肖冬梅 蘇 瑩

當前，各主權國家（地區(qū)）爭相制定數(shù)據(jù)治理規(guī)則，對數(shù)據(jù)的產(chǎn)生、收集、存儲、流動等活動進行規(guī)范，其目的在于更好地保護其國民權益和數(shù)據(jù)主權，并取得數(shù)字經(jīng)濟發(fā)展的競爭優(yōu)勢。但數(shù)據(jù)跨境自由流動和安全流動一直是數(shù)據(jù)治理規(guī)則構建中不可回避的一對矛盾。雖然從1980年起，經(jīng)濟合作與發(fā)展組織《隱私保護和個人數(shù)據(jù)跨境流動指南》就將“數(shù)據(jù)跨境流動”納入法律議題，但進展緩慢，從20世紀80年代到2013年，能滿足各國破除貿(mào)易壁壘需求的“數(shù)據(jù)自由流動”主張一直占據(jù)主流，直至2013年“斯諾登事件”引發(fā)全球范圍內(nèi)的“數(shù)據(jù)本地化”立法運動，60個國家實施了數(shù)據(jù)本地化法律①“數(shù)據(jù)本地化（data localization）”是主權國家進行數(shù)據(jù)管控的一種方式，要求數(shù)據(jù)控制者將在一國收集的數(shù)據(jù)（個人信息和非個人信息）存儲在境內(nèi)，經(jīng)審查方可跨境傳輸。。近年來，隨著數(shù)據(jù)跨境流動日益頻繁，單純的數(shù)據(jù)“本地化存儲”局限凸顯，擴張國家管轄權、對跨境數(shù)據(jù)進行“域外管轄”成為不少發(fā)達經(jīng)濟體的選擇。在國際法上，域外管轄并不是一類獨立的管轄權，可以理解為一國在其境外行使主權權力或權威［1］（P169）。典型的有2016年歐盟頒布《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR），其“影響主義原則”將數(shù)據(jù)保護監(jiān)管擴展到歐盟境外②GDPR第3條基于傳統(tǒng)屬人管轄和屬地管轄的連接點，從數(shù)據(jù)處理行為的效果入手，將歐盟境內(nèi)機構境外處理個人數(shù)據(jù)的行為和歐盟境外機構處理歐盟境內(nèi)個人數(shù)據(jù)的行為納入管轄。；2018年美國《云法案》（The Clarifying Lawful Overseas Use of Data Act，簡稱The CLOUD Act）通過長臂管轄原則擴張了管轄范圍。為確保對本國數(shù)據(jù)的控制、管理與利用，我國自2016年以來相繼頒布《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律，構建了較為嚴密的數(shù)據(jù)限制性流動規(guī)則體系?；谝陨蠂H數(shù)據(jù)跨境傳輸?shù)默F(xiàn)狀，本文將結(jié)合北京冬奧會數(shù)據(jù)跨境傳輸?shù)陌咐?，探討國際數(shù)據(jù)跨境傳輸規(guī)則適用難題的可選路徑。

一、問題的提出

舉辦國際體育賽事涉及境外參賽者數(shù)據(jù)的流入和賽事期間在境內(nèi)產(chǎn)生大量數(shù)據(jù)的流出問題。大型國際體育賽事尤其是冬奧會這樣的賽事因其規(guī)模大、項目廣、參與人數(shù)眾多，且涉及市場化運作［2］（P26-28），須收集境外眾多參賽者的個人數(shù)據(jù)；境外參賽者亦會在我國境內(nèi)產(chǎn)生大量數(shù)據(jù)。大量數(shù)據(jù)的跨境傳輸，不管是流入或流出，都受相關主權國家（地區(qū)）有關數(shù)據(jù)跨境傳輸規(guī)則的規(guī)制。由于歐盟通過GDPR確立了域外管轄規(guī)則，我國構建了數(shù)據(jù)限制性流動規(guī)則，使得北京冬奧會組委會不管是賽前從境外收集數(shù)據(jù)，還是賽后按要求將數(shù)據(jù)轉(zhuǎn)移至國際奧委會，都存在難以回避的規(guī)則適用難題與合規(guī)風險。

（一）收集境外參賽者個人數(shù)據(jù)的合規(guī)風險

我國作為賽事承辦方，一方面，為組織、協(xié)調(diào)、參與賽事籌備和舉辦活動，北京冬奧會和冬殘奧會組織委員會（以下簡稱北京奧組委）等相關主體必須收集境外參賽者個人數(shù)據(jù)。根據(jù)《奧林匹克憲章》第41條①《奧林匹克憲章》第41條“參賽資格條例”規(guī)定：運動員、教練員、訓練員或其他隨隊官員要想具備參加奧林匹克運動會的資格，必須遵守《奧林匹克憲章》以及經(jīng)國際奧委會批準的相關國際單項體育聯(lián)合會的規(guī)則，并且由其國家奧委會報名。的規(guī)定：“運動員、教練員、訓練員或隨行官員等參加冬奧會的資格必須由所在國國家奧委會報名?！倍罁?jù)該憲章第44條，冬奧會舉辦的邀請和報名具體程序為“在冬奧會開幕前，國際奧委會將參加冬奧會的邀請發(fā)給所有國家奧委會，所有的國家奧委會根據(jù)國家單項體育協(xié)會推薦的名單為運動員報名②《奧林匹克憲章》第44條“邀請及報名”第1款規(guī)定：參加奧林匹克運動會的邀請應由國際奧委會于開幕式前一年發(fā)送給所有國家奧委會；第3款規(guī)定：國家奧委會只能根據(jù)國家單項體育協(xié)會推薦的名單為運動員報名。如果國家奧委會予以批準，應將該報名名單報送奧運會組委會。奧運會組委會收到后必須予以確認。國家奧委會必須審查各國家單項體育協(xié)會推薦的報名名單的有效性。，并按國際奧委會的規(guī)定向北京奧組委提交?！雹邸秺W林匹克憲章》第44條“邀請及報名”規(guī)則的細則第3款規(guī)定：所有報名必須按國際奧委會的規(guī)定提交?？梢姡ㄟ^冬奧會運動員注冊與報名程序，參加冬奧會的運動員、教練、隨行官員的個人數(shù)據(jù)，還有境外觀眾購票所提交的個人數(shù)據(jù)以及境外媒體記者入境采訪報道所提交事先審核的個人信息等，不得不從其所在國傳輸至我國境內(nèi)。另一方面，以歐盟為代表的國家與地區(qū)嚴格限制個人數(shù)據(jù)跨境傳輸，從境外收集舉辦國際體育賽事相關的必要數(shù)據(jù)遭遇制度壁壘。因為根據(jù)GDPR的規(guī)定，如果歐盟委員會沒有認定數(shù)據(jù)傳輸?shù)哪康牡氐谌龂哂信c歐盟相當?shù)臄?shù)據(jù)保護水平（即未達到“充分性保護水平”），歐盟個人數(shù)據(jù)的跨境傳輸應當以GDPR第46條中的數(shù)據(jù)傳輸工具（包括標準合同、約束性企業(yè)規(guī)則、行業(yè)準則）為基礎。由于中國不是歐盟認定的充分性保護水平國家，那么作為賽事舉辦者收集來自歐盟的運動員、裁判、觀賽人員等主體的個人數(shù)據(jù)，不能直接適用GDPR有關“充分性保護水平”的規(guī)定。若不采用合適的數(shù)據(jù)傳輸工具就直接收集境外歐盟參賽者個人數(shù)據(jù)，面臨合規(guī)風險，但若采用數(shù)據(jù)傳輸工具則有削足適履之嫌。

（二）賽后將賽事數(shù)據(jù)向境外轉(zhuǎn)移的合規(guī)風險

依據(jù)北京奧組委與國際奧委會訂立的《2022年第24屆冬奧會主辦城市合同》（以下簡稱《主辦城市合同》），北京2022年冬奧會舉辦所產(chǎn)生的相關數(shù)據(jù)獨屬于國際奧委會所有，國際奧委會要求冬奧會結(jié)束之后北京奧組委將所有相關數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部?？梢姡本W組委作為受委托方僅在合同的權限范圍內(nèi)為舉辦冬奧會收集、處理相關數(shù)據(jù)，須在冬奧會結(jié)束之后將所有北京2022冬奧會相關數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部。另一方面，北京奧組委若依約進行數(shù)據(jù)跨境傳輸，將面臨合規(guī)風險。北京奧組委將冬奧會相關數(shù)據(jù)轉(zhuǎn)移至國家奧委會需滿足我國的數(shù)據(jù)出境傳輸規(guī)則。我國《網(wǎng)絡安全法》確定了我國關鍵信息基礎設施收集和產(chǎn)生的個人信息以及重要數(shù)據(jù)的本地化存儲原則；《數(shù)據(jù)安全法》進一步明確重要數(shù)據(jù)的出境安全管理、主管機關批準、法律責任承擔等多方面的規(guī)定，嚴格限制重要數(shù)據(jù)出境；《個人信息保護法》規(guī)定了個人信息出境的合規(guī)要求，列明允許及禁止個人信息出境的情形，明確安全評估等個人信息出境程序，在本地化存儲一般性原則的基礎上提供個人信息保護認證與境外簽訂合同等跨境傳輸辦法。據(jù)此，北京奧組委為履行《主辦城市合同》，需要通過國家網(wǎng)信部門的安全評估或者經(jīng)由其他合法正當途徑才可以向境外傳輸數(shù)據(jù)。否則，向境外轉(zhuǎn)移賽事數(shù)據(jù)將面臨合規(guī)風險。

可見，我國作為冬奧會的承辦方，從歐盟境內(nèi)收集參賽者或消費者的個人數(shù)據(jù)，需要遵守GDPR對個人數(shù)據(jù)跨境傳輸至第三國的規(guī)定，雖然可以選擇簽訂符合GDPR有關個人數(shù)據(jù)跨境傳輸規(guī)則的標準化合同，但此舉不僅是削足以適履，且承辦方的合規(guī)成本不菲；賽后北京奧組委悉數(shù)將冬奧會舉辦所產(chǎn)生的相關數(shù)據(jù)從中國境內(nèi)轉(zhuǎn)移至國際奧委會，履行《主辦城市合同》義務，勢必與我國數(shù)據(jù)本地化存儲的一般性原則相沖突，這種妥協(xié)事實上是對我國數(shù)據(jù)主權的讓渡。本文將以北京冬奧會數(shù)據(jù)跨境傳輸這一具體場景為視角，剖析國際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用難題及其解決路徑。

二、收集境外歐盟個人數(shù)據(jù)的有關規(guī)則及其適用問題

我國作為冬奧會等國際體育賽事的承辦方，從歐盟境內(nèi)收集參賽者或觀眾的個人數(shù)據(jù)，合規(guī)依據(jù)主要是歐盟通過GDPR明確的個人數(shù)據(jù)跨境傳輸至第三國的有關規(guī)定。

（一）歐盟個人數(shù)據(jù)跨境傳輸至第三國的有關規(guī)定

依據(jù)GDPR的規(guī)定，歐盟的個人數(shù)據(jù)跨境傳輸至第三國的可選路徑①《95指令》（Directive 95/46/EC）構建了歐盟數(shù)據(jù)跨境傳輸整體框架，且一直延續(xù)至今?！?5指令》第25條第1款設立了個人數(shù)據(jù)跨境傳輸?shù)摹俺浞直Ｗo水平”（adequacy level of protection）一般性原則，禁止將個人數(shù)據(jù)傳輸?shù)降谌龂W洲經(jīng)濟區(qū)以外的國家或地區(qū)），除非該第三國為處理個人數(shù)據(jù)的數(shù)據(jù)主體的權利和自由提供了充分的保護。若第三國采取了適當?shù)谋Ｕ洗胧ˋppropriate Safeguards），也可進行個人數(shù)據(jù)跨境傳輸。除此之外，還可能適用特定例外情形。2015年10月6號，歐盟法院針對Schrems案（C-362/14）作出判決，將充分性保護決定考量的“充分保護水平”（adequacy level of protection）確切為“實質(zhì)性等同”（essentially equivalent）水平。2016年4月14日，歐盟議會通過GDPR，延續(xù)了《95指令》中關于數(shù)據(jù)跨境傳輸?shù)南嚓P規(guī)定。包含：“獲得充分保護水平認定”或“提供適當保護措施”或“適用可行例外”?？缇硞鬏攤€人數(shù)據(jù)時應依次適用這三條路徑，即首先考量個人數(shù)據(jù)接收國是否達到充分保護水平，其次考量其是否提供適當保障措施，最后考量傳輸是否屬于例外情形。

1.獲得充分保護水平認定

依據(jù)GDPR第45條，當歐盟委員會認定第三國或者特定部分或國際組織等的數(shù)據(jù)保護水平與歐盟實質(zhì)性等同時，向相關國家或組織的傳輸被視同為在歐盟內(nèi)部進行。由此，來自歐盟的個人數(shù)據(jù)可自由跨境流動②GDPR第44條規(guī)定，個人數(shù)據(jù)轉(zhuǎn)移不僅包括從歐盟境內(nèi)向境外轉(zhuǎn)移個人數(shù)據(jù)的情形，還包括個人數(shù)據(jù)從第三國或者國際組織轉(zhuǎn)移至另外的第三國或者國際組織。。歐盟委員會進行充分保護水平評估時的考量因素③依據(jù)GDPR第45條，委員會在評估時必須考慮：特定的第三國或國際組織是否尊重法治，保護人權及基本自由，以及相關立法是否涉及公共安全、國防和國家安全以及公共秩序與刑法；第三國或者國際組織是否確保對個人權利的行政和司法補救以及具備有效運行的獨立監(jiān)管機構；除所作的國際承諾外，第三國或者國際組織是否參與諸如“108號公約”的多邊或區(qū)域協(xié)定，而擔負個人數(shù)據(jù)保護相關義務。包括相關國家是否尊重法治與保護人權，相關立法是否涉及公共安全、國防和國家安全等。目前，包含新西蘭、澳大利亞、韓國在內(nèi)的13個國家獲得了充分性保護水平認定④迄今為止，歐盟委員會已經(jīng)認定安道爾、阿根廷、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國和烏拉圭為充分性保護國家（歐盟委員會充分性保護決定）。。此外，歐盟委員會的充分保護水平認定也可針對部分或特定部門作出，如金融服務或者IT部門等。目前，加拿大的商業(yè)組織獲得了充分性保護水平認定⑤其中涉及加拿大的決定是“部分”充分的，僅適用于加拿大《個人信息保護和電子文件法》（Personal Information Protection and Electronic Documents Act，PIPEDA）所覆蓋的企業(yè)。。

然而，我國并不在上述白名單之中，因此北京奧組委無法通過充分性保護認定這一路徑來收集境外歐盟公民的個人數(shù)據(jù)。加之歐盟委員會自由裁量權過大且充分性保護認定呈“動態(tài)化”，尤其是認定標準往往與政治因素關聯(lián)甚密［3］，故歐盟委員會很難在評判第三國或者國際組織保持中立及客觀，通過充分性保護認定這一路徑收集境外歐盟公民的個人數(shù)據(jù)，在短期內(nèi)難以實現(xiàn)。此外，即便獲得充分性保護水平認定，也并非一勞永逸，依據(jù)GDPR第46條第3款的規(guī)定①GDPR文本包含99個條文以及173個獨奏會（Recitals）條款，獨奏會條款本身并不具有嚴格的法律約束力，但對于GDPR的理解與適用至關重要。第107條獨奏會闡述了充分性決定可適當修改、撤銷和暫停。依據(jù)第106條獨奏會，歐盟委員會應監(jiān)測和定期審查充分性決定國家或組織的數(shù)據(jù)保護水平。，歐盟委員會作出的充分性保護認定決定之后，仍將依據(jù)至少每四年一次的定期審核機制繼續(xù)監(jiān)督充分性保護實踐。如有必要，歐盟委員會可以選擇廢除、修訂、暫停相關的充分性保護決定。歐盟在充分性認定上擁有過大的自由裁量權，加之以常態(tài)化的監(jiān)管機制，即便是符合充分性認定要件的第三國或國際組織，仍不得不承受不菲的合規(guī)成本。

2.提供適當?shù)谋Ｗo措施

依據(jù)GDPR第46條，在缺乏充分性保護認定時，數(shù)據(jù)控制者或數(shù)據(jù)處理者仍可通過采取適當?shù)谋Ｗo措施跨境傳輸個人數(shù)據(jù)②GDPR第46條第2款、第3款規(guī)定了的八種適當保護措施類型：歐盟委員會采用的“標準合同條款”（Standard Contractual Clauses，以下簡稱SCCs），相關監(jiān)管機構批準的“約束性企業(yè)規(guī)則”（Binding Corporate Rules，以下簡稱BCRs），經(jīng)歐盟數(shù)據(jù)保護委員會認定或者經(jīng)歐盟委員會確認效力的“行為準則”（Code of Conduct），監(jiān)管機構單獨授權的“合同條款”（ad hoc Contractual Clauses），認證機制（certification mechanisms）等。當前，多數(shù)適當保護措施方案仍未有效實施。。其中，基于合同義務的標準合同條款、基于行為標準的約束性企業(yè)規(guī)則為非充分性保護水平國家或國際組織跨境傳輸歐盟個人數(shù)據(jù)的主要途徑。行業(yè)適用的行為準則雖暫未實施，基于其鮮明的行業(yè)特色，值得關注。

第一，基于合同義務的標準合同條款。歐盟委員會提供覆蓋歐盟個人數(shù)據(jù)保護規(guī)定的《標準合同條款》（Standard Contractual Clauses，簡稱SCCs），認可簽訂該標準合同條款能夠確保個人數(shù)據(jù)得到充分保護。舊版SCCs依據(jù)《95指令》第26條第4款而設定，包含數(shù)據(jù)控制者之間及數(shù)據(jù)控制者與數(shù)據(jù)處理者之間③歐盟委員會通過2001/497/EC決定首次引入數(shù)據(jù)控制者之間的SCCs，隨后在2004年12月27日通過2004/915/EC決定進行細節(jié)性的修訂。歐盟委員會通過2010/87/EU決定，增加數(shù)據(jù)控制者與數(shù)據(jù)處理者之間的SCCs類型。的兩種類型。為涵蓋GDPR對個人數(shù)據(jù)保護的新要求，適用數(shù)字經(jīng)濟的發(fā)展，歐盟委員在2021年6月4日通過新版本的SCCs，舊版本SCCs留有18個月適用寬限期④歐盟委員會于2021年6月4日在最終實施決定中公布新SCCs。新SCCs將廢除和取代現(xiàn)有的SCCs，并規(guī)定了從生效日期起的18個月過渡期。新舊版本交替期間，舊版本SCCs有效期間最多持續(xù)到2022年12月27日。。新版本SCCs包含C2C、C2P、P2P、P2C四種類型（前者位于歐盟經(jīng)濟區(qū)內(nèi)）。不同類型的SCCs在保密性、數(shù)據(jù)處理安全性、第三方限制性轉(zhuǎn)移方面類似，在數(shù)據(jù)處理權限以及處理后數(shù)據(jù)的刪除或者返還等方面存在差別。無疑，SCCs是確保個人數(shù)據(jù)合法、安全跨境傳輸?shù)倪m當保護措施的實用途徑。隨著歐美之間“隱私盾”失效，新版本的SCCs將愈發(fā)成為個人數(shù)據(jù)跨境傳輸?shù)闹匾窂健?/p>

當前，歐盟要求在簽訂SCCs的基礎上，還應提供補充措施。SCCs作為數(shù)據(jù)跨境流動方式的有效性，在2020年7月的Schrems II案（C-311/18）中得到歐盟法院確認。但歐盟法院提出，第46條第2款中轉(zhuǎn)移工具為合同性質(zhì)，當事人之間的承諾不能約束第三國當局，簽訂SCCs之外還需要采取額外的補充措施［4］。同年11月，歐盟數(shù)據(jù)保護委員會（European Data Protection Board，簡稱EDPB）發(fā)布《關于數(shù)據(jù)跨境傳輸工具的補充措施建議以確保個人數(shù)據(jù)保護遵循歐盟水平01/2020》，附件2部分列明了補充措施的非詳盡清單，涉及簽定補充合同、采取技術措施，完善組織措施等。可見，對于舉辦國際體育賽事所面臨的歐盟個人數(shù)據(jù)收集障礙，可通過由舉辦方簽署SCCs的方式化解。北京冬奧組簽訂SCCs之后，基于合同法上的義務充分保護歐盟公民的個人數(shù)據(jù)。但根據(jù)Schrems II案，僅簽訂SCCs是不夠的，舉辦方還應該簽訂補充合同、采用技術措施等。

第二，基于行為標準的約束性企業(yè)規(guī)則。對于在歐盟境內(nèi)有關聯(lián)公司的企業(yè)集團或者從事聯(lián)合經(jīng)濟活動的企業(yè)團體⑤依據(jù)第106條獨奏會，參與共同經(jīng)濟活動的企業(yè)應涵蓋一個控制性企業(yè)及其受控企業(yè)，其中控制性企業(yè)應是能夠?qū)ζ渌髽I(yè)施加支配性影響的企業(yè)，例如所有權、財務參與或管理它的規(guī)則或?qū)嵤﹤€人數(shù)據(jù)保護規(guī)則的權力?？刂菩云髽I(yè)及其受控企業(yè)一起視為一個企業(yè)集團。，可通過實施約束性企業(yè)規(guī)則（Binding Corporate Rules，簡稱BCRs）將個人數(shù)據(jù)從歐盟境內(nèi)跨境傳輸至境外的同一企業(yè)集團或團體。BCRs最早源于《95指令》中關于數(shù)據(jù)跨境傳輸中的“行為準則”標準。依據(jù)GDPR第47條，BCRs具有法律約束力，包括個人數(shù)據(jù)的一般保護原則及權利，在企業(yè)集團或團體成員中強制執(zhí)行，以確保為數(shù)據(jù)傳輸提供適當?shù)谋Ｗo。BCRs由企業(yè)集團或團體向數(shù)據(jù)保護監(jiān)管機構提交，監(jiān)管機構在聽取歐洲數(shù)據(jù)保護委員會的相關意見之后，決定是否予以批準①相關主管監(jiān)管部門在初步審核之后將決定草案轉(zhuǎn)達給歐盟數(shù)據(jù)保護委員會，后者將就經(jīng)過初步審核的BCRs發(fā)表意見。最后，相關監(jiān)管機構依據(jù)上述意見最終確定BCRs，再予以批準。依據(jù)GDPR第45條第1款到第3款，為了使對企業(yè)集團或者企業(yè)團體具有法律約束力，BCRs必須：指出數(shù)據(jù)傳輸?shù)哪康暮陀嘘P的數(shù)據(jù)類別，考慮GDPR規(guī)定的要求，確認由歐盟主導的數(shù)據(jù)出口商代表整個集團承擔責任，解釋投訴程序，提供確保合規(guī)性的機制（例如審查）。BCRs依據(jù)主體的不同，分為數(shù)據(jù)控制者BCRs與數(shù)據(jù)處理者BCRs兩種不同類型。。若企業(yè)集團或團體在歐盟境內(nèi)多個國家營業(yè)，其BCRs需要通過多個監(jiān)管機構的審核。目前，多家知名跨國公司已獲得BCRs認可［5］。

我國也可利用BCRs收集國際體育賽事所需歐盟個人數(shù)據(jù)，但操作空間有限。一是BCRs途徑合規(guī)成本較高。BCRs在內(nèi)容上必須包括所有一般數(shù)據(jù)保護原則和可執(zhí)行權利，其批準流程相當煩瑣，必須先后通過相關監(jiān)管機構與歐洲數(shù)據(jù)保護委員會審核。尤其企業(yè)集團或者企業(yè)團體在歐盟境內(nèi)多個國家擁有企業(yè)時，BCRs的審核還涉及多個監(jiān)管機構。二是BCRs不能完全解決數(shù)據(jù)跨境傳輸?shù)淖璧K。因為BCRs嚴格限制在企業(yè)集團內(nèi)部使用，而國際體育賽事涉及項目廣、參與人數(shù)眾多且通常伴隨市場化運作，這意味著無法利用BCRs向供應商、客戶、分銷商或服務提供商等非內(nèi)部組織進行數(shù)據(jù)傳輸。

第三，基于行業(yè)普遍適用的行為準則。具有普遍約束力的行為準則在歐盟境內(nèi)發(fā)生效力，貫徹行為準則的相關企業(yè)或者組織享受數(shù)據(jù)跨境轉(zhuǎn)移的白名單待遇。行為準則最早源于《95指令》第27條的規(guī)定，GDPR后續(xù)在起草主體、審查批準機構、監(jiān)督等方面進一步細化。依據(jù)GDPR第40條，行為準則由行業(yè)協(xié)會或他機構起草，經(jīng)由相關數(shù)據(jù)監(jiān)管機構審查批準、歐洲數(shù)據(jù)保護委員會出具相關意見、歐盟委員會頒布實施性法令等措施，而后具有普遍約束力②具體而言，若符合GDPR的個人數(shù)據(jù)保護相關規(guī)定，行業(yè)協(xié)會或其他機構起草的文件將經(jīng)由監(jiān)管機構批準，變成正式的草案文件。隨即，歐洲數(shù)據(jù)保護委員會將針對行為準則草案是否提供適當?shù)陌踩Ｕ洗胧┏鼍咭庖?。對于符合適當?shù)陌踩Ｕ洗胧藴实牟莅福瑲W洲數(shù)據(jù)保護委員會有將肯定性意見提交給歐盟委員會的義務。歐盟委員會在收到上述肯定性意見之后，可以通過實施性法令的方式，使該準則具有普遍約束力。。行業(yè)準則反映了特定部門或行業(yè)的特定數(shù)據(jù)流的特定特征和需求，是歐盟鼓勵行業(yè)數(shù)據(jù)自治的重要舉措。

體育領域的行業(yè)協(xié)會或者相關機構可以考慮針對舉辦國際體育賽事事宜達成具有普遍約束力的行為準則。但這一途徑帶有一定的理想主義色彩③歐洲數(shù)據(jù)保護委員（European Data Protection Board）已經(jīng)針對兩份草案文件出具了部分肯定的意見，一是關于比利時監(jiān)管機構提交的“歐盟云服務提供商數(shù)據(jù)保護行為準則”（EU Data Protection Code of Conduct for Cloud Service Providers），另為法國監(jiān)管機構提交的“云基礎設施服務提供商行為準則”（The Code of Conduct of CISPE）。。一是歐盟關乎行為準則的實踐并不成熟，當前并未確立具有普遍約束力的行為準則。二是體育行業(yè)行為準則從起草到最終到歐盟委員會頒布實施性法令，涉及多方主體且程序復雜，使其具有普遍約束力難度大。

3.適用可行的例外規(guī)定

GDPR明確特殊情形下可克減個人數(shù)據(jù)保護義務，即基于特殊情形下的例外規(guī)定（Derogations for Specific Situations）向域外傳輸個人數(shù)據(jù)。依據(jù)第49條④GDPR第49條規(guī)定適用例外規(guī)定的七種情形：明確同意轉(zhuǎn)移；基于先合同義務所必須；數(shù)據(jù)主體利益合同所必要；行使、確立或抗辯法定請求權所必要；特殊情形無法同意但主體及他人利益所必要；依歐盟法規(guī)設立的登記簿為提供信息所必須；基于合法利益的限制性傳輸?shù)?。當前，多?shù)適當保護措施方案仍未有效實施。，例外規(guī)定具體包含先合同義務、明確同意、公共利益必要等八種特殊情形。其中，舉辦國際體育賽事往往涉及公共利益情形。

歐盟鼓勵跨境傳輸保護公共利益所需且必要的個人數(shù)據(jù)⑤依據(jù)第112條獨奏會，反興奮劑運動以及疫情防控等屬于出于公共利益的重要原因而進行的數(shù)據(jù)傳輸?shù)那樾?。。如在競爭監(jiān)管機構、稅務或海關管理部門、金融監(jiān)管機構、主管社會保障部門之間，在負責社會安全保障事務或公共健康的服務之間進行國際數(shù)據(jù)交換。其限制性條件為，上述公共利益為歐盟或數(shù)據(jù)接收國法律所認可。我國舉辦2022年冬奧會涉及的體育賽事興奮劑檢測、新冠肺炎疫情等傳染性疾病接觸者追蹤等事宜屬于公共利益的范疇。因而針對上述事宜，存在適用“公共利益”例外規(guī)定而收集歐盟個人數(shù)據(jù)的操作空間。

（二）歐盟個人數(shù)據(jù)跨境傳輸規(guī)則適用的問題

通過考察歐盟個人數(shù)據(jù)跨境傳輸分層級適用的三條路徑可以發(fā)現(xiàn)，其嚴密的數(shù)據(jù)跨境傳輸機制下數(shù)據(jù)跨境流動十分受限。可見，歐盟雖未明確數(shù)據(jù)本地化存儲的一般性原則，但卻形成了事實上的“軟數(shù)據(jù)本地化存儲”規(guī)則［6］（P25-49）。如圖1所示，作為國際體育賽事承辦者收集境外歐盟參賽者個人數(shù)據(jù)的可行路徑有：一是獲得充分性保護水平認定；二是通過BCRs及SCCs及行為準則提供適當保護措施；三是適用公共利益例外規(guī)定。然而，我國舉辦冬奧會等國際體育賽事，在歐盟“軟數(shù)據(jù)本地化存儲”的規(guī)則體系下，以上三條路徑都還存在問題和挑戰(zhàn)。

圖1 國際體育賽事承辦者收集歐盟居民個人數(shù)據(jù)的路徑選擇

第一，我國尚未屬于歐盟委員會認定的白名單國家。當前存在歐盟委員會自由裁量權過大的問題，且對充分保護水平的認定是動態(tài)的，其并非一勞永逸，如歐美之間《隱私盾協(xié)議》現(xiàn)已無效。

第二，“提供適當保護措施”途徑可操作性不強，合規(guī)成本高。SCCs作為一類合同僅用于規(guī)范合同約定的數(shù)據(jù)處理活動，這意味著個人數(shù)據(jù)處理活動類型發(fā)生變化時都必須起草新合同。當個人數(shù)據(jù)處理活動較為復雜時，存在數(shù)據(jù)接收方同時為數(shù)據(jù)控制者或數(shù)據(jù)處理者的情形，此時須多次簽訂多份不同類型的SCCs。此外Schrems II案判決提出了在SCCs基礎之上提供補充措施的要求。BCRs嚴格限制在企業(yè)集團或團體內(nèi)部使用，這意味著無法利用BCRs實現(xiàn)向非內(nèi)部組織進行數(shù)據(jù)傳輸。此外，BCRs內(nèi)容要求高，批準流程煩瑣，其須經(jīng)多個監(jiān)管機構批準，而帶有行業(yè)特色的行為準則尚未實踐。

第三，“公共利益”例外情形的適用空間小，僅限于小規(guī)模數(shù)據(jù)流動。為開展體育賽事中的反興奮劑工作，相關數(shù)據(jù)控制者可基于“公共利益”例外規(guī)定收集特定歐盟公民的個人數(shù)據(jù)，但其所涉及的個人數(shù)據(jù)范圍也僅限定在為實現(xiàn)興奮劑監(jiān)管所需的、所必要的個人數(shù)據(jù)。此外，開展反興奮劑活動所需的個人數(shù)據(jù)在奧運賽事相關數(shù)據(jù)中的占比不高。自然，基于公共利益例外規(guī)定進行的個人數(shù)據(jù)跨境傳輸必然規(guī)模受限，且很難多次或經(jīng)常性適用。

三、我國數(shù)據(jù)出境規(guī)則及其適用的問題

根據(jù)《主辦城市合同》，國際奧委會要求冬奧會結(jié)束之后北京奧組委須將所有相關數(shù)據(jù)轉(zhuǎn)移至瑞士的國際奧委會總部。北京奧組委作為此次國際體育賽事數(shù)據(jù)出境合規(guī)的義務主體，需要依據(jù)我國數(shù)據(jù)出境相關規(guī)則，向位于瑞士的國際奧委會進行數(shù)據(jù)轉(zhuǎn)移。

（一）我國數(shù)據(jù)出境相關規(guī)則

數(shù)據(jù)出境①國家互聯(lián)網(wǎng)信息辦公室最新發(fā)布的《數(shù)據(jù)出境安全評估辦法》中并未明確數(shù)據(jù)出境的定義，但就《辦法》答記者問時明確了數(shù)據(jù)出境包括：數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外；數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機構、組織或者個人可以訪問或者調(diào)用。我國關于數(shù)據(jù)向境外轉(zhuǎn)移的跨境傳輸、數(shù)據(jù)出境、跨境提供等不同說法，但都表達相同的含義，其中數(shù)據(jù)出境使用較為主流，本文中數(shù)據(jù)出境及數(shù)據(jù)跨境傳輸?shù)茸鐾群x使用。指將在我國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)一次或多次提供給境外接受方，或允許境外相關的機構訪問或調(diào)用。我國并未形成關乎數(shù)據(jù)出境的統(tǒng)一立法，對其之限制與監(jiān)管規(guī)定散見于各類法律法規(guī)、部門規(guī)章以及規(guī)范性文件當中。依據(jù)《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等，我國數(shù)據(jù)出境整體上以數(shù)據(jù)本地化存儲為原則，以限制出境為例外。其目的在于降低跨境流通對我國國家安全、社會公共利益及個人合法利益帶來的風險。當前，我國數(shù)據(jù)出境的可行途徑包括通過數(shù)據(jù)出境安全風險評估、與境外接收方訂立合同以及獲取個人信息保護認證。

1.通過國家網(wǎng)信部門的安全評估

《網(wǎng)絡安全法》第37條確立了我國個人信息和重要數(shù)據(jù)本地化存儲的一般性原則，同時明確“安全評估”為本地化存儲之例外。自2022年9月1日實施的《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》）搭建起我國數(shù)據(jù)出境安全評估的基本框架?！掇k法》歷經(jīng)三次征求意見②2017年4月11日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，涉及個人信息與重要數(shù)據(jù)的出境安全評估。2019年6月13日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境安全評估辦法（征求意見稿）》，僅涉及個人信息的出境安全評估。隨后，2021年10月29日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》將個人信息與重要數(shù)據(jù)統(tǒng)一規(guī)范。后發(fā)布，針對數(shù)據(jù)出境安全評估的適用范圍、評估形式、評估流程以及常態(tài)化監(jiān)管等進行了完善的規(guī)定。一是適用范圍。依據(jù)《辦法》第2條的規(guī)定，進行安全評估的主體為數(shù)據(jù)處理者，其須存在向境外提供數(shù)據(jù)的情形，提供的數(shù)據(jù)須在我國境內(nèi)運營中收集與產(chǎn)生，且這些數(shù)據(jù)為重要數(shù)據(jù)與個人信息。二是評估形式。依據(jù)《辦法》第3條、第5條規(guī)定，數(shù)據(jù)出境安全評估采用自評估與安全評估相結(jié)合的方式。在適用層級上，數(shù)據(jù)處理者應先行開展自評估，自評估屬于《辦法》第4條③《數(shù)據(jù)出境安全評估辦法》第4條規(guī)定，數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估：數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；關鍵信息基礎設施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。規(guī)定的四種情形而后進行申報安全評估。三是評估流程。數(shù)據(jù)處理者應當經(jīng)自評，自認為符合條件的前提下向省級網(wǎng)信部門提交安全評估申報材料。省級網(wǎng)信部門審核材料完備性，然后上報國家網(wǎng)信部門進行安全評估。國家網(wǎng)信部門根據(jù)申報的情況，聯(lián)合省級網(wǎng)信部門或?qū)ｉT機構進行評估，作出通過評估與否的決定。四是常態(tài)化監(jiān)管。依據(jù)《辦法》第3條、第14條，安全評估的監(jiān)管是常態(tài)化的，且通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年?？梢姡覈鴶?shù)據(jù)出境安全評估已基本形成以國家網(wǎng)信部門為主導、自評估與申報風險評估相結(jié)合、事前評估與監(jiān)督相結(jié)合的基本框架。

北京冬奧組委可通過國家網(wǎng)信部門的安全評估后向境外轉(zhuǎn)移數(shù)據(jù)。我國北京冬奧組委擔負有將奧運賽事相關數(shù)據(jù)轉(zhuǎn)移至國際奧委會的義務，北京冬奧組委作為數(shù)據(jù)處理者，須向位于瑞士的國際奧委會提供數(shù)據(jù)，所提供數(shù)據(jù)為冬奧會賽事活動所收集或產(chǎn)生。具體的數(shù)據(jù)類型必然包含個人信息以及如北京冬奧會網(wǎng)絡及終端設備的配置數(shù)據(jù)等可能涉及國家安全的重要數(shù)據(jù)。由此，北京冬奧組委作為數(shù)據(jù)處理者應當進行數(shù)據(jù)出境安全評估。依據(jù)《辦法》，若北京冬奧組委提交的數(shù)據(jù)轉(zhuǎn)移事項通過國家網(wǎng)信部門組織的安全評估，即可向國際奧委會轉(zhuǎn)移相關數(shù)據(jù)。

2.獲取專業(yè)機構的個人信息保護認證

依據(jù)《個人信息保護法》第38條第2款，個人信息處理者獲取專業(yè)機構的個人信息保護認證后即可向境外提供個人信息。2022年6月24日，國家信息安全標準化技術委員會發(fā)布《網(wǎng)絡安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范》（以下簡稱《認證規(guī)范》）。《認證規(guī)范》明確個人信息保護認證將從個人信息跨境處理應遵循的基本原則、要求以及個人信息主體權益保障方面展開。然而，其并未明確開展個人信息保護認證的專門機構。

北京冬奧組委向國際奧組委提供冬奧會相關數(shù)據(jù)時，涉及個人信息跨境轉(zhuǎn)移。北京冬奧組委可作為個人信息處理者，通過獲取專業(yè)機構保護認證的途徑，向國際奧組委轉(zhuǎn)移冬奧會數(shù)據(jù)中的個人信息。

3.依標準合同與境外接收方訂立合同

依據(jù)《個人信息保護法》第38條第3款，個人信息處理者可依照國家網(wǎng)信部門制度的標準合同與境外接收方簽訂合同的方式向境外提供個人信息。訂立標準合同這一途徑合規(guī)成本低且可操作性強。按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同是一種私法主體間的民事行為，操作簡便可行。此外，依據(jù)標準合同約定與接收方的權利和義務的合規(guī)成本低。標準合同由國家網(wǎng)信部門制定，合同內(nèi)容具備個人信息保護的當然性。2022年6月30日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境標準合同規(guī)定（征求意見稿）》（以下簡稱《標準合同規(guī)定》），《標準合同規(guī)定》涉及適用范圍、合規(guī)義務及法律責任等方面，其并非強制性適用，個人信息處理者可以自行擬定不相沖突的合同。

北京冬奧組委可以選擇同國際奧組委依據(jù)標準合同簽訂個人信息跨境流動的合同，同國際奧組委約定個人信息保護的權利與義務，如此便可合法合規(guī)地向國際奧組委提供冬奧會相關的個人信息。

（二）中國數(shù)據(jù)出境規(guī)則適用的問題

考察我國限制性數(shù)據(jù)出境規(guī)則后不難發(fā)現(xiàn)，北京奧組委作為數(shù)據(jù)處理者，可選擇通過安全評估、獲取保護認證或訂立標準合同的方式向境外的國際奧委會轉(zhuǎn)移數(shù)據(jù)（見圖2），但將冬奧會產(chǎn)生的相關數(shù)據(jù)向境外提供仍將面臨合規(guī)挑戰(zhàn)。

圖2 向境外轉(zhuǎn)移國際體育賽事相關數(shù)據(jù)的可選路徑

第一，國際體育賽事舉辦方面臨數(shù)據(jù)切割難題。我國數(shù)據(jù)出境監(jiān)管指向個人信息與重要數(shù)據(jù)，在《網(wǎng)絡安全法》實施前后，受到跨境規(guī)制的數(shù)據(jù)類型還涉及銀行金融、醫(yī)療健康、自動駕駛、商業(yè)服務等多個行業(yè)領域的數(shù)據(jù)，對于國家秘密更是嚴格限制出境。由此，不屬于上述數(shù)據(jù)范疇的數(shù)據(jù)可不經(jīng)監(jiān)管直接轉(zhuǎn)移。冬奧會相關數(shù)據(jù)豐富多樣，涉及注冊、票務、住宿、餐飲、語言、醫(yī)療、交通等多領域，其中包含了個人信息，也可能包含重要數(shù)據(jù)，甚至是人口健康信息等行業(yè)領域數(shù)據(jù)或是國家秘密。目前，個人信息的內(nèi)涵界定業(yè)已形成“識別加關聯(lián)”的通識，《信息安全技術個人信息安全規(guī)范》附錄A部分也列明個人信息的具體類型，提供了相應的判別指引。然而，我國當前并未明晰重要數(shù)據(jù)的具體范圍。2022年1月13日發(fā)布的《信息安全技術重要數(shù)據(jù)的識別指南》（征求意見稿）表明我國對于重要數(shù)據(jù)的具體范圍仍停留在探索階段。

由此將導致如下問題：一是無法將不屬于個人信息、重要數(shù)據(jù)、國家秘密以及受監(jiān)管的行業(yè)領域數(shù)據(jù)切割出來，而這部分數(shù)據(jù)理應可自由流動。二是無法明確國家秘密以及受監(jiān)管的行業(yè)領域數(shù)據(jù)與重要數(shù)據(jù)的關系，這是因為國家秘密以及行業(yè)領域數(shù)據(jù)是否必然屬于重要數(shù)據(jù)的范疇仍不明確。三是個人信息與重要數(shù)據(jù)存在重疊，個人信息可能屬于與國家安全、社會公益密切相關的重要數(shù)據(jù)，重要數(shù)據(jù)中包含非個人信息，將二者進行切割的必要性及可行性存疑。

第二，相關配套規(guī)則未出臺，導致數(shù)據(jù)出境合規(guī)路徑尚未暢通?！掇k法》的適用范圍并不清晰，其并未明確安全評估四個要件中的“數(shù)據(jù)出境”以及“數(shù)據(jù)處理者”的定義，且我國仍未明確“重要數(shù)據(jù)”識別標準，這意味著當前進行安全評估尚存規(guī)則適用難題。此外，《認證規(guī)范》并未明確開展個人信息保護認證的專門機構，《標準合同規(guī)定》尚未實施，缺乏相應的實踐經(jīng)驗。

四、國際體育賽事數(shù)據(jù)跨境傳輸規(guī)則適用難題的破解路徑

通過考察歐盟個人數(shù)據(jù)跨境傳輸路徑及我國數(shù)據(jù)出境限制規(guī)則可發(fā)現(xiàn)，國際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突體現(xiàn)在歐盟“軟數(shù)據(jù)本地化”的立場與我國“硬數(shù)據(jù)本地化”主張相沖突，由此產(chǎn)生的數(shù)據(jù)跨境流動的矛盾難以有根本的解決方案。結(jié)合舉辦國際體育賽事的特點，本文認為可以考慮的解決路徑如表1所示。從我國被動應對的角度，國際體育賽事舉辦方可在體育賽事相關協(xié)議中設置合規(guī)性保護義務條款以直接應對，也可適用歐盟SCCs及BCRs跨境傳輸工具以間接合規(guī)。從我國能動應對的角度，我國可以致力于推動建立雙邊或者多邊合作機制，也可以由國家體育總局制定我國體育領域的專門性數(shù)據(jù)保護規(guī)范。

表1 數(shù)據(jù)跨境傳輸規(guī)則適用難題的解決路徑

（一）在舉辦協(xié)議中設置合規(guī)性保護義務條款

就舉辦北京冬奧會而言，其數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務主要來源于《主辦城市合同》中的規(guī)定。GDPR生效之后，國際奧委會相繼更新了隨后將舉辦大型體育賽事的巴黎、洛杉磯等城市的《主辦城市合同》版本，這是國際奧委會作為數(shù)據(jù)控制者將高標準的歐盟個人數(shù)據(jù)保護義務內(nèi)化吸收的結(jié)果。未來的國際體育賽事主辦方可在國際體育賽事舉辦協(xié)議中設置合規(guī)性保護義務條款，以確保外國公民的個人數(shù)據(jù)權益不受減損。若直接承認GDPR的規(guī)則體系，可通過明確如下義務條款保護個人數(shù)據(jù)：遵循目的限制原則、透明度原則、準確性與數(shù)據(jù)最小化原則等一般性原則，限期儲存?zhèn)€人數(shù)據(jù)；采取技術措施保保障數(shù)據(jù)處理安全，限制性向第三方轉(zhuǎn)移，限制對特殊類型個人數(shù)據(jù)的處理，等等。

在舉辦協(xié)議中設置合規(guī)性保護義務條款屬于一事一議的方式，這種方式雖較為靈活直接，但在雙方長臂管轄原則呈對抗的情形下，一味追求義務合規(guī)可能喪失數(shù)據(jù)治理話語權。北京冬奧組委若悉數(shù)將奧運賽事相關數(shù)據(jù)轉(zhuǎn)移，全然忽略數(shù)據(jù)本地化存儲的一般性原則，實際上不適用本國法律，而適用歐盟的相關法律，這是一種主權的讓渡。

（二）適用SCCs及BCRs跨境傳輸路徑

結(jié)合歐盟GDPR的相關規(guī)則來看，目前可行的數(shù)據(jù)傳輸路徑有BCRs以及SCCs。兩種途徑都是對歐盟規(guī)則事實上的承認，也僅解決如何對將個人數(shù)據(jù)的跨境傳輸?shù)轿覈硟?nèi)的問題。

BCRs針對大中型的企業(yè)設立，鼓勵在歐盟存在經(jīng)濟實體的企業(yè)集團或者企業(yè)實體使用。理論上，國際體育賽事舉辦方可與通過BCRs的跨國公司合作，跨境傳輸國際體育賽事所涉及的歐盟居民個人數(shù)據(jù)?；贐CRs嚴格限制在企業(yè)集團內(nèi)部使用，與上述跨國公司合作只能確保將歐盟公民的個人數(shù)據(jù)從歐盟轉(zhuǎn)移到境外的跨國公司。如果為實現(xiàn)奧運賽事相關活動目的，處于境外的跨國公司實體還需要向其他供應鏈、酒店或者交通部門等數(shù)據(jù)控制者或處理者共享數(shù)據(jù)，該跨國公司需另外同這些主體簽訂新的SCCs以約束上述共享行為。此外，目前通過BCRs認證的跨國公司僅80余家，從中找到能夠提供與國際體育賽事舉辦相關跨國服務的合作伙伴較為困難。

此外，國際體育賽事主辦方可與歐盟境內(nèi)的數(shù)據(jù)處理者或者數(shù)據(jù)控制者簽訂SCCs，通過合同條款保障歐盟公民的數(shù)據(jù)權利。國際體育賽事主辦方為數(shù)據(jù)控制者，為完成賽事相關事宜決定數(shù)據(jù)的處理目的與方式。其可能簽訂的標準合同條款（SCCs）有數(shù)據(jù)控制者至數(shù)據(jù)控制者（Transfer Controller to Controller，C2C）或者數(shù)據(jù)處理者至數(shù)據(jù)控制者（Transfer Processor to Controller，P2C）兩種類型。簽訂C2C之后，主辦方受目的限制原則約束，在為完成奧運會相關事宜范圍內(nèi)進行數(shù)據(jù)處理活動。舉辦方可以在權限范圍內(nèi)授權其他數(shù)據(jù)處理者處理個人數(shù)據(jù)，但需要保證數(shù)據(jù)主體的權利。舉辦方也可以與在歐盟境內(nèi)的數(shù)據(jù)處理者簽訂P2C，要求境內(nèi)的數(shù)據(jù)處理者按照舉辦方的指示進行數(shù)據(jù)處理活動。SCCs相較于BCRs更為實用，國際體育賽事的舉辦方可能依據(jù)不同的數(shù)據(jù)處理目的需要簽訂多份SCCs，由此面臨不菲的數(shù)據(jù)合規(guī)成本。

（三）推動建立雙邊或者多邊合作機制

數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突給全球的行政法體制提出了新難題，有必要進行國際協(xié)調(diào)，構建雙邊或者多邊的國際協(xié)作機制和多元主體協(xié)同治理的格局。面對歐盟采取的單邊保護主義，我國可以與歐盟委員會進行磋商，就個人信息與重要數(shù)據(jù)跨境傳輸探討雙邊合作機制。GDPR第50條、我國《數(shù)據(jù)安全法》第11條及《個人信息保護法》第12條都給未來中國與歐盟的國際合作預留了一定的空間。歐盟委員會以及監(jiān)管機構有建立國際合作機制以促進GDPR有效實施的義務；我國應積極開展數(shù)據(jù)領域國際交流與合作，參與數(shù)據(jù)安全相關國際規(guī)則和標準的制定，以促進個人信息保護及數(shù)據(jù)跨境安全、自由流動。雙邊協(xié)議的達成受協(xié)議參與國自身經(jīng)濟、政治力量的制約［7］（P37-48）。面對歐盟強硬的單邊主義，我國絕不應作出全面承認GDPR規(guī)則的承諾，而應該堅持雙方充分磋商之后達成數(shù)據(jù)跨境傳輸制度的共識。

即便達成雙邊合作，也只是解決我國與歐盟之間的數(shù)據(jù)跨境傳輸沖突問題。要真正形成多元主體協(xié)同治理的局面，在于形成一個剛性的多邊條約。如此便可以約束世界范圍內(nèi)的主要國家與地區(qū)，確保數(shù)據(jù)在共識框架基礎上的自由流動。但不可避免地，基于不同的文化背景、法律環(huán)境及政策考量，其較之雙邊條約談判成本更高，難度更大。當下數(shù)據(jù)跨境傳輸?shù)钠惹鞋F(xiàn)實需求，亟待聯(lián)合國、WTO等國際組織積極推動構建數(shù)據(jù)跨境傳輸?shù)亩噙厳l約。

（四）制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護規(guī)范

目前我國有制定體育產(chǎn)業(yè)數(shù)據(jù)保護規(guī)范的需求。我國在《體育強國綱要》中明確了“體育產(chǎn)業(yè)更大、更活、更優(yōu)，成為國民經(jīng)濟支柱性產(chǎn)業(yè)”的戰(zhàn)略目標。大型國際體育賽事涉及注冊、餐飲、抵離、酒店、醫(yī)療、語言、交通、技術等多個方面，其中必然收集與產(chǎn)生大量的個人信息與重要數(shù)據(jù)。國際體育塞所收集或產(chǎn)生的數(shù)據(jù)蘊含著巨大的開發(fā)與分析價值，是促進體育產(chǎn)業(yè)發(fā)展的“新石油”。然而，促進體育數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展，打造現(xiàn)代產(chǎn)業(yè)體系，有著對體育數(shù)據(jù)更高標準的數(shù)據(jù)保護需求。國家體育總局有必要出臺高于一般保護水平的體育領域數(shù)據(jù)保護規(guī)范，以暢通國際體育賽事數(shù)據(jù)自由跨境傳輸渠道，同時為賽事中的個人信息與重要數(shù)據(jù)提供充分性保護。如此便可在保護體育產(chǎn)業(yè)數(shù)據(jù)安全的前提下，推動以數(shù)據(jù)為關鍵要素的人工智能、物聯(lián)網(wǎng)等技術與體育產(chǎn)業(yè)的融合，為創(chuàng)新體育領域的生產(chǎn)方式、服務方式和商業(yè)模式提供制度保障。此外，制定體育產(chǎn)業(yè)數(shù)據(jù)保護規(guī)范是基于產(chǎn)業(yè)格局與國際地位的重要考量［8］（P106-117）。我國體育產(chǎn)業(yè)有著自身的比較優(yōu)勢，積極主動地構建體育產(chǎn)業(yè)數(shù)據(jù)保護規(guī)范，可構建體育產(chǎn)業(yè)數(shù)據(jù)保護的中國話語。

五、結(jié) 語

歐盟嚴格限制個人數(shù)據(jù)跨境傳輸，中國明確數(shù)據(jù)本地化存儲原則，構成數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用難題。規(guī)則適用問題的本質(zhì)在于主權國家以個人數(shù)據(jù)為抓手展開長臂管轄制度暗戰(zhàn)，爭奪數(shù)據(jù)治理規(guī)則話語權。當前解決規(guī)則適用難題的可選路徑中，在協(xié)議中設置合規(guī)性保護義務條款、適用BCRs及SCCs跨境傳輸工具都是一次一議的臨時性選擇；推動建立雙邊或者多邊合作機制，統(tǒng)籌推動制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護規(guī)范是長期、可制度化的解決方案。尤其在我國實施大數(shù)據(jù)戰(zhàn)略、體育強國戰(zhàn)略的背景下，制定我國體育產(chǎn)業(yè)數(shù)據(jù)保護規(guī)范更是基于產(chǎn)業(yè)發(fā)展與國際地位的重要選擇，有助于構建體育產(chǎn)業(yè)數(shù)據(jù)保護的中國話語，提升我國體育產(chǎn)業(yè)在世界范圍內(nèi)的影響力，這也是我國目前解決國際體育賽事數(shù)據(jù)跨境傳輸合規(guī)問題的優(yōu)選方案。