国际体育赛事中运动员数据采集的法律规制
2020-07-12黄琳芳
李 智,黄琳芳
(福州大学 法学院,福建 福州 350108)
伴随大数据技术的发展及应用,数据采集愈加广泛地运用于体育赛事领域,如用于提高运动员竞技水平、预防运动伤病、衡量运动员价值、开发球迷服务、兴奋剂查处以及辅助裁判判罚等。但同时,对于运动员数据的采集,尚未有详尽的规则安排,受利用目的驱动,运动员被迫不断曝光在采集技术下,即便是生理隐私、私人交往轨迹也无所遁形,不仅给运动员权利带来伤害,还由此延伸出国家数据权力冲突等问题。因此,综合分析欧盟通过实施的《一般数据保护条例》(General Data Protection Regulation,GDPR)以及各国(际)规范,调适运动员数据采集和利用的规则与方法,有利于规范运动员数据采集工作,协调数据保护和利用之间的冲突,对于北京冬奥会组织工作的顺利展开以及北京冬奥会法律遗产的传承,具有现实意义。
1 国际体育赛事中运动员数据采集方式及法律问题
在国际体育赛事中,采集主体在报名和比赛期间均可采集运动员数据,并承担相应的法律义务。但是,采集主体采集和利用范围、权力行使限度并不明确,并由此产生侵害运动员人格权、隐私权、参赛权以及跨境数据流动冲突等问题。
1.1 国际体育赛事中运动员数据采集方式
目前,运动员数据采集方法主要有通过报名申请采集,通过安有传感器的场馆设备采集,通过可佩戴设备采集,通过其他方式采集等。通过采集,采集主体获得运动员身份数据、生活数据、生物识别数据、技术动作数据、健康生理数据、心理数据等,并在不同的采集方法中受到相应的约束。
1.1.1 报名时运动员数据采集
在赛事筹备阶段,主办方通过报名表或申请书采集运动员的基本个人信息,主要包括年龄、联系地址等身份数据以及身体素质等健康生理数据。作为数据采集组织者,主办方承担保障运动员数据安全、保证数据利用正当的责任。同时,体育组织作为报名表或申请书递交的传递者或知情者,应恪守保密义务。
1.1.2 通过安有传感器的场馆设备采集运动员数据
传感器的使用使摄像和照明等场馆设备成为运动员数据采集的重要途径,大量的运动员生物识别数据、技术动作数据和生活数据被获取。例如,自2009年始,美国职业篮球联赛(National Basketball Association,NBA)逐步引入Sport VU技术,在球馆天花板上悬挂带有各种传感器的3D高清摄像头,并直接连线计算机分析系统,以捕捉、分析和处理数据;2016年里约奥运会上,美国通用电气公司(General Electric Company,GE)在多个场馆的LED灯内嵌入生物传感器,用于跟踪运动员的运动轨迹和加速度。
场馆设备的设计和使用由主办方统筹安排,对此,主办方负有以下责任:1)把控体育赛事期间运动员数据采集的整体环境,审慎决定使用数据采集装置,严格禁止使用未经批准的采集设备;2)限制利用目的,利用设备采集的运动员数据应主要用于日后工作指导和赛事推广工作;3)保障采集数据中涉及的运动员隐私内容,保证采集设备的安全性、工作人员的保密度及数据保管的完备性等。
1.1.3 通过可佩戴设备采集运动员数据
利用可佩戴设备采集运动员数据是当前最常用的手段,“黑色小马甲”、智能手环、智能鞋、智能芯片等设备受到青睐。这些设备小巧、轻便,能24 h监控运动员身体状态,并快速记录分析运动员在赛场上的动作和技巧,由此获取丰富的运动员生活数据、生物识别数据、技术动作数据和健康生理数据,为教练员和运动员提供最直观的竞赛和训练建议。在2016年里约奥运会上,Visa支付手环、Solo智能眼镜、Whoop Strap 2.0智能手环以及Halo Sports运动耳机等,为运动员的比赛、训练和生活带来便利与保障,也因此获取了大量的运动员数据。
可佩戴设备通常依托运动员与体育组织的数据采集协议得以运用。例如,自美国国家橄榄球联盟(National Football League,NFL)允许球队在与球员的协议中加入数据采集条款后,在2018-2019赛季中,所有球队都通过RFID技术采集数据(Lazzarotti et al.,2019)。在合同关系下,体育组织作为采集主体负有以下义务:1)数据采集需告知运动员,并征得其同意;2)向运动员充分解读合同,披露风险和威胁;3)按合同约定正当利用运动员数据;4)审慎选择采集商,即技术服务商,明确其责任义务;5)运动员的数据流转必须符合合同约定。另外,主办方应当协调和约束可佩戴设备的使用,监测设备安全性,保证各体育组织不会越界采集未经同意的运动员数据。采集商的行为同样受合同约束,应按要求采集和处理运动员数据,保护数据安全,及时披露风险和不良影响,并禁止擅自流转数据,对数据损坏、泄漏以及超出权限使用等行为,均负有法律责任。
1.1.4 其他数据采集方法
比赛过程中,观众记录、媒体采访、工作人员与运动员接触都可能成为获取运动员数据的途径。虽然由此获得的数据较为零散,缺乏系统性,价值相对较小,但由于采集者数量众多,数据保护责任意识和规则相对较弱,反而给主办方、体育组织、运动员限制和排除非法采集与利用增加了难度。另外,有些运动队在赛事期间为舒缓运动员情绪不稳定和精力分散的情况,利用网络跟踪技术监控运动员个人通信设备,监视运动员情感状态,将更广泛的运动员生活和心理数据纳入采集范围,则明显属于运动员数据采集方法的不正当扩张。对于这些不系统的采集方法,应通过制定规则或协议,由赛事主办方对其他数据采集者提出数据保护或保密要求,明确各方义务。同时,主办方依托赛事协议或规则,对执行情况进行监督和规范。
1.2 国际体育赛事中运动员数据采集方式引发的法律问题
如上所述,随着数字技术的持续提升,运动员数据采集方法也不断更新。虽然针对不同的采集方法,从法律和技术的角度对采集方和服务商设定了权利保护的要求和约束,但从根本上说,数据采集利用的范围和权限始终没有明确,形式上强调“运动员同意”难以使运动员获得真正平等的协商地位。比如,国际体育赛事参赛规则通常直接要求运动员应同意主办方认可的数据采集及利用方式,否则,参赛资格可能会受到影响,体育组织因此获得如何进行数据采集的话语权。而在所采集数据的内容方面,目前运动员数据采集一直未划分数据类型和级别,间接剥夺了运动员对与赛事无关信息和敏感信息的控制权,对运动员权利造成损害。
1.2.1 数据采集范围不规范导致运动员人格权和隐私权受侵害
运动员具有强烈的“名人效应”,催生普通人的好奇心,并试图通过数据分析,创造运动员“数据人格”(徐伟康等,2019)。未限制范围的数据采集保障了运动员“数据人格”塑造的真实性,却增加了运动员人格权和隐私权被侵害的可能性。首先,国际体育赛事中的运动员数据采集是全面采集,包含大量的身体隐私、心理隐私和信息隐私,这本就不符合人类正常的生活状态和对人格权、隐私权的保护要求。并且,发达的数据采集技术使传统竞技体育中具有保密特质的训练手段、方法、运动员技术特征暴露无遗(王奇等,2016)。其次,在经济利益驱使下,数据窃取和买卖成为大数据时代的衍生“行业”(王奇等,2016)。例如,Facebook公司曾与数据收集公司Datalogix合作,跟踪并分析用户数据,以评估广告投放效果,这种做法引起各界对用户隐私保护的忧虑。同理,运动员数据一旦泄露,数据采集中包含的隐私信息将会给运动员带来更深的伤害。
1.2.2 权力差距致使运动员参赛权受到影响
实践中,体育组织更在乎运动员商业价值的创造(Hattery,2017),并将其与运动员数据联系起来。这种情况下,运动员难以获得平等地位。首先,理论上,个人对自己的数据享有完全的自主权,有权获知数据被采集和利用的范围,并需征得本人同意(Warrena,2002)。但是,国际体育赛事具有垄断性,运动员为获得比赛入场券,往往只能“一键同意”数据采集,无法充分体现运动员的真实意思表示以及对不同数据采集的意见差异。其次,即使运动员谋得谈判空间,成功拒绝数据采集,也可能面临在比赛中枯坐“冷板凳”的境地。再次,运动员数据的采集分析结果还会影响运动员的后续发展,运动队或俱乐部会以运动员体能减弱和病史细节为谈判条件,获取续约谈判中的巨大优势(Schofield,2018)。
1.2.3 运动员数据采集的国际性是造成数据主权冲突的重要原因
国际体育赛事涉及不同国籍的运动员和数据采集者,由于国家数据立法和技术标准存在差异,运动员数据采集自然会面临数据主权冲突,需对数据保护水平、数据跨境传输安全检查、隐私保护进行协调。数据主权是大数据时代的产物,有学者认为它是一个国家对其管辖领域内个人、企业和相关组织所产生的数据所拥有的最高权力(沈国麟,2014),有学者则认为是国家对其管辖领域内数据享有的生成、传播、管理、控制、利用和保护的权力(齐爱民等,2015)。虽然角度不同,但在权力归属和权属内容上存在基本共识:数据主权表现为国家对本国数据享有的独立自主权,并不受他国干涉和侵扰,主要包括所有权和管辖权。
实践中,数据的属人性与传播的跨境特点,使数据主权冲突通常表现为不同国家对同一数据主张权力以及数据跨境流动制度的冲突。当前,主要体现在美国主导的数据跨境自由流动模式与欧盟主导的数据隐私保护模式间的冲突。由于双方在关键问题上的对立,无论是跨大西洋贸易与投资伙伴协议(Transatlantic Trade and Investment Partnership,TTIP)谈判还是国际服务贸易协定(Trade in Service Agreement,TISA)谈判,都未能就数据跨境流动问题达成一致(彭岳,2018),但欧盟GDPR实施后产生的案例却已对国际经贸等领域产生重大影响。体育竞赛天然的国际化属性使运动员数据采集直接受到数据主权的影响,一旦发生数据采集纠纷,主办方所在地国/地区、运动员国籍国以及体育组织所属国/地区均可能主张共享运动员数据,行使管理、保护和问责的权力。所以,为避免数据主权引发的冲突及争议,数据采集合规渐成为奥运会等国际体育赛事法律审查工作的主要内容。
2 国际体育赛事中运动员数据采集的法律规制及存在的缺陷
目前,针对运动员数据采集引发的法律问题尚未形成专门规定,但已经引发各方关注,并普遍将其纳入个人数据采集的规范范畴。欧盟和美国均从数据保护的角度出发,实现对数据采集的规制。相关国际组织也通过行业或自治规范,形成国际规则和指引。但在实际应用中,在保护路径、采集同意机制、采集范围等方面,还有待进一步协调。
2.1 国际体育赛事中运动员数据采集法律规范
虽然数据保护立法模式有所区别,但国际社会普遍都以保护“隐私”为目标,保证当事人“同意”和“知情”,进而落实对数据的保护。
2.1.1 GDPR:强化个人数据权利的综合立法
GDPR是欧盟个人数据保护的基本立法,采用了综合规范国家机关和民事主体采集、处理和利用个人数据的立法模式,对法案适用范围、公民数据权利与救济、特殊数据的处理、数据采集处理者的责任要求与处罚、数据监管机构的职责、数据跨境流通的要求等方面做了全面规定,建立起个人数据保护体系。并且,GDPR突出数据主体的“同意”和敏感数据划分两部分内容的地位和作用,强化对个人数据的保护。
首先,GDPR充分肯定了个人的数据权利,赋予个体访问权、更正权、可携权、删除权、限制处理权、反对权和自动化个人决策等数据权利。其次,GDPR划分了数据类型,界定了个人敏感数据的范围,包括种族或民族出身、政治观点、宗教/哲学信仰、工会成员身份,涉及健康、性生活或性取向的数据,基因数据,经处理可识别特定个人的生物识别数据等。在分类基础上,明确禁止处理个人敏感数据,除非满足数据主体明示同意或为了公共利益的10种例外情形,突显了对数据主体隐私的保护。再次,GDPR确立并完善“同意”机制,要求“同意”必须是“数据主体依照其意愿自由做出的、特定的、知情的、明确的指示”,且必须“以声明或清晰肯定的行为”做出,并规定有效同意的要件之一是数据控制者必须能证明数据主体确实同意处理其个人数据。此外,GDPR针对医疗数据和雇佣关系中的个人数据处理设置了更严格的条件,除数据主体同意之外,还要求满足法律义务等其他处理依据。最后,GDPR通过赋予数据主体删除权,可随时撤回对数据处理已做出的“同意”,从而确保数据采集中数据主体的主动地位。
由于GDPR适用于所有欧盟境内组织和非欧盟组织处理欧盟境内个人数据的行为,因此,当在欧盟境内举办国际体育赛事或主办方需采集欧盟境内运动员等个人数据时,就必须考虑GDPR的影响。目前,GDPR的实施已推动世界反兴奋剂机构(World Anti-Doping Agency,WADA)修订了《隐私与个人信息保护的国际标准》(International Standard for the Protection of Privacy and Personal Information,ISPPPI),制定了《运动员反兴奋剂权利法案》(Athletes’Anti-Doping Rights Act),并将持续影响国际大型体育赛事的运营规范和服务方式,国际奥委会已将个人数据保护要求纳入“办奥新规范”①2018年2月,国际奥委会在2014年通过的《2020年奥林匹克议程》的基础上发布了“办奥新规范”(Olympic Games:the New Norm),随后发布最新版的合同原则(Host City Contract-Principle)与操作要求(Host City Contract-Operational Requirements)以反映新规范带来的变化,其中包括新增的个人信息保护要求与数据保护合规要求。及相关文件(裘韵,2019)。目前,我国既未获得欧盟委员会关于数据保护水平的充分性保护认可,也未与欧盟达成任何数据共享协议。与2020年东京奥运会相比,2022年北京冬奥会将面临更大的GDPR合规挑战。
2.1.2 美国行业数据保护体系:强调隐私权的数据保护规则体系
美国联邦政府没有统一的个人数据保护法和数据监管机构,而是以保护隐私为目标,在不同行业或事项中就存在的数据处理行为及对象分别制定单行法,规制数据处理主体,并由相应的行业监管机构监管,形成分散式的个人数据保护体系。例如,《金融服务现代化法》(Gramm-Leach-Bliley Act,GLB Act)、《联邦贸易委员会法》(Federal Trade Commission Act,FTC Act)、《健康保险便利和责任法 》(Health Insurance Portability and Accountability Act,HIPAA)分别对金融机构、个人和商业机构、医疗业主体的个人数据处理权限做了详细规定。目前,美国的数据保护立法涵盖用户财务信息、医疗健康信息、电子信息的收集和使用,在线隐私保护,个人信息披露,数据控制者和处理者的义务等领域(赵丽莉等,2019)。现行的数据保护相关立法还有《隐私权法案》(Privacy Act)、《儿童网上隐私保护法》(Children’s Online Privacy Protection Act,COPPA)、《金融消费者保护法》(Consumer Financial Protection Agency Act,CFPA)、《视频隐私保护法》(Video Privacy Protection Act,VPPA)以及《家庭教育权和隐私权法》(The Family Educational Rights and Privacy Act,FERPA)等。
美国的数据立法体系同样确立了“知情同意”机制。1973年,美国医疗、教育与福利部门首次报告了公平信息实践原则,明确指出个人有权了解其被收集的信息范围及用途,强调数据处理应获得个人同意(U.S.Dep’t of HEW,1973)。其后,FERPA、《联邦有线通讯政策法》(Cable Communication Policy Act,CCPA)、VPPA和《司机隐私保护法》(Driver’s Privacy Protection Act,DPPA)等都融入了公平信息实践原则(丁晓东,2019)。《隐私权法案》和COPPA也规定了数据主体的同意条件。
由于美国的数据保护立法充分尊重市场自治,追求社会利益的最大化,因而,法律规定和“知情同意”机制的运行较欧盟都更为宽松。但是,GDPR的制定实施使美国公司受到制裁,直接影响了美国与欧盟“隐私盾协议”的磋商,也让美国各界愈加关注并重新审视“联邦统一个人数据保护法”的制定。美国国会研究服务局于2019年3月和5月分别发布《数据保护法概况》(Data Protection Law:An Overview)和《数据保护与隐私法律简介》(Data Protection and Privacy Law:An Introduction),对美国现阶段个人数据保护立法应考虑的问题做了介绍。目前,美国政府建议采取结果导向性①GDPR采用的是规范性立法方法,即立法规定数据保护规则和相关主体义务。《数据保护法概况》指出选择结果导向性立法方式还是规范性立法方式是美国当前要解决的首要问题。美国商务部电信与信息管理局于2018年9月,就特朗普政府提出的新方法公开征求意见,其关注的一系列结果包括:透明性(transparency)、控制(control)、合理最小化(reasonable minimization)、安全(security)、访问与更正(access and correction)、风险管理(risk management)和问责性(accountability)。(outcome-based approach)的立法方式制定“联邦统一个人数据保护法”,即以所要实现的数据保护结果作为立法目标(张臻等,2019),在联邦层面不对个人数据权利、利用限制、监管规则等内容作具体规定,而只提供一个立法目标,并匹配问责权力。以数据风险管理为例,联邦立法只规定应当保障个人数据不面临被滥用、盗用、恶意买卖等风险,具体做法则由各州落实。但是,受GDPR的影响,规范性立法方式也得到广泛支持。美国个人数据保护立法的走向有待观察。
2.1.3 国际组织的指南和标准:对数据采集的规范和自治
除了国内立法,国际组织制定的数据保护指南和标准以及体育组织的自治规则,同样发挥着数据采集的规制作用。
1)通过国家间协商形成国际规则实现数据保护。1980年,经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)发布《隐私保护和个人数据跨境流通指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data),确立了个人数据保护的8项基本原则;1990年,联合国大会通过《关于计算机处理的个人数据文档规范指南》(Guidelines for the Regulation of Computerized Personnel Data Files);2004年,亚太经济合作组织(Asia-Pacific Economic Cooperation,APEC)发布《隐私保护框架》(Privacy Framework);2011年,国际标准化组织(International Organization for Standardization,ISO)和国际电工委员会(International Electrotechnical Commission,IEC)联合设立信息技术标准委员会发布ISO29100-2011号文(Information Technology-Security Techniques-Privacy Framework),提出了处理个人可识别信息的隐私标准等。
2)依靠体育组织的自治规则和赛事合同约束数据采集。体育治理有很强的自治性,各大体育赛事机制及管理规程也在不断完善,以加强对运动员数据的保护。以奥运会为例,国际奥委会通常在主办城市合同中就数据采集问题提出要求:一是限制东道国数据采集权利,明确与奥运会相关的一切数据独属于国际奥委会所有,东道国只能根据国际奥委会授权,在合同范围内有条件地行使部分数据权利,如为赛事举办而必须采取的采集、处理相关数据的工作等;二是区分信息敏感度进行保护,当采集、传输及处理的个人数据属于与医疗服务或反兴奋剂活动有关的敏感信息时,东道国不仅要保证数据主体的知情权,还要符合WADA制定的具有约束力的ISPPPI的要求①《隐私与个人信息保护的国际标准》于2009年制定,在2018年修订草案中,WADA在第3.2条确定了个人敏感信息的定义,并在第7条规定应确保相关主体的知情权。。
通过法律规定与自治规则、国际规范与国内规范的共同作用,国际社会逐渐建立起数据保护的规则体系,依法约束数据采集和利用。但是,现有法律框架需要解决的问题是:一方面,各国立法的保护目标和力度存在差异,有待协调,且保护对象是一般公民个体,具有普遍适用性,但对诸如运动员等特定主体的特殊性关照不够,适用效果有欠缺;另一方面,运动员数据采集既影响基本人权,也涉及数据主权,既要注重发挥自治在体育治理中的作用,也要考虑到体育自治难以约束一国的公法行为,国内法律与自治规则的相互协调需要加强。
2.2 国际体育赛事中运动员数据采集法律规制中存在的缺陷
基于现有数据保护规则体系的特点,将其适用于运动员数据采集时,在个人数据权利定性、采集范围确定、“知情同意”机制适用等方面,不一致的情形更加明显。
2.2.1 对运动员隐私权和人格权保护路径有限
长久以来,各国的个人数据保护主要依赖隐私权保护路径,当隐私权保护不足时,则借助其他人格权保护方式,如肖像权和姓名权等,这种权利保护机制为规范运动员数据采集提供了法律依据,但仍存在适用困境。第一,隐私权无法维护运动员数据的财产性。比如,运动员不能对侵权人处理或出卖其数据获得的收益主张权益,而通过肖像权和姓名权等保护方式能否补缺,效果如何,法律上也不明晰。第二,隐私权的保护客体是个人隐私信息,但体育赛事中体现的运动员数据有一大部分是非隐私信息,如技术动作等,难以归入隐私权的保护范围。第三,欧盟将个人数据隐私权视为基本人权,追求数据保护,而美国仅将数据隐私权视为公民的普通权利,需让位于宪法保护的言论自由,购买、出售和交易公民的个人数据已正常化(Gosnell,2019)。数据保护规则的差异不仅要求国际体育赛事主办方需同时满足不同国家的数据保护条件,加大了组织难度和成本,而且还需要确立有利于利益平衡的数据纠纷解决依据。
2.2.2 运动员“知情同意”机制运行失衡
理论上,运动员对自身数据享有绝对的占有、使用、收益和处分的权利,采集主体需充分告知运动员数据采集内容和目的,并获得同意才可进一步行动。现有法律规范也对“知情同意”机制的落实加以细化。然而,实施难题依旧存在。第一,运动员同意受同意形式的约束,尚无有效方式考证运动员签订数据采集协议时是否自主及自主程度几何。第二,运动员同意深受采集目的影响。采集后的数据可能会产生新信息,导致新用途,即便协议包括了新信息使用的内容,但数据分析具体会获得怎样的新信息、采集主体又将如何使用这些新信息,很难在合同中体现,不易受运动员意愿的影响。第三,法定的知情同意规则适用效果存疑。在体育自治的状态下,运动员和体育组织有时都愿意服从于双方合意,更强调合同权利义务,欧盟较为严苛的“知情同意”规则并不受青睐。美国的“知情同意”规则侧重个人同意,并鼓励个人因同意实现财产权。但是,许多采集者往往选择不公开数据,并在不公开使用数据的情况下就能获取经济利益,使得个人失去了主张数据财产权的机会。因此,根据体育竞赛和体育产业的特点和需求,区分不同的运动员数据类型,在体育自治下建立受普遍认可的有效的“知情同意”机制,是运动员数据保护和权利实现的有效途径。
2.2.3 运动员数据采集和流转范围的界定不精确
由于个人数据具有可复用性,因此,平衡个人数据的利用与保护主要在于合理圈定数据流转范围(朱新力等,2018)。受到公共信息范围难确定的影响,国际社会尚未明确运动员数据采集范围的界线及敏感信息的类型。对于个人信息与公共信息的界定,目前争议较大。有学者认为,适当的个人信息保护符合信息业者的利益,只有在个人信息获得适当保护时,才能获得个人的信任以放心地提供个人信息,使个人信息得以利用(张新宝,2015)。而反对者认为,个人信息具有公共属性,关涉他人和社会利益,个人信息的使用不应当完全由个人决定(高富平,2018)。虽然存在争议,但仍达成两个基本共识:1)即使基于公共使用,个人的数据权利也不应被完全剥夺;2)可以通过细化个人信息,将一部分归于可采集的公共信息范畴。此两点共识直接体现在立法上的结果,就是以美国为代表的国家正尽可能扩大可采集的公共信息,以获取广泛的个人数据信息。例如,美国社会更倾向于支持个人在公共场所的自愿活动不受隐私保护,任何人都有权记录公共场所中任何可见的事物,并主张公众人物应承担因其特殊身份导致的更强的信息公开义务(Czarnota,2012)。如前所述,美国的这一数据立法理念受欧盟GDPR的影响,会被重新审视,但基于反制GDPR的需要进行的立法考量,应该不会实质性改变公共利益的优势。在这种理念下,运动员数据很容易被冠以用于比赛、训练、体育产业发展、公共利益的目的,被广泛采集。此时,明确界定运动员有权保留的数据范围,尤显重要。
2.2.4 未对国家数据主权冲突问题进行“化解”
受技术与产业影响,立法者逐渐意识到大数据的采集和流转不可阻挡,法律的作用是在维护基本权利之上考虑如何促进产业发展,其中隐含着国家安全、信息安全、经济安全等多个深层次问题,运动员数据采集之所以受到关注,正是基于这种意识的提升(张平,2017)。在数据主权初兴之际,各国都站在本国立场上进行立法选择。例如,在数据管辖上,2018年3月美国颁布《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act),沿袭了美国惯有的长臂管辖风格,规定数据管辖权应按数据控制者判断,与存储地无关,即只要公司在美国实际开展业务,数据就都归美国管辖。而欧盟GDPR则规定,只要数据涉及欧盟境内自然人,就受欧盟管辖。这种从本国出发的“利己式”立法不仅无法化解数据管理和保护间的冲突,反而会加剧数据主权对抗。国际体育领域是数据跨境输入和传输的主要领域,运动员自带的明星效应、社会影响力和反映的国家形象,更加剧了数据主权冲突的强度,而当前运动员数据采集法律体系实难与之匹配。
另外,国家间的个人数据保护能力和水平差异短时间内也难以达到平衡。以我国为例,尽管在经济和法律上已具备了一定的交往和竞争能力,但在隐私与数据保护规则等方面,中国知识界、企业界的准备仍略显不足(丁晓东,2018),体现在主办重大赛事上,即需要针对境外的数据保护规则和要求,在国内法、合同及运营方式上作出更多的特别安排。
3 国际体育赛事中运动员数据采集法律规制内容的完善
对运动员数据采集规范的完善,应考虑各国立法和保护水平的差异,将主要内容集中在确定采集范围及手段、合理限制数据利用、明确数据保护途径几个方面,借助体育自治的优势,推进规则的形成。
3.1 划定国际体育赛事中运动员数据采集范围
划定采集范围是运动员数据采集规范的第一步,是数据保护的前提,包括对运动员数据权利性质进行明确,厘定不同数据可采集度,明确同意类型和采集限制。
3.1.1 明确运动员数据权利的性质
运动员数据权利是一项综合权利,不能完全概括为人身权或财产权。首先,运动员数据权利包含人身权。运动员数据产生于运动员个体,包含大量的健康生理数据、生物识别数据和心理数据等,与运动员的人身不可分离。实践中,表现为运动员通过主张人格权和隐私权保护,实现数据权利。其次,运动员数据权利包含财产权。在当今信息社会中,企业广泛地收集、存储和分析个人数据,并借助数据获取利益,已成为常态,体育产业的发展已离不开运动员数据的支撑(Litman,2000)。因而,在市场需求下,法律允许运动员处分或转让自身数据,以获得报酬或奖励。再次,个人数据权利最初主要是作为人身权而产生的,其财产权性质是社会发展的结果,是以人身权性质为基础的。因此,运动员数据权利中的财产权不是完全的财产权,运动员转让数据或同意数据采集只是权利的适当让渡。保障运动员数据权利中的人身权,始终是基本要求。以此作为判断标准,可以发现,GDPR统一的个人数据权利定义忽视了不同场景的数据利用特征,可能导致数据保护负担过重。美国的数据立法虽体现了不同行业和事项的数据利用需求,但对相对应的权属界定不清晰,也会导致风险预估不足。对此,应根据运动员数据权利体现出的不同属性,设定运动员数据的采集范围,划分采集同意的标准。
3.1.2 将运动员数据厘定为“经一般同意可采集”与“经严格同意可采集”两类
通过厘定同意形式,以确定不同数据对应的同意机制。一般同意是指运动员在数据采集协议中作出的明示同意;严格同意是指在一般同意的数据采集协议外,运动员另外单独作出的明示书面同意,或在同一合同中设置的特别提示同意条款。
第一,当被采集数据主要用于财产收益,即运动员人身权侵害风险远低于数据利用价值或能获得充分有效补偿时,经运动员一般同意后即可采集,主要包括:1)一般身份数据,如姓名、肖像、身高、体重、国籍、所属体育组织等;2)基本生命体征,如比赛时的心率、肌肉张弛程度、呼吸频率等;3)技术动作,如命中率、速度、力度、角度、反应时间等;4)诸如历史比赛成绩、兴趣爱好等具有运动员个人特征的,但确有必要收集的,且运动员人身权利可让步于体育利用价值的数据。第二,当被采集数据主要体现为运动员人身权的客体,即具有强隐私性,商业或公共利用价值较小时,需经运动员严格同意才可采集。该类数据在实践中通常被界定为敏感数据,并被施加严于一般个人数据的保护。敏感数据应在不同类型主体中有所区分,就运动员数据而言,应包括基因数据等极具隐私性的身份数据,既往病史、生理缺陷等健康生理数据,交友、家庭情况等生活数据,个人偏好等心理数据以及个人聊天记录、网上交易、个人娱乐等缺少体育利用价值但可能严重暴露运动员个人隐私的数据等。通过区分数据,可有针对性地设置“同意”机制。而且,严格同意的设置能缓解GDPR同意规则在体育领域适用时灵活性不足的缺陷,有利于实现公共利益目标,同时也能适当限制美国立法主张的广泛数据利用同意。
3.1.3 限定运动员数据采集时间、空间和手段
在国际体育赛事中,运动员大多数时间处于公共空间,因此,不能简单以“公共空间”作为采集依据,需通过规范采集的时间、空间和手段,落实上述对运动员数据采集范围及相应同意机制的区分。在采集时间上,除有必要的生理健康测量外,禁止24 h采集运动员数据;明确所有监控和录像设备在休息娱乐时间主要是起安全保障作用,不能进一步用于数据分析和利用;在非比赛和训练期间,运动员有权选择是否佩戴可穿戴设备。在采集空间上,应排除在运动员休息娱乐场所、个人网络空间进行数据采集;若未经同意,即使运动员在非比赛和训练时间进入比赛和训练场地,也不能利用场馆设备采集运动员数据。在采集手段上,不应采取影响运动员正常生活、训练和比赛的采集手段。
3.2 国际体育赛事中采集的运动员数据的利用限制
采集运动员数据的最终目的是分析利用,但数据滥用则必然会给运动员造成损害。因此,需明确数据采集中各主体的权利义务,对数据利用权限进行合理限制,平衡运动员数据的利用和保护。
3.2.1 运动员对数据利用范围的自我设定
运动员是数据所有者,有权自主决定如何利用数据,但不得用于非法目的,且决定权受到其他主体权益的约束,包括:1)在法定或必要情形下,运动员个人利益应服从于国家和社会公共利益;2)采集主体通过运动员权利让渡获得的数据采集和利用的部分权利,应受法律保护。因而,考虑到采集主体的采集成本、相关体育产业项目利益以及有约必守等因素,运动员数据权利的行使应受到协议约束。同样,当采集或使用方违约时,运动员可根据违约程度,决定撤销同意或解除协议。
3.2.2 对数据采集组织者利用数据予以规范
数据采集组织者包括主办方和体育组织,是运动员数据利用链条的始端,通常也是运动员数据初始利用的全权代理人,规范其利用行为,即为后续主体的利用划定了范围。主办方需遵守赛事合同以及对参赛国和运动员所做的数据利用承诺,获取的运动员数据应只服务于赛事本身,严格禁止数据控制权转让。体育组织在现有的责任义务上,应充分尊重运动员本身的竞技能力、强调公平的参赛待遇,确保在与运动员的任何谈判中,数据采集及分析利用结果都不能成为决定性因素。2017年,NBA就对各球队使用从可穿戴设备收集的运动员数据作了限制规定,明确该数据不得被考虑、讨论或用于球员协议及与球员的其他交易的谈判中,一旦违背,球队可能面临高额罚款(Lam,2017)。
3.2.3 划定数据采集商的职能和权限
采集商通常也是运动员数据利用的技术服务商,是使运动员数据得以发挥价值的真正推手。在获得运动员或数据采集组织者的授权或转让之前,采集商不具有数据流转权利。特别要强调的是,即使采集商与运动员或数据采集组织者共同开发一个体育产业项目,也仅具有在该项目中的数据利用权限,是数据的直接控制者而不是实际控制者或所有者,除非获得运动员或数据采集组织者的授权,这种利用权限紧密依附于委托合同或项目开发协议。
3.2.4 对其他数据使用者的合理约束
运动员数据的其他使用者主要指体育产业的参与者,包括媒体、体育游戏开发者、博彩业、医疗公司等,其对运动员数据的利用应控制在合同范围之内,并受行业自治规则约束。当下,伴随技术的发展,在去中心化的个人信息生态系统中,由于多元信息处理主体的存在及与用户直接联系的缺失,使得对个人信息后续利用的第三方主体尤其是数据中间商的监管几近真空,数据中间商与信息收集者的责任界定十分模糊,数据所有者对后续流通环节的权利更是无从行使(范为,2016)。对此,在合同和自治规则约束之外,也应考虑加强技术保护方式,如对传输给其他使用者的数据设置自毁程序,一旦被盗取或传播则自动删除。
概言之,面对不断扩大的采集利用运动员数据的现实需求,无论是运动员自我设定权利还是限制其他采集利用主体的权限,都应以个人数据利益、数据从业者利益以及社会公共利益的全面平衡和共同实现为最终目的,力求实现充分保护下的宽泛的数据利用环境。
3.3 细化数据采集中运动员权利保护的方法
在厘定数据和确权的基础上,对运动员数据采集的规范还有赖于完善“知情同意”机制、细化合同约束内容、明确控制者责任等具体措施。
3.3.1 设置多样化“同意”场景,保障运动员知情同意的真实性
从数据立法诞生至今,“知情同意”机制一直是欧盟和美国立法的必要组成部分。虽然有不少学者认为,“知情同意”机制在日益冗杂的隐私声明面前逐渐形如摆设,应予以放弃。但是,能否行使好自主权和是否具有自主权是两回事,因个人不能行使好权利就剥夺它,显然与人权理念背道而驰(徐丽枝,2017)。应该说,信息自决是自主、自由价值的时代表达,这种自我控制在法律上是通过同意实现的,而同意有效的重要前提是充分知情(田野,2018)。在数据采集中,运动员较一般个体更具有谈判能力,知情同意权的确立更能体现对其相对弱势地位的补充。为保障运动员知情同意的真实性,需巧妙设计适应大数据需求的新型知情同意模式,应从整齐划一的同意向基于信息分类、场景化风险评估的分层同意转变,从一次性同意向持续的信息披露与动态同意转变,容许使用“有条件的宽泛同意+退出权”模式(田野,2018)。另外,让运动员进行角色转换,从消极的受保护者变为积极的数据利用参与者,也有利于提升运动员的同意能力。
3.3.2 依托合同约束实现对运动员数据的有效保护
合同是约束数据采集组织者、采集商和其他数据使用者利用数据的基本方式。应尝试通过合同,形成介于欧盟和美国立法之间宽严适宜的数据保护条件。为充分发挥合同约束的作用,要重点把握:1)突出“目的限制”原则,即合同要具体、清晰地表明运动员数据采集的利用方向,对由数据分析产生的超出合同目的的利用,应重新签订合同;2)对合同时间长短进行限制,不能要求运动员一次性签订期限过长的协议,如5年以上的期限,应以一次比赛、一个赛季或一两年一签为宜,以保障运动员充分的自主权;3)设立严格的保密条款及责任要求,防止数据采集组织者及采集商主动侵权。当下,在完善我国数据保护立法之外,通过合同约定数据保护义务,约束和监管数据采集,是解决北京冬奥会面临的GDPR合规问题的重要路径。
3.3.3 通过“数据控制者责任+技术确定”模式确定运动员数据保护的责任主体
实践中,东道国需尽可能创造符合各国或体育组织要求的数据保护环境。在此基础上,对数据控制者的归责应强调“谁采集谁负责”,即在体育自治环境下,将运动员数据采集认定为经运动员认可的、为利用之目的的私主体行为,由运动员数据的实际控制者承担管理和保护责任。同时,在运动员数据的跨境流动中,依靠数据技术的发展,在无需排查内容的情况下确定传输数据的来源和合法性,以保证运动员数据权益受损时可以确定追责对象,减少国家数据主权冲突。此外,数据采集期间,当运动员数据权益受损时,在公权力介入之前,应首先尊重运动员对采集主体的问责和救济途径的选择,以“私”谋“公”,协调各国的数据权力。
4 结语
大数据时代,个人数据的保护和利用受到各国重视,大致形成以欧盟和美国为代表的两种数据立法模式。在对运动员数据采集进行规范时,欧盟的立法充分保护运动员数据权利,而使数据利用受到限制;美国的立法营造了宽松的数据利用环境,也相应形成数据保护的安全隐患。各国数据立法目的及保护水平不一,导致难以形成统一有效的运动员数据采集法律规制体系。而基于自治形成的体育组织行业规则,则难以与涉及公法范畴的各国数据立法相抗衡,进而给国际体育赛事主办方的组织工作带来新的法律成本和压力。对此,为适应体育竞赛的国际性以及因此产生的运动员数据的跨境采集和传输,应区分运动员数据,明确数据采集中各方权利义务,完善“知情同意”机制,在运动员数据采集范围、数据利用限制及数据保护途径等方面确定标准,形成规则,实现合法采集、依规使用。
