裘 韵

（苏州大学 王健法学院，江苏 苏州215006）

欧盟制定的《一般数据保护条例》（General Data Protection Regulation，GDPR）设计了最严格的数据保护标准与跨境流动规则，堪称全球隐私保护的最高标杆，自2018年5月25日生效后，在全球范围内发挥着不容忽视的影响力。该条例虽非国际强行法，但其在适用上采取的“长臂”管辖原则导致任何与欧盟有贸易往来的数字企业都可能受其管辖，在事实上已成为全球性的法律。从GDPR的目的及其影响力辐射范围来看，其主要作用于跨境贸易领域，但从当前国际体育组织的一些行动来看，GDPR的影响并未止步于国际经济活动，对个人信息①需要明确的是，“个人数据”与“个人信息”并不是同一个概念，数据是信息的载体，信息是数据的内容。因此，本文所讨论的奥运赛事承办方跨境传输的对象是“个人数据”，但承办方履行合规义务所保护的对象是“个人信息”。的保护要求在潜移默化中进入了体育领域，并将长期影响相关规则与实践的发展。

1 GDPR对体育领域的影响

GDPR对体育领域产生影响，一方面是基于国际体育组织在自治之余，作为民事主体开展经济活动仍需遵守相关的法律法规，另一方面则是越来越受到重视的运动员权利保护层面的必然要求。

1.1 对全球反兴奋剂斗争的影响

体育领域的反兴奋剂斗争旨在遏制为获得不正当的优势以提高比赛表现而实施的药物滥用行为，但运动员及其团队对作弊手段无止境的追求给反兴奋剂组织开展反兴奋剂工作带来了极大的挑战，越来越多最初以科学实验或医疗为目的被研发的药物因其“体育实用价值”而被带入运动场，与此同时，为满足市场需要而专门研发的隐蔽的新型“性能增强药物（performance enhancing drugs，PEDs）”层出不穷，屡禁不止。为此，反兴奋剂组织采取的监督方法亦不断地调整和发展，包括赛内直接的药物检测、运动员生物护照（athletes biological passport，ABP）项目、为保证兴奋剂检查的有效性要求精英运动员上报行踪信息等。通过全方位的监控，反兴奋剂成效显著，但在上述收集证据的过程中，难免涉及敏感的对个人数据的处理问题，倘若反兴奋剂组织不谨慎对待，极有可能侵犯运动员的隐私权及其他个人信息权利，既有悖于维护纯洁体育、保护运动员健康等开展反兴奋剂运动的初衷，也不符合相关人权保护法律法规的要求。

因此，世界反兴奋剂机构（World Anti-Doping Agency，WADA）早在2009年就响应了利益相关方的要求，制定了《隐私与个人信息保护的国际标准》（International Standard for the Protection of Privacy and Personal Information，简称《隐私标准》），要求各反兴奋剂组织在开展反兴奋剂斗争时遵循隐私保护原则，以充分保障运动员在履行接受药物检测、上报行踪信息和医疗信息等义务时，对其个人信息享有的基本权利。受GDPR出台的影响，该文件于2018年完成了新一轮的修订。WADA在草拟并公布修改方案后，考虑并采纳了利益相关方的建议：在总体上，对反兴奋剂组织处理个人数据的合法性提出了明确的要求（第4条）；修改了“安全违规（security breach）”和“敏感的个人信息（sensitive personal information）”的定义（第3.2条）；澄清了处理个人数据应遵循的法律或批文（第6条）以及相关主体对其个人信息享有的权利（第11条）；要求反兴奋剂组织承担维护其所掌握的个人信息的安全性的责任（第9条）并确保相关主体的知情权（第7条）。

上述修订使《隐私标准》充分反映了GDPR的数据处理原则，并推广了目前全球最高的数据隐私保护标准，在无形中将GDPR的影响力扩散至整个体育领域。

1.2 对国际大型体育赛事的影响

除反兴奋剂活动因涉及大量运动员的敏感数据而有必要充分考虑GDPR的影响外，国际性的体育赛事在组织筹办和商业运作的过程中，因涉及不同国籍的参赛成员（运动员、辅助人员等）、志愿者和媒体的信息注册，以及向观众提供票务、餐饮、住宿服务等市场运营行为，均无法避免对个人数据的收集与处理。换言之，当举办此类赛事的体育组织需要获取来自欧盟境内的参赛者、志愿者与消费者的个人信息，或委托设立在欧盟境内的承办方举办此类赛事，就有必要考虑GDPR的数据保护合规要求。作为目前世界范围内运作最成功的国际大型体育赛事之一，面对GDPR带来的影响，奥林匹克运动会（以下简称“奥运会”）势必首当其冲。

众所周知，根据《奥林匹克宪章》（以下简称“《宪章》”）的规定，奥运会是国际奥林匹克委员会（以下简称“国际奥委会”）的专有财产，与奥运会有关的所有权利均属于国际奥委会所有。有意举办奥运会的城市需按《宪章》规定的选举程序，经投票当选后，才有资格与国际奥委会签订《主办城市合同》以获得赛事的主办权。该合同的签署者一般为国际奥委会与申办城市以及该城市所在国的国家奥委会，但在履行阶段主要由承办城市为举办奥运赛事而专门设立的组织委员会（以下简称“奥组委”）负责协调与运作。实际上，在筹备和举办比赛的过程中，奥组委不仅受合同的约束，还需要在最大限度内满足国际奥委会对赛事举办的具体要求。2018年2月，国际奥委会在2014年通过的《2020年奥林匹克议程》的基础上正式发布了包含一百余项措施在内的“办奥新规范（Olympic Games：the New Norm）”，旨在将《议程》的构想落到实处，让未来的奥运会更加灵活、可持续，以实现奥林匹克运动长期发展的目标，而2022年北京冬奥会将是首届落实并受益于上述改革的奥运会（新华社,2018）。同时，国际奥委会特别审查了2022年、2024年和2028年奥运会的《主办城市合同》，并于同年发布了最新版的合同原则（Host City Contract-Principle）与操作要求（Host City Contract-Operational Requirements）以反映新规范带来的变化，其中就包括新增的个人信息保护要求与数据保护合规要求。

可见，在奥运赛事中，GDPR带来的连锁效应与潜在的合规义务实际将由受国际奥委会委托的承办方负担。为进一步观察GDPR在体育领域的影响力，笔者拟以率先落实改革，最能体现新变化的2022年北京冬奥会为例，结合相关法律文件，就奥运会承办方（城市、国家奥委会与奥组委）在数据跨境传输方面需承担的义务与实践中可能存在的问题展开分析。

2 奥运赛事承办方跨境传输个人数据的合规义务来源

理论上，根据承办赛事的城市与国家奥委会签署的承诺①《2022年冬季奥运会主办城市合同》第一部分“基本原则”的第4条明确约定：“城市、国家奥委会和奥运会组委会对那些无论是单独签订还是共同签订的，无论是与奥运会的规划、组织、融资和举办有关的，还是其他方面的，包括本合同产生的义务有关的所有保证、陈述、声明、契约、其他承诺和义务，都应承担连带责任，但国家奥委会不负责有关的财政承诺。”，奥委会在组建完毕后将自动成为合同的一方，因此由城市、国家奥委会与奥组委组成的承办方可能负担的跨境传输个人数据的合规义务主要来源于《主办城市合同》的要求。但需要注意的是，在奥运赛事的反兴奋剂工作中，WADA制定的《隐私标准》亦是承办方的义务来源之一。

2.1 《主办城市合同》及其附件的要求

从现有的一系列奥运会合同文件②截止目前为止，国际奥委会与各承办城市订立的尚未完成的合同及相关附件包括：1）《2020年第32届奥运会主办城市合同》及其附录；2）《2022年第24届冬奥会主办城市合同》及其附件《主办城市合同-详细义务》（2015年7月24日）；3）《主办城市合同-操作要求》（2015年9月）；4）《2024年第33届奥运会主办城市合同》；5）《主办城市合同-操作要求》（2016年12月）；6）《2026年第25届冬季奥运会主办城市合同（候选程序）-原则》；7）《2028年主办城市合同-原则》；8）《主办城市合同-操作要求》（2018年6月）。来看，《主办城市合同》及其附件在订立后并不是一成不变的，通过比较国际奥委会先后公布的各版本合同内容可以发现，与个人数据跨境传输有关的合同条款呈数量明显增加、具体操作要求进一步细化的趋势。

以2022年北京冬奥会为例，2015年北京市与中国国家奥委会同国际奥委会订立的《2022年第24届冬奥会主办城市合同》及其附件《主办城市合同-详细义务》对个人数据跨境传输方面的要求为数不多，首先，主合同明确了奥运会以及与之相关的一切权利和数据独属于国际奥委会所有，即国际奥委会只是通过合同有条件的向承办城市委托部分权利，如为举办比赛的必要而收取、处理相关数据等。因此，承办方需确保向国际奥委会传输用户的数据和资料用于促进奥林匹克运动；其次，若承办方需要将获取或存储的用户个人信息或敏感的个人信息传输给第三方，则需要事先向国际奥委会提交所有数据传输的计划以供批准；最后，该合同在《详细义务》部分进行了补充，要求承办方确保，在适用法律允许的最大范围内使国际奥委会或其授权的第三方可以始终免费使用奥运会过程中收集和处理的所有用户数据，且无需有关的数据主体进一步同意或授权。

但就在北京冬奥会的合同文件及其详细义务附件发布不久，国际奥委会又为将于2024年举办的第33届奥运会发布了《主办城市合同-操作要求（2015年9月）》，而巴黎作为申办城市于2017年获得了该届奥运会的承办权。从国际奥委会官方网站公布的2024年巴黎奥运会文件列表来看，该文件已替代《主办城市合同-详细义务》作为2015年后各版本《主办城市合同》的重要组成部分，旨在详细说明合同原则要求下的一系列核心要素，为运动员和所有参与者展示奥运会的服务质量和条件，同时允许潜在的主办城市将其奥运会理念与自身的体育、经济、社会和环境长期规划需求相匹配（International Olympic Committee, 2015a）。此后，《主办城市合同-原则》及其配套的《操作要求》在2016－2018年期间又发布了两个版本，分别适用于2028年的洛杉矶奥运会与申办城市待定的2026年冬季奥运会。

比较可以发现，2018年以前发布的各版本合同及配套的操作要求在个人数据跨境传输方面的要求与2015年版的《详细义务》相比，未见明显变化，仅在2017年对《主办城市合同-操作要求（2016年12月）》的内容进行微调时，增加了1项关于合作合同条款与当地法规的通报义务。但在为2026年第25届冬奥会候选城市准备的《主办城市合同-原则》与2018年6月更新的《主办城市合同-操作要求》中，受“新规范”的影响，国际奥委会明显提高了对个人数据保护的重视，不仅将“数据保护（Data Protection）”列为一项独立的主合同条款，在配套文件中还整合并增列了相关的细节要求，由此产生了2018年以后的奥运赛事承办方在个人数据的跨境传输方面需要履行的新义务。

2.2 WADA《隐私标准》的强制性要求

不同于前述基于契约而产生的尚有协商空间的合同义务，WADA为反兴奋剂工作制定的《隐私标准》与《世界反兴奋剂条例》（World Anti-Doping Code，WADC）（以下简称“《条例》”）及其他4项标准（禁用物质清单、检测和调查、实验室、治疗用药豁免）共同构成世界反兴奋剂体系，对《条例》的签约方具有强制约束力（李真,2018）。因此，在奥运会反兴奋剂工作方面，赛事承办方应根据WADC和相关国际标准的要求收集、储存和处理运动员及相关人员的个人信息。

值得一提的是，北京冬奥会签署的合同详细义务文本中虽未涉及与WADA隐私指南相关的内容，但在2018年版的《主办城市合同-操作要求》中，国际奥委会明确要求奥组委确保所有与医疗服务和反兴奋剂计划有关的活动都要遵守世界反兴奋剂机构和国际奥委会、国际残奥会为反兴奋剂目的制定的任何附加的安全或隐私标准（IOC, 2017）。换言之，在合同约定的情形下，承办方就更加无法逃避与反兴奋剂有关的跨境传输个人数据的合规义务。

3 个人数据跨境传输合规义务的主要内容

根据奥运赛事承办方在跨境传输个人数据方面可能的义务来源可知，对履行义务将产生影响的法律文件主要包括：承办城市签署的《主办城市合同》及其配套附件、《主办城市合同-操作要求》及其更新、其他可适用的国内法律法规以及WADA制定的具有强制约束力的国际标准。

3.1 合同规定的个人信息保护要求

以2022年北京冬奥会为例，结合北京市与中国国家奥委会签署的《第24届冬奥会主办城市合同》及其配套的《主办城市合同-详细义务》与最新的2018年版《主办城市合同-操作要求》来看，奥组委在举办比赛的过程中对于一般个人数据的跨境传输需履行的义务大致包括3个方面的内容。

3.1.1 与传输数据有关的行动需事先书面批准

主合同与详细义务附件中涉及的“数据共享”与“事先批准”义务主要与奥运会数据的所有权有关，且属于冬奥会组委必须履行的义务范畴。鉴于奥运会的所有权利与数据均属于国际奥委会所有，虽然承办方因举办奥运会的需要从注册、交通、住宿、票务、数字媒体等渠道直接获取了大量个人信息，但仅能依据与国际奥委会签署的承办合同获得数据的使用权。因此，合同要求承办方应在适用法律允许的最大范围内负担向国际奥委会传输相关个人数据的义务，确保拥有数据所有权的主办方可以免费使用上述数据以促进奥林匹克运动，而无需数据主体的进一步授权或同意。

此外，当承办方需要将其存储的任何个人数据传输给第三方时，所有相关的传输计划应事先提交给国际奥委会批准，相关的隐私政策、使用条款或类似的合同条款也被纳入事先批准的范围。

3.1.2 通报影响个人数据跨境传输的合同与法律法规

根据2018年国际奥委会“新规范”要求下的《主办城市合同-操作要求》，承办方在数据跨境传输方面的义务将显著增加，包括向国际奥委会通报与数字媒体平台订立的合同和东道城市当地可适用的法律条款。

通报的目的旨在排查潜在的可能阻止冬奥会组委收集个人信息，或向国际奥委会传输数据的因素，以确保奥运会能够顺利运营，且保证国际奥委会能无阻碍接收、访问和长期使用其所拥有的数据。

3.1.3 确保合法地处理个人信息

在《操作要求》新增的条款中，合规问题受到了重点关注，冬奥会组委不仅需要谨慎履行其合同义务中包含的合规要求，还负有协助国际奥委会履行其在数据保护立法下的义务。奥组委的合规义务主要涵盖以下两方面的要求：

1）对于一般个人信息，合同要求“确保为促进奥运会的参与、组织和推广而处理个人信息，并在必要范围内遵守所有适用的法律和法规，特别是所有适用的隐私和数据保护法律（包括东道国以外的国家可以适用的法律）”；2）对于敏感个人信息，则要求奥组委所有与医疗服务和反兴奋剂计划有关的活动都必须遵守可适用的法律法规，尤其是与保护运动员个人权利有关的数据保护法律及其他法律，以及世界反兴奋剂机构和国际奥委会或国际残奥委会为上述特殊目的制定的隐私标准或安全指南。

从内容来看，上述要求均以明确的目的为处理个人信息的前提，但划定的合规范围较为宽泛，仅能为承办方履行义务提供原则上的指引，具体的要求需要结合可适用的法律法规予以判断。

3.2 可适用的法律法规对一般个人数据跨境传输的要求

严格来说，合同要求的“处理（processing）”程序实际上包含了收集、存储、检索、咨询、使用、披露、传播、删除或销毁等一系列的操作，而不同文件的定义中对“处理”的过程是否包含“传输（transferring）”未有定论。但鉴于“收集（collection）”的过程离不开数据的传输，且合同本身亦涉及向国际奥委会“传输”个人数据的要求，本节拟从收集数据与传输数据这两个角度出发，探讨可适用的法律对承办方履行合规义务的影响。

3.2.1 对承办方收集境外数据的要求

承办方对境外一般个人信息的收集主要通过注册、交通、住宿、票务、数字媒体等渠道获得，数据主体一般为外籍运动员、辅助人员、官员、媒体、志愿者以及观看赛事或购买纪念品等享受有关服务的消费者等。其中，要求参与人员注册的目的是用于鉴别人员身份，确认他们在奥运会中所担负的职能或角色以授予必要的权限，且注册工作主要依据《宪章》和国际奥委会制定的《奥运会注册和报名用户指南》开展，而涉及境外观众个人数据的收集则可视为提供跨境服务贸易的必要过程，负责票务服务的合作商也应当遵循相关的数据保护立法。

目前全球大部分国家都制定了数据保护立法，但保护的对象侧重不同，以俄罗斯为代表的国家注重对涉及国家安全的数据保护，强调一国的数据主权，而以欧盟为代表的立法注重人权保护，强调数据主体对其个人信息享有的权利。考虑到欧盟制定的GDPR在个人数据保护方面的影响力，虽然该法规对非欧盟地区的东道国不产生直接的域外效力，奥运赛事的承办方无义务遵守GDPR的标准，但在举办赛事的过程中承办方需要收集来自欧盟地区的参与人员和消费者的个人信息，意味着至少在一定范围内无法逃避GDPR对其境内数据主体的个人数据传输至第三国或国际组织的要求。

GDPR对个人数据跨境传输至第三国或国际组织的要求主要规定在第五章，其中可能影响承办方履行跨境传输个人数据义务的要求主要集中于3项规则：

首先需要明确的是，在举办奥运会的过程中接收来自欧盟境内的个人数据的控制者处理者是赛事的承办者，而非享有奥运会所有权利和数据所有权的国际奥委会，但因承办方还负有向国际奥委会传输数据的义务，涉及GDPR第44条①GDPR第44条“传输的一般原则”规定：对于正在处理中的个人数据或拟在传输到第三国或国际组织后进行处理的个人数据，在不违背本条例其他规定的前提下，控制者和处理者满足第五章规定后方可传输，包括个人数据从第三国或国际组织再传输到其他第三国或国际组织。第五章的所有规定应当适用以确保条例所保障的对自然人的保护程度不受减损。规定的对此类数据进行再传输的情形，因而国际奥委会亦受GDPR合规义务的约束。

其次，根据GDPR第45条“基于充分性决议传输数据”的要求，经欧盟委员会决定认为能够确保“充分的保护程度”的第三国或国际组织无疑具备接收跨境传输个人数据的资格。但目前为止，欧盟委员会仅承认安道尔共和国、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭和美国能够提供充分的保护（European Commission,2019）。因此，未与欧盟签署数据保护协议以获得充分性决议认可的东道国就需要满足其他条款规定的条件。

最后，根据GDPR在第49条提供的“豁免”例外，在无“充分性决议”的情形下，只要满足该条规定的7个条件之一，承办方也可获得相应的数据传输资格。根据第49条，GDPR允许的特定情形包括：1）数据主体的明确同意；2）为履行先合同的必要传输；3）为订立或履行合同的必要传输；4）因公共利益的需要；5）提起、行使或抗辩法律诉求的必要；6）因客观原因无法给予同意，但具有保护该数据主体或其他人的重大利益之必要；7）旨在向公众提供信息可供查阅的登记册传输必要等。作为奥运会的承办方，在收集数据的过程中可能极有可能因数据主体的明确同意或因公共利益（反兴奋剂）的需要而获得豁免，但需要注意的是，不得滥用数据主体的同意，损害相关参与人员或消费者的基本权利。

3.2.2 对承办方向境外传输数据的要求

除前述提到的对来自欧盟境内的个人数据的再传输仍需符合GDPR的要求外，承办方向国际奥委会或国际残奥会传输个人数据还需遵守东道国的数据保护立法中对数据出境的规定。例如，若2022年北京冬奥组委向国际奥委会或国际残奥会传输个人数据，需遵守《中华人民共和国网络安全法》及其他与个人信息保护相关的法律法规。

目前，我国的《中华人民共和国网络安全法》总体上更侧重于国家层面的网络和数据安全，对于个人数据保护方面的要求相对笼统，且该法配套的规范文件《个人信息和重要数据出境安全评估办法》仍在制定过程中，目前主管部门发布的征求意见稿仅供参考，难以为奥组委跨境传输相关的个人数据出境提供确切的指引。综合现有的法律法规来看①主要参考法规：1）《网络安全法》第37条：关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储，因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；2）《个人信息和重要数据出境安全评估办法（征求意见稿）》第4条： 个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。未成年人个人信息出境须经其监护人同意。，我国强调“数据主体同意”的原则，要求个人数据出境应向数据主体说明数据出境的目的、范围、内容、接收方以及接收方所在的国家或地区，经个人同意后方可传输出境，涉及未成年人的信息还需监护人同意。同时，重视数据出境的安全评估，要求在境内产生的个人数据需本地存储，确实需要向境外提供的，应按照监管部门制定的办法进行安全评估。因此，我国的法律法规中可能影响2022年北京冬奥组委履行跨境传输个人数据义务的要求主要包括数据主体授权和安全评估两个方面，这意味着届时传输相关的个人数据出境可能需要数据主体的进一步同意，并经监管机构评估。

3.3 以反兴奋剂为目的跨境传输敏感个人数据的要求

根据主办城市合同及其附件的具体要求，奥组委应在国际奥委会的授权下，根据国际奥委会的指示、《世界反兴奋剂条例》以及国际奥委会将在奥运会举行期间实施的《国际奥委会反兴奋剂规则》的规定，自费建立并实施反兴奋剂检测。因此，当需要传输的个人数据属于与医疗服务或反兴奋剂活动有关的敏感信息时，承办方对运动员及相关人员个人敏感数据的处理需符合WADA制定的具有强制约束力的《隐私标准》的要求。

从《隐私标准》的结构体系及其内容来看，影响承办方在反兴奋剂活动中履行特别义务的规定主要包括以下几个方面：

首先，《隐私标准》对“敏感个人信息（sensitive personal information）”的定义为承办方履行义务划定了明确的范围，与参与者的种族或族裔、犯罪、健康（包括从分析运动员样本或样本中获得的信息）以及与生物特征和遗传信息有关的个人信息。之所以将上述信息称之为“敏感”并予以特别保护，主要与其泄露、非法提供或滥用可能对个人生活、名誉、身心健康等造成的严重损害有关。2

其次，《隐私标准》对“处理”的定义②《隐私标准》将“处理”定义为：收集、保存、储存、披露、传输、传播、修改、删除或以其他方式使用个人信息。中明确包括了“传输”这一活动，意味着即使文本中除定义外，未出现明确地对敏感个人数据跨境传输的要求，也可参考WADA对处理个人敏感数据的要求操作。

再次，《隐私标准》于2018年修改后采纳了较为严格的个人信息保护标准，要求反兴奋剂组织只有在取得与个人信息有关的参与者或个人的明确同意后，方能处理敏感个人信息，且应当按照适用的数据保护法律法规规定的具体保障措施或程序进行。按照该项要求，在奥运会举办过程中负责反兴奋剂工作的承办方在处理敏感个人信息方面也将负担合规义务，可能因此受到GDPR的影响。例如，当运动员的尿样或血样需要送往WADA认证的欧洲实验室检测时，难免涉及敏感的个人数据的跨境传输问题，虽然根据GDPR第49条所列的例外情形及前言第112项③GDPR前言的第112条“为公共利益等重要理由传输数据”中申明：豁免的例外情形适用于基于重大公共利益而需进行的数据转移，例如……为减少或消除在体育竞技比赛中使用兴奋剂之间的国际数据交换。的说明，基于反兴奋剂目的而收集欧盟境内的数据主体的敏感数据可被豁免以取得接收数据的资格，但因该实验室在欧盟境内，承办方仍需遵守GDPR的程序规则来获取数据。

最后，在对个人敏感信息的处理上，WADA还对反兴奋剂组织提出了更为详细的告知义务，包括收集信息的反兴奋剂组织的资格身份；将处理的个人信息类型；收集的个人信息的用途；个人信息潜在接受者的类别；在适用法律允许的情况下，公开披露个人信息的可能性；参与者在国际标准下的个人信息权利及行使权利的方式；向监管机构投诉的可能性与程序；个人信息存储期限；以及确保公平处理个人信息所需的其他信息。

可见，对于涉及医疗与反兴奋剂的个人敏感信息，作为数据主体的运动员及相关人员应享有必要的知情权、决定权，不论是拥有奥运会的数据所有权的国际奥委会还是因负责承办奥运赛事而获得部分权利处理个人敏感信息的奥组委，在收集、传输及其他处理环节中应充分尊重数据主体的权利。

4 存在的问题与解决的方案

结合合同条款、附件明细、法学理论、相关法律文件以及具体实践对奥运赛事承办方需履行的跨境传输个人数据义务进行评估，可以发现体育领域的数据保护意识整体上朝着积极的方向发展。因奥运会涉及大量的个人数据出入境，国际奥委会等国际体育组织对一般个人信息处理的合规要求予以了充分的重视，合同条款在全球数据保护立法、修法热潮的影响下得以不断细化；而反兴奋剂方面，因涉及的个人信息更为敏感，已更早地形成了严格且强制适用的规范，且从奥运会反兴奋剂工作的分工安排来看，主要部分仍由国际奥委会及其附属委员会与WADA合作完成，可以在一定程度上减轻承办方履约的负担。

但仍有个别问题需要进一步明确，包括但不限于合同变更的追溯适用、数据主体权利的真实保障、国际奥委会等国际体育组织的数据接收资格、东道国数据监管的干预等。

4.1 合同更新的追溯适用及其法律依据

国际奥委会与时俱进地提高承办方在个人信息保护方面的责任，固然响应了多数利益相关方的呼声，也符合其改革的目标和方向。但鉴于国际奥委会与奥会赛事承办方的一切行动建立在合同法律关系的基础上，后提出的新要求能否追溯适用于在先订立的合同，是否符合合同适用的一般法理等问题的答案对承办方履行义务的判定至关重要，值得探讨。

首先，《主办城市合同》属于体育领域特有的赛事承办合同，在性质上类似于委托合同①需明确的是，奥运赛事的承办合同与一般的委托合同仍有一定的区别，不能将两者完全等同起来，主要是因为《主办城市合同》文件中已明确排除了当事人之间具有代理关系的可能性，且作为主办方的国际奥委会无需为承办方的行为承担连带责任。，在形式上表现为格式合同，合同标的为赛事的承办权，主体一方涉外，并具有公私混合的表征②公私混合的表征指奥运赛事承办合同在签订时通常以申办城市的政府和国家奥委会为代表，且赛事运作的过程中离不开当地政府的权力配合，表面上具有行政合同的属性，但实际上赛事承办合同属于涉外民事合同，不宜将合同中的“城市”视为行政主体，否则可能影响对承办方履行义务的判断。。结合《宪章》规定的赛事承办城市遴选程序与《主办城市合同》中的基本原则、主要条款及其修辞来看，虽然此类合同是双方当事人基于合意自愿缔结而成的，但主体双方的权利义务并不平等，主要表现为：1）合同文本并非双方当事人共同拟定，而是由国际奥委会事先根据《宪章》、国际惯例及其他相关文件制定完毕并发送给申办城市，如果申办城市不接受则其申请将无法通过；2）由于主办方独享奥运会所有权利，事实上处于优势地位，承办方为获取承办权势必在一些方面要做出让步，如放弃用于奥运会、赛事转播及所使用的相关设备的纳税权等（侯亚楠,2018）。因此，从产生双方权利义务法律关系的合同本身来看，虽然缔约双方在身份上应被视为平等的从事民事活动的主体，但实际上国际奥委会掌握更多的主动权，通过在合同中设定的格式条款可以实现追溯适用。

其次，现有的各版本《主办城市合同》及其配套文件中相关的条款虽未明确指示追溯适用，但可以提供一些参考。以2022年北京冬奥会为例，2015年签订的合同文本第6条“主办城市合同详细义务的发展”和第7条“主办城市选举后所做的修改或变更”为国际奥委会修改或发布新版本的《详细义务》提供了依据。第6条主要为“修改或更新合同详细义务”提供了理由，结合实践来看，从双方订立合同到举办赛事间隔约7年时间，此前约定的义务内容难免因政策、技术和其他方面的变化而遭遇履行困难等情形，其中一些变化可能明显超出合同各方的控制，因此，不难理解国际奥委会保留修改《主办城市合同详细义务》和发布新版本的权利的初衷。第7条则列明了承办方在“修改或更新”方面的权利义务，即承办方有适应国际奥委会所做的修改或变更，以主办方确定的最佳方式组织奥运会的义务，但如果此类修改对其利益有重大影响时，应及时向主办方说明，双方采用谈判的方式协商解决，如果不能达成协议，则将提交仲裁解决。此外，在北京冬奥会的《主办城市合同-详细义务》文件中还明确提到了该文件适用于其他版本的奥运赛事合同的可能性，允许国际奥委会决定将文件所载的部分或全部义务也适用于在先的2018年第23届冬奥会主办城市合同或2020年第32届奥运会主办城市合同，由此可见奥运赛事合同对追溯适用的态度（International Olympic Committee，2015b）。34

虽然北京冬奥会签署的合同中允许对《详细义务》文件的修改或变更，但不可忽略的是，2015年后《详细义务》在后续的文件中就已被《操作要求》所取代，能否直接将两者等同，从而追溯适用《操作要求》的条款还有待商榷。从目前3个版本的《操作要求》对追溯适用的态度来看，2015年和2016年的版本中均明确包含“适用于其他版本的奥运会和冬奥会”这一条款，以支持国际奥委会与奥运组委会在协调的基础上，将更新的内容全部或部分追溯适用于先前的合同，但规定的较为简单，并没有涉及协调的具体情形。而2018年版的《操作要求》中却没有出现较为醒目的追溯适用条款，仅在“定期更新主办城市合同操作要求”条款③该条款指出，为了提高效率和适用快速发展的世界，奥运会的模式一直在发展，这就要求国际奥委会和国际残奥会定期审查和更新操作要求。同时在承办城市选举之后更新的操作要求的适用，应有国际奥委会和有关各方根据《主办城市合同-原则》中规定的变更管理机制达成一致。中提到更新后的适用需经2018年制定的《主办城市合同-原则》文件第30条规定的变更管理机制（change management process）①该条款规定的“变更管理机制”的内容与《主办城市合同-详细义务》第7条规定的协调程序相似，要求承办方根据国际奥委会对《主办城市合同-操作要求》的修改或更新及时调整其奥运会计划，如果相关更新可能产生重大不利影响，则通过谈判解决，不能达成协议的将提交有约束力的仲裁。此外，该条款设置了一段期间，要求承办方在规定期限内书面确认同意主办方所做修改或更新。达成一致，结合相关条文来看，对追溯适用仍持“原则上允许，重大不利影响例外”的态度。

最后，在先的承办城市追溯适用新《操作要求》的实践也可以为之后举办奥运会的城市提供一些思路。以即将于2020年举办的东京奥运会为例，该届奥运会的主办城市合同虽于2013年订立，且订立时并没有任何详细义务的附件，但最终以与国际奥委会签订补充协议的方式追溯适用了国际奥委会2015年发布的《主办城市合同-操作要求》，该协议载于附录1中，与附录2以及2015年的《操作要求》共同构成东京奥运会合同的一部分。因此，即使先合同没有相关的配套性义务明细，承办方也可以考虑采用订立补充协议的方式与奥委会就新要求的追溯适用或一些新问题的分歧达成谅解。

综合上述分析可知，倘若国际奥委会于2018年制定的新《操作要求》可为2022年北京冬奥会承办方同意接受，则产生追溯适用的效果，即新要求中对个人信息保护方面的要求或将成为北京冬奥会承办方跨境传输个人数据的合规义务来源。

4.2 数据主体是否真实“知情并同意”

通过对合规义务内容的梳理可以发现，不论是GDPR、我国的数据保护立法还是WADA制定的国际标准都强调充分尊重数据主体的权利，如GDPR将数据主体的“知情同意”作为个人数据跨境传输至第三国或国际组织的豁免条件，而我国法与《隐私标准》则将“知情同意”作为个人数据出境的重要前提。

但在体育领域，以格式合同条款为代表的强制“知情同意”可能导致数据主体的授权被滥用，甚至因此难获救济。造成这一现象的主要原因是数据主体（运动员）与数据控制者（反兴奋剂组织、承办方或国际奥委会）之间存在显著失衡，具体表现为：运动员想要参加比赛必须事前与体育组织或赛事组织方签订参赛合同，合同中通常包括运动员“同意”体育组织收集并处理其个人信息的条款，但运动员在授权时又明显欠缺决定权，因为任何不予注册、提供信息或拒绝“同意”的行为都将导致其无法参赛；同时，根据合同意思自治原则，当数据控制者通过参赛合同获得了运动员的授权后，除非违背运动员母国或东道国当地法律中的强制性规则，他方将不能干涉，即“知情同意”条款可能构成运动员日后向数据控制方主张隐私权及个人信息权利的障碍（杨春然,2018）。因此，以运动员的“知情同意”作为个人数据跨境传输至第三方或国际组织的法律基础是相对脆弱的，即使运动员的同意在反兴奋剂工作中已被普遍接受，也仅能被视为一项无可避免地法律要求，还需要法律提供其他的保障（Jacob et al., 2017）。

在奥运赛事中，此类隐蔽的霸王条款也可能出现在为奥运会服务的数字平台跨境提供服务或商品的过程中。例如，消费者为获得平台提供的票务、纪念品等需要在线注册，并点击确认用户注册协议，用户注册协议的准入性质与电子合同的特殊形式使平台有机会利用其优势地位滥用契约自由原则（王红霞 等,2016）。而大多情况下，由于用户并没有耐心看完冗长且不醒目的授权条款，无论是否真实“知情并同意”一概接受，以至于无形中为个人信息被提供给第三方或滥用埋下隐患。因此，采取措施规范奥运会合作方跨境提供服务或商品的格式条款，避免相关数据主体的授权被滥用，亦是赛事承办方履行义务需要考虑的问题。

4.3 国际体育组织如何获得“充分保护”认证

根据GDPR第五章的规定，除第三国外，国际组织也可以在获得欧委会的充分性决议后成为传输个人数据的安全港，由此产生的问题是：以国际奥委会为代表的国际体育组织能否获得相关认证，及如何获得认证？

从条例给出的定义来看，此处的国际组织指的是依照国际公法，或根据两个或多个国家协议所设立的组织及其下属机构，并非国际法学者们研究的严格意义上的政府间国际组织，因此在此语境下，以国际奥委会为代表的作为私法人的非政府间国际组织在满足条件的情况下也可以获得充分保护水平的认证，从而获得法律上的确定性，无需再经授权转移数据。6

目前，虽未发现任何有关欧委会认可国际体育组织为数据跨境传输安全港的文件，但从WADA在GDPR影响下委托知名律师事务所对其反兴奋剂管理系统与欧洲数据保护法的兼容性出具的法律意见中可以获取一些思路：反兴奋剂运行管理系统②该系统包括运动员的行踪信息、兴奋剂的结果管理平台、治疗用药豁免的管理以及存储信息的中枢等多个模块，便于利益相关方（运动员或其指定代表、体育组织、实验室、反兴奋剂组织等）随时更新和共享数据，其访问的权限和数据使用权一般是通过与使用者签订保密协议来预先设定的，且ADAMS需符合反兴奋剂组织所在国家的数据保护法的要求以及WADA制定的《隐私标准》的规定。（Anti-Doping Administration & Management System，ADAMS），是WADA为简化各利益相关方和运动员的日常活动（运动员提供行踪信息、实验室提交检测报告及反兴奋剂组织管理结果等）而特别开发的在线数据管理系统。就该系统跨境传输数据方面，法律意见指出，虽然欧洲数据保护法律限制个人数据从欧盟转移到欧盟以外未经欧委会充分性决议的国家，但ADAMS显然受益于WADA总部在加拿大的运营，该国恰巧是少数获得的充分性保护决议认证的国家，因此欧洲的反兴奋剂机构有资格向WADA传输数据，以履行相关的数据传输协议的合同义务。可见，国际体育组织的数据接收资格与其设立地所在国或监管机构所在国有关，相关数据保护法律条款的规定也充分暗示了这一点。根据GDPR第45条第2款，欧委会在评估充分保护程度时将重点考虑：1）法治、尊重人权和基本自由、数据保护规则、数据跨境传输规则及安全措施等；2）第三国境内是否存在约束国际组织的独立监管机构以及是否有效运作；3）是否存在第三国或国际组织达成的国际承诺、具有约束力的公约或文件等。结合前言部分对立法、缔约等情况的说明来看，国际组织能否获得欧委会的决议认可，确实与其设立地或经营地所在国的数据保护水平有关。因此，总部位于瑞士洛桑的国际奥委会、总部位于德国波恩的国际残奥委会以及总部位于瑞士苏黎世的国际足联等国际体育组织可充分利用其地理优势获得欧委会在个人数据跨境传输方面的认可。但这种优势造成的不公平可能引发其他设立或经营地不在欧洲境内、所在国也尚未获得欧盟认证的体育组织的不满，且获得充分保护水平认证的国际组织并不能通过合同分享其许可，仍需要与未获得充分性保护水平认证而不得不另寻他法的赛事承办方有所协调。

4.4 东道国政府的过度监管能否被约束

此外，奥运赛事中承办方收集个人信息的风险，还包括东道国政府以安全名义监管，但实际超出必要范围收取和使用数据。在2014年第22届索契冬奥会上，俄罗斯当局以确保奥运赛事的安全为由，对该次运动会进行了全方位的监管，通过Cookies技术、电话以及其他的通信设施，全面地收集游客（包括观众）、运动员、辅助人员和体育组织的官员等的个人信息，但俄罗斯当局对这种信息的使用实际上远超过其收集数据时所宣称的保护冬奥会安全的目的，如通过软件分析关键词的方式来研究比赛结束后人们的行为等（Rein et al.,2016）。有学者认为，对于此种情况，国际体育组织应当设置强制性的规定，责令相应组织应当将上述情况下所收集的个人信息销毁，并且对擅自使用运动员个人信息的行为进行处罚，除非这已经取得了运动员的同意（杨春然,2018）。

在这一说法上存在的问题是：虽然国际奥委会与主办城市、国家奥委会就奥运赛事的举办达成合意，从而形成了具有法律约束力的契约关系，作为奥运会相关数据的所有权主体，国际奥委会可基于合同要求承办方在授权使用及传输完成后及时删除所收集的个人信息，但是否有权处罚擅自使用运动员个人信息的承办方？且私法合同层面的约束能否实在对抗东道国政府基于安全理由开展的监控行为？如果不能，应通过何种方式解决各国参与人员的此种普遍担忧。

应当明确的是，《奥林匹克宪章》作为“准国际法”虽然在体育领域具有绝对的影响力，但其约束的对象始终是国际奥委会、国际单项体育联合会、国家奥委会、组委会及俱乐部和个人，不能超出体育自治的范围，尤其无法约束一国政府的公法行为。而国际奥委会与承办方之间始终为契约关系，根据主办城市合同“基本原则”的要求，城市、国家奥委会与奥组委对于所签署的所有保证、承诺、声明、契约义务等负有连带责任，因违法合同而导致的任何直接或间接赔偿、责任等，国际奥委会有权对上述承办方采取法律措施，即通过仲裁解决。

可见，东道国的过度监管行为一旦上升至公法层面，将难以约束，仅能在私法层面以违约或侵权等方式抗争，更多的还需要东道国政府遵守申办承诺，恪守契约精神，避免过分干预。

4.5 建立个人数据跨境传输的合规审查与监管机制

目前看来，要解决奥运赛事承办方在履行跨境传输个人数据的合规义务过程中遇到的理论与实践层面的问题，包括追溯适用的不确定性、GDPR跨境接收个人数据资格、东道国可能阻碍个人数据出境的立法、滥用格式条款损害数据主体利益及东道国政府利用数据监视等，可行的路径是采用2018年版《主办城市合同-操作要求》中给出的方案①2018年版《操作要求》“ACR 05 个人信息保护”条款中指出，“（为在必要范围内遵守所有可适用的法律法规）必要时与国际奥委会、国际残奥委会或任何相关第三方就处理注册人员的个人信息达成进一步协议，并采取必要措施，包括酌情与东道国或其他地区的数据监管机构协调。”，即协商订立有关个人数据处理的补充协议，以进一步细化赛事承办合同对个人数据跨境传输的要求，并在实践中产生的一些未决问题上达成共识。

首先，对于未获得充分的保护程度认证的东道国，通过谈判在最大限度内达成合意的灵活性显然优于欧盟单方的充分性评估机制，且奥运会的所有数据为承办方所收集后，还需提供给国际奥委会和国际残奥委会及其控制的第三方，通过协议的方式可以实现为多方取得接收相关个人数据的资格；其次，通过协议可以适当提高体育组织、赛事承办方的告知义务，如采取特别声明的方式确保注册人员对所提供的个人信息的用途、传输等“知情后同意”；最后，尽管与国际奥委会签订协议的是主办城市，但一国的某一城市举办奥运会实际上离不开政府的配合，在保障承办合同中的各项义务得到切实履行上，东道国政府无法推卸责任。从这一点出发，可以通过协议方式，协调东道国法律中可能影响奥组委履行将个人数据传输给国际奥委会的要求，如东道国法规要求个人数据出境需获得数据主体的进一步同意与原合同要求国际奥委会获取信息无需数据主体进一步授权之间的冲突等。

总体而言，补充协议的订立需建立在充分尊重数据主体基本权利的基础上，明确协议的性质属于涉外民事合同，承办方（城市、国家奥委会和奥运会组委会）作为民事主体时所做的承诺，在不违反东道国强制性规则或损害该国利益的范围内，应得到政府当局的尊重。

但协议的达成仅仅是解决问题的第一步，最终需要由各方采取措施将合同、操作要求与补充协议的内容落到实处，否则上述文件将沦为一纸空文。鉴于奥运赛事及其产生的所有数据的所有权归国际奥委会所有，而与赛事有关的数据的收集、处理、传输等活动主要由奥运赛事的承办方负责，本研究认为上述两个主体在落实个人数据跨境传输合规要求的过程中缺一不可，需共同合作以完成合规监管机制的构建。

就国际奥委会而言，建议成立专门的数据委员会或加强协调委员会①协调委员会是合同中明确要求的，在国际奥委会主导下为奥运会特别成立的独立委员会，主要处理奥组委与主办国政府各部门与国际奥委会、国际联合会和各国家（地区）奥委会之间的关系。在个人信息处理与跨境传输合规方面的外部监督作用，同时对适用数据保护法可能产生的冲突、数据保护补充协议在具体实践中产生的新问题，以及东道国数据监管机构审查、拦截或数据他用等情形进行及时地协调，必要时对违约的承办方追究法律责任。

就奥运赛事的承办方而言，其在事实上承担着合规自审与监管的主要职责。从GDPR出台后，2020年东京奥运会承办方在隐私政策方面所做的努力来看，奥运赛事中的个人数据跨境传输正积极向合规的方向靠拢，但仍存在一些问题。根据2020年东京奥运会官方网站公布的《隐私政策》，东京组委会将遵守本国的《个人信息保护法》和所有其他相关的法律法规，承诺将通过适当的程序获取个人信息、采取适当措施以安全地管理个人信息、限制向第三方提供个人信息、在个人信息的披露、更正、添加、删除等方面采取适当措施，并对承包商进行监督。具体来看，东京奥组委并没有制定专门的、条款式的规范性文件，而是采用问答形式在隐私政策中明确地解释了奥组委收集信息的过程及相关注意事项，包括个人信息的获取、与第三方的信息共享、对个人信息的使用目的、数据主体享有的权利及其行使等。同时，考虑到日本与欧盟间订立的数据共享协议，东京奥组委在隐私政策中特别强调了将根据GDPR收集和处理欧盟公民的个人信息。但随之产生的问题是，这一做法对于其他奥运赛事承办方，特别是与欧盟之间不存在数据共享协议的国家有无参考价值？若照搬这一“原则+例外”的政策制定模式，是否于无形中对欧盟以外的参赛国构成“歧视性待遇”？在个人数据传输的规定上，若GDPR与东道国的数据传输规定存在冲突，何者优先？基于承办方单方承诺的隐私政策能否取代数据保护补充协议达到协调各方利益的效果？对此，笔者认为单方公告的隐私政策确实可以增加透明度，确保个人信息在被收集、使用、传输的过程中获得真实知情同意，尊重和保障数据主体的权利，同时适当约束东道国潜在的过度监管。但仅有隐私政策是远远不够的，也不能直接替代数据保护补充协议，对于大部分尚未与欧盟达成数据共享协议的国家而言，仍建议采用“补充协议+执行保障机制”的模式，明确对参赛者、国家代表团成员、观众、志愿者等个人数据主体权利的充分尊重与平等保护，建立符合实际、程序严格、内容合理、部署到位的合规审查与监管机制。

5 对我国举办2022年冬季奥运会的启示

与前述东京奥运会相比，2022年北京冬奥组委会在个人数据跨境传输的合规问题上将面临更多的挑战，一方面我国与颁布GDPR的欧盟之间不存在任何数据共享协议；另一方面我国有关个人信息保护的规定散见于《民法总则》《网络安全法》《消费者保护法》《电子商务法》和《刑法》等法律法规中，《个人信息保护法》虽被列入立法规划，却进展缓慢，且以《网络安全法》为代表的涉及数据跨境流动的立法规定得过于笼统，缺乏指导性。因此，北京冬奥组委会除有必要在一些关键问题上与国际奥委会、国际残奥会及一些利益相关方，如欧洲奥委会等达成共识外，关键是要建立并完善对与个人数据跨境传输有关的文件和相关工作的合规审查与监督机制，以规避潜在的违法或违约风险。笔者拟结合现有的赛事承办合同文本与相关的法律文件，分析构建合规审查与监管的必要性，并尝试从审查的责任主体、监管的范畴与原则等方面提出一些制度建设的改进建议。7

5.1 合规审查与监管的必要性

拟开展合规审查与监管活动前应当考虑的问题是北京2022年冬奥会和冬残奥会组织委员会（以下简称“北京冬奥组委”）在“奥运赛事承办合同方”与“依据《中华人民共和国民法通则》成立的独立事业单位法人”这两重身份下所负担的合规义务之层次，这将影响审查与监管的必要性与正当性。

具体来看，位于第一层次的是北京冬奥组委作为法人应当遵守的直接义务来源，即我国民事、行政与刑事等国内法律法规要求的个人数据跨境传输必经的操作流程与禁止性事项，主要表现为对数据主体权利的尊重、对个人隐私的保护与对个人数据出境的审查。其中，对于数据主体的尊重与数据安全的保护应当自觉贯穿数据收集与处理等活动的始终，而在数据出境方面将受到国家安全机关的监管，涉及的合规问题更为集中。这一方面，目前可以参考的法律文件包括《网络安全法》的原则性要求与《信息安全技术 个人信息安全规范》（以下简称“《安全规范》”）提供的国家标准等。此外，《个人信息和重要数据出境安全评估办法》作为《网络安全法》的配套文件虽处于草案的修订阶段，但该文件正式发布后将成为北京冬奥组委及相关合作方传输相关个人数据出境时重要的合规操作指南。

位于第二层次的是北京冬奥组委因履行合同义务而承担的连带义务，主要指GDPR等域外数据保护法虽然只作用于国际体育组织，不会直接对北京冬奥组委产生域外效力，但基于赛事承办合同，北京冬奥组委有义务保证不影响国际奥委会等体育组织遵守所有可适用的数据保护法律。因此，笔者认为履行这一层次的义务而开展的审查与监督应重点关注“所有可适用的数据保护法律”涉及个人数据跨境传输出境的法律基础与禁止性规定，以避免在收集和再转移数据的过程中，给授权赛事承办的国际体育组织带来违规的风险，进而构成违约。

位于第三层次的义务主要来源于北京冬奥组委与招标购买或委托服务的第三方之间订立的合同，以及与政府部门之间的对接合作。在冬奥会与冬残奥会筹办的过程中，一些专业性或技术性的事宜往往依赖于第三方的数据处理者，如数据平台搭建、票务、官方网站运营和数据中心维护等，在交通管制、人员出入境流动、赛事外围的安全保障等方面也需要公安部门和边境管理部门的配合。若第三方在提供服务的过程中滥用收集到的个人信息，赛事举办期间承担着数据“控制者”角色的北京冬奥组委也将受牵连，为避免被动违约，有必要肩负起监管者和协调者的责任。因此，在这一层次上，北京冬奥组委既有必要与相关部门在共享信息的方面明确合作的边界，就相关个人信息的使用达成共识，也要及时审查和监督第三方是否在受委托范围内处理数据及处理活动的合规性。

因此，北京冬奥组委不论是为遵守国内法、履行赛事承办合同义务，还是为委托服务过程中保障自身的权益考虑，都有必要对涉及个人数据的收集与传输出境的处理活动，以及与之相关的合同条款进行审查，对可能共享信息的第三方也有必要尽到监督的义务。

5.2 合规审查的责任主体

从当前的运作模式来看，奥运赛事举办期间大量的法律工作与敏感事项都是由北京冬奥组委法律事务部负担，包括参加重要的谈判、监督并落实《主办城市合同》及其他附件或是补充协议、统一管理委内合同、协助国家奥委会与国际奥委会处理关联冬奥会的法律事务等。其中，如合同审查、出具法律意见书、研究法律问题、分析风险提出对策等工作通常委托专业的法律服务机构予以协助。而本次冬奥会，除发布招标信息继续聘请律师事务所参与筹办工作以提供法律支持外，北京冬奥组委还与一些法律学术团体订立了协议①北京2022年冬奥会和冬残奥会组织委员会于2016年同中国法学会体育法学研究会、北京市法学会体育法学与奥林匹克法律事务研究会订立了《学术团体协助北京冬奥组委承办法律业务的框架协议》，两法学学术团体根据北京冬奥组委需求，承办冬奥组委日常法律事务和其他法律事务。，旨在更有效地降低法律风险，避开合同陷阱，力求实现“法治奥运”目标。

考虑到评估个人数据跨境传输合规工作的成本、效率、专业性及相关业务的敏感性，在前述常规模式（以北京冬奥组委法律部工作人员为主，受托的专业律师、学术团体、安全顾问等为辅）的基础上开展合规审查与监督，还有必要建立与国家网络信息安全监管机构、境外数据合规监管机构以及国内行政、司法机关之间的合作与联动，以充分实现合规风险的预警、监管信息的互通、审查结果的备案与违规的应急处置。8

作为多方联动机制中的关键纽带，北京冬奥组委法律事务部应承担组织、核定与协调者的角色。一方面，有必要组织专家群体对所有可适用数据保护法律、与我国法规有冲突的条款等关联文件进行跟踪调研，研究应对策略，同时尽快与国际奥委会、国际残奥会及以欧洲奥委会为代表的利益相关方展开协商谈判，就新版合同操作要求的追溯适用、所有可适用法律关于个人数据跨境传输的规则冲突、数据保护水平等关键问题达成合理的补充协议，并及时公布；另一方面，明确审查与监管的范围、手段、程序、期限等，包括委托专业团队审查的权限、对反馈结果的备案、对结果的审核、与国内外的数据出入境监管机构的合作等，建议起草、审定上述内容后形成文件，作为办赛期间的正式制度实施。

作为合规审查的参与者，受聘的法律服务机构律师、学术团体的学者、合规公司顾问等应根据委托合同、框架协议及北京冬奥组委的现实要求提供协助。在此过程中，既要保证北京冬奥组委法律事务部能及时收到审查的反馈，以便做好处理的预案，也要确保审查结果的专业性、真实性，对于可能存在违规风险的合同或行为应出具整改或建议处理方案，包括补充先合同中有关个人信息保护的条款，与违约的第三方解除委托合同，诉诸争端解决机构维权等。同时，应重视对数据合规疑难问题的研究，如北京冬奥组委、国际奥委会、WADA等多个数据“控制者”对数据的联合控制权、处理个人数据（特别是个人敏感数据）的法律基础、合规评估的标准（比例性）等。

5.3 合规审查的范畴与原则

理论上，责任主体在个人数据的跨境传输方面开展合规审查与监督活动至少应涵盖文本审查与实践评估两个方面。

5.3.1 对合同及相关文本的审查

文本审查主要指审核合同、合同的补充附件及与履行合同有关的文本，包括但不限于票务销售、特许销售、酒店住宿协议等合同中，是否涵盖有关个人信息保护的义务条款，条款的要求是否完备，采用的数据安全标准是否为国家标准等，同时有必要关注相关票务、住宿服务提供商等涉及个人信息注册的平台所制定的注册协议中是否存有任意搜集用户信息等被滥用的格式条款。

对文本的审查应坚持合法、公平、透明，及保障数据主体真实“知情同意”的原则。特别是在征询数据主体意见的方面，冬奥会组委法律部门可以参考和借鉴东京奥运会组委会的做法，采用问答的形式，在官方网站上明确告知数据主体：2022年北京冬奥会将收集哪些个人信息、将从第三方获取的个人信息、使用个人信息的目的、如何共享信息及共享对象、数据主体享有的权利与行使方式、撤回“同意”的方式以及数据权利受侵犯的救济途径等。需要注意的是，为避免造成变相的歧视性待遇，不建议仿照东京奥运会单独给予欧盟公民以GDPR下的特殊待遇作为例外，而应当承诺给予所有数据主体以完整的数据权利和高标准的数据保护待遇。上述要求同样适用于对合作方收集个人信息的监督，北京冬奥组委的法律部门代表委内与公共机构或私人合作伙伴订立合同时，应当明确经委托获得个人数据访问权或可共享个人收据的服务提供商有义务保证数据主体“明知”并对其个人信息享有控制权，承诺在获得真实同意后处理和传输信息，否则将构成违约，委托方和数据主体有权追责。

5.3.2 对实践操作的合规评估

实践评估则指应当定期调查和评估数据处理者的操作是否合规，包括委托方是否安排“数据保护专员”负责记录、报告和对接数据处理的合规事宜，对共享信息的处理是否在授权范围内等。

为了增加个人数据跨境传输合规操作的透明度与各方对规则的可预期性，笔者认为冬奥会组委有必要结合实际，针对具体问题与国际奥委会、国际残奥会及利益相关方协商，达成书面协议或共识，在此基础上整合国内外可适用的个人数据保护的要求，集合专家力量进行解读，并公开合规审查的范围、要求与程序等制度，形成一套符合国情，便利履约，具有指导性且完备的“2022年北京冬奥会与冬残奥会个人数据合规处理指南”。通过指南，可以明确处理冬奥会个人数据应当遵循的基本原则，包括目的限制、数据最小化、完整性与保密性原则等，设置数据共享的边界，以保证个人信息在共享过程中不被不当使用或披露，划定不得滥用格式条款压制数据主体权利等红线条款来警示一些重要的不可为事项，既可作为合规监督工作的手册，也可用于对冬奥会组委负责数据工作的员工、合作方相关工作人员的培训。

此外，在反兴奋剂方面，虽然与WADA的合作可以在一定程度上减轻收集和传输敏感个人数据出入境的风险，但作为赛事的承办者，奥组委仍有必要对此进行必要的监督。事实上，因为反兴奋剂工作涉及比一般个人数据更为棘手的敏感个人数据，此类数据的保护问题与可被获取、处理、传输的法律基础一度受到质疑，尤其是运动员“同意”的虚构性（非自由的同意），即不同意的后果可能导致运动员失去参赛权利而迫使参赛者不得不同意。虽然反兴奋剂可以在没有立法干预的情况下，被视为“实质性公共利益”而获得GDPR等数据保护法的豁免，体育组织及受合同约束的奥运赛事承办方必须遵守WADA《隐私标准》更新后经审查也被认同符合欧洲数据保护法，但使用WADA反兴奋剂管理系统的ADAMS的冬奥会组委应考虑到的问题是：能否因数据删除等权力的实质受限，而主张在运动员个人敏感数据的跨境传输方面免责，以及使用该系统跨境传输在境内收集、处理的敏感个人数据出境，如何通过网络与信息安全监管部门的评估审查。

6 结语

奥运赛事承办方履行跨境传输个人数据的合规义务及其存在的问题充分反映了GDPR出台后为体育领域带来的变革与契机。各方已充分意识到体育领域保障运动员及相关人员的个人信息权利和隐私权，及大型赛事中采取必要措施避免赛事承办方在个人信息处理方面出现信任危机的重要性。然而，本文所探讨的跨境个人数据传输问题仅是数据处理中的一环，且基于单纯的跨境传输仅涉及提供保护、用户知情同意等方面的问题，尚能通过协议等方式协调，而在其他数据处理环节还存在更多难以调和的问题，如数据的本地化存储方面因各国立法本身存在价值取向上的矛盾，部分国家甚至明确要求敏感个人信息不允许在境外存储等冲突，有待进一步研究与探讨。