肖冬梅 蘇 瑩

當(dāng)前，各主權(quán)國(guó)家（地區(qū)）爭(zhēng)相制定數(shù)據(jù)治理規(guī)則，對(duì)數(shù)據(jù)的產(chǎn)生、收集、存儲(chǔ)、流動(dòng)等活動(dòng)進(jìn)行規(guī)范，其目的在于更好地保護(hù)其國(guó)民權(quán)益和數(shù)據(jù)主權(quán)，并取得數(shù)字經(jīng)濟(jì)發(fā)展的競(jìng)爭(zhēng)優(yōu)勢(shì)。但數(shù)據(jù)跨境自由流動(dòng)和安全流動(dòng)一直是數(shù)據(jù)治理規(guī)則構(gòu)建中不可回避的一對(duì)矛盾。雖然從1980年起，經(jīng)濟(jì)合作與發(fā)展組織《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》就將“數(shù)據(jù)跨境流動(dòng)”納入法律議題，但進(jìn)展緩慢，從20世紀(jì)80年代到2013年，能滿足各國(guó)破除貿(mào)易壁壘需求的“數(shù)據(jù)自由流動(dòng)”主張一直占據(jù)主流，直至2013年“斯諾登事件”引發(fā)全球范圍內(nèi)的“數(shù)據(jù)本地化”立法運(yùn)動(dòng)，60個(gè)國(guó)家實(shí)施了數(shù)據(jù)本地化法律①“數(shù)據(jù)本地化（data localization）”是主權(quán)國(guó)家進(jìn)行數(shù)據(jù)管控的一種方式，要求數(shù)據(jù)控制者將在一國(guó)收集的數(shù)據(jù)（個(gè)人信息和非個(gè)人信息）存儲(chǔ)在境內(nèi)，經(jīng)審查方可跨境傳輸。。近年來(lái)，隨著數(shù)據(jù)跨境流動(dòng)日益頻繁，單純的數(shù)據(jù)“本地化存儲(chǔ)”局限凸顯，擴(kuò)張國(guó)家管轄權(quán)、對(duì)跨境數(shù)據(jù)進(jìn)行“域外管轄”成為不少發(fā)達(dá)經(jīng)濟(jì)體的選擇。在國(guó)際法上，域外管轄并不是一類(lèi)獨(dú)立的管轄權(quán)，可以理解為一國(guó)在其境外行使主權(quán)權(quán)力或權(quán)威［1］（P169）。典型的有2016年歐盟頒布《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱(chēng)GDPR），其“影響主義原則”將數(shù)據(jù)保護(hù)監(jiān)管擴(kuò)展到歐盟境外②GDPR第3條基于傳統(tǒng)屬人管轄和屬地管轄的連接點(diǎn)，從數(shù)據(jù)處理行為的效果入手，將歐盟境內(nèi)機(jī)構(gòu)境外處理個(gè)人數(shù)據(jù)的行為和歐盟境外機(jī)構(gòu)處理歐盟境內(nèi)個(gè)人數(shù)據(jù)的行為納入管轄。；2018年美國(guó)《云法案》（The Clarifying Lawful Overseas Use of Data Act，簡(jiǎn)稱(chēng)The CLOUD Act）通過(guò)長(zhǎng)臂管轄原則擴(kuò)張了管轄范圍。為確保對(duì)本國(guó)數(shù)據(jù)的控制、管理與利用，我國(guó)自2016年以來(lái)相繼頒布《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律，構(gòu)建了較為嚴(yán)密的數(shù)據(jù)限制性流動(dòng)規(guī)則體系?；谝陨蠂?guó)際數(shù)據(jù)跨境傳輸?shù)默F(xiàn)狀，本文將結(jié)合北京冬奧會(huì)數(shù)據(jù)跨境傳輸?shù)陌咐?，探討?guó)際數(shù)據(jù)跨境傳輸規(guī)則適用難題的可選路徑。

一、問(wèn)題的提出

舉辦國(guó)際體育賽事涉及境外參賽者數(shù)據(jù)的流入和賽事期間在境內(nèi)產(chǎn)生大量數(shù)據(jù)的流出問(wèn)題。大型國(guó)際體育賽事尤其是冬奧會(huì)這樣的賽事因其規(guī)模大、項(xiàng)目廣、參與人數(shù)眾多，且涉及市場(chǎng)化運(yùn)作［2］（P26-28），須收集境外眾多參賽者的個(gè)人數(shù)據(jù)；境外參賽者亦會(huì)在我國(guó)境內(nèi)產(chǎn)生大量數(shù)據(jù)。大量數(shù)據(jù)的跨境傳輸，不管是流入或流出，都受相關(guān)主權(quán)國(guó)家（地區(qū)）有關(guān)數(shù)據(jù)跨境傳輸規(guī)則的規(guī)制。由于歐盟通過(guò)GDPR確立了域外管轄規(guī)則，我國(guó)構(gòu)建了數(shù)據(jù)限制性流動(dòng)規(guī)則，使得北京冬奧會(huì)組委會(huì)不管是賽前從境外收集數(shù)據(jù)，還是賽后按要求將數(shù)據(jù)轉(zhuǎn)移至國(guó)際奧委會(huì)，都存在難以回避的規(guī)則適用難題與合規(guī)風(fēng)險(xiǎn)。

（一）收集境外參賽者個(gè)人數(shù)據(jù)的合規(guī)風(fēng)險(xiǎn)

我國(guó)作為賽事承辦方，一方面，為組織、協(xié)調(diào)、參與賽事籌備和舉辦活動(dòng)，北京冬奧會(huì)和冬殘奧會(huì)組織委員會(huì)（以下簡(jiǎn)稱(chēng)北京奧組委）等相關(guān)主體必須收集境外參賽者個(gè)人數(shù)據(jù)。根據(jù)《奧林匹克憲章》第41條①《奧林匹克憲章》第41條“參賽資格條例”規(guī)定：運(yùn)動(dòng)員、教練員、訓(xùn)練員或其他隨隊(duì)官員要想具備參加奧林匹克運(yùn)動(dòng)會(huì)的資格，必須遵守《奧林匹克憲章》以及經(jīng)國(guó)際奧委會(huì)批準(zhǔn)的相關(guān)國(guó)際單項(xiàng)體育聯(lián)合會(huì)的規(guī)則，并且由其國(guó)家?jiàn)W委會(huì)報(bào)名。的規(guī)定：“運(yùn)動(dòng)員、教練員、訓(xùn)練員或隨行官員等參加冬奧會(huì)的資格必須由所在國(guó)國(guó)家?jiàn)W委會(huì)報(bào)名?！倍罁?jù)該憲章第44條，冬奧會(huì)舉辦的邀請(qǐng)和報(bào)名具體程序?yàn)椤霸诙瑠W會(huì)開(kāi)幕前，國(guó)際奧委會(huì)將參加冬奧會(huì)的邀請(qǐng)發(fā)給所有國(guó)家?jiàn)W委會(huì)，所有的國(guó)家?jiàn)W委會(huì)根據(jù)國(guó)家單項(xiàng)體育協(xié)會(huì)推薦的名單為運(yùn)動(dòng)員報(bào)名②《奧林匹克憲章》第44條“邀請(qǐng)及報(bào)名”第1款規(guī)定：參加奧林匹克運(yùn)動(dòng)會(huì)的邀請(qǐng)應(yīng)由國(guó)際奧委會(huì)于開(kāi)幕式前一年發(fā)送給所有國(guó)家?jiàn)W委會(huì)；第3款規(guī)定：國(guó)家?jiàn)W委會(huì)只能根據(jù)國(guó)家單項(xiàng)體育協(xié)會(huì)推薦的名單為運(yùn)動(dòng)員報(bào)名。如果國(guó)家?jiàn)W委會(huì)予以批準(zhǔn)，應(yīng)將該報(bào)名名單報(bào)送奧運(yùn)會(huì)組委會(huì)。奧運(yùn)會(huì)組委會(huì)收到后必須予以確認(rèn)。國(guó)家?jiàn)W委會(huì)必須審查各國(guó)家單項(xiàng)體育協(xié)會(huì)推薦的報(bào)名名單的有效性。，并按國(guó)際奧委會(huì)的規(guī)定向北京奧組委提交?！雹邸秺W林匹克憲章》第44條“邀請(qǐng)及報(bào)名”規(guī)則的細(xì)則第3款規(guī)定：所有報(bào)名必須按國(guó)際奧委會(huì)的規(guī)定提交。可見(jiàn)，通過(guò)冬奧會(huì)運(yùn)動(dòng)員注冊(cè)與報(bào)名程序，參加冬奧會(huì)的運(yùn)動(dòng)員、教練、隨行官員的個(gè)人數(shù)據(jù)，還有境外觀眾購(gòu)票所提交的個(gè)人數(shù)據(jù)以及境外媒體記者入境采訪報(bào)道所提交事先審核的個(gè)人信息等，不得不從其所在國(guó)傳輸至我國(guó)境內(nèi)。另一方面，以歐盟為代表的國(guó)家與地區(qū)嚴(yán)格限制個(gè)人數(shù)據(jù)跨境傳輸，從境外收集舉辦國(guó)際體育賽事相關(guān)的必要數(shù)據(jù)遭遇制度壁壘。因?yàn)楦鶕?jù)GDPR的規(guī)定，如果歐盟委員會(huì)沒(méi)有認(rèn)定數(shù)據(jù)傳輸?shù)哪康牡氐谌龂?guó)具有與歐盟相當(dāng)?shù)臄?shù)據(jù)保護(hù)水平（即未達(dá)到“充分性保護(hù)水平”），歐盟個(gè)人數(shù)據(jù)的跨境傳輸應(yīng)當(dāng)以GDPR第46條中的數(shù)據(jù)傳輸工具（包括標(biāo)準(zhǔn)合同、約束性企業(yè)規(guī)則、行業(yè)準(zhǔn)則）為基礎(chǔ)。由于中國(guó)不是歐盟認(rèn)定的充分性保護(hù)水平國(guó)家，那么作為賽事舉辦者收集來(lái)自歐盟的運(yùn)動(dòng)員、裁判、觀賽人員等主體的個(gè)人數(shù)據(jù)，不能直接適用GDPR有關(guān)“充分性保護(hù)水平”的規(guī)定。若不采用合適的數(shù)據(jù)傳輸工具就直接收集境外歐盟參賽者個(gè)人數(shù)據(jù)，面臨合規(guī)風(fēng)險(xiǎn)，但若采用數(shù)據(jù)傳輸工具則有削足適履之嫌。

（二）賽后將賽事數(shù)據(jù)向境外轉(zhuǎn)移的合規(guī)風(fēng)險(xiǎn)

依據(jù)北京奧組委與國(guó)際奧委會(huì)訂立的《2022年第24屆冬奧會(huì)主辦城市合同》（以下簡(jiǎn)稱(chēng)《主辦城市合同》），北京2022年冬奧會(huì)舉辦所產(chǎn)生的相關(guān)數(shù)據(jù)獨(dú)屬于國(guó)際奧委會(huì)所有，國(guó)際奧委會(huì)要求冬奧會(huì)結(jié)束之后北京奧組委將所有相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國(guó)際奧委會(huì)總部?？梢?jiàn)，北京奧組委作為受委托方僅在合同的權(quán)限范圍內(nèi)為舉辦冬奧會(huì)收集、處理相關(guān)數(shù)據(jù)，須在冬奧會(huì)結(jié)束之后將所有北京2022冬奧會(huì)相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國(guó)際奧委會(huì)總部。另一方面，北京奧組委若依約進(jìn)行數(shù)據(jù)跨境傳輸，將面臨合規(guī)風(fēng)險(xiǎn)。北京奧組委將冬奧會(huì)相關(guān)數(shù)據(jù)轉(zhuǎn)移至國(guó)家?jiàn)W委會(huì)需滿足我國(guó)的數(shù)據(jù)出境傳輸規(guī)則。我國(guó)《網(wǎng)絡(luò)安全法》確定了我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施收集和產(chǎn)生的個(gè)人信息以及重要數(shù)據(jù)的本地化存儲(chǔ)原則；《數(shù)據(jù)安全法》進(jìn)一步明確重要數(shù)據(jù)的出境安全管理、主管機(jī)關(guān)批準(zhǔn)、法律責(zé)任承擔(dān)等多方面的規(guī)定，嚴(yán)格限制重要數(shù)據(jù)出境；《個(gè)人信息保護(hù)法》規(guī)定了個(gè)人信息出境的合規(guī)要求，列明允許及禁止個(gè)人信息出境的情形，明確安全評(píng)估等個(gè)人信息出境程序，在本地化存儲(chǔ)一般性原則的基礎(chǔ)上提供個(gè)人信息保護(hù)認(rèn)證與境外簽訂合同等跨境傳輸辦法。據(jù)此，北京奧組委為履行《主辦城市合同》，需要通過(guò)國(guó)家網(wǎng)信部門(mén)的安全評(píng)估或者經(jīng)由其他合法正當(dāng)途徑才可以向境外傳輸數(shù)據(jù)。否則，向境外轉(zhuǎn)移賽事數(shù)據(jù)將面臨合規(guī)風(fēng)險(xiǎn)。

可見(jiàn)，我國(guó)作為冬奧會(huì)的承辦方，從歐盟境內(nèi)收集參賽者或消費(fèi)者的個(gè)人數(shù)據(jù)，需要遵守GDPR對(duì)個(gè)人數(shù)據(jù)跨境傳輸至第三國(guó)的規(guī)定，雖然可以選擇簽訂符合GDPR有關(guān)個(gè)人數(shù)據(jù)跨境傳輸規(guī)則的標(biāo)準(zhǔn)化合同，但此舉不僅是削足以適履，且承辦方的合規(guī)成本不菲；賽后北京奧組委悉數(shù)將冬奧會(huì)舉辦所產(chǎn)生的相關(guān)數(shù)據(jù)從中國(guó)境內(nèi)轉(zhuǎn)移至國(guó)際奧委會(huì)，履行《主辦城市合同》義務(wù)，勢(shì)必與我國(guó)數(shù)據(jù)本地化存儲(chǔ)的一般性原則相沖突，這種妥協(xié)事實(shí)上是對(duì)我國(guó)數(shù)據(jù)主權(quán)的讓渡。本文將以北京冬奧會(huì)數(shù)據(jù)跨境傳輸這一具體場(chǎng)景為視角，剖析國(guó)際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用難題及其解決路徑。

二、收集境外歐盟個(gè)人數(shù)據(jù)的有關(guān)規(guī)則及其適用問(wèn)題

我國(guó)作為冬奧會(huì)等國(guó)際體育賽事的承辦方，從歐盟境內(nèi)收集參賽者或觀眾的個(gè)人數(shù)據(jù)，合規(guī)依據(jù)主要是歐盟通過(guò)GDPR明確的個(gè)人數(shù)據(jù)跨境傳輸至第三國(guó)的有關(guān)規(guī)定。

（一）歐盟個(gè)人數(shù)據(jù)跨境傳輸至第三國(guó)的有關(guān)規(guī)定

依據(jù)GDPR的規(guī)定，歐盟的個(gè)人數(shù)據(jù)跨境傳輸至第三國(guó)的可選路徑①《95指令》（Directive 95/46/EC）構(gòu)建了歐盟數(shù)據(jù)跨境傳輸整體框架，且一直延續(xù)至今?！?5指令》第25條第1款設(shè)立了個(gè)人數(shù)據(jù)跨境傳輸?shù)摹俺浞直Ｗo(hù)水平”（adequacy level of protection）一般性原則，禁止將個(gè)人數(shù)據(jù)傳輸?shù)降谌龂?guó)（歐洲經(jīng)濟(jì)區(qū)以外的國(guó)家或地區(qū)），除非該第三國(guó)為處理個(gè)人數(shù)據(jù)的數(shù)據(jù)主體的權(quán)利和自由提供了充分的保護(hù)。若第三國(guó)采取了適當(dāng)?shù)谋Ｕ洗胧ˋppropriate Safeguards），也可進(jìn)行個(gè)人數(shù)據(jù)跨境傳輸。除此之外，還可能適用特定例外情形。2015年10月6號(hào)，歐盟法院針對(duì)Schrems案（C-362/14）作出判決，將充分性保護(hù)決定考量的“充分保護(hù)水平”（adequacy level of protection）確切為“實(shí)質(zhì)性等同”（essentially equivalent）水平。2016年4月14日，歐盟議會(huì)通過(guò)GDPR，延續(xù)了《95指令》中關(guān)于數(shù)據(jù)跨境傳輸?shù)南嚓P(guān)規(guī)定。包含：“獲得充分保護(hù)水平認(rèn)定”或“提供適當(dāng)保護(hù)措施”或“適用可行例外”?？缇硞鬏攤€(gè)人數(shù)據(jù)時(shí)應(yīng)依次適用這三條路徑，即首先考量個(gè)人數(shù)據(jù)接收國(guó)是否達(dá)到充分保護(hù)水平，其次考量其是否提供適當(dāng)保障措施，最后考量傳輸是否屬于例外情形。

1.獲得充分保護(hù)水平認(rèn)定

依據(jù)GDPR第45條，當(dāng)歐盟委員會(huì)認(rèn)定第三國(guó)或者特定部分或國(guó)際組織等的數(shù)據(jù)保護(hù)水平與歐盟實(shí)質(zhì)性等同時(shí)，向相關(guān)國(guó)家或組織的傳輸被視同為在歐盟內(nèi)部進(jìn)行。由此，來(lái)自歐盟的個(gè)人數(shù)據(jù)可自由跨境流動(dòng)②GDPR第44條規(guī)定，個(gè)人數(shù)據(jù)轉(zhuǎn)移不僅包括從歐盟境內(nèi)向境外轉(zhuǎn)移個(gè)人數(shù)據(jù)的情形，還包括個(gè)人數(shù)據(jù)從第三國(guó)或者國(guó)際組織轉(zhuǎn)移至另外的第三國(guó)或者國(guó)際組織。。歐盟委員會(huì)進(jìn)行充分保護(hù)水平評(píng)估時(shí)的考量因素③依據(jù)GDPR第45條，委員會(huì)在評(píng)估時(shí)必須考慮：特定的第三國(guó)或國(guó)際組織是否尊重法治，保護(hù)人權(quán)及基本自由，以及相關(guān)立法是否涉及公共安全、國(guó)防和國(guó)家安全以及公共秩序與刑法；第三國(guó)或者國(guó)際組織是否確保對(duì)個(gè)人權(quán)利的行政和司法補(bǔ)救以及具備有效運(yùn)行的獨(dú)立監(jiān)管機(jī)構(gòu)；除所作的國(guó)際承諾外，第三國(guó)或者國(guó)際組織是否參與諸如“108號(hào)公約”的多邊或區(qū)域協(xié)定，而擔(dān)負(fù)個(gè)人數(shù)據(jù)保護(hù)相關(guān)義務(wù)。包括相關(guān)國(guó)家是否尊重法治與保護(hù)人權(quán)，相關(guān)立法是否涉及公共安全、國(guó)防和國(guó)家安全等。目前，包含新西蘭、澳大利亞、韓國(guó)在內(nèi)的13個(gè)國(guó)家獲得了充分性保護(hù)水平認(rèn)定④迄今為止，歐盟委員會(huì)已經(jīng)認(rèn)定安道爾、阿根廷、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國(guó)、瑞士、英國(guó)和烏拉圭為充分性保護(hù)國(guó)家（歐盟委員會(huì)充分性保護(hù)決定）。。此外，歐盟委員會(huì)的充分保護(hù)水平認(rèn)定也可針對(duì)部分或特定部門(mén)作出，如金融服務(wù)或者IT部門(mén)等。目前，加拿大的商業(yè)組織獲得了充分性保護(hù)水平認(rèn)定⑤其中涉及加拿大的決定是“部分”充分的，僅適用于加拿大《個(gè)人信息保護(hù)和電子文件法》（Personal Information Protection and Electronic Documents Act，PIPEDA）所覆蓋的企業(yè)。。

然而，我國(guó)并不在上述白名單之中，因此北京奧組委無(wú)法通過(guò)充分性保護(hù)認(rèn)定這一路徑來(lái)收集境外歐盟公民的個(gè)人數(shù)據(jù)。加之歐盟委員會(huì)自由裁量權(quán)過(guò)大且充分性保護(hù)認(rèn)定呈“動(dòng)態(tài)化”，尤其是認(rèn)定標(biāo)準(zhǔn)往往與政治因素關(guān)聯(lián)甚密［3］，故歐盟委員會(huì)很難在評(píng)判第三國(guó)或者國(guó)際組織保持中立及客觀，通過(guò)充分性保護(hù)認(rèn)定這一路徑收集境外歐盟公民的個(gè)人數(shù)據(jù)，在短期內(nèi)難以實(shí)現(xiàn)。此外，即便獲得充分性保護(hù)水平認(rèn)定，也并非一勞永逸，依據(jù)GDPR第46條第3款的規(guī)定①GDPR文本包含99個(gè)條文以及173個(gè)獨(dú)奏會(huì)（Recitals）條款，獨(dú)奏會(huì)條款本身并不具有嚴(yán)格的法律約束力，但對(duì)于GDPR的理解與適用至關(guān)重要。第107條獨(dú)奏會(huì)闡述了充分性決定可適當(dāng)修改、撤銷(xiāo)和暫停。依據(jù)第106條獨(dú)奏會(huì)，歐盟委員會(huì)應(yīng)監(jiān)測(cè)和定期審查充分性決定國(guó)家或組織的數(shù)據(jù)保護(hù)水平。，歐盟委員會(huì)作出的充分性保護(hù)認(rèn)定決定之后，仍將依據(jù)至少每四年一次的定期審核機(jī)制繼續(xù)監(jiān)督充分性保護(hù)實(shí)踐。如有必要，歐盟委員會(huì)可以選擇廢除、修訂、暫停相關(guān)的充分性保護(hù)決定。歐盟在充分性認(rèn)定上擁有過(guò)大的自由裁量權(quán)，加之以常態(tài)化的監(jiān)管機(jī)制，即便是符合充分性認(rèn)定要件的第三國(guó)或國(guó)際組織，仍不得不承受不菲的合規(guī)成本。

2.提供適當(dāng)?shù)谋Ｗo(hù)措施

依據(jù)GDPR第46條，在缺乏充分性保護(hù)認(rèn)定時(shí)，數(shù)據(jù)控制者或數(shù)據(jù)處理者仍可通過(guò)采取適當(dāng)?shù)谋Ｗo(hù)措施跨境傳輸個(gè)人數(shù)據(jù)②GDPR第46條第2款、第3款規(guī)定了的八種適當(dāng)保護(hù)措施類(lèi)型：歐盟委員會(huì)采用的“標(biāo)準(zhǔn)合同條款”（Standard Contractual Clauses，以下簡(jiǎn)稱(chēng)SCCs），相關(guān)監(jiān)管機(jī)構(gòu)批準(zhǔn)的“約束性企業(yè)規(guī)則”（Binding Corporate Rules，以下簡(jiǎn)稱(chēng)BCRs），經(jīng)歐盟數(shù)據(jù)保護(hù)委員會(huì)認(rèn)定或者經(jīng)歐盟委員會(huì)確認(rèn)效力的“行為準(zhǔn)則”（Code of Conduct），監(jiān)管機(jī)構(gòu)單獨(dú)授權(quán)的“合同條款”（ad hoc Contractual Clauses），認(rèn)證機(jī)制（certification mechanisms）等。當(dāng)前，多數(shù)適當(dāng)保護(hù)措施方案仍未有效實(shí)施。。其中，基于合同義務(wù)的標(biāo)準(zhǔn)合同條款、基于行為標(biāo)準(zhǔn)的約束性企業(yè)規(guī)則為非充分性保護(hù)水平國(guó)家或國(guó)際組織跨境傳輸歐盟個(gè)人數(shù)據(jù)的主要途徑。行業(yè)適用的行為準(zhǔn)則雖暫未實(shí)施，基于其鮮明的行業(yè)特色，值得關(guān)注。

第一，基于合同義務(wù)的標(biāo)準(zhǔn)合同條款。歐盟委員會(huì)提供覆蓋歐盟個(gè)人數(shù)據(jù)保護(hù)規(guī)定的《標(biāo)準(zhǔn)合同條款》（Standard Contractual Clauses，簡(jiǎn)稱(chēng)SCCs），認(rèn)可簽訂該標(biāo)準(zhǔn)合同條款能夠確保個(gè)人數(shù)據(jù)得到充分保護(hù)。舊版SCCs依據(jù)《95指令》第26條第4款而設(shè)定，包含數(shù)據(jù)控制者之間及數(shù)據(jù)控制者與數(shù)據(jù)處理者之間③歐盟委員會(huì)通過(guò)2001/497/EC決定首次引入數(shù)據(jù)控制者之間的SCCs，隨后在2004年12月27日通過(guò)2004/915/EC決定進(jìn)行細(xì)節(jié)性的修訂。歐盟委員會(huì)通過(guò)2010/87/EU決定，增加數(shù)據(jù)控制者與數(shù)據(jù)處理者之間的SCCs類(lèi)型。的兩種類(lèi)型。為涵蓋GDPR對(duì)個(gè)人數(shù)據(jù)保護(hù)的新要求，適用數(shù)字經(jīng)濟(jì)的發(fā)展，歐盟委員在2021年6月4日通過(guò)新版本的SCCs，舊版本SCCs留有18個(gè)月適用寬限期④歐盟委員會(huì)于2021年6月4日在最終實(shí)施決定中公布新SCCs。新SCCs將廢除和取代現(xiàn)有的SCCs，并規(guī)定了從生效日期起的18個(gè)月過(guò)渡期。新舊版本交替期間，舊版本SCCs有效期間最多持續(xù)到2022年12月27日。。新版本SCCs包含C2C、C2P、P2P、P2C四種類(lèi)型（前者位于歐盟經(jīng)濟(jì)區(qū)內(nèi)）。不同類(lèi)型的SCCs在保密性、數(shù)據(jù)處理安全性、第三方限制性轉(zhuǎn)移方面類(lèi)似，在數(shù)據(jù)處理權(quán)限以及處理后數(shù)據(jù)的刪除或者返還等方面存在差別。無(wú)疑，SCCs是確保個(gè)人數(shù)據(jù)合法、安全跨境傳輸?shù)倪m當(dāng)保護(hù)措施的實(shí)用途徑。隨著歐美之間“隱私盾”失效，新版本的SCCs將愈發(fā)成為個(gè)人數(shù)據(jù)跨境傳輸?shù)闹匾窂健?/p>

當(dāng)前，歐盟要求在簽訂SCCs的基礎(chǔ)上，還應(yīng)提供補(bǔ)充措施。SCCs作為數(shù)據(jù)跨境流動(dòng)方式的有效性，在2020年7月的Schrems II案（C-311/18）中得到歐盟法院確認(rèn)。但歐盟法院提出，第46條第2款中轉(zhuǎn)移工具為合同性質(zhì)，當(dāng)事人之間的承諾不能約束第三國(guó)當(dāng)局，簽訂SCCs之外還需要采取額外的補(bǔ)充措施［4］。同年11月，歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，簡(jiǎn)稱(chēng)EDPB）發(fā)布《關(guān)于數(shù)據(jù)跨境傳輸工具的補(bǔ)充措施建議以確保個(gè)人數(shù)據(jù)保護(hù)遵循歐盟水平01/2020》，附件2部分列明了補(bǔ)充措施的非詳盡清單，涉及簽定補(bǔ)充合同、采取技術(shù)措施，完善組織措施等?？梢?jiàn)，對(duì)于舉辦國(guó)際體育賽事所面臨的歐盟個(gè)人數(shù)據(jù)收集障礙，可通過(guò)由舉辦方簽署SCCs的方式化解。北京冬奧組簽訂SCCs之后，基于合同法上的義務(wù)充分保護(hù)歐盟公民的個(gè)人數(shù)據(jù)。但根據(jù)Schrems II案，僅簽訂SCCs是不夠的，舉辦方還應(yīng)該簽訂補(bǔ)充合同、采用技術(shù)措施等。

第二，基于行為標(biāo)準(zhǔn)的約束性企業(yè)規(guī)則。對(duì)于在歐盟境內(nèi)有關(guān)聯(lián)公司的企業(yè)集團(tuán)或者從事聯(lián)合經(jīng)濟(jì)活動(dòng)的企業(yè)團(tuán)體⑤依據(jù)第106條獨(dú)奏會(huì)，參與共同經(jīng)濟(jì)活動(dòng)的企業(yè)應(yīng)涵蓋一個(gè)控制性企業(yè)及其受控企業(yè)，其中控制性企業(yè)應(yīng)是能夠?qū)ζ渌髽I(yè)施加支配性影響的企業(yè)，例如所有權(quán)、財(cái)務(wù)參與或管理它的規(guī)則或?qū)嵤﹤€(gè)人數(shù)據(jù)保護(hù)規(guī)則的權(quán)力。控制性企業(yè)及其受控企業(yè)一起視為一個(gè)企業(yè)集團(tuán)。，可通過(guò)實(shí)施約束性企業(yè)規(guī)則（Binding Corporate Rules，簡(jiǎn)稱(chēng)BCRs）將個(gè)人數(shù)據(jù)從歐盟境內(nèi)跨境傳輸至境外的同一企業(yè)集團(tuán)或團(tuán)體。BCRs最早源于《95指令》中關(guān)于數(shù)據(jù)跨境傳輸中的“行為準(zhǔn)則”標(biāo)準(zhǔn)。依據(jù)GDPR第47條，BCRs具有法律約束力，包括個(gè)人數(shù)據(jù)的一般保護(hù)原則及權(quán)利，在企業(yè)集團(tuán)或團(tuán)體成員中強(qiáng)制執(zhí)行，以確保為數(shù)據(jù)傳輸提供適當(dāng)?shù)谋Ｗo(hù)。BCRs由企業(yè)集團(tuán)或團(tuán)體向數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)提交，監(jiān)管機(jī)構(gòu)在聽(tīng)取歐洲數(shù)據(jù)保護(hù)委員會(huì)的相關(guān)意見(jiàn)之后，決定是否予以批準(zhǔn)①相關(guān)主管監(jiān)管部門(mén)在初步審核之后將決定草案轉(zhuǎn)達(dá)給歐盟數(shù)據(jù)保護(hù)委員會(huì)，后者將就經(jīng)過(guò)初步審核的BCRs發(fā)表意見(jiàn)。最后，相關(guān)監(jiān)管機(jī)構(gòu)依據(jù)上述意見(jiàn)最終確定BCRs，再予以批準(zhǔn)。依據(jù)GDPR第45條第1款到第3款，為了使對(duì)企業(yè)集團(tuán)或者企業(yè)團(tuán)體具有法律約束力，BCRs必須：指出數(shù)據(jù)傳輸?shù)哪康暮陀嘘P(guān)的數(shù)據(jù)類(lèi)別，考慮GDPR規(guī)定的要求，確認(rèn)由歐盟主導(dǎo)的數(shù)據(jù)出口商代表整個(gè)集團(tuán)承擔(dān)責(zé)任，解釋投訴程序，提供確保合規(guī)性的機(jī)制（例如審查）。BCRs依據(jù)主體的不同，分為數(shù)據(jù)控制者BCRs與數(shù)據(jù)處理者BCRs兩種不同類(lèi)型。。若企業(yè)集團(tuán)或團(tuán)體在歐盟境內(nèi)多個(gè)國(guó)家營(yíng)業(yè)，其BCRs需要通過(guò)多個(gè)監(jiān)管機(jī)構(gòu)的審核。目前，多家知名跨國(guó)公司已獲得BCRs認(rèn)可［5］。

我國(guó)也可利用BCRs收集國(guó)際體育賽事所需歐盟個(gè)人數(shù)據(jù)，但操作空間有限。一是BCRs途徑合規(guī)成本較高。BCRs在內(nèi)容上必須包括所有一般數(shù)據(jù)保護(hù)原則和可執(zhí)行權(quán)利，其批準(zhǔn)流程相當(dāng)煩瑣，必須先后通過(guò)相關(guān)監(jiān)管機(jī)構(gòu)與歐洲數(shù)據(jù)保護(hù)委員會(huì)審核。尤其企業(yè)集團(tuán)或者企業(yè)團(tuán)體在歐盟境內(nèi)多個(gè)國(guó)家擁有企業(yè)時(shí)，BCRs的審核還涉及多個(gè)監(jiān)管機(jī)構(gòu)。二是BCRs不能完全解決數(shù)據(jù)跨境傳輸?shù)淖璧K。因?yàn)锽CRs嚴(yán)格限制在企業(yè)集團(tuán)內(nèi)部使用，而國(guó)際體育賽事涉及項(xiàng)目廣、參與人數(shù)眾多且通常伴隨市場(chǎng)化運(yùn)作，這意味著無(wú)法利用BCRs向供應(yīng)商、客戶、分銷(xiāo)商或服務(wù)提供商等非內(nèi)部組織進(jìn)行數(shù)據(jù)傳輸。

第三，基于行業(yè)普遍適用的行為準(zhǔn)則。具有普遍約束力的行為準(zhǔn)則在歐盟境內(nèi)發(fā)生效力，貫徹行為準(zhǔn)則的相關(guān)企業(yè)或者組織享受數(shù)據(jù)跨境轉(zhuǎn)移的白名單待遇。行為準(zhǔn)則最早源于《95指令》第27條的規(guī)定，GDPR后續(xù)在起草主體、審查批準(zhǔn)機(jī)構(gòu)、監(jiān)督等方面進(jìn)一步細(xì)化。依據(jù)GDPR第40條，行為準(zhǔn)則由行業(yè)協(xié)會(huì)或他機(jī)構(gòu)起草，經(jīng)由相關(guān)數(shù)據(jù)監(jiān)管機(jī)構(gòu)審查批準(zhǔn)、歐洲數(shù)據(jù)保護(hù)委員會(huì)出具相關(guān)意見(jiàn)、歐盟委員會(huì)頒布實(shí)施性法令等措施，而后具有普遍約束力②具體而言，若符合GDPR的個(gè)人數(shù)據(jù)保護(hù)相關(guān)規(guī)定，行業(yè)協(xié)會(huì)或其他機(jī)構(gòu)起草的文件將經(jīng)由監(jiān)管機(jī)構(gòu)批準(zhǔn)，變成正式的草案文件。隨即，歐洲數(shù)據(jù)保護(hù)委員會(huì)將針對(duì)行為準(zhǔn)則草案是否提供適當(dāng)?shù)陌踩Ｕ洗胧┏鼍咭庖?jiàn)。對(duì)于符合適當(dāng)?shù)陌踩Ｕ洗胧?biāo)準(zhǔn)的草案，歐洲數(shù)據(jù)保護(hù)委員會(huì)有將肯定性意見(jiàn)提交給歐盟委員會(huì)的義務(wù)。歐盟委員會(huì)在收到上述肯定性意見(jiàn)之后，可以通過(guò)實(shí)施性法令的方式，使該準(zhǔn)則具有普遍約束力。。行業(yè)準(zhǔn)則反映了特定部門(mén)或行業(yè)的特定數(shù)據(jù)流的特定特征和需求，是歐盟鼓勵(lì)行業(yè)數(shù)據(jù)自治的重要舉措。

體育領(lǐng)域的行業(yè)協(xié)會(huì)或者相關(guān)機(jī)構(gòu)可以考慮針對(duì)舉辦國(guó)際體育賽事事宜達(dá)成具有普遍約束力的行為準(zhǔn)則。但這一途徑帶有一定的理想主義色彩③歐洲數(shù)據(jù)保護(hù)委員（European Data Protection Board）已經(jīng)針對(duì)兩份草案文件出具了部分肯定的意見(jiàn)，一是關(guān)于比利時(shí)監(jiān)管機(jī)構(gòu)提交的“歐盟云服務(wù)提供商數(shù)據(jù)保護(hù)行為準(zhǔn)則”（EU Data Protection Code of Conduct for Cloud Service Providers），另為法國(guó)監(jiān)管機(jī)構(gòu)提交的“云基礎(chǔ)設(shè)施服務(wù)提供商行為準(zhǔn)則”（The Code of Conduct of CISPE）。。一是歐盟關(guān)乎行為準(zhǔn)則的實(shí)踐并不成熟，當(dāng)前并未確立具有普遍約束力的行為準(zhǔn)則。二是體育行業(yè)行為準(zhǔn)則從起草到最終到歐盟委員會(huì)頒布實(shí)施性法令，涉及多方主體且程序復(fù)雜，使其具有普遍約束力難度大。

3.適用可行的例外規(guī)定

GDPR明確特殊情形下可克減個(gè)人數(shù)據(jù)保護(hù)義務(wù)，即基于特殊情形下的例外規(guī)定（Derogations for Specific Situations）向域外傳輸個(gè)人數(shù)據(jù)。依據(jù)第49條④GDPR第49條規(guī)定適用例外規(guī)定的七種情形：明確同意轉(zhuǎn)移；基于先合同義務(wù)所必須；數(shù)據(jù)主體利益合同所必要；行使、確立或抗辯法定請(qǐng)求權(quán)所必要；特殊情形無(wú)法同意但主體及他人利益所必要；依歐盟法規(guī)設(shè)立的登記簿為提供信息所必須；基于合法利益的限制性傳輸?shù)?。?dāng)前，多數(shù)適當(dāng)保護(hù)措施方案仍未有效實(shí)施。，例外規(guī)定具體包含先合同義務(wù)、明確同意、公共利益必要等八種特殊情形。其中，舉辦國(guó)際體育賽事往往涉及公共利益情形。

歐盟鼓勵(lì)跨境傳輸保護(hù)公共利益所需且必要的個(gè)人數(shù)據(jù)⑤依據(jù)第112條獨(dú)奏會(huì)，反興奮劑運(yùn)動(dòng)以及疫情防控等屬于出于公共利益的重要原因而進(jìn)行的數(shù)據(jù)傳輸?shù)那樾?。。如在?jìng)爭(zhēng)監(jiān)管機(jī)構(gòu)、稅務(wù)或海關(guān)管理部門(mén)、金融監(jiān)管機(jī)構(gòu)、主管社會(huì)保障部門(mén)之間，在負(fù)責(zé)社會(huì)安全保障事務(wù)或公共健康的服務(wù)之間進(jìn)行國(guó)際數(shù)據(jù)交換。其限制性條件為，上述公共利益為歐盟或數(shù)據(jù)接收國(guó)法律所認(rèn)可。我國(guó)舉辦2022年冬奧會(huì)涉及的體育賽事興奮劑檢測(cè)、新冠肺炎疫情等傳染性疾病接觸者追蹤等事宜屬于公共利益的范疇。因而針對(duì)上述事宜，存在適用“公共利益”例外規(guī)定而收集歐盟個(gè)人數(shù)據(jù)的操作空間。

（二）歐盟個(gè)人數(shù)據(jù)跨境傳輸規(guī)則適用的問(wèn)題

通過(guò)考察歐盟個(gè)人數(shù)據(jù)跨境傳輸分層級(jí)適用的三條路徑可以發(fā)現(xiàn)，其嚴(yán)密的數(shù)據(jù)跨境傳輸機(jī)制下數(shù)據(jù)跨境流動(dòng)十分受限?？梢?jiàn)，歐盟雖未明確數(shù)據(jù)本地化存儲(chǔ)的一般性原則，但卻形成了事實(shí)上的“軟數(shù)據(jù)本地化存儲(chǔ)”規(guī)則［6］（P25-49）。如圖1所示，作為國(guó)際體育賽事承辦者收集境外歐盟參賽者個(gè)人數(shù)據(jù)的可行路徑有：一是獲得充分性保護(hù)水平認(rèn)定；二是通過(guò)BCRs及SCCs及行為準(zhǔn)則提供適當(dāng)保護(hù)措施；三是適用公共利益例外規(guī)定。然而，我國(guó)舉辦冬奧會(huì)等國(guó)際體育賽事，在歐盟“軟數(shù)據(jù)本地化存儲(chǔ)”的規(guī)則體系下，以上三條路徑都還存在問(wèn)題和挑戰(zhàn)。

圖1 國(guó)際體育賽事承辦者收集歐盟居民個(gè)人數(shù)據(jù)的路徑選擇

第一，我國(guó)尚未屬于歐盟委員會(huì)認(rèn)定的白名單國(guó)家。當(dāng)前存在歐盟委員會(huì)自由裁量權(quán)過(guò)大的問(wèn)題，且對(duì)充分保護(hù)水平的認(rèn)定是動(dòng)態(tài)的，其并非一勞永逸，如歐美之間《隱私盾協(xié)議》現(xiàn)已無(wú)效。

第二，“提供適當(dāng)保護(hù)措施”途徑可操作性不強(qiáng)，合規(guī)成本高。SCCs作為一類(lèi)合同僅用于規(guī)范合同約定的數(shù)據(jù)處理活動(dòng)，這意味著個(gè)人數(shù)據(jù)處理活動(dòng)類(lèi)型發(fā)生變化時(shí)都必須起草新合同。當(dāng)個(gè)人數(shù)據(jù)處理活動(dòng)較為復(fù)雜時(shí)，存在數(shù)據(jù)接收方同時(shí)為數(shù)據(jù)控制者或數(shù)據(jù)處理者的情形，此時(shí)須多次簽訂多份不同類(lèi)型的SCCs。此外Schrems II案判決提出了在SCCs基礎(chǔ)之上提供補(bǔ)充措施的要求。BCRs嚴(yán)格限制在企業(yè)集團(tuán)或團(tuán)體內(nèi)部使用，這意味著無(wú)法利用BCRs實(shí)現(xiàn)向非內(nèi)部組織進(jìn)行數(shù)據(jù)傳輸。此外，BCRs內(nèi)容要求高，批準(zhǔn)流程煩瑣，其須經(jīng)多個(gè)監(jiān)管機(jī)構(gòu)批準(zhǔn)，而帶有行業(yè)特色的行為準(zhǔn)則尚未實(shí)踐。

第三，“公共利益”例外情形的適用空間小，僅限于小規(guī)模數(shù)據(jù)流動(dòng)。為開(kāi)展體育賽事中的反興奮劑工作，相關(guān)數(shù)據(jù)控制者可基于“公共利益”例外規(guī)定收集特定歐盟公民的個(gè)人數(shù)據(jù)，但其所涉及的個(gè)人數(shù)據(jù)范圍也僅限定在為實(shí)現(xiàn)興奮劑監(jiān)管所需的、所必要的個(gè)人數(shù)據(jù)。此外，開(kāi)展反興奮劑活動(dòng)所需的個(gè)人數(shù)據(jù)在奧運(yùn)賽事相關(guān)數(shù)據(jù)中的占比不高。自然，基于公共利益例外規(guī)定進(jìn)行的個(gè)人數(shù)據(jù)跨境傳輸必然規(guī)模受限，且很難多次或經(jīng)常性適用。

三、我國(guó)數(shù)據(jù)出境規(guī)則及其適用的問(wèn)題

根據(jù)《主辦城市合同》，國(guó)際奧委會(huì)要求冬奧會(huì)結(jié)束之后北京奧組委須將所有相關(guān)數(shù)據(jù)轉(zhuǎn)移至瑞士的國(guó)際奧委會(huì)總部。北京奧組委作為此次國(guó)際體育賽事數(shù)據(jù)出境合規(guī)的義務(wù)主體，需要依據(jù)我國(guó)數(shù)據(jù)出境相關(guān)規(guī)則，向位于瑞士的國(guó)際奧委會(huì)進(jìn)行數(shù)據(jù)轉(zhuǎn)移。

（一）我國(guó)數(shù)據(jù)出境相關(guān)規(guī)則

數(shù)據(jù)出境①國(guó)家互聯(lián)網(wǎng)信息辦公室最新發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法》中并未明確數(shù)據(jù)出境的定義，但就《辦法》答記者問(wèn)時(shí)明確了數(shù)據(jù)出境包括：數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外；數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以訪問(wèn)或者調(diào)用。我國(guó)關(guān)于數(shù)據(jù)向境外轉(zhuǎn)移的跨境傳輸、數(shù)據(jù)出境、跨境提供等不同說(shuō)法，但都表達(dá)相同的含義，其中數(shù)據(jù)出境使用較為主流，本文中數(shù)據(jù)出境及數(shù)據(jù)跨境傳輸?shù)茸鐾群x使用。指將在我國(guó)境內(nèi)收集和產(chǎn)生的數(shù)據(jù)一次或多次提供給境外接受方，或允許境外相關(guān)的機(jī)構(gòu)訪問(wèn)或調(diào)用。我國(guó)并未形成關(guān)乎數(shù)據(jù)出境的統(tǒng)一立法，對(duì)其之限制與監(jiān)管規(guī)定散見(jiàn)于各類(lèi)法律法規(guī)、部門(mén)規(guī)章以及規(guī)范性文件當(dāng)中。依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等，我國(guó)數(shù)據(jù)出境整體上以數(shù)據(jù)本地化存儲(chǔ)為原則，以限制出境為例外。其目的在于降低跨境流通對(duì)我國(guó)國(guó)家安全、社會(huì)公共利益及個(gè)人合法利益帶來(lái)的風(fēng)險(xiǎn)。當(dāng)前，我國(guó)數(shù)據(jù)出境的可行途徑包括通過(guò)數(shù)據(jù)出境安全風(fēng)險(xiǎn)評(píng)估、與境外接收方訂立合同以及獲取個(gè)人信息保護(hù)認(rèn)證。

1.通過(guò)國(guó)家網(wǎng)信部門(mén)的安全評(píng)估

《網(wǎng)絡(luò)安全法》第37條確立了我國(guó)個(gè)人信息和重要數(shù)據(jù)本地化存儲(chǔ)的一般性原則，同時(shí)明確“安全評(píng)估”為本地化存儲(chǔ)之例外。自2022年9月1日實(shí)施的《數(shù)據(jù)出境安全評(píng)估辦法》（以下簡(jiǎn)稱(chēng)《辦法》）搭建起我國(guó)數(shù)據(jù)出境安全評(píng)估的基本框架。《辦法》歷經(jīng)三次征求意見(jiàn)②2017年4月11日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》，涉及個(gè)人信息與重要數(shù)據(jù)的出境安全評(píng)估。2019年6月13日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》，僅涉及個(gè)人信息的出境安全評(píng)估。隨后，2021年10月29日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》將個(gè)人信息與重要數(shù)據(jù)統(tǒng)一規(guī)范。后發(fā)布，針對(duì)數(shù)據(jù)出境安全評(píng)估的適用范圍、評(píng)估形式、評(píng)估流程以及常態(tài)化監(jiān)管等進(jìn)行了完善的規(guī)定。一是適用范圍。依據(jù)《辦法》第2條的規(guī)定，進(jìn)行安全評(píng)估的主體為數(shù)據(jù)處理者，其須存在向境外提供數(shù)據(jù)的情形，提供的數(shù)據(jù)須在我國(guó)境內(nèi)運(yùn)營(yíng)中收集與產(chǎn)生，且這些數(shù)據(jù)為重要數(shù)據(jù)與個(gè)人信息。二是評(píng)估形式。依據(jù)《辦法》第3條、第5條規(guī)定，數(shù)據(jù)出境安全評(píng)估采用自評(píng)估與安全評(píng)估相結(jié)合的方式。在適用層級(jí)上，數(shù)據(jù)處理者應(yīng)先行開(kāi)展自評(píng)估，自評(píng)估屬于《辦法》第4條③《數(shù)據(jù)出境安全評(píng)估辦法》第4條規(guī)定，數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估：數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。規(guī)定的四種情形而后進(jìn)行申報(bào)安全評(píng)估。三是評(píng)估流程。數(shù)據(jù)處理者應(yīng)當(dāng)經(jīng)自評(píng)，自認(rèn)為符合條件的前提下向省級(jí)網(wǎng)信部門(mén)提交安全評(píng)估申報(bào)材料。省級(jí)網(wǎng)信部門(mén)審核材料完備性，然后上報(bào)國(guó)家網(wǎng)信部門(mén)進(jìn)行安全評(píng)估。國(guó)家網(wǎng)信部門(mén)根據(jù)申報(bào)的情況，聯(lián)合省級(jí)網(wǎng)信部門(mén)或?qū)ｉT(mén)機(jī)構(gòu)進(jìn)行評(píng)估，作出通過(guò)評(píng)估與否的決定。四是常態(tài)化監(jiān)管。依據(jù)《辦法》第3條、第14條，安全評(píng)估的監(jiān)管是常態(tài)化的，且通過(guò)數(shù)據(jù)出境安全評(píng)估的結(jié)果有效期為2年。可見(jiàn)，我國(guó)數(shù)據(jù)出境安全評(píng)估已基本形成以國(guó)家網(wǎng)信部門(mén)為主導(dǎo)、自評(píng)估與申報(bào)風(fēng)險(xiǎn)評(píng)估相結(jié)合、事前評(píng)估與監(jiān)督相結(jié)合的基本框架。

北京冬奧組委可通過(guò)國(guó)家網(wǎng)信部門(mén)的安全評(píng)估后向境外轉(zhuǎn)移數(shù)據(jù)。我國(guó)北京冬奧組委擔(dān)負(fù)有將奧運(yùn)賽事相關(guān)數(shù)據(jù)轉(zhuǎn)移至國(guó)際奧委會(huì)的義務(wù)，北京冬奧組委作為數(shù)據(jù)處理者，須向位于瑞士的國(guó)際奧委會(huì)提供數(shù)據(jù)，所提供數(shù)據(jù)為冬奧會(huì)賽事活動(dòng)所收集或產(chǎn)生。具體的數(shù)據(jù)類(lèi)型必然包含個(gè)人信息以及如北京冬奧會(huì)網(wǎng)絡(luò)及終端設(shè)備的配置數(shù)據(jù)等可能涉及國(guó)家安全的重要數(shù)據(jù)。由此，北京冬奧組委作為數(shù)據(jù)處理者應(yīng)當(dāng)進(jìn)行數(shù)據(jù)出境安全評(píng)估。依據(jù)《辦法》，若北京冬奧組委提交的數(shù)據(jù)轉(zhuǎn)移事項(xiàng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估，即可向國(guó)際奧委會(huì)轉(zhuǎn)移相關(guān)數(shù)據(jù)。

2.獲取專(zhuān)業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證

依據(jù)《個(gè)人信息保護(hù)法》第38條第2款，個(gè)人信息處理者獲取專(zhuān)業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證后即可向境外提供個(gè)人信息。2022年6月24日，國(guó)家信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》（以下簡(jiǎn)稱(chēng)《認(rèn)證規(guī)范》）?！墩J(rèn)證規(guī)范》明確個(gè)人信息保護(hù)認(rèn)證將從個(gè)人信息跨境處理應(yīng)遵循的基本原則、要求以及個(gè)人信息主體權(quán)益保障方面展開(kāi)。然而，其并未明確開(kāi)展個(gè)人信息保護(hù)認(rèn)證的專(zhuān)門(mén)機(jī)構(gòu)。

北京冬奧組委向國(guó)際奧組委提供冬奧會(huì)相關(guān)數(shù)據(jù)時(shí)，涉及個(gè)人信息跨境轉(zhuǎn)移。北京冬奧組委可作為個(gè)人信息處理者，通過(guò)獲取專(zhuān)業(yè)機(jī)構(gòu)保護(hù)認(rèn)證的途徑，向國(guó)際奧組委轉(zhuǎn)移冬奧會(huì)數(shù)據(jù)中的個(gè)人信息。

3.依標(biāo)準(zhǔn)合同與境外接收方訂立合同

依據(jù)《個(gè)人信息保護(hù)法》第38條第3款，個(gè)人信息處理者可依照國(guó)家網(wǎng)信部門(mén)制度的標(biāo)準(zhǔn)合同與境外接收方簽訂合同的方式向境外提供個(gè)人信息。訂立標(biāo)準(zhǔn)合同這一途徑合規(guī)成本低且可操作性強(qiáng)。按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同是一種私法主體間的民事行為，操作簡(jiǎn)便可行。此外，依據(jù)標(biāo)準(zhǔn)合同約定與接收方的權(quán)利和義務(wù)的合規(guī)成本低。標(biāo)準(zhǔn)合同由國(guó)家網(wǎng)信部門(mén)制定，合同內(nèi)容具備個(gè)人信息保護(hù)的當(dāng)然性。2022年6月30日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《標(biāo)準(zhǔn)合同規(guī)定》），《標(biāo)準(zhǔn)合同規(guī)定》涉及適用范圍、合規(guī)義務(wù)及法律責(zé)任等方面，其并非強(qiáng)制性適用，個(gè)人信息處理者可以自行擬定不相沖突的合同。

北京冬奧組委可以選擇同國(guó)際奧組委依據(jù)標(biāo)準(zhǔn)合同簽訂個(gè)人信息跨境流動(dòng)的合同，同國(guó)際奧組委約定個(gè)人信息保護(hù)的權(quán)利與義務(wù)，如此便可合法合規(guī)地向國(guó)際奧組委提供冬奧會(huì)相關(guān)的個(gè)人信息。

（二）中國(guó)數(shù)據(jù)出境規(guī)則適用的問(wèn)題

考察我國(guó)限制性數(shù)據(jù)出境規(guī)則后不難發(fā)現(xiàn)，北京奧組委作為數(shù)據(jù)處理者，可選擇通過(guò)安全評(píng)估、獲取保護(hù)認(rèn)證或訂立標(biāo)準(zhǔn)合同的方式向境外的國(guó)際奧委會(huì)轉(zhuǎn)移數(shù)據(jù)（見(jiàn)圖2），但將冬奧會(huì)產(chǎn)生的相關(guān)數(shù)據(jù)向境外提供仍將面臨合規(guī)挑戰(zhàn)。

圖2 向境外轉(zhuǎn)移國(guó)際體育賽事相關(guān)數(shù)據(jù)的可選路徑

第一，國(guó)際體育賽事舉辦方面臨數(shù)據(jù)切割難題。我國(guó)數(shù)據(jù)出境監(jiān)管指向個(gè)人信息與重要數(shù)據(jù)，在《網(wǎng)絡(luò)安全法》實(shí)施前后，受到跨境規(guī)制的數(shù)據(jù)類(lèi)型還涉及銀行金融、醫(yī)療健康、自動(dòng)駕駛、商業(yè)服務(wù)等多個(gè)行業(yè)領(lǐng)域的數(shù)據(jù)，對(duì)于國(guó)家秘密更是嚴(yán)格限制出境。由此，不屬于上述數(shù)據(jù)范疇的數(shù)據(jù)可不經(jīng)監(jiān)管直接轉(zhuǎn)移。冬奧會(huì)相關(guān)數(shù)據(jù)豐富多樣，涉及注冊(cè)、票務(wù)、住宿、餐飲、語(yǔ)言、醫(yī)療、交通等多領(lǐng)域，其中包含了個(gè)人信息，也可能包含重要數(shù)據(jù)，甚至是人口健康信息等行業(yè)領(lǐng)域數(shù)據(jù)或是國(guó)家秘密。目前，個(gè)人信息的內(nèi)涵界定業(yè)已形成“識(shí)別加關(guān)聯(lián)”的通識(shí)，《信息安全技術(shù)個(gè)人信息安全規(guī)范》附錄A部分也列明個(gè)人信息的具體類(lèi)型，提供了相應(yīng)的判別指引。然而，我國(guó)當(dāng)前并未明晰重要數(shù)據(jù)的具體范圍。2022年1月13日發(fā)布的《信息安全技術(shù)重要數(shù)據(jù)的識(shí)別指南》（征求意見(jiàn)稿）表明我國(guó)對(duì)于重要數(shù)據(jù)的具體范圍仍停留在探索階段。

由此將導(dǎo)致如下問(wèn)題：一是無(wú)法將不屬于個(gè)人信息、重要數(shù)據(jù)、國(guó)家秘密以及受監(jiān)管的行業(yè)領(lǐng)域數(shù)據(jù)切割出來(lái)，而這部分?jǐn)?shù)據(jù)理應(yīng)可自由流動(dòng)。二是無(wú)法明確國(guó)家秘密以及受監(jiān)管的行業(yè)領(lǐng)域數(shù)據(jù)與重要數(shù)據(jù)的關(guān)系，這是因?yàn)閲?guó)家秘密以及行業(yè)領(lǐng)域數(shù)據(jù)是否必然屬于重要數(shù)據(jù)的范疇仍不明確。三是個(gè)人信息與重要數(shù)據(jù)存在重疊，個(gè)人信息可能屬于與國(guó)家安全、社會(huì)公益密切相關(guān)的重要數(shù)據(jù)，重要數(shù)據(jù)中包含非個(gè)人信息，將二者進(jìn)行切割的必要性及可行性存疑。

第二，相關(guān)配套規(guī)則未出臺(tái)，導(dǎo)致數(shù)據(jù)出境合規(guī)路徑尚未暢通?！掇k法》的適用范圍并不清晰，其并未明確安全評(píng)估四個(gè)要件中的“數(shù)據(jù)出境”以及“數(shù)據(jù)處理者”的定義，且我國(guó)仍未明確“重要數(shù)據(jù)”識(shí)別標(biāo)準(zhǔn)，這意味著當(dāng)前進(jìn)行安全評(píng)估尚存規(guī)則適用難題。此外，《認(rèn)證規(guī)范》并未明確開(kāi)展個(gè)人信息保護(hù)認(rèn)證的專(zhuān)門(mén)機(jī)構(gòu)，《標(biāo)準(zhǔn)合同規(guī)定》尚未實(shí)施，缺乏相應(yīng)的實(shí)踐經(jīng)驗(yàn)。

四、國(guó)際體育賽事數(shù)據(jù)跨境傳輸規(guī)則適用難題的破解路徑

通過(guò)考察歐盟個(gè)人數(shù)據(jù)跨境傳輸路徑及我國(guó)數(shù)據(jù)出境限制規(guī)則可發(fā)現(xiàn)，國(guó)際體育賽事數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突體現(xiàn)在歐盟“軟數(shù)據(jù)本地化”的立場(chǎng)與我國(guó)“硬數(shù)據(jù)本地化”主張相沖突，由此產(chǎn)生的數(shù)據(jù)跨境流動(dòng)的矛盾難以有根本的解決方案。結(jié)合舉辦國(guó)際體育賽事的特點(diǎn)，本文認(rèn)為可以考慮的解決路徑如表1所示。從我國(guó)被動(dòng)應(yīng)對(duì)的角度，國(guó)際體育賽事舉辦方可在體育賽事相關(guān)協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款以直接應(yīng)對(duì)，也可適用歐盟SCCs及BCRs跨境傳輸工具以間接合規(guī)。從我國(guó)能動(dòng)應(yīng)對(duì)的角度，我國(guó)可以致力于推動(dòng)建立雙邊或者多邊合作機(jī)制，也可以由國(guó)家體育總局制定我國(guó)體育領(lǐng)域的專(zhuān)門(mén)性數(shù)據(jù)保護(hù)規(guī)范。

表1 數(shù)據(jù)跨境傳輸規(guī)則適用難題的解決路徑

（一）在舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款

就舉辦北京冬奧會(huì)而言，其數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)主要來(lái)源于《主辦城市合同》中的規(guī)定。GDPR生效之后，國(guó)際奧委會(huì)相繼更新了隨后將舉辦大型體育賽事的巴黎、洛杉磯等城市的《主辦城市合同》版本，這是國(guó)際奧委會(huì)作為數(shù)據(jù)控制者將高標(biāo)準(zhǔn)的歐盟個(gè)人數(shù)據(jù)保護(hù)義務(wù)內(nèi)化吸收的結(jié)果。未來(lái)的國(guó)際體育賽事主辦方可在國(guó)際體育賽事舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款，以確保外國(guó)公民的個(gè)人數(shù)據(jù)權(quán)益不受減損。若直接承認(rèn)GDPR的規(guī)則體系，可通過(guò)明確如下義務(wù)條款保護(hù)個(gè)人數(shù)據(jù)：遵循目的限制原則、透明度原則、準(zhǔn)確性與數(shù)據(jù)最小化原則等一般性原則，限期儲(chǔ)存?zhèn)€人數(shù)據(jù)；采取技術(shù)措施保保障數(shù)據(jù)處理安全，限制性向第三方轉(zhuǎn)移，限制對(duì)特殊類(lèi)型個(gè)人數(shù)據(jù)的處理，等等。

在舉辦協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款屬于一事一議的方式，這種方式雖較為靈活直接，但在雙方長(zhǎng)臂管轄原則呈對(duì)抗的情形下，一味追求義務(wù)合規(guī)可能喪失數(shù)據(jù)治理話語(yǔ)權(quán)。北京冬奧組委若悉數(shù)將奧運(yùn)賽事相關(guān)數(shù)據(jù)轉(zhuǎn)移，全然忽略數(shù)據(jù)本地化存儲(chǔ)的一般性原則，實(shí)際上不適用本國(guó)法律，而適用歐盟的相關(guān)法律，這是一種主權(quán)的讓渡。

（二）適用SCCs及BCRs跨境傳輸路徑

結(jié)合歐盟GDPR的相關(guān)規(guī)則來(lái)看，目前可行的數(shù)據(jù)傳輸路徑有BCRs以及SCCs。兩種途徑都是對(duì)歐盟規(guī)則事實(shí)上的承認(rèn)，也僅解決如何對(duì)將個(gè)人數(shù)據(jù)的跨境傳輸?shù)轿覈?guó)境內(nèi)的問(wèn)題。

BCRs針對(duì)大中型的企業(yè)設(shè)立，鼓勵(lì)在歐盟存在經(jīng)濟(jì)實(shí)體的企業(yè)集團(tuán)或者企業(yè)實(shí)體使用。理論上，國(guó)際體育賽事舉辦方可與通過(guò)BCRs的跨國(guó)公司合作，跨境傳輸國(guó)際體育賽事所涉及的歐盟居民個(gè)人數(shù)據(jù)。基于BCRs嚴(yán)格限制在企業(yè)集團(tuán)內(nèi)部使用，與上述跨國(guó)公司合作只能確保將歐盟公民的個(gè)人數(shù)據(jù)從歐盟轉(zhuǎn)移到境外的跨國(guó)公司。如果為實(shí)現(xiàn)奧運(yùn)賽事相關(guān)活動(dòng)目的，處于境外的跨國(guó)公司實(shí)體還需要向其他供應(yīng)鏈、酒店或者交通部門(mén)等數(shù)據(jù)控制者或處理者共享數(shù)據(jù)，該跨國(guó)公司需另外同這些主體簽訂新的SCCs以約束上述共享行為。此外，目前通過(guò)BCRs認(rèn)證的跨國(guó)公司僅80余家，從中找到能夠提供與國(guó)際體育賽事舉辦相關(guān)跨國(guó)服務(wù)的合作伙伴較為困難。

此外，國(guó)際體育賽事主辦方可與歐盟境內(nèi)的數(shù)據(jù)處理者或者數(shù)據(jù)控制者簽訂SCCs，通過(guò)合同條款保障歐盟公民的數(shù)據(jù)權(quán)利。國(guó)際體育賽事主辦方為數(shù)據(jù)控制者，為完成賽事相關(guān)事宜決定數(shù)據(jù)的處理目的與方式。其可能簽訂的標(biāo)準(zhǔn)合同條款（SCCs）有數(shù)據(jù)控制者至數(shù)據(jù)控制者（Transfer Controller to Controller，C2C）或者數(shù)據(jù)處理者至數(shù)據(jù)控制者（Transfer Processor to Controller，P2C）兩種類(lèi)型。簽訂C2C之后，主辦方受目的限制原則約束，在為完成奧運(yùn)會(huì)相關(guān)事宜范圍內(nèi)進(jìn)行數(shù)據(jù)處理活動(dòng)。舉辦方可以在權(quán)限范圍內(nèi)授權(quán)其他數(shù)據(jù)處理者處理個(gè)人數(shù)據(jù)，但需要保證數(shù)據(jù)主體的權(quán)利。舉辦方也可以與在歐盟境內(nèi)的數(shù)據(jù)處理者簽訂P2C，要求境內(nèi)的數(shù)據(jù)處理者按照舉辦方的指示進(jìn)行數(shù)據(jù)處理活動(dòng)。SCCs相較于BCRs更為實(shí)用，國(guó)際體育賽事的舉辦方可能依據(jù)不同的數(shù)據(jù)處理目的需要簽訂多份SCCs，由此面臨不菲的數(shù)據(jù)合規(guī)成本。

（三）推動(dòng)建立雙邊或者多邊合作機(jī)制

數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突給全球的行政法體制提出了新難題，有必要進(jìn)行國(guó)際協(xié)調(diào)，構(gòu)建雙邊或者多邊的國(guó)際協(xié)作機(jī)制和多元主體協(xié)同治理的格局。面對(duì)歐盟采取的單邊保護(hù)主義，我國(guó)可以與歐盟委員會(huì)進(jìn)行磋商，就個(gè)人信息與重要數(shù)據(jù)跨境傳輸探討雙邊合作機(jī)制。GDPR第50條、我國(guó)《數(shù)據(jù)安全法》第11條及《個(gè)人信息保護(hù)法》第12條都給未來(lái)中國(guó)與歐盟的國(guó)際合作預(yù)留了一定的空間。歐盟委員會(huì)以及監(jiān)管機(jī)構(gòu)有建立國(guó)際合作機(jī)制以促進(jìn)GDPR有效實(shí)施的義務(wù)；我國(guó)應(yīng)積極開(kāi)展數(shù)據(jù)領(lǐng)域國(guó)際交流與合作，參與數(shù)據(jù)安全相關(guān)國(guó)際規(guī)則和標(biāo)準(zhǔn)的制定，以促進(jìn)個(gè)人信息保護(hù)及數(shù)據(jù)跨境安全、自由流動(dòng)。雙邊協(xié)議的達(dá)成受協(xié)議參與國(guó)自身經(jīng)濟(jì)、政治力量的制約［7］（P37-48）。面對(duì)歐盟強(qiáng)硬的單邊主義，我國(guó)絕不應(yīng)作出全面承認(rèn)GDPR規(guī)則的承諾，而應(yīng)該堅(jiān)持雙方充分磋商之后達(dá)成數(shù)據(jù)跨境傳輸制度的共識(shí)。

即便達(dá)成雙邊合作，也只是解決我國(guó)與歐盟之間的數(shù)據(jù)跨境傳輸沖突問(wèn)題。要真正形成多元主體協(xié)同治理的局面，在于形成一個(gè)剛性的多邊條約。如此便可以約束世界范圍內(nèi)的主要國(guó)家與地區(qū)，確保數(shù)據(jù)在共識(shí)框架基礎(chǔ)上的自由流動(dòng)。但不可避免地，基于不同的文化背景、法律環(huán)境及政策考量，其較之雙邊條約談判成本更高，難度更大。當(dāng)下數(shù)據(jù)跨境傳輸?shù)钠惹鞋F(xiàn)實(shí)需求，亟待聯(lián)合國(guó)、WTO等國(guó)際組織積極推動(dòng)構(gòu)建數(shù)據(jù)跨境傳輸?shù)亩噙厳l約。

（四）制定我國(guó)體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范

目前我國(guó)有制定體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范的需求。我國(guó)在《體育強(qiáng)國(guó)綱要》中明確了“體育產(chǎn)業(yè)更大、更活、更優(yōu)，成為國(guó)民經(jīng)濟(jì)支柱性產(chǎn)業(yè)”的戰(zhàn)略目標(biāo)。大型國(guó)際體育賽事涉及注冊(cè)、餐飲、抵離、酒店、醫(yī)療、語(yǔ)言、交通、技術(shù)等多個(gè)方面，其中必然收集與產(chǎn)生大量的個(gè)人信息與重要數(shù)據(jù)。國(guó)際體育塞所收集或產(chǎn)生的數(shù)據(jù)蘊(yùn)含著巨大的開(kāi)發(fā)與分析價(jià)值，是促進(jìn)體育產(chǎn)業(yè)發(fā)展的“新石油”。然而，促進(jìn)體育數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展，打造現(xiàn)代產(chǎn)業(yè)體系，有著對(duì)體育數(shù)據(jù)更高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)需求。國(guó)家體育總局有必要出臺(tái)高于一般保護(hù)水平的體育領(lǐng)域數(shù)據(jù)保護(hù)規(guī)范，以暢通國(guó)際體育賽事數(shù)據(jù)自由跨境傳輸渠道，同時(shí)為賽事中的個(gè)人信息與重要數(shù)據(jù)提供充分性保護(hù)。如此便可在保護(hù)體育產(chǎn)業(yè)數(shù)據(jù)安全的前提下，推動(dòng)以數(shù)據(jù)為關(guān)鍵要素的人工智能、物聯(lián)網(wǎng)等技術(shù)與體育產(chǎn)業(yè)的融合，為創(chuàng)新體育領(lǐng)域的生產(chǎn)方式、服務(wù)方式和商業(yè)模式提供制度保障。此外，制定體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范是基于產(chǎn)業(yè)格局與國(guó)際地位的重要考量［8］（P106-117）。我國(guó)體育產(chǎn)業(yè)有著自身的比較優(yōu)勢(shì)，積極主動(dòng)地構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范，可構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)的中國(guó)話語(yǔ)。

五、結(jié) 語(yǔ)

歐盟嚴(yán)格限制個(gè)人數(shù)據(jù)跨境傳輸，中國(guó)明確數(shù)據(jù)本地化存儲(chǔ)原則，構(gòu)成數(shù)據(jù)跨境傳輸?shù)囊?guī)則適用難題。規(guī)則適用問(wèn)題的本質(zhì)在于主權(quán)國(guó)家以個(gè)人數(shù)據(jù)為抓手展開(kāi)長(zhǎng)臂管轄制度暗戰(zhàn)，爭(zhēng)奪數(shù)據(jù)治理規(guī)則話語(yǔ)權(quán)。當(dāng)前解決規(guī)則適用難題的可選路徑中，在協(xié)議中設(shè)置合規(guī)性保護(hù)義務(wù)條款、適用BCRs及SCCs跨境傳輸工具都是一次一議的臨時(shí)性選擇；推動(dòng)建立雙邊或者多邊合作機(jī)制，統(tǒng)籌推動(dòng)制定我國(guó)體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范是長(zhǎng)期、可制度化的解決方案。尤其在我國(guó)實(shí)施大數(shù)據(jù)戰(zhàn)略、體育強(qiáng)國(guó)戰(zhàn)略的背景下，制定我國(guó)體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)規(guī)范更是基于產(chǎn)業(yè)發(fā)展與國(guó)際地位的重要選擇，有助于構(gòu)建體育產(chǎn)業(yè)數(shù)據(jù)保護(hù)的中國(guó)話語(yǔ)，提升我國(guó)體育產(chǎn)業(yè)在世界范圍內(nèi)的影響力，這也是我國(guó)目前解決國(guó)際體育賽事數(shù)據(jù)跨境傳輸合規(guī)問(wèn)題的優(yōu)選方案。