体育赛事筹办需处理大量的个人信息,包括普通个人信息、敏感个人信息和客户画像等数据分析结果。信息处理方式也呈多样化,不但要收集、存储、加工和自动化处理个人信息,还会委托处理、与第三方共享和向境外提供个人信息等。
《个人信息保护法》(以下简称《个保法》)的生效,必将对赛事筹办个人信息处理产生重大影响,也将个人信息处理合法化问题提上议事日程。为了做好赛事筹办的个人信息保护,组委会应根据《个保法》的规定,履行《主办城市合同》和遵守赛事筹办惯例,确保个人信息处理合法、合规。
《个保法》对体育赛事的管辖
《个保法》对国内举办的体育赛事、包括国际体育赛事的个人信息处理具有管辖权,可从以下几个方面分析:
一是全运会等国内赛事,赛事权利人和组委会都是国内机构。根据属地管辖原则,《个保法》“适用于在中华人民共和国境内处理自然人个人信息的活动,” 无疑对这类赛事具有管辖权;
二是冬奥会、亚运会、大运会、亚青会等国际体育赛事,根据《主办城市合同》及相关赛事筹办的文件,个人信息处理的目的和方式由境外赛事权利人决定,数据库的知识产权也归其所有,组委会受委托处理与赛事有关的个人信息。根据属地管辖的原则,可对组委会处理个人信息适用《个保法》;同时,因符合“以向境内自然人提供产品或者服务为目的”或“分析、评估境内自然人行为”的条件,根据保护管辖的原则,对境外赛事权利人委托处理境内个人信息的行为适用《个保法》;
三是国际足联世界杯的门票和款待套餐销售,由权利人委托独立境外机构实施,组委会不承担这项工作。如果这类赛事在国内举办,因需要处理境内个人信息,根据保护管辖的原则也应适用《个保法》。但《个保法》规定,境外信息处理者应在境内设立专门机构或者指定代表,负责处理相关事务,并向相关部门提供联系方式。
▲每一场赛事,都会产生海量的数据。
个人信息的处理
个人信息处理已成为体育赛事筹办不可或缺的组成部分。例如,注册系统处理参赛运动员、官员、工作人员、志愿者、合同商和其他利益相关者的信息,门票销售与管理对观众的信息进行处理,数字媒体利用使用者的信息进行沟通和互动,兴奋剂检测处理运动员的生理和健康信息等。
这些信息复杂多样,可直接或间接对自然人进行识别,不但包括公民的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码等识别信息,还包括可识别自然人某些特定的身体、心理、智力、基因、经济、文化或社会元素,属于《个保法》所指的“以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息”。但经过处理无法识别特定自然人且不能复原的匿名信息或法人组织的信息,不属于《个保法》界定的个人信息范范畴。
虽然某些信息本身没有识别作用,如果与信息处理者可能掌握的其他信息结合便可识别特定的自然人,也应视作个人信息。目前,网上收集的某些有价值的信息区别于传统的个人信息,例如网站所使用的“cookies”、浏览指纹、IP地址等,通过数据分析,这些信息可用于客户画像和精准营销,也应视作个人信息。
根据《个保法》的规定,敏感信息指那些“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”值得注意的是,机器学习(machine learning)等技术可以通过分析普通个人信息推断出敏感个人信息。例如,通过分析浏览指纹发现使用者的健康状况,这些推断结果也属于个人敏感信息。
赛事筹办个人信息处理包括《个保法》列举的“收集、存储、使用、加工、传输、提供、公开、删除”等方式。在赛事筹办个人信息处理中,应遵循合法、必要、正当、诚信原则,最小必要原则,公开透明原则,信息准确原则和主体责任原则。
例如,赛事个人信息的处理,具有目的的正当性和信息处理的必要性;但除法律、行政法规规定应当保密或不需要告知的情形外,应取得客户的同意,以符合合法性的要求;信息的收集和保存应为目的所需的最小范围和最短时间;应说明处理规则,处理目的、方式和范围;应保证信息处理的质量并及时更新,对不准确的信息应及时删除,避免信息不准确、不完整对客户造成的不利影响;组委会应采取必要措施保证信息的安全,避免信息被盗用、泄露、损坏、丢失。
信息处理的合法性依据
信息主体的知情同意是信息处理的合法依据。例如,在门票或特许商品销售中,处理消费者的个人信息应告知信息主体并取得其同意。信息主体有权撤回其同意,信息处理者应当提供便捷的方式允许消费者撤回其同意。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。除必需的个人信息外,不得以不同意处理个人信息为由拒绝提供产品或服务。
鉴于个人信息的利用有利于增强政府社会管理和服务职能、提高信息业者的商业决策效率,应兼顾信息主体权益的保护与国家、社会利益协调平衡,信息主体的知情同意不应是信息合法处理的唯一条件。
下述六种特殊情况,不经信息主体同意,处理个人信息仍符合合法性要求:
(一)向为订立、履行个人作为一方当事人的合同所必需或按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。例如,依据赛事管理规定和履行合同,处理注册人员的信息或为管理之目的处理工作人员信息。
(二)为履行法定职责或法定义务所必需。例如,政府机构对注册或购票人员进行背景审查。
(三)应对突发公共卫生或紧急情况下为保护自然人的生命健康和财产安全所必需。例如,赛事期间,基于防疫之目的,处理参赛人员和观众的个人信息。
(四)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。例如,对外报道或赛事转播中,因新闻宣传的需要合理使用运动员的个人信息。
(五)在合理的范围内处理个人自行公开或其他已经合法公开的信息。例如,在合理范围内,使用网上查询到的个人信息。
(六)法律、行政法规规定的其他情形。例如,法律、行政法规规定应当保密或不需要告知的情形的,可以不向信息主体告知。
信息主体的权利保护
赛事筹办的个人信息处理,应保护信息主体的法定权利。根据个人信息处理的原则,除法律、行政法规另有规定外,信息主体拥有下列权利:
(一)知情权。在收集信息时,应告知信息主体相关内容,包括:信息处理者的名称或姓名和联系方式,信息处理的目的、方式、个人信息种类、保存期限,个人行使法定权利的方式和程序及法律、行政法规规定应当告知的其他事项。上述事项发生变更的,还应将变更部分告知信息主体。合同目的实现之后,应及时删除信息并对信息删除事项进行告知。这些处理规则应当公开,便于查阅和保存。告知同意文件不宜过长,也不能让人不知所云,应以显著方式、清晰易懂的语言,真实、准确、完整地向消费者告知。个人信息处理者处理敏感个人信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。紧急情况下为保护自然人生命健康和财产安全无法告知的,应在紧急情况消除后及时告知。
(二)决定权。在对用户个人信息进行处理前应获得其同意(opt in),敏感信息应当取得个人的单独同意,不能采取一揽子同意的方式。如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得同意;如果公开其处理的个人信息,应取得信息主体的单独同意;处理已公开的个人信息,对信息主体权益有重大影响的,应取得同意;处理不满十四周岁未成年人的个人信息,必须要征得其父母或其他监护人的同意。
(三)限制或拒绝权。在无需信息主体知情同意的情况下,如果处理个人信息可能对信息主体造成损失或危害,信息主体有权限制或拒绝他人处理个人信息。例如,门票或特许商品销售中,收集和存储消费者的相关信息并跟踪其购买习惯和兴趣,对消费者的人口统计学信息和行为做出分析,通过客户分类和贴标签进行目标营销或直接推销。对于这类自动化决策,因有可能对消费者造成困扰,应提供不针对消费者个人特征的选项,或者向消费者提供便捷的拒绝方式(opt out),消费者有权要求信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式做出决定。
(四)查阅、复制权。信息主体有权查阅自己的信息并获得处理者提供的查阅结果。
(五)可携带权。信息主体请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,信息处理者应当提供转移的途径。
(六)更正、补充权。对于个人信息有不准确、不完整的情况,信息主体有权要求及时更正与补充。
(七)删除权。对于处理目的已实现、无法实现或者为实现处理目的不再必要,信息处理者停止提供产品或者服务、或者保存期限已届满,个人撤回同意,信息处理者违反法律、行政法规或者违反约定处理个人信息或法律、行政法规规定的其他情形;信息处理者应当主动删除个人信息;未删除的,信息主体有权请求删除;但法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
(八)解释说明权。信息主体有权要求个人信息处理者对其个人信息处理规则进行解释说明。
(九)继承权。自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使查阅、复制、更正、删除等权利,死者生前另有安排的除外。
(十)救济权。信息处理者应当建立便捷的信息主体行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。处理者拒绝个人行使权利的请求的,信息主体可以依法向人民法院提起诉讼。
组委会的信息处理者义务
在体育赛事筹办中,组委会具有多重信息处理者身份,根据《个保法》的规定,应履行不同的法律义务。
首先,作为一般信息处理者,组委会应制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,制定并组织实施个人信息安全事件应急预案。敏感信息应该受到特别保护,只有在具有特定目的和充分的必要性,并采取严格措施的情形下,方可处理个人敏感信息,对敏感信息处理等特殊情况进行事先的影响评估。
其二,组委会应属于用户数量巨大、业务类型复杂的个人信息处理者。例如,奥运会仅购票人数可达几百万,再加上特许商品购买人和社交媒体互动的粉丝,需处理的个人信息人数众多。根据法律规定,应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督以及定期发布个人信息保护社会责任报告,接受社会监督。
其三,在某些情况下,组委会需委托第三方处理个人信息。例如,委托票务运营商处理购票人的相关信息,委托他人提供云计算服务等。在这种情况下,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还组委会或者予以删除,不得保留。未经组委会同意,受托人不得转委托他人处理个人信息。受托人应当依照有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助委托人履行《个保法》规定的义务。
其四,组委会作为临时机构,最终面临解散,需要向第三方,特别是赛事权利人转移个人信息。应当向信息主体告知接收方的名称或者姓名和联系方式并要求接收方继续履行个人信息处理者的义务。如果接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得信息主体的同意。
其五,在举办国际体育赛事的情况下,根据《主办城市合同》,组委会需向境外权利人提供个人信息的,应当具备下列条件之一:
(一)通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
结语
信息技术的发展使个人信息处理成为体育赛事筹办的重要手段。赛事筹办的个人信息处理有其自身特点,在举办大型国际体育赛事的情况下,《主办城市合同》对个人信息处理和跨境转移都有特别的要求,这些要求往往基于赛事权利人所适用的法律,例如,欧盟的《通用数据保护条例》等。
我国《个保法》的出台使在国内举办的体育赛事,包括国际体育赛事有法可依,体育赛事筹办应根据其特点遵守《个保法》的相关规定。
声明:文中观点仅代表作者本人观点,不代表懒熊体育。