李亚南

(中共江苏省委党校 法政教研部，南京 210009)

2021年10月，国家体育总局印发《“十四五”体育发展规划》，指出要“建设由国家体育大数据中心和各省(区、市)体育数据中心组成的体育数据框架体系，逐步建成全国群众体育数据库、体质监测数据库、运动员等从业人员数据库、各项目运动训练数据库、体育竞赛数据库、体育场馆场地数据库、体育产业单位名录库、体育科技资源数据库，提升数据分析、运用和决策支持能力。”职业体育数据在数字体育发展、运动员选拔、体育内容制作、体育博彩行业等领域发挥着重要作用，职业体育数据保护事关运动员、赛事组织者、数据管理者的基本权利义务，然而在当前我国的法律体系框架下，职业体育数据保护缺乏相应的专门法规定，仅依靠《民法典》《个人信息保护法》《数据安全法》的相关条例加以规制，无法完全满足职业体育数据保护的现实需要。同时，行业规范忽视了数据保护的重要性，缺乏相应的规制条款。这就导致“知情同意”原则在数据保护中失灵，运动员无法通过“数据自决权”合法有效保护自己的个人数据，不仅丧失了对个人数据的收集、管理、使用权利，还无法保障个人数据背后所蕴含的财产性价值，因此要加快完善职业体育数据保护体制机制，推动我国职业体育和数字体育合法有序发展。

1 职业体育数据相关概念与保护基础

1.1 职业体育数据的分类

目前在我国大部分关于个人信息保护、数据安全的学术文献及一般立法视角中，“信息(information)”和“数据(data)”经常被视作是同一概念来使用的。我国有学者认为，个人信息与个人数据属于实质相同的法律概念[1]。在国外立法中，“information”和“data”都存在于立法实践中，在2020年美国联邦隐私保护立法草案中，大多数都使用了“information”一词，如《消费者数据隐私和安全法案》(ConsumerDataPrivacyandSecurityAct)、《消费者线上隐私权法》(ConsumerOnlinePrivacyRightsAct)；而在欧盟的《通用数据保护条例》(GeneralDataProtectionRegulation)中，则使用了“data”一词。在我国立法中，《中华人民共和国民法典》第127条、第1034条则分别使用了“数据”和“信息”。综上所述，从国内外理论实践来看，虽然“个人信息”和“个人数据”二者并不完全等同，但在实践中并未严格区分，二者在实质上并无较大的区别。

本文中的职业体育数据，是指任何以电子形式或者其他方式对职业体育相关信息的记录，包括体质监测数据、运动员个人数据、各项目运动训练数据、体育竞赛数据、体育场馆场地数据、体育科技资源数据等。从内容上来看，职业体育数据分为可识别特定自然人的个人数据和不可识别特定自然人的事实数据，前者如运动员个人数据、反兴奋剂数据等，后者如体育场馆场地数据等。从敏感程度上来看，职业体育数据可分为普通数据和敏感数据，普通数据仅体现数据控制者的财产权益，敏感数据除财产权益外更重要的是体现个人人格尊严和人格自由。在职业体育数据中，除了一小部分是基于客观事实所产生和汇集的数据外，绝大部分都为运动员个人数据或以运动员个人数据为基础形成的数据。

1.2 权利基础

传统理论认为，个人数据属于人格权范畴，具有天然的自然人人格属性表征，能够彰显个人要素中最基本的自由和尊严价值[2]。但随着数字经济的发展，个人数据所蕴含的财产权价值逐渐成为共识，个人数据保护正逐渐走向财产化新机制[3]。个人数据的独特之处在于它将人的尊严与有价值的经济财产结合在一起，因此个人数据也成为了当今经济全球化中重要的生产要素[4]。

职业体育数据具有传统的人格权属性。职业体育数据当中最重要也最亟需保护的是运动员个人数据。具体而言，运动员个人数据又包括身份信息、生物识别信息、技术动作信息、健康生理信息等[5]。现代技术，特别是摄像与跟踪技术、生物识别技术、生物力学分析技术的发展，使得运动员个人数据在赛事报名、日常训练、赛事录制、反兴奋剂管理等过程中被广泛收集、储存、转移和使用。单独利用这些运动员个人数据与其他信息结合能够识别出唯一的特定自然人，通过对获取的碎片化运动员个人数据进行分析研究，就可以形成特定运动员的性格、生物特征等人格标识，可能会引起运动员的担忧与恐慌，只有消除“信息化人格”被他人窃取和操控的潜在风险，保持其信息化人格与其自身的一致性而不被扭曲，才能保证个人的人格独立和人格尊严[6]。运动员个人数据不同于个人隐私，个人隐私的特征在于私密性，个人数据的特征在于识别性，对个人隐私的保障是数据保护的逻辑起点。运动员个人数据属于人格权范畴，具有明显的人格权特征，即人生而为人所固有的独立、自由及尊严。

职业体育数据具有明显的财产权属性。随着大数据、数字化经济的发展，数据不仅直接影响个人权益，更上升为国家战略资源，被称为“数字时代的石油”[7]。传统民法学说认为，财产权是指以财产利益为内容，能够直接体现公民财产利益的民事权利。由于个人数据具有可识别性和唯一性，其可以为数据控制者带来潜在的商业价值和经济利益。因此，个人生物识别数据的财产权性质是不可否认的[8]。在职业体育领域内，如运动员个人劳动合同谈判、体育博彩行业、电子体育游戏行业等方面，职业体育数据的强财产权属性更加明显[6]。如体育博彩行业和体育电子游戏行业的发展高度依赖体育赛事数据[9]，西方国家的各大赛事组织者已经纷纷开始成立专门的体育赛事数据分析机构，对体育赛事数据进行商业化经营。因此，职业体育数据是一种兼具人格权属性和财产权属性的复合性权利。

1.3 规范基础

目前我国现行法律体系中尚未有关于职业体育数据保护的单行法规定，只能通过《民法典》《个人信息保护法》《数据安全法》中的相关规定加以规制。对于运动员个人数据属于隐私权还是个人信息权，我国目前采用“二元论”，将“隐私权”和“个人信息保护”并列规定，但并未承认个人信息权已经上升为人格权中的基本民事权利，也不认为个人信息完全属于隐私，只有个人信息中的私密信息属于隐私，适用隐私权的规定。因此，关于职业体育数据保护的规范主要为私法规范，其中最为重要的就是“知情同意”原则，“知情”即明示处理信息的目的、方式和范围，“同意”即征得该自然人或者其监护人同意。2021年6月通过的《数据安全法》对行业规范中的数据保护作出了相应规定，要求“相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展”，并指出“任何组织、个人收集数据，应当采取合法、正当的方式”。2021年8月通过的《个人信息保护法》则进一步明确了“知情同意”(或称为“告知—同意”)原则，同时还专门规定了敏感个人信息的处理规则，这对运动员生物识别数据、医疗健康数据、行踪轨迹数据等方面的保护具有重大意义。在体育赛事数据方面，2022年6月修订的《体育法》新增了“未经体育赛事活动组织者等相关权利人许可，不得以营利为目的采集或者传播体育赛事活动现场图片、音视频等信息”，进一步明确了对体育赛事数据的法律保护。

西方国家同样并未出台职业体育数据保护的专门法律规范，而是通过个人信息保护法律规范和行业自治规范加以规制。欧盟《通用数据保护条例》详细规定了数据主体享有的权利与数据控制和处理者的责任义务，并将“知情同意”原则作为合法采集用户数据的前置条件。美国则是通过《电信法案》(TelecommunicationsActof1996)明确了采集用户个人信息的相关规定，《健康保险携带和责任法案》(HealthInsurancePortabilityandAccountabilityAct)还规定自然人对自己的医疗健康、生物识别信息享有控制权。除此之外，职业体育领域的数据保护自治规范也在逐渐完善，2009年世界反兴奋机构(World Anti-Doping Agency，WADA)颁布了反兴奋剂领域的第一个数据保护标准《隐私与个人信息保护国际标准》(InternationalStandardfortheProtectionofPrivacyandPersonalInformation)，明确了职业体育中反兴奋剂管理过程中的数据和隐私保护规则[10]。2013年国际奥委会(International Olympic Committee，IOC)第125次全会通过了现行的《奥林匹克宪章》，其中第7条就规定了奥委会对于奥运会赛事数据的权利，即“国际奥委会拥有与之关联的所有权利和数据……国际奥委会确定与奥运会、奥运会的比赛和体育表演有关的数据获取条件和任何使用条件。”

2 职业体育数据保护的现实困境

2.1 “知情同意”的失灵

知情同意原则源自于医学领域，指医生必须向患者披露足够信息，在患者对其病情、医疗方案等知情的情况下经患者同意才能采取相应的治疗措施。随着社会的发展，知情同意原则逐渐成为世界范围内处理个人信息的一项基本原则。在个人数据领域，“知情”即数据处理商必须向用户明示收集、储存、使用和转移数据的目的、方式和范围，“同意”即数据处理商必须征得该用户或者其监护人的明确同意才能对其个人数据进行收集、储存、使用和转移，并且应当严格遵守所告知的目的、方式和范围。从合同法理论来看，数据处理商(企业或组织)与用户之间为互联网服务合同关系，用户享有缔约合同之自由，当且仅当用户作出同意之意思表示，自愿接受包含数据收集、储存、使用和转移的契约时，该合同才具有效力[11]。因此，知情同意原则乃是个人数据收集的合法性基础，同时也是对个人基本权利的尊重和保障。

进入数字时代，各种收集个人数据的手段、方式层出不穷，知情同意原则逐渐失灵。一方面是用户无法应对如此专业、繁多的隐私声明，另一方面是监管机关无法对数据收集者进行及时有效监管[12]。在职业体育领域，由于运动员个人数据具有主体特殊性和客体特殊性[6]，知情同意原则失灵表现得更为明显，不仅无法有效保护运动员个人数据，甚至有可能成为违法收集运动员个人数据的“工具”。在运动员劳动合同中，虽然一般都告知将会收集、储存、使用和转移运动员个人数据，但由于体育组织与运动员之间不平等的主体关系，运动员往往只能被迫接受这些数据条款，否则将无法签订劳动合同，因而这种“同意”带有一定的强制性色彩，表现为“同意”的失效。在体育赛事中，知情同意原则的保护同样无力，以2018年平昌冬奥会参赛报名表为例，申请表第2项对运动员个人数据处理规定为“参赛者同意：本人个人数据，由平昌奥组委收集并与国际奥委会共享。平昌奥组委及国际奥委会存储、使用的此类数据，可因运营所需在任何地方(包括韩国以外的地区)进行存储、使用，以方便本人参与或筹办2018年奥运会。本同意书特别同意平昌奥组委和国际奥委会采集和处理本人的个人数据，并允许其在需要时与韩国执法部门、世界反兴奋剂组织、国际刑事法院、国际体育仲裁院分享相关数据。”参赛报名表上告知的信息寥寥无几，并未说明基于何种目的而加以收集以及使用的目的、方式、范围。

2.2 “数据自决”的虚置

数据自决权，或信息自决权，与“知情同意”原则关系密切，是个人数据保护中的重要权利。“个人信息自决权是公民个人信息的基础权利，知情同意则是个人信息自决权的核心。”[11]信息自决权是现代个人信息保护立法的基础，即个人信息的最终控制权应掌握在信息主体手中，而知情同意是保障这种最终控制权最重要的手段，没有知情同意就没有信息自决。二者在侧重点上各有不同，“知情同意”原则侧重个人数据处理中双方主体的关系，即数据收集者的告知和数据控制者的同意；而“数据自决权”侧重于数据控制者自我决定和支配的权利，即决定自己的数据何时何地为何而被谁收集、储存和使用，并可决定是否将相关数据予以删除[13]。

在职业体育领域，以运动员为代表的数据控制主体事实上已经丧失了数据自决权。一方面，体育组织或赛事组织可以通过相应的“豁免”条例合法取得运动员个人数据。例如美国HIPAA规定，当雇员的身体健康需要达到一定标准才能完成工作时，雇主有权把“将医疗记录公开”当做一个雇佣条件。根据这个豁免条款，职业体育组织可以通过运动员雇佣合同中的格式条款，迫使运动员公开个人的医疗健康信息[14]。《世界反兴奋剂条例》(WorldAnti-DopingCode)第22.2条规定“各国政府应当制定法律、法规、政策或行政措施，以便：与反兴奋剂组织合作和共享信息；依照《条例》的规定在反兴奋剂组织之间共享数据；不受限制地传送尿样和血样以确保其安全性和完整性”，虽然该规定为共享和转移数据提供了合法性基础，但事实上已经侵犯了运动员的个人数据自决权。另一方面，科学技术的发展也让运动员愈发难以支配和控制个人数据。职业体育数据具有更强的公共性，在运动员参加赛事过程中，往往都会被数据采集者通过视频或图片进行全程捕捉，甚至连训练、休息时间也无法避免[15]。各种各样的视觉动作识别技术、动作捕捉技术、生物力学分析系统、可穿戴设备等能够随意收集和获取运动员个人数据，这些数据不仅包括生物力学数据、生物识别数据，还包括个人医疗健康信息、行踪信息等。因此，事实上运动员根本无法实现对个人数据的控制和支配，数据自决权也就无从谈起。

2.3 “财产保护”的阙如

我国《民法典》第127条规定“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”从此条规定来看，立法者将数据与网络虚拟财产并列规定，表明了对数据的财产权化倾向。数据的价值不在“占有”，而在“利用”[16]，数据财产权化并不会与数据的开放共享发生矛盾，相反数据财产权化会促进数据要素的高效利用和有序流通。赋予个人数据财产权保护，不仅能够加强个人数据主体对于个人数据的控制权，避免个人数据被非法收集、滥用，还能有助于促进数据经济社会的发展[3]。

在职业体育领域对于数据财产权保护的阙如较为明显，一是体育赛事数据财产权保护的阙如。例如，2021年3月，美国国家橄榄球联盟(NFL)与多家电视媒体签订了2023—2033年长达11年的电视转播合同，合同总价值高达1 130亿美元；2015年初，美国职业篮球联赛(NBA)与腾讯以5亿美元的价格签订了2015—2019赛季的网络独家直播权。根据我国《数据安全法》的规定，数据是指任何以电子或其他方式对信息的记录。目前来说，大部分体育赛事都不符合作品的构成要件，难以通过知识产权进行保护，只能通过数据财产权加以保护[17]。在现实中，各种侵犯体育赛事数据财产权的情况时有发生，如“央视诉聚力案”“体奥动力公司诉上海新赛季足球发展有限公司网络侵权纠纷”等。在缺乏明确的规定下，体育赛事组织者的数据财产权难以得到有效保护。二是运动员个人数据财产权保护的阙如。运动员个人数据往往具有较高的商业价值，如运动员个人数据影响个人劳动合同的签订，还能出售给博彩公司和体育模拟类游戏公司。从数据主体角度来看，运动员乃是个人数据的控制者和支配者，理所应当享受个人数据带来的财产性权益，然而实际上这些数据所带来的各类财产收益大多数被体育组织或赛事组织所占有。从私权保护和数据经济发展角度来看，运动员个人数据财产权保护的阙如不但会导致运动员个人数据人格权保护水平的降低，还会造成职业体育数据经济发展的无序化。

3 职业体育数据保护的完善路径

3.1 法律规范路径

《“十四五”体育发展规划》指出，要完善中国特色社会主义体育法律规范体系，提升依法治体水平。对于职业体育数据的保护，最切实有效的办法就是通过法律法规加以完善。目前，我国还未出台针对职业体育数据保护的专门性法律文件，仅通过《个人信息保护法》《数据安全法》《民法典》《刑法》的零星规定加以保护，还无法满足职业体育数据保护的需要。鉴于职业体育数据的主体和客体特殊性，亟需通过法律规范路径加大职业体育数据保护力度。

首先，要制定职业体育数据保护的专门法律法规。以法国《体育法》为例，立法者将体育赛事数据权益纳入了保护范围，在一定程度上解决了对体育赛事数据法律保护不足的问题。我国新修订的《体育法》增加了运动员权利保障条款，第52条第2款规定“未经体育赛事活动组织者等相关权利人许可，不得以营利为目的采集或者传播体育赛事活动现场图片、音视频等信息。”虽未提及运动员个人数据的保护，但反映了体育赛事数据权利保障的倾向。下一步，建议新增对职业体育数据保护的原则性规定，再通过制定具体的职业体育数据法律法规或相关规定对体质监测数据、运动员等从业人员数据、各项目运动训练数据、体育竞赛数据、体育场馆场地数据、体育科技资源数据等进行明确的保护。

其次，要完善知情同意原则和数据自决权在职业体育数据领域的运用。具体而言，可以通过“场景—风险”导向路径[18]在职业体育数据收集中进行动态风险控制，或是通过“特别同意与概括同意”[19]明确运动员同意数据收集的目的、范围、方式、潜在风险等事项。同时，还应当明确数据收集者违反知情同意原则侵犯职业体育数据自决权的法律责任，以此来保障运动员能够真实自愿同意和有效控制支配个人数据。

最后，要明确对职业体育数据财产权进行保护。有部分学者提出可以借鉴知识产权保护中的“使用许可”规则[5,20]，通过该规则，运动员与体育组织之间、赛事组织者与数据处理商之间可以签订数据使用许可协议并获得相应的财产收益，从而实现职业体育数据财产权的保护。

3.2 行业规范路径

仅通过立法对数据保护进行规制尚无法满足现实需要，行业规范或内部规范也是职业体育领域制度体系内不可或缺的组成部分。我国应当建立健全职业体育数据保护的行业规范，实现法律法规和行业自治规范之间的“同向发力”。一方面，要建立我国职业体育数据保护的行业规范。《“十四五”体育发展规划》指出要“引导体育社会组织依法自治”，《数据安全法》对行业规范中的数据保护作出了相应的规定，要求“相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。”应将我国现行法律体系中数据保护的相关规范与职业体育的特殊性相结合，对职业体育数据的收集、储存、使用和转移等事项作出全面细致的规定，并且制定相应的保障条款和监督条款，确保职业体育数据保护不流于形式，使职业体育领域内各相关主体的数据权益得到有效保护。

另一方面，要积极借鉴国际体育组织对职业体育数据保护的相关规范。例如，《隐私与个人信息保护国际标准》在2021年的修订中明确了运动员等权利主体享有知情权、获取权、纠正权、限制处理和删除权等权利；美国部分体育联盟也通过劳资协议等形式规定了运动员享有自主决定是否佩戴可穿戴设备的权利，并禁止体育组织利用运动员个人数据进行谈判。要立足于我国职业体育发展和立法基础的实际情况，科学合理借鉴国际体育组织的相关规范。同时，要厘清职业体育行业规范与国家法律规范之间各自的目的、地位、作用等区别，有选择地将职业体育行业规范纳入到现有法律体系内[21]。

3.3 集体谈判协议

法律规范和行业规范主要是从公权力角度实现对职业体育数据的保护，从私权救济而言，可以通过“集体谈判协议”实现对职业体育中运动员个人数据的保护。集体谈判协议(collective bargaining agreement)源于1981年国际劳工大会通过的《集体谈判公约》，最初是指劳动者与雇佣者之间就薪资等事项进行集体谈判。随着集体谈判协议在职业体育领域内的发展，集体谈判协议逐渐成为一种运动员个人数据保护的方式。例如，NBA在2017年的集体谈判协议中规定了球队必须向球员解释测量、收集数据的内容和意义；MLB也通过集体谈判协议建立了数据管理委员会，对球员安全、数据管理、隐私、保密等事项进行讨论[5]。通过集体谈判协议，运动员还可以与赛事组织者之间就基于运动员个人数据形成的体育赛事数据达成收益共享条款，从而获得体育赛事数据的对价回报。

与法律规范和行业规范相比，集体谈判协议具有灵活性、低成本性、直接性等优点。因此，在缺乏相应法律规范和行业规范的情况下，运动员可以通过集体谈判协议与体育组织之间达成关于职业体育数据保护的协议，并可以通过标准劳动合同明确体育数据保护的具体原则、范围、所有权、使用权、管理者、访问权限、安全措施、商业化使用、违约机制等问题。

4 结语

体育强则中国强，国运兴则体育兴。在数字时代背景下，职业体育数据的保护是一个涉及多方主体利益的问题，为实现我国体育现代化建设，推进数字体育发展，必须直面当前的各种问题并加以解决完善。当然，职业体育数据保护的问题不止上述几方面，还包括数据保护豁免条例的滥用、数据审查与监管机制不健全等问题，而建立健全相关法律法规、制定相关行业规范都是最基本、最重要的保护措施，坚信在习近平法治思想的引领下，包括体育法律体系在内的社会主义法治体系会越来越完善，更好地为我国职业体育发展保驾护航。