体育赛事中的个人信息收集、利用与保护
摘要
疫情下确保2022年北京冬奥会顺利举行面临诸多挑战。组织世界各地运动员来华参赛、安排食宿、疫情防控等工作不可避免地涉及运动员的个人信息采集、处理和使用。规范信息采集、保证在授权范围内使用, 保护各国运动员的合法权益, 避免发生争端, 是主办方以及各合作方的首要考虑之一。另外, 由于体育竞技水平能够体现综合国力, 运动员(大)数据还可能具有公共性和财产性, 一旦发生信息泄露或遭到滥用, 不仅会给运动员本人带来损害, 还可能因此延伸出国家数据权力冲突等问题。建议赛事主办方和相关合作机构梳理运动员个人信息的收集和利用情况, 遵守适用的世界各国法律规定和国际组织相关标准, 履行赛事举办的合同操作要求, 切实保障运动员个人信息权益与安全。
关键词: 体育赛事; 个人信息保护; 运动员数据; 收集和利用
互联网时代, 奥运会的网络安全危机逐步累积, 攻击矢量、数量、影响范围和威胁等级不断升级。据统计, 网络安全维护人员在悉尼奥运会期间平均每天处理网络攻击数达2.5万次[1], 此后每届奥运会均遭到大规模攻击。东京奥运会期间, 东京奥组委的工作人员、志愿者和持票者信息均先后被曝遭到泄露。[2]除体育赛事主办方外, 世界反兴奋剂机构(World Anti-Doping Agency, WADA)也是网络攻击的主要目标之, 俄罗斯黑客组织“奇幻熊”曾在网上公开WADA数据库泄露的信息, 包括威廉姆斯姐妹、体操名将拜尔斯在内的部分参加里约奥运会美国女运动员的保密医疗数据等。[3]作为体育赛事中最重要的参与者, 运动员个人信息安全面临巨大风险。另一方面, 当摄像与跟踪技术、Cookies技术、大数据技术应用于体育领域, 运动员每时每刻的身体表征、心理状态和生活情况都暴露在俱乐部等体育组织面前, 无所不在的监测对运动员的隐私权和人格权构成侵害。[4]
一
运动员个人信息的收集和利用
1. 筹办体育赛事
在大型体育赛事中, 出于确保比赛正常开展、维护比赛公平公正、保障运动员安全健康、促进赛事长远发展等目的, 主办方通常需从赛事的筹备、举办直至赛后的各环节中收集使用大量运动员个人信息, 其中大部分属于敏感个人信息。
(1) 筹备时:
运动员所在的体育组织需向赛事主办方提交运动员的报名信息, 包括姓名、国籍、年龄、性别、照片等身份信息, 身高、体重、健康状况等与身体素质相关的健康生理信息, 邮箱、地址、电话等联系方式。
设置参赛门槛的赛事还会要求运动员提供相应证明以确认报名资格, 来自于其他国家的运动员则需提供护照、签证和交通等相关信息以便主办方协助安排运动员出入境。
(2) 赛场内:
进行兴奋剂检查是比赛阶段中运动员个人信息的主要来源。反兴奋剂组织通常采取赛内直接药物检测、使用运动员生物护照、要求上报行踪信息、进行飞行检查等方式进行全方位监控, 涉及运动员的遗传信息、住宿信息、行踪轨迹等敏感个人信息。[5]
出于媒体宣传和赛事分析的需要, 比赛场馆中将设置大量摄影摄像和照明设备, 用于捕捉、分析和处理运动员的生物识别数据和技术动作数据。该等信息也同时被用于判断、处理运动员的违法违规行为。[6]
(3) 赛场外:
越来越多的体育赛事主办方在场馆、住宿及餐饮场所内采用人脸识别或指纹验证加强人员出入管理, 一方面作为加强反恐安全的措施, 另一方面简化通过检查的程序。[7]
大型体育赛事中, 运动员的医疗健康保障是不可或缺的。健康医疗服务则涉及大量运动员的检验报告、病历、病史等健康生理信息的收集和处理。
可佩戴设备如支付手环、指环的出现一方面为运动员的比赛、训练和生活提供便利, 另一方面也获取了运动员的位置信息、支付信息。[8]
在与赛事相关的宣传、社交、庆祝等各项活动中, 媒体也可能从不同角度记录运动员的个人生活数据。
2. 商业化利用
除用于体育赛事筹办外, 运动员个人信息在大数据时代还表现出巨大的商用价值。目前, 运动员大数据被广泛用于在体育赛事中提高运动员比赛成绩, 日常评估、选拔和训练运动员, 预测运动员身体状况并预防伤病, 甚至是在体育衍生产业中盈利, 包括博彩中预测赛事结果、开发体育模拟游戏等。国际上多家体育数据服务商收集运动员原始数据、挖掘分析后以技术软件或数据报告等形式将运动员大数据出售给体育组织、博彩公司、体育企业等机构。举例而言:
(1) SAP开发的Tennis Analytics for Coaches(网球赛事实时分析软件)通过实时数据分析为教练员在比赛过程中调整球员阵容和战术提供依据; [9]
(2) NBA和NFL等职业赛事的球队均通过运动员数据分析运动员的比赛特点和球员之间的匹配度, 在预算有限的情况下挑选潜力球员, 在合同谈判时评估合同价值, 组建理想的球队阵容;
(3) 爱尔兰运动表现公司Orreco与多个球队建立合作, 通过球员血液测试和比赛时间、睡眠数据、飞行距离及场上反应等数据分析, 了解球员的竞技状态和身体情况, 为球员制定个人训练计划。[10]
值得注意的是, 出于商业化目的, 体育数据服务商可能以更丰富的维度和更密集的颗粒度采集运动员个人信息, 例如, 体育游戏《Football manager》的开发和维护即涉及全方位采集足球运动员的个人信息, 不仅包括运动员的基本个人信息、职业生涯数据、工资情况, 甚至对生活习惯、身体条件、技术动作和精神状态进行评价。[11]
二
运动员个人信息处理的法律适用
1. 欧盟数据保护体系
欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)GDPR适用于所有欧盟境内组织和非欧盟组织大规模处理欧盟境内个人信息的行为。因此, 无论是在欧盟境内举办体育赛事, 委托欧盟境内机构承办体育赛事, 还是体育赛事涉及来自欧盟的运动员, 相关个人信息处理活动都会受到GDPR的规制。基于这种宽泛的适用范围, 国际奥委会已将与GDPR相关的个人信息保护要求纳入办奥的合同原则和操作要求中。
国际体育赛事中跨境传输个人信息具有普遍性, 例如, 法国奥委会将运动员的注册信息传输给中国奥组委, 中国奥组委将德国籍运动员的检测数据传输给WADA。因此, 体育赛事主办方无可避免地需要遵守GDPR对相关个人信息传输至第三国或国际组织的要求。
GDPR下的个人信息跨境传输保障主要通过充分性认定(Adequacy Decision)、有约束力公司规则(Binding Corporate Rule)和标准合同文本(Standard Clauses Contract)三种方式实现。充分性认定适用于欧盟委员会认定某一国家、地区等具备充分的个人信息保护水平, 个人信息无需特别授权即可向该等国家或地区传输。[12]具有约束力的公司规则仅适用于经监管机构批准的集团内部个人信息传输。[13]自GDPR颁布至今, 仅有英国、阿根廷、加拿大、日本、韩国、新西兰等在内的14个国家和地区获得了欧盟委员会关于数据保护水平的充分性认定。[14]此外, 原本被视为充分性认定之一的美国-欧盟隐私盾计划在Schrems II案中被判决宣告无效。[15]因此, 绝大多数国家的赛事主办方在未与欧盟达成任何数据共享协议的情况下, 将面临极大的GDPR合规挑战。
2. 美国数据保护体系
美国没有形成统一的个人信息保护法和确定唯一的监管机构。美国的个人信息保护体系是分散式的, 以不同行业或不同事项为维度, 针对各种类型的数据处理行为分别制定单行法, 并由对口的行业主管部门进行监管。以隐私保护为目标, 美国的个人信息保护立法涵盖了财务信息、医疗健康信息、电子信息的收集和使用、儿童在线隐私保护、个人信息披露、数据控制者和处理者的义务等领域。[16]美国的个人信息保护体系采取“知情同意”机制, 但相较于欧盟而言其构成有效“同意”的条件较为宽松。
在数据跨境方面, 美国总体持数据跨境自由流动的态度, 在个人信息相关的立法中未观察到禁止或者限制个人信息跨境流动的明确要求, 仅在特定情况中出于国家安全的考虑要求数据传输方和接收方签订包含数据本地化要求的安全协议。[17]
3. 国际组织的指南和标准
WADA为反兴奋剂工作制定了《世界反兴奋剂条例》(The World Anti-Doping Code)及一系列配套标准, 包括《签约方遵守条例的国际标准》(International Standard for Code Compliance by Signatories)、《检查与调查国际标准》(International Standard for Testing and Investigations)、《用药治疗豁免国际标准》(International Standard for Therapeutic Use Exemptions)、《隐私与个人信息保护国际标准》(International Standard for the Protection of Privacy and Personal Information)(“《隐私标准》”)、《实验室国际标准》(International Standard for Laboratories)、《结果管理国际标准》(International Standard for Results Management)、《禁用清单国际标准》(International Standard for the Prohibited List)和《教育国际标准》(International Standard for Education)。该等世界反兴奋剂规则体系对包括国际奥委会、各国奥委会、各国反兴奋剂机构、单项体育联合会等在内的约700个体育组织具有强制约束力。[18]
因此, 相关体育赛事在开展运动员药物检测、接收运动员行踪信息和医疗信息等反兴奋剂工作的过程中应遵守《世界反兴奋剂条例》项下的《隐私标准》。值得注意的是, WADA制定初版《隐私标准》时即主要参考了欧盟的《数据保护指令》, 而GDPR的实施推动了WADA对《隐私标准》展开修订, 修订后的《隐私标准》充分参考了GDPR的数据处理原则[19], 可见GDPR的影响力事实上已扩散至整个体育赛事领域。
三
运动员个人信息处理的协议约束
1. 赛事主办合同
国际体育赛事在组织筹办的过程中需考虑不同国籍的参赛者, 鉴于前述不同国家和地区的数据保护法律的复杂性, 有必要对如何适用法律、解决法律之间的冲突和协调予以明确约定。作为世界范围内影响力最大的体育赛事之一, 奥运会已经注意到目前多个国家和地区的数据立法情况, 并在实践中对相关规定和要求做出了相应的安排。下文将以奥运会为例说明实践中国际体育赛事对该种情况的回应。
取得奥运会的主办资格后, 主办城市及该城市所在国的国家奥委会需与国际奥委会签订《主办城市合同》(“《合同》”), 而具体协调和运作则由为举办奥运会而专门设立的奥组委实际负责。在筹备和举办比赛的过程中, 奥组委将受到《合同》及不断更新的国际奥委会对奥运会举办要求的约束。
尽管历届奥运会的《合同》具体内容略有差异, 但总体而言国际奥委会均对奥运会相关的数据权属、数据跨境传输和数据保护作了规定。根据《合同》及其配套附件, 奥组委在处理个人信息时主要需遵循如下要求:
(1) 确保为促进奥运会的参与、组织和推广而处理一般个人信息, 并在必要范围内遵守所有适用的法律和法规, 特别是所有适用的隐私和数据保护法律(包括东道国以外的国家可以适用的法律);
(2) 所有与医疗服务和反兴奋剂计划有关的活动都必须遵守可适用的法律法规, 尤其是与保护运动员个人权利有关的数据保护法律及其他法律, 以及世界反兴奋剂机构和国际奥委会或国际残奥委会为上述特殊目的制定的隐私标准或安全指南;
(3) 应仅出于履行《合同》义务之目的处理个人信息, 并遵守所有适用的数据保护法律法规。[20]
实践中, 奥组委在运动员的报名表中以主要条款的形式就个人信息的收集处理进行告知并通过运动员签署报名表征得同意。报名表的附件则详细列举和说明了处理个人信息的责任主体、目的及主要场景、信息类型、信息接收方、保存期限、安全保障、跨境传输及个人信息主体权利等事项。
2. 运动员与体育组织的协议约定
除体育赛事相关规定和协议外, 运动员个人信息的收集和使用还会受到运动员与其所在体育组织签署的协议条款的约束。例如, 美国国家橄榄球联盟(National Football League, NFL)的球队均与其球员在协议中加入数据采集条款, 允许球队通过RFID设备采集数据。[21]
运动员个人信息管理尚未成为我国体育领域的关注重点, 各地体育局与运动员签署的《试训协议书》《优秀运动员聘用合同》《全国运动员代表资格协议书》仅笼统要求运动员遵守相关规章制度, 各运动协会或管理中心与运动员签署的商业开发合同则更多侧重于运动员肖像、姓名、声音及其他与运动员人格和身份有关的各种标识的商业推广和宣传使用, 专门针对运动员个人信息授权的机制有待完善。
四
对收集利用运动员个人信息的合规建议
在各国数据保护立法宽严程度不一、数据保护水平有参差的情况下, 难以仅从法律规范的角度得出一套统一有效的运动员数据保护机制。因此, 我们综合业务实践, 对运动员个人信息保护工作提出如下几点合规建议:
1. 如上所述, 尽管各国数据保护立法模式和细则有所区别, 但国际社会普遍以保护隐私为首要目标, 收集和使用个人信息应确保获得个人信息主体的“知情”“同意”, 并保证对于信息的全生命周期处理活动均是“合法、正当、必要”的, 且均在授权同意范围内开展。对于需要处理个人信息的各方, 应将该种要求落实到合同条款中, 并且明确约定相应的违约责任。
2. 需注意区分信息的敏感度采取不同程度的保护措施和处理措施。例如, 收集敏感个人信息时需获得个人信息主体的“单独同意”; 收集和处理与医疗服务或反兴奋剂活动相关的敏感信息时, 还要符合《隐私标准》的要求。具体而言, 可以将运动员数据厘定为“经一般同意可采集”和“经严格同意可采集”两类, 针对两类数据实施不同的同意机制及后续的保护措施, 使得标准统一、操作上却能更为便捷。
3. 选择在数据合规方面资信良好的服务商进行合作, 并通过服务协议、供应商服务守则等方式划定其职能和权限, 明确其仅能在相关的活动或者项目内使用相关运动员数据, 要求其在服务结束后及时删除相关数据, 不得擅自加以分析利用产生衍生数据。
4. 建立个人信息主体权益保障机制, 包括事先制定清晰易懂的数据保护手册; 完善运动员的建议、申诉和投诉渠道; 设置专人进行响应和处理等。
5. 在开发利用运动员大数据的过程中, 一方面应确保该种商业化利用方式已经取得运动员的授权同意, 并明确原始数据和衍生数据的权利归属, 另一方面应强化对运动员数据的安全保护。此外, 由于数据来源的特定性和算法设计者的主观性可能对数据分析结果的准确性和可信赖性造成影响, 进而可能损害运动员的个人权益, 借助运动员大数据建立决策机制时还应保障运动员对偏倚性结果的申诉权。
五
结语
收集使用运动员个人信息已经成为体育赛事顺利筹办的一项重要工作, 挖掘分析运动员个人信息形成的运动员大数据在大数据时代表现出巨大的使用价值和交换价值。尽管当前世界各国已充分意识到保障公民个人信息权利和隐私权的重要性, 并制定或完善相关法律法规体系, 但由于各国数据保护水平不一、立法存在差异和冲突, 不断曝光的赛事主办方和服务提供商遭网络攻击、黑客组织泄露运动员个人信息等案例表明运动员个人信息保护形势依然严峻, 不管是各国法律的适用, 还是赛事和运动员相关协议的约束, 在保护运动员个人信息安全、获取运动员知情同意等方面均显得捉襟见肘, 保障运动员个人信息权利刻不容缓。对此, 我们结合以往的研究成果和业务经验, 认为处理运动员个人信息应以知情同意为原则, 按照信息敏感程度采取不同的处理方式和保护措施, 加强对合作方和服务商的监督管理, 建立运动员个人信息权益保障机制, 在运动员大数据方面更应形成规制, 实现合法合规采集和利用。
向下滑动查看注释
[1] 李舒, 《奥运安全的网络攻守》, 载于《瞭望新闻周刊》2008年第24期, 第17-18页。
[2] Aaron Tan, Tokyo 2020 hit by data breach, ComputerWeekly.com, [EB/OL], [2021-08-05], https://www.computerweekly.com/news/252504456/Tokyo-2020-hit-by-data-breach
[3] 王丹娜, 《重大体育赛事网络安全威胁评估》, 载于《中国信息安全》2018年第2期, 第72-76页。
[4] 杨春然, 《论大数据模式下运动员隐私的保护》, 载于《体育科学》2018年第2期, 第82-90页。
[5] 刘韵, 《<民法典>下运动员的隐私权及个人信息保护》, 载于《体育成人教育学刊》2020年第4期, 第6-10页。
[6] 李智、黄琳芳, 《国际体育赛事中运动员数据采集的法律规制》, 载于《体育科学》2020年第9期, 第44-52页。
[7] 《外媒: 2020年东京奥运会将首次采用人脸识别系统》, 中国新闻网, 最后访问于2021年8月4日, http://www.chinanews.com/gj/2017/12-25/8408606.shtml
[8] 叶纯青, 《奥运会上的科技秀》, 载于《金融科技时代》2016年第9期, 第88页。
[9] Tennis Team Packages, Tennis Analytics, [EB/OL], [2021-08-03], https://www.tennisanalytics.net/services/teams/
[10] Orreco Signs Multi-Year Deal with NBA's Atlanta Hawks, Orreco, [EB/OL], [2021-08-03], https://www.orreco.com/post/orreco-signs-multi-year-deal-with-nbas-atlanta-hawks
[11] 徐伟康、徐艳杰、郑芳, 《大数据时代运动员数据的法律保护》, 载于《天津体育学院学报》2019年第5期, 456-460页。
[12] GDPR, Article 45.
[13] GDPR, Article 47.
[14] Adequacy Decisions, European Commission, [EB/OL], [2022-01-17], https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
[15] Case C-311/18 Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, [EB/OL], [2021-08-04], https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=9710189
[16] 赵丽莉、郑蕾, 《美国数据与隐私安全保护制度进展述评》, 载于《重庆理工大学学报(社会科学)》2019年第10期, 第110-118页。
[17] 王融, 《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》, 载于《信息安全与通信保密》2018年第3期, 第41-53页。
[18] Code Compliance, World Anti-Doping Agency, [EB/OL], [2021-08-03], http://www.wada-ama.org/en/what-we-do/the-code
[19] WADA’s revised International Standard for the Protection of Privacy and Personal Information (ISPPPI) comes into effect, World Anti-Doping Agency, [EB/OL], [2021-08-04], https://www.wada-ama.org/en/media/news/2018-06/wadas-revised-international-standard-for-the-protection-of-privacy-and-personal
[20] 裘韵, 《试析GDPR 影响下奥运赛事承办方跨境传输个人数据的合规义务——以2022 年北京冬奥会为例》, 载于《体育科学》2019年第7期, 80-91页。
[21] Joseph J. Lazzarotti, Mary T. Costigan, Ashley Solowan: As Wearable Technology Booms, Sports and Athletic Organizations at all Levels Face Privacy Concerns [EB/OL], [2021-08-03], https://www.workplaceprivacyreport.com/2019/04/articles/health-information-technology/as-wearable-technology-booms-sports-and-athletic-organizations-at-all-levels-face-privacy-concerns/?__cf_chl_managed_tk__=pmd_2d6b714b6b89e7b84f259f5041e1333a43168e81-1627979488-0-gqNtZGzNA3ijcnBszQi6
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
邓梓珊 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!