包含单独同意、书面同意在内的特别同意规则：“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。 ”

无论是概括同意还是特别同意，同意规则在个人数据处理的现实运行中遭遇了三重困境：①个人信息处理者与个人之间的信息不对称妨碍个人同意的前提和基础。同意之所以被认定为当事人行使对其个人数据的法律处分权，前提是当事人已充分了解哪些个人数据被收集、用途为何。但在现实生活中，理性人对于利益得失的衡量与现实理解之间往往存在差距。即使个人信息处理者提供了详细的说明，对于当事人而言，冗长、复杂、难以理解、不愿意花费时间去理解等都可能引发事实上的信息鸿沟[34]。此时，同意不仅无法起到对个人的保护作用，反而会成为个人信息处理者的责任转移工具[35]。②信息过载引发的决策非理性。即便能够平衡个人与个人信息处理者之间的信息鸿沟，也未必能成功地将同意带出非理性决策的困局。当可用的信息超越人脑的短期记忆能力时，可能引发认识上的信息过载现象，同样会对相对人的理性决策过程施加负面影响[34]。③疲于应对所造成的失控现象。随着个人接受同意次数的增加，个人信息的管理难度加大，甚至处于失控状态，导致同意规则实施的整体效力大打折扣[36]。

因此，对于生物识别信息，美国地方立法采用了特殊规制模式，即当事人必须被告知并表达同意。我国《个人信息保护法》第30条也引入了知情同意的特殊要求：“个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。 ”相比之下，此前我国医疗卫生健康领域立法（如《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国药品管理法》《中华人民共和国疫苗管理法》《中华人民共和国中医药法》）对知情同意规则的规定更为详尽。如《中华人民共和国基本医疗卫生与健康促进法》第32条规定：“公民接受医疗卫生服务，对病情、诊疗方案、医疗风险、医疗费用等事项依法享有知情同意的权利。需要实施手术、特殊检查、特殊治疗的，医疗卫生人员应当及时向患者说明医疗风险、替代医疗方案等情况，并取得其同意；不能或者不宜向患者说明的，应当向患者的近亲属说明，并取得其同意。法律另有规定的，依照其规定。开展药物、医疗器械临床试验和其他医学研究应当遵守医学伦理规范，依法通过伦理审查，取得知情同意。 ”

我国医疗卫生健康领域立法与美国伊利诺伊州《生物识别信息隐私法案》知情同意规则均将内在风险、替代方案等加以细化。尤其对于足球运动员而言，通过可穿戴技术收集的生物识别信息已然涵盖个人健康、身体机能等内容。因此，建议明确“处理敏感个人信息的必要性以及个人权益的影响”的范围涵盖处理敏感个人信息的内在风险、权益影响和可行的替代方案。此外，建议借鉴美国加利福尼亚州《消费者隐私法》中个人表达同意的形式，即要求生物识别信息的同意针对个别条款单独做出，而不能对于合同全部条款加以概括同意；明确排除“黑暗模式”的同意规则；严格禁止足球俱乐部在与运动员签订合同时让渡个人的生物识别信息权利。

5.3 细化足球运动员知情权、决定权、可携带权与删除权的实施规则

如何界定运动员对生物识别信息的权利具有关键意义。个人信息权是决定权、请求权、抗辩权、形成权等权利的集合体。信息决定权指信息主体对其拥有所有权的信息进行支配和控制、有权限制或拒绝他人对其个人信息进行处理的权利；请求权则表现为知情权、可携带权，指信息主体对其个人信息进行查询、复制、获得知情并要求转移的权利；抗辩权体现为信息反对权，指信息主体在面对他人提出的信息收集处理等请求时，有拒绝提供的权利；而形成权则体现为信息删除权②删除权又称被遗忘权，被规定于欧盟《通用数据保护条例》第17条，这一条款别具一格地采用了双命名模式。，指信息主体对其个人信息在法定或约定事由消失后，请求信息控制者删除其个人信息的权利[37]。《个人信息保护法》第44条至第50条明确规定了主体对其个人信息处理所享有的知情权、决定权、可携带权、删除权等，对于防范个人生物识别信息被滥用具有重要意义[38]。

建议在足球领域进一步明确足球运动员享有和行使知情权、决定权、可携带权、删除权的实施细则：①明确谁处理谁披露规则，俱乐部在收集和处理足球运动员生物识别信息之前，必须向足球运动员告知向第三方提供生物识别信息的详细情况，包括第三方的主体信息、生物识别信息的处理目的与方式，并取得足球运动员的单独同意。②第三方不得擅自变更前述处理目的与方式，否则须向个人重新告知，并重新取得其单独同意。未经告知并取得同意的，应当承担赔偿责任。③明确足球运动员对于生物识别信息可携带权和删除权的实现方式。个人信息可携带权规定于《个人信息保护法》第45条第3款：“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。 ”数据主体有权从数据控制者处获取个人信息副本，并请求数据控制者直接将其个人信息传输给另一实体。删除权则规定于《个人信息保护法》第47条第1款，个人有权要求信息处理者删除个人信息①《个人信息保护法》第47条第1款规定：“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。”。

据此，足球运动员在转会时，有权请求原俱乐部、可穿戴技术供应商将此前收集的个人生物识别信息予以删除，并可要求原俱乐部将上述信息转由足球运动员个人存储或交由新加盟俱乐部及其可穿戴技术供应商加以处理。一方面，为训练、比赛等收集的个人生物识别信息属于《个人信息保护法》第47条第1款第1项规定的“处理目的已实现、无法实现或者为实现处理目的不再必要”，即欧盟《通用数据保护条例》规定的数据留存意义已消失②根据欧盟《通用数据保护条例》，删除权限于适用以下范围：一是数据留存意义消失，即个人数据与其被收集或处理的初衷已经没有必然关联，从而使得数据没有保留的必要；二是数据传播的许可被撤回，个人信息处理者有义务终止该信息的传播；三是信息存储期届满且信息处理无其他合法理由时，信息主体反对信息存储或处理；四是当信息被链接复制后的第三方处理时，信息控制者基于信息主体的请求，应通知该第三方停止信息处理。参见：余筱兰. 民法典编纂视角下信息删除权建构[J]. 政治与法律，2018（4）：26-37。，因此，个人信息处理者应主动或根据个人的请求删除其个人信息。另一方面，可穿戴技术供应商、足球俱乐部等应构建足球运动员行使可携带权的申请受理和处理机制，为足球运动员提供便捷的生物识别信息转移途径。

5.4 增设足球行业专门规范

建议在中国足协章程和相关文件中明确足球运动员生物识别信息的保护规定。国际足联尚未就足球运动员生物识别信息的保护做出特别规定。2020年版《国际足联章程》（FIFA Statutes）仅明确了国际足联及其理事会等所享有的权利范畴，但并未明确生物识别信息是否归属前述主体所有。如《国际足联章程》第6条规定，国际足联理事会应当规范运动员地位、转会等事宜，包括俱乐部鼓励运动员训练等[39]。第67条规定：“国际足联、其会员协会以及各洲际足联为由其管辖的各项比赛和赛事的所有权利的原始所有者，且不受任何内容、时间、地点和法律的限制。这些权利包括各种财务权利，视听广播录制、复制和播放权，多媒体版权，市场开发和推广权以及无形资产权，如会徽及其他版权法规定的权利。执委会应决定如何使用这些权利以及将其使用到何种程度并做出特别规定。执委会还应自行决定是否独自使用此权利或同第三方合作或完全通过第三方行使这些权利。 ”上述条款并未明确生物识别信息是否属于国际足联等主体的权利范畴，但从生物识别信息的收集过程看，作为赛事组成部分的属性可能会导致其被纳入其中。再从《国际足联章程》第68条第1款的授权条款看，国际足联、其会员协会以及各洲际足联各自负责对其管辖范围内的足球比赛和赛事的图像、声音和其他方式的资料的分配给予授权，且不受内容、时间、地点、技术和法律的限制。

由此，一旦明确生物识别信息属于国际足联等所有，足球运动员将丧失对此类个人信息的支配权，这对足球运动员而言有失公允，且与前述中美立法相冲突。值得注意的是，借由立法保障，美国足球大联盟已经对足球运动员的生物识别信息给予特殊保障。美国足球大联盟《隐私声明》规定：除非有明文特殊规定，否则不能收集足球运动员的“特殊类别”个人数据，包括有关身体状况、精神健康的个人信息以及基因和生物识别数据等[40]。因此，建议中国足协落实《个人信息保护法》的相关要求，适时修订《中国足球协会章程》及相关文件，并积极推动国际足联修改章程有关规定，明确足球运动员对其生物识别信息的知情权、决定权、可携带权、删除权，并设定单独条款规定足球运动员生物识别信息的保护措施。

5.5 开展专项国际合作

除前述美国立法外，欧盟《通用数据保护条例》、日本2015年《个人信息保护法》等均对个人生物识别信息做出专门规制。如欧盟《通用数据保护条例》将生物识别信息纳入保护范畴：第9条将生物识别数据界定为通过对自然人的物理、生物或行为特征进行特定的技术处理所得到的个人数据，同时明确该类数据是自然人的唯一标识；并要求除非经过个人给出明确、具体、不含糊的个人同意，或在法定情形、工作范畴、社会保障、公共利益、预防医学、职业医学等例外情形下，不得处理个人生物识别信息；各欧盟成员国可在生物识别信息的处理方面进一步引入其他限制条件等。第14条规定，数据控制者在收集与数据主体相关的个人数据时，应当告知数据主体，包括数据控制者的身份与详细联系方式、数据保护局的详细联系方式、数据处理将涉及的个人数据的使用目的，以及处理个人数据的法律依据等。

总体比较而言，欧盟侧重将生物识别信息纳入个人数据权利体系的法律规制，通过宪法性文件将数据权利作为公民基本权利加以明确，与隐私权相互分离；前述美国各州立法则倾向于归属隐私权保障，同时兼顾个人数据安全制度。由此反映出欧盟和美国对于生物识别技术应用的认可度差异和不同的权利保障定位[6]。值得注意的是，欧盟《通用数据保护条例》适用于所有欧盟境内组织和非欧盟组织处理欧盟境内个人数据的行为，因而在欧盟境内举办国际体育赛事或主办方需要采集欧盟境内运动员个人数据时，受到该条例的长臂管辖[41]。

鉴于世界各国和地区对于生物识别信息的保护立法所设定的标准和程度不尽相同，为落实《个人信息保护法》第12条的规定，建议强化足球运动员生物识别信息处理的国际交流与合作机制，在完善我国足球法律规制[42]的同时，积极参与生物识别信息国际规则的制定，推动国际足联出台专门规定，妥善处理国际赛事、国际转会等领域中的足球运动员生物识别信息相关法律问题，提升中国在国际体育法治中的话语权和影响力。