體育賽事籌辦需處理大量的個人信息,包括普通個人信息、敏感個人信息和客戶畫像等數據分析結果。信息處理方式也呈多樣化,不但要收集、存儲、加工和自動化處理個人信息,還會委托處理、與第三方共享和向境外提供個人信息等。
《個人信息保護法》(以下簡稱《個保法》)的生效,必將對賽事籌辦個人信息處理產生重大影響,也將個人信息處理合法化問題提上議事日程。為了做好賽事籌辦的個人信息保護,組委會應根據《個保法》的規定,履行《主辦城市合同》和遵守賽事籌辦慣例,確保個人信息處理合法、合規。
《個保法》對體育賽事的管轄
《個保法》對國內舉辦的體育賽事、包括國際體育賽事的個人信息處理具有管轄權,可從以下幾個方面分析:
一是全運會等國內賽事,賽事權利人和組委會都是國內機構。根據屬地管轄原則,《個保法》“適用于在中華人民共和國境內處理自然人個人信息的活動,” 無疑對這類賽事具有管轄權;
二是冬奧會、亞運會、大運會、亞青會等國際體育賽事,根據《主辦城市合同》及相關賽事籌辦的文件,個人信息處理的目的和方式由境外賽事權利人決定,數據庫的知識產權也歸其所有,組委會受委托處理與賽事有關的個人信息。根據屬地管轄的原則,可對組委會處理個人信息適用《個保法》;同時,因符合“以向境內自然人提供產品或者服務為目的”或“分析、評估境內自然人行為”的條件,根據保護管轄的原則,對境外賽事權利人委托處理境內個人信息的行為適用《個保法》;
三是國際足聯世界杯的門票和款待套餐銷售,由權利人委托獨立境外機構實施,組委會不承擔這項工作。如果這類賽事在國內舉辦,因需要處理境內個人信息,根據保護管轄的原則也應適用《個保法》。但《個保法》規定,境外信息處理者應在境內設立專門機構或者指定代表,負責處理相關事務,并向相關部門提供聯系方式。
▲每一場賽事,都會產生海量的數據。
個人信息的處理
個人信息處理已成為體育賽事籌辦不可或缺的組成部分。例如,注冊系統處理參賽運動員、官員、工作人員、志愿者、合同商和其他利益相關者的信息,門票銷售與管理對觀眾的信息進行處理,數字媒體利用使用者的信息進行溝通和互動,興奮劑檢測處理運動員的生理和健康信息等。
這些信息復雜多樣,可直接或間接對自然人進行識別,不但包括公民的姓名、出生日期、身份證號碼、生物識別信息、住址、電話號碼等識別信息,還包括可識別自然人某些特定的身體、心理、智力、基因、經濟、文化或社會元素,屬于《個保法》所指的“以電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息”。但經過處理無法識別特定自然人且不能復原的匿名信息或法人組織的信息,不屬于《個保法》界定的個人信息范范疇。
雖然某些信息本身沒有識別作用,如果與信息處理者可能掌握的其他信息結合便可識別特定的自然人,也應視作個人信息。目前,網上收集的某些有價值的信息區別于傳統的個人信息,例如網站所使用的“cookies”、瀏覽指紋、IP地址等,通過數據分析,這些信息可用于客戶畫像和精準營銷,也應視作個人信息。
根據《個保法》的規定,敏感信息指那些“一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。”值得注意的是,機器學習(machine learning)等技術可以通過分析普通個人信息推斷出敏感個人信息。例如,通過分析瀏覽指紋發現使用者的健康狀況,這些推斷結果也屬于個人敏感信息。
賽事籌辦個人信息處理包括《個保法》列舉的“收集、存儲、使用、加工、傳輸、提供、公開、刪除”等方式。在賽事籌辦個人信息處理中,應遵循合法、必要、正當、誠信原則,最小必要原則,公開透明原則,信息準確原則和主體責任原則。
例如,賽事個人信息的處理,具有目的的正當性和信息處理的必要性;但除法律、行政法規規定應當保密或不需要告知的情形外,應取得客戶的同意,以符合合法性的要求;信息的收集和保存應為目的所需的最小范圍和最短時間;應說明處理規則,處理目的、方式和范圍;應保證信息處理的質量并及時更新,對不準確的信息應及時刪除,避免信息不準確、不完整對客戶造成的不利影響;組委會應采取必要措施保證信息的安全,避免信息被盜用、泄露、損壞、丟失。
信息處理的合法性依據
信息主體的知情同意是信息處理的合法依據。例如,在門票或特許商品銷售中,處理消費者的個人信息應告知信息主體并取得其同意。信息主體有權撤回其同意,信息處理者應當提供便捷的方式允許消費者撤回其同意。個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。除必需的個人信息外,不得以不同意處理個人信息為由拒絕提供產品或服務。
鑒于個人信息的利用有利于增強政府社會管理和服務職能、提高信息業者的商業決策效率,應兼顧信息主體權益的保護與國家、社會利益協調平衡,信息主體的知情同意不應是信息合法處理的唯一條件。
下述六種特殊情況,不經信息主體同意,處理個人信息仍符合合法性要求:
(一)向為訂立、履行個人作為一方當事人的合同所必需或按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。例如,依據賽事管理規定和履行合同,處理注冊人員的信息或為管理之目的處理工作人員信息。
(二)為履行法定職責或法定義務所必需。例如,政府機構對注冊或購票人員進行背景審查。
(三)應對突發公共衛生或緊急情況下為保護自然人的生命健康和財產安全所必需。例如,賽事期間,基于防疫之目的,處理參賽人員和觀眾的個人信息。
(四)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息。例如,對外報道或賽事轉播中,因新聞宣傳的需要合理使用運動員的個人信息。
(五)在合理的范圍內處理個人自行公開或其他已經合法公開的信息。例如,在合理范圍內,使用網上查詢到的個人信息。
(六)法律、行政法規規定的其他情形。例如,法律、行政法規規定應當保密或不需要告知的情形的,可以不向信息主體告知。
信息主體的權利保護
賽事籌辦的個人信息處理,應保護信息主體的法定權利。根據個人信息處理的原則,除法律、行政法規另有規定外,信息主體擁有下列權利:
(一)知情權。在收集信息時,應告知信息主體相關內容,包括:信息處理者的名稱或姓名和聯系方式,信息處理的目的、方式、個人信息種類、保存期限,個人行使法定權利的方式和程序及法律、行政法規規定應當告知的其他事項。上述事項發生變更的,還應將變更部分告知信息主體。合同目的實現之后,應及時刪除信息并對信息刪除事項進行告知。這些處理規則應當公開,便于查閱和保存。告知同意文件不宜過長,也不能讓人不知所云,應以顯著方式、清晰易懂的語言,真實、準確、完整地向消費者告知。個人信息處理者處理敏感個人信息的,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。緊急情況下為保護自然人生命健康和財產安全無法告知的,應在緊急情況消除后及時告知。
(二)決定權。在對用戶個人信息進行處理前應獲得其同意(opt in),敏感信息應當取得個人的單獨同意,不能采取一攬子同意的方式。如果個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得同意;如果公開其處理的個人信息,應取得信息主體的單獨同意;處理已公開的個人信息,對信息主體權益有重大影響的,應取得同意;處理不滿十四周歲未成年人的個人信息,必須要征得其父母或其他監護人的同意。
(三)限制或拒絕權。在無需信息主體知情同意的情況下,如果處理個人信息可能對信息主體造成損失或危害,信息主體有權限制或拒絕他人處理個人信息。例如,門票或特許商品銷售中,收集和存儲消費者的相關信息并跟蹤其購買習慣和興趣,對消費者的人口統計學信息和行為做出分析,通過客戶分類和貼標簽進行目標營銷或直接推銷。對于這類自動化決策,因有可能對消費者造成困擾,應提供不針對消費者個人特征的選項,或者向消費者提供便捷的拒絕方式(opt out),消費者有權要求信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式做出決定。
(四)查閱、復制權。信息主體有權查閱自己的信息并獲得處理者提供的查閱結果。
(五)可攜帶權。信息主體請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,信息處理者應當提供轉移的途徑。
(六)更正、補充權。對于個人信息有不準確、不完整的情況,信息主體有權要求及時更正與補充。
(七)刪除權。對于處理目的已實現、無法實現或者為實現處理目的不再必要,信息處理者停止提供產品或者服務、或者保存期限已屆滿,個人撤回同意,信息處理者違反法律、行政法規或者違反約定處理個人信息或法律、行政法規規定的其他情形;信息處理者應當主動刪除個人信息;未刪除的,信息主體有權請求刪除;但法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
(八)解釋說明權。信息主體有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
(九)繼承權。自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使查閱、復制、更正、刪除等權利,死者生前另有安排的除外。
(十)救濟權。信息處理者應當建立便捷的信息主體行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。處理者拒絕個人行使權利的請求的,信息主體可以依法向人民法院提起訴訟。
組委會的信息處理者義務
在體育賽事籌辦中,組委會具有多重信息處理者身份,根據《個保法》的規定,應履行不同的法律義務。
首先,作為一般信息處理者,組委會應制定內部管理制度和操作規程,對個人信息實行分類管理,采取相應的加密、去標識化等安全技術措施,確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓,制定并組織實施個人信息安全事件應急預案。敏感信息應該受到特別保護,只有在具有特定目的和充分的必要性,并采取嚴格措施的情形下,方可處理個人敏感信息,對敏感信息處理等特殊情況進行事先的影響評估。
其二,組委會應屬于用戶數量巨大、業務類型復雜的個人信息處理者。例如,奧運會僅購票人數可達幾百萬,再加上特許商品購買人和社交媒體互動的粉絲,需處理的個人信息人數眾多。根據法律規定,應當按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督以及定期發布個人信息保護社會責任報告,接受社會監督。
其三,在某些情況下,組委會需委托第三方處理個人信息。例如,委托票務運營商處理購票人的相關信息,委托他人提供云計算服務等。在這種情況下,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還組委會或者予以刪除,不得保留。未經組委會同意,受托人不得轉委托他人處理個人信息。受托人應當依照有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,并協助委托人履行《個保法》規定的義務。
其四,組委會作為臨時機構,最終面臨解散,需要向第三方,特別是賽事權利人轉移個人信息。應當向信息主體告知接收方的名稱或者姓名和聯系方式并要求接收方繼續履行個人信息處理者的義務。如果接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得信息主體的同意。
其五,在舉辦國際體育賽事的情況下,根據《主辦城市合同》,組委會需向境外權利人提供個人信息的,應當具備下列條件之一:
(一)通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
結語
信息技術的發展使個人信息處理成為體育賽事籌辦的重要手段。賽事籌辦的個人信息處理有其自身特點,在舉辦大型國際體育賽事的情況下,《主辦城市合同》對個人信息處理和跨境轉移都有特別的要求,這些要求往往基于賽事權利人所適用的法律,例如,歐盟的《通用數據保護條例》等。
我國《個保法》的出臺使在國內舉辦的體育賽事,包括國際體育賽事有法可依,體育賽事籌辦應根據其特點遵守《個保法》的相關規定。
聲明:文中觀點僅代表作者本人觀點,不代表懶熊體育。
