徐偉康，田思源

《世界反興奮條例》（World Anti-doping Code，WADC）要求運動員和輔助人員向反興奮劑組織（Anti-Doping Organizations，ADOs）提供大量的個人數(shù)據(jù)以供反興奮活動之需要[1]。隨著個人數(shù)據(jù)保護日益引起關注，并相繼被各國納入法律體系中，反興奮劑活動與數(shù)據(jù)保護的沖突日益加劇。歐盟權(quán)威的數(shù)據(jù)保護咨詢機構(gòu)——歐盟第29 條工作組（The EU Article 29 Working Party，簡稱29條工作組）就曾專門針對反興奮劑背景下運動員數(shù)據(jù)處理連續(xù)發(fā)表了多份意見，認為反興奮劑活動中的數(shù)據(jù)處理侵犯了運動員數(shù)據(jù)權(quán)利。盡管目前世界反興奮機構(gòu)（world Anti-Doping Agency，WADA）也在努力作出回應并表現(xiàn)出完善個人數(shù)據(jù)保護的趨勢，但反興奮劑活動中的個人數(shù)據(jù)處理依然飽受詬病。在反興奮劑領域，一直存在著運動員權(quán)利與反興奮劑措施的矛盾[2]，若苛以嚴格的數(shù)據(jù)保護規(guī)范，反興奮劑活動將被裹足而無所為，對達成世界反興奮劑計劃所規(guī)定的目標形成新的障礙[3]。因此，探索如何實現(xiàn)個人數(shù)據(jù)保護與反興奮劑活動的動態(tài)平衡，構(gòu)建反興奮劑活動數(shù)據(jù)處理的合法、合規(guī)性，成為當下ADOs面臨的新的嚴峻考驗。

1 反興奮劑活動中個人數(shù)據(jù)保護的依據(jù)

1.1 反興奮劑活動中個人數(shù)據(jù)保護的理論依據(jù)

個人數(shù)據(jù)是指可以識別到自然人的所有信息，包括直接識別亦包括間接識別。但個人數(shù)據(jù)不同于隱私，以往的研究多集中在反興奮劑活動對個人隱私的侵犯上，存在一定的局限性[4-6]。從概念范疇上講，個人數(shù)據(jù)的范疇囊括但不限于隱私，隱私包括私密之信息和私人支配之場所，突出“私”的特點，但個人數(shù)據(jù)強調(diào)識別性，亦包括公之于眾的信息[7]。如在反興奮劑活動中，興奮劑檢查官未事先通知突臨運動員訓練營地要求賽外檢查可視為對隱私權(quán)的侵犯。但是，ADOs通過公開渠道歸集運動員數(shù)據(jù)分析是否有涉嫌興奮劑之嫌疑則很難歸入隱私的框架下[8]。在反興奮劑活動中，個人數(shù)據(jù)包括運動員的聯(lián)系方式、所屬關系、行蹤軌跡、指定性治療用藥豁免、反興奮劑檢查結(jié)果和結(jié)果管理（如聽證、上訴和制裁信息），以及與運動員一起工作、訓練、輔助的其他相關人員的個人資料和聯(lián)系方式[9]。

國際社會關于個人數(shù)據(jù)保護的理論主要有2個源頭。（1）源于歐洲基于人格尊嚴和人格自由的個人數(shù)據(jù)保護理論，由于歷史傳統(tǒng)等多種因素，歐洲國家高度重視人格權(quán)保護。他們認為，個人數(shù)據(jù)并非冰冷的代碼，因其識別性特征，能夠反映特定主體的身份、行為和狀態(tài)，若進一步分析，還能反映出特定主體的個性特征，特別是在大數(shù)據(jù)時代，即使單個數(shù)據(jù)不足以標識個人，但通過海量數(shù)據(jù)的整理、挖掘，就會呈現(xiàn)個人完整面貌，取代每個人的物理存在，形成個體“數(shù)據(jù)人格”[10]。故而個人數(shù)據(jù)是人的延伸[11]，人應當獨立自主，個人數(shù)據(jù)亦應當由數(shù)據(jù)主體掌控，這也是康德“以人作為目的”觀念的體現(xiàn)[12]。從該理論出發(fā)，反興奮劑活動中收集的個人數(shù)據(jù)蘊含數(shù)據(jù)主體的身份識別、關系紐帶和生活軌跡，隸屬于個人人格尊嚴和自由意志，因為人格發(fā)展需要，故需免遭干預、支配。（2）除了個人數(shù)據(jù)上承載的人格利益，個人數(shù)據(jù)保護的另一個理論基礎源于美國法下的數(shù)據(jù)財產(chǎn)權(quán)理論。在美國，并沒有發(fā)展出與大陸法相對應的人格權(quán)理論和制度構(gòu)架，而是在崇尚言論自由和數(shù)據(jù)科技發(fā)達的背景下，誕生了數(shù)據(jù)財產(chǎn)權(quán)理論。數(shù)據(jù)財產(chǎn)權(quán)理論認為，個人數(shù)據(jù)應受保護，因為個人數(shù)據(jù)具有財產(chǎn)屬性，即“個人對他們的個人數(shù)據(jù)擁有所有權(quán)，如同財產(chǎn)的所有人那樣，有權(quán)控制對個人數(shù)據(jù)的任何使用”[13]。具體而言，數(shù)據(jù)主體具有針對個人數(shù)據(jù)進行議價的能力，那些希望得到數(shù)據(jù)的人必須在成功協(xié)商，支付對價后才能獲取之[14]。也就是說，理論上反興奮劑機構(gòu)作為私人組織獲取個人數(shù)據(jù)需要付出相應的對價，因為運動員，特別是明星運動員的數(shù)據(jù)無疑具有經(jīng)濟價值，蘊含財產(chǎn)利益。綜上，盡管2個法域中個人數(shù)據(jù)保護的權(quán)利基礎不同，但是結(jié)論是相同的，即作為數(shù)據(jù)主體的個人有權(quán)控制個人數(shù)據(jù)的收集和處理，以實現(xiàn)對個人權(quán)利的保護。

1.2 反興奮劑活動中個人數(shù)據(jù)保護的規(guī)范依據(jù)

1.2.1 WADA的規(guī)則 隨著個人數(shù)據(jù)保護日益引起重視，WADA 也在規(guī)則上試圖回應個人數(shù)據(jù)保護的要求。2009年1月1日，WADA 正式發(fā)布了反興奮劑領域第1 個數(shù)據(jù)保護的標準——《保護隱私和個人信息國際標準》（International Standard for the Protection of Privacy and Personal Information，ISPPPI），規(guī)定了與反興奮劑領域有關的組織及其第三方代理在收集行蹤信息、進行興奮劑檢查和調(diào)查、進行結(jié)果管理等過程中數(shù)據(jù)處理的一系列最低要求，如只能處理相關和相應的個人數(shù)據(jù)，只能在法律或經(jīng)同意的基礎上處理個人數(shù)據(jù)；并規(guī)定了參賽者和其他人關于個人數(shù)據(jù)的權(quán)利，如知情權(quán)、刪改權(quán)和投訴權(quán)等，確保反興奮劑領域有關的組織和個人對所收集和處理的個人數(shù)據(jù)進行適當、充分和有效的保護。ISPPPI作為世界反興奮劑計劃組成部分而制定的二級法定國際標準，確立了反興奮劑活動中數(shù)據(jù)處理的最低準則，該標準在2018年重新做了修訂，主要完善了個人數(shù)據(jù)處理的法律基礎，提升了ADOs 維護個人數(shù)據(jù)安全的義務，并進一步明確了參賽者和其他相關主體關于個人數(shù)據(jù)的權(quán)利等。同時，WADA在2019年11月新出臺的《反興奮劑運動員權(quán)利法案》（Athletes’Anti-Doping Rights Act）第8條載入了保護運動員數(shù)據(jù)權(quán)利的原則性宣示，規(guī)定“運動員有權(quán)要求反興奮劑組織公平、合法和安全地收集、使用和共享個人數(shù)據(jù)，包括有權(quán)隨時了解數(shù)據(jù)處理情況，獲得副本，并在不再用于任何合法的反興奮劑目的時，要求將其刪除的權(quán)利”。

1.2.2 數(shù)據(jù)保護的國際和國內(nèi)法規(guī) 20世紀六七十年代，一些國家開始意識到個人數(shù)據(jù)處理蘊含的風險，開始立法保護。1970年，德國黑森州率先頒布世界上第一部《數(shù)據(jù)保護法》，瑞典、美國、法國、葡萄牙等也相繼立法規(guī)范數(shù)據(jù)的收集和使用，接著經(jīng)濟合作與發(fā)展組織頒布《隱私保護和個人資料跨境流通指南》、歐洲委員會頒布《個人數(shù)據(jù)自動化處理中保護個人公約》來加強對個人數(shù)據(jù)的保護。對于反興奮劑活動而言，除了WADA的自治規(guī)則，國際和各國國內(nèi)的數(shù)據(jù)保護法規(guī)同樣是其必須遵循的，且根據(jù)ISPPPI，若當?shù)剡m用的國際和國內(nèi)法規(guī)高于ISPPPI 的保護標準，則優(yōu)先適用于當?shù)氐姆伞Ｄ壳皝砜?，對反興奮劑活動影響最大的是歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，“GDPR”），主要原因在于GDPR規(guī)定了目前世界上最為嚴格的數(shù)據(jù)保護標準，雖然其是歐盟的法規(guī)，但因其廣泛的域外效力和長臂管轄原則波及全球范圍。因為只要ADOs 參與數(shù)據(jù)處理過程的實體，也即GDPR 條款中的數(shù)據(jù)“控制器”，或者“處理器”，或者所處理的數(shù)據(jù)跟歐盟有聯(lián)結(jié)點，該數(shù)據(jù)處理就落入了GDPR的管轄。如某個位于美國的國際單項體育聯(lián)合會，決定從其機構(gòu)的注冊檢查庫中選擇一位中國運動員進行測試，將樣品采集工作委托中國反興奮劑中心，看似運動員和ADO，都與歐盟毫無瓜葛，但若之后樣品數(shù)據(jù)被運送到位于德國WADA 認可的實驗室，因?qū)嶒炇易鳛椤皵?shù)據(jù)處理器”位于歐盟，故該數(shù)據(jù)處理需適用GDPR的規(guī)定。GDPR作為數(shù)據(jù)保護的標桿，規(guī)定了數(shù)據(jù)處理的原則、條件和程序等，賦予個人數(shù)據(jù)絕對化權(quán)利，數(shù)據(jù)主體對個人數(shù)據(jù)具有訪問權(quán)、被遺忘權(quán)、更正權(quán)、限制處理權(quán)、數(shù)據(jù)可攜權(quán)、拒絕權(quán)和反對自動化處理等權(quán)利，個人數(shù)據(jù)保護提升到保護自然人基本人權(quán)和自由的高度。

2 反興奮劑活動中個人數(shù)據(jù)保護的現(xiàn)實問題

2.1 反興奮劑活動中個人數(shù)據(jù)處理合法性的問題

2.1.1 能否適用“知情同意” 無論GDPR 抑或各國數(shù)據(jù)保護法規(guī)，都要求處理個人數(shù)據(jù)首先需要合法性基礎。在反興奮劑活動中，ADOs 大都將“知情同意”作為處理個人數(shù)據(jù)的依據(jù)?！爸橥狻币髮€人數(shù)據(jù)的收集和處理必須經(jīng)過數(shù)據(jù)主體真實的同意，并且此種同意以數(shù)據(jù)主體事先的知情為前提，背后法理也很好理解，無論是數(shù)據(jù)人格權(quán)保護還是數(shù)據(jù)財產(chǎn)權(quán)保護，都賦予數(shù)據(jù)主體對個人數(shù)據(jù)的控制權(quán)，借用卡多佐大法官對于“知情同意”的經(jīng)典判詞：這是我的數(shù)據(jù)，只有我才有權(quán)決定如何處置。這種自我控制權(quán)，表現(xiàn)在法律上就是個人充分知情基礎上的同意[15]。反興奮劑實踐中，ADOs 一般也宣稱其已告知運動員數(shù)據(jù)處理情況，并基于運動員同意處理數(shù)據(jù)。理由是，運動員在職業(yè)生涯中，在加入國家抑或國際體育單項聯(lián)合會、參加各類比賽時都會簽署若干合同，合同中一般都包含反興奮劑條款，或者包括遵守WADA 的條款。ADOs 在收集每一類數(shù)據(jù)時，運動員也會收到關于數(shù)據(jù)使用、處理的一般性的信息，如在收集行蹤數(shù)據(jù)時，將被納入注冊檢查庫中的運動員會收到反興奮劑數(shù)據(jù)庫運營管理系統(tǒng)（The Anti-Doping Administration ＆ Management System，ADAMS）一份通知，告知他們被納入注冊檢查庫，并說明他們的權(quán)利和義務[16]。

但反興奮劑活動中“知情同意”的有效性一直是一個爭議話題。（1）ADOs 并非每一類數(shù)據(jù)處理都獲得了運動員的同意。如近年來，加強情報數(shù)據(jù)收集和調(diào)查，在反興奮劑工作中的重要性不斷顯現(xiàn)。各國ADOs利用技術(shù)手段追蹤運動員使用興奮劑的來源、方法及幫助其使用興奮劑的人員，以排除可能存在的興奮劑違規(guī)行為或者為啟動興奮劑違規(guī)處理提供依據(jù)[17]。此種情報數(shù)據(jù)收集和調(diào)查無疑構(gòu)成對數(shù)據(jù)權(quán)利的侵犯，但ADOs并不要求此種行為需要被同意[18]。類似的，ADOs會在ADAMS共享反興奮劑過程中的數(shù)據(jù)，但也不要求獲得運動員的同意。即使ADOs通過參賽合同或反興奮劑同意書等概括授權(quán)的方式取得運動員的同意，但此種同意非GDPR和各國數(shù)據(jù)保護法中的同意。在反興奮劑背景下處理的許多數(shù)據(jù)因與健康有關，或者它們揭示了醫(yī)療或基因信息被GDPR等數(shù)據(jù)保護法視為個人敏感數(shù)據(jù)。原則上，禁止處理此類數(shù)據(jù)，除非適用某些條件。這些條件要求不僅需要同意，而且需要“明確、具體的同意”。

（2）同意的“充分知情”也飽受質(zhì)疑，同意的基礎是數(shù)據(jù)主體獲得了足夠多的信息，理解并知悉相關規(guī)則。WADA制定了大約200 份反興奮劑相關的文件，其中包括4 000 多頁的規(guī)則、指南和最佳做法，且數(shù)量還在不斷增加，如此紛繁復雜的文件對于專業(yè)律師來說理解和掌握都是非常困難的，且ADOs 在收集數(shù)據(jù)時的告知也并非全面。如在收集行蹤信息時，ADAMS雖然要求運動員使用時候表示同意，但關于運動員為何被列入注冊檢查庫，為何需要在特定情況下接受測試，ADAMS中運動員數(shù)據(jù)如何儲存和共享都未得到解釋。當然，質(zhì)疑最大的還是同意的“自愿性”問題，運動員和ADOs在地位上并不平等，雙方存在明顯的權(quán)力不平衡，弱勢的運動員事實上沒有選擇的權(quán)利[19]。如根據(jù)WADC 第2.3 條和2.4 條“在反興奮劑檢測中，逃避樣本采集，拒絕樣本采集或者填報行蹤數(shù)據(jù)失敗都被視為興奮劑違規(guī)”。也就是說，運動員的同意通常不是自由給予的，如果他們拒絕同意，隨之而來的就是制裁，包括無法參加專業(yè)水平的訓練，失去參加比賽的資格[20]。除了不同意會受到制裁，評價同意是否自愿還有重要的一點，若同意是自由作出的，則該同意應是隨時可撤，并且該撤回不會對數(shù)據(jù)主體造成不利后果。然而，在反興奮劑活動中，根據(jù)ISPPPI6.3條：反興奮劑機構(gòu)應告知參賽者，無論是拒絕同意或此后撤銷同意，反興奮劑組織仍然需要處理其個人數(shù)據(jù)，即反興奮劑活動中，同意是不可撤銷的。實踐中，即使運動員退役，ADOs還是保留并繼續(xù)處理運動員的數(shù)據(jù)。故而反興奮劑活動中的“同意”事實上是無效的同意，除非法院接受體育領域的特殊性，排除數(shù)據(jù)保護法的明確適用，承認強制的同意可以成為數(shù)據(jù)處理的合法性基礎，否則反興奮劑領域的“知情同意”站不住腳。

2.1.2 能否適用“公共利益” 鑒于“知情同意”遭遇的合法性困境，WADA在新修訂的ISPPPI增加了“公共利益”作為數(shù)據(jù)處理的合法理由。公共利益，是指不特定多數(shù)人之利益，也是社會公共秩序所維護的利益。法理上，在遇到公共利益時，個人需要犧牲部分個人利益或讓渡部分私權(quán)利。國際社會普遍承認，個人數(shù)據(jù)收集和處理還可能基于公共利益而發(fā)生。如公民在申領身份證時，公安機關可以不經(jīng)同意，強制收集個人的姓名、性別、年齡、出生日期、住址，甚至包括個人生物信息（指紋等）。WADA宣稱，在公共利益方面，尤其是為了一個清潔體育的需要，在反興奮劑活動中處理個人數(shù)據(jù)被認為是必要的，“歸根到底，我們的共同目標是保護每一個運動員參加清潔體育的基本權(quán)利”。WADA 還提到與國際刑警組織打擊犯罪這一事實，并表示興奮劑問題已經(jīng)從體育領域的問題演變成了一個公共問題。但公共利益作為數(shù)據(jù)處理的合法性基礎也存在著困境。（1）反興奮劑活動多大程度上符合公共利益，符合何種公共利益還有待商榷。近年來，還有學者基于危害還原論提出“興奮劑應當合法化”的觀點[21]。在反興奮劑活動中處理的大部分數(shù)據(jù)因?qū)儆趥€人敏感數(shù)據(jù)，根據(jù)GDPR，除了公共利益之外，處理過程還應符合“實質(zhì)公共利益”。GDPR 并未明確定義“實質(zhì)公共利益”的概念，但根據(jù)其序言的舉例，“實質(zhì)公共利益”一般與民主制度有關，能否將其應用于反興奮劑目的還有待論證。（2）還存在技術(shù)上的難題。WADA是依據(jù)瑞士法律成立的私人國際組織，性質(zhì)上并不具有類似行政機關、司法機關的公共權(quán)力機構(gòu)地位。那么，出于執(zhí)行公共利益的任務或者行使公共事務的職能都需要法律的明確授權(quán)，雖然聯(lián)合國教科文組織《反對在體育運動中使用興奮劑》和《世界反興奮劑條例》為各國在禁止反興奮劑問題上提供了制度框架，授予ADOs 必要的處理職能，具有一定的約束力，但這些屬于國際文件，并不符合GDPR關于法律授權(quán)中“法律”之要求。根據(jù)GDPR，授權(quán)的“法律”指的是歐盟法律或控制者應遵守的成員國法律。因此，若以“公共利益”作為數(shù)據(jù)處理的合法基礎，還尚需各國將反興奮劑中數(shù)據(jù)處理納入本國法律，賦予ADOs 一個明確定義的國家公共任務，制定有關反興奮劑領域數(shù)據(jù)收集、使用、傳輸和披露的特定規(guī)則。

2.2 反興奮劑活動中個人數(shù)據(jù)處理相稱性的問題

2.2.1 與措施必要性的矛盾 與行為的相稱性是數(shù)據(jù)處理的重要原則，從作出收集數(shù)據(jù)的決定到數(shù)據(jù)的留存、處理和披露，相稱性是所有數(shù)據(jù)保護行為的基礎。GDPR和各國數(shù)據(jù)保護立法都有關于相稱性的規(guī)定，歐洲人權(quán)法院在解釋《歐洲人權(quán)公約》時和歐洲法院在解釋《歐洲聯(lián)盟基本權(quán)利憲章》的判例中也都包含了這些原則。相稱性也是反興奮劑活動中重點討論的問題，其體現(xiàn)了實現(xiàn)清白體育的目標與保護運動員個人權(quán)利的平衡。作為國際公認的標準，被國際體育仲裁院和瑞士最高法院在涉興奮劑的裁判中所采納，用于評估在特定條件下侵犯運動員權(quán)利與自由是否能夠被合理接受。“29條工作組”早在2008年就表達了對反興奮劑領域的規(guī)制行為與數(shù)據(jù)保護的相稱性的擔憂，并在隨后與WADA進行了多次討論交流。

評估反興奮劑活動中相稱性問題的重要因素是考慮采取會對權(quán)利主體產(chǎn)生影響的措施必要性。（1）必要性首先要求數(shù)據(jù)處理以最小化原則。在當下的反興奮劑活動中，存在著嚴重的數(shù)據(jù)過度收集問題。以飽受詬病的行蹤數(shù)據(jù)為例，被納入注冊檢查庫的運動員需要提供的數(shù)據(jù)幾乎涵蓋所有與自身關聯(lián)的和每天規(guī)律性活信息。如我國體育總局制定的《運動員行蹤信息管理規(guī)定》，運動員行蹤信息申報需包括運動員完整的通信地址、每天的住址、每天從事規(guī)律性活動的具體地址及時間安排、比賽日程、每天6 點—23 點之間任意60 分鐘的建議檢查時間及特定檢查地點等。除了60 分鐘的建議檢查時間和地點可能是需要的，運動員的其他數(shù)據(jù)在多大程度是必須的存在很大爭議[22]。（2）必要性還與另一個基本要求相關，即處理個人數(shù)據(jù)應是影響最低的方式。因此，需要衡量是否還有其他影響更低的替代性手段。根據(jù)WADC 第5.2 條的規(guī)定，各國反興奮劑組織、各國際單項體育聯(lián)合會、各重大賽事組織機構(gòu)、WADA等任何對運動員有檢查權(quán)的ADOs 可以在無需通知的情況下，在賽內(nèi)及賽外隨時對運動員進行測試取樣。賽外測試，被認為嚴重干擾運動員的私生活。一方面，運動員全年都需要在指定的時間出現(xiàn)在指定的地點，以便隨時接受檢測，提供數(shù)據(jù)，即使在運動員的休假期間也不能自由更換位置。從測試方法上來說，目前基本都是采取在檢查官和陪護員的監(jiān)督下采集運動員尿液和血液樣本數(shù)據(jù)。這2種方法都被視為收集人體組織2種最具隱私侵犯性的方式[23]。在2000年前后，就有學者提出，興奮劑檢測采取唾液和毛發(fā)等其他對運動員侵害更小的手法，WADA也表示評估其他替代性的措施，但在生物技術(shù)發(fā)達的今天，反興奮劑依然采用傳統(tǒng)的血液和尿液數(shù)據(jù)[24]。另一方面，生物護照也被視為不符合“影響最小”。生物護照是在運動員血液或尿液中測量的標記物的縱向輪廓。反興奮劑機構(gòu)專家通過不定期對運動員血液、尿液樣本的采集，將血液、尿液樣本數(shù)據(jù)錄入建立“生物護照”。通過血液、尿液的樣本與之前的樣本進行縱向分析對比，觀察指標的變化判斷運動員是否違規(guī)，被認為是對運動員隱私權(quán)和數(shù)據(jù)保護的重大限制。但是，很少有案例顯示生物護照在提供反興奮劑違規(guī)的直接證據(jù)方面的有效性，ADOs 也承認他們的作用主要在于潛在的威懾作用和獲得相關的預警情報。

2.2.2 與目的限定的矛盾 根據(jù)GDPR，相稱性原則還與另一個基本要求相關，即處理數(shù)據(jù)的目的必須為WADA的目的所包含，即遵循目的限定的原則。反興奮劑活動在目的限定方面與數(shù)據(jù)保護存在很大沖突。在反興奮劑實踐中，經(jīng)常以一個總括的目的，即“在體育中對抗興奮劑”或者“履行反興奮劑職責”來包含各個數(shù)據(jù)處理行為，但這并不符合目的限定的原則。目的限定要求ADOs在收集之前或收集時，要確定目的，并且要足夠清楚，以確定要包括或者不包括哪些處理。衡量目的限定還應考慮后續(xù)使用目的與原先目的之間的關聯(lián)性，即進一步的數(shù)據(jù)處理和收集數(shù)據(jù)的最初目的必須相兼容。在實踐中，ISPPPI列出了一個ADOs 可以作為數(shù)據(jù)處理目的的清單。但是，ISPPPI也允許ADOs 在書面評估和有效理由支撐的前提下，可基于清單以外的其他目的而處理數(shù)據(jù)。WADA指南提出了“新目的評估”模版，并指出這種新的數(shù)據(jù)處理目的可以是當初制定WADC中未曾考慮到的，甚至可以是在一開始收集數(shù)據(jù)未曾預料到的目的。也就是說，在某些情況下，除了在ISPPPI 中已經(jīng)明確的或者在數(shù)據(jù)收集時告知數(shù)據(jù)主體的目的，ADOs 有時候還會根據(jù)現(xiàn)實需要，基于其他目的處理個人數(shù)據(jù)，這顯然不符合數(shù)據(jù)主體的合理預期，超出了目的限定的原則。

3 反興奮劑活動如何與個人數(shù)據(jù)保護兼容

3.1 合法利益豁免的引入

處理個人數(shù)據(jù)首先需要合法依據(jù)，無論是以“知情同意”還是“公共利益”作為數(shù)據(jù)處理的合法性基礎，都存在理論和實踐困境。我國有學者提出以“履行合同的必要”作為數(shù)據(jù)處理的法律基礎，但是這跟“知情同意”作為基礎實則換湯不換藥[25]。因為根據(jù)民法理論，合同的有效性最重要的在于契約的合意性，即要求該合同是當事人雙方在自愿的基礎上，平等協(xié)商締結(jié)的。為協(xié)調(diào)數(shù)據(jù)處理合法性的沖突，可考慮引入合法利益豁免原則。合法利益豁免指，當數(shù)據(jù)處理為實現(xiàn)數(shù)據(jù)控制者或者第三人合法利益所必需時，數(shù)據(jù)控制者可以通過平衡測試證明其處理數(shù)據(jù)的利益高于數(shù)據(jù)主體的利益，使其無需基于數(shù)據(jù)主體的同意也可對個人數(shù)據(jù)進行處理。相比公共利益的嚴苛認定，合法利益的界定較為寬泛，不僅限于公共利益，還包括廣泛群體的利益，如非營利組織為了醫(yī)學研究而處理病人數(shù)據(jù)，也包括數(shù)據(jù)控制者私人的重要利益。合法利益豁免在“知情同意”和公共利益中間找到了一條緩沖的路徑，被歐盟廣泛接受?！?9 條工作組”為提高合法利益豁免的可執(zhí)行性，2014年專門發(fā)布關于合法利益的指導性意見，該意見明確了合法利益在數(shù)據(jù)保護中的地位，試圖為合法利益豁免提供一個清晰可執(zhí)行的方案。相關的立法報告也指出，合法利益可被視為數(shù)據(jù)處理合法理由[26]。

在具體方案設計上，引入合法利益豁免也并沒有太多的障礙。合法利益豁免的關鍵是要求數(shù)據(jù)控制者必須進行一個平衡測試，以此證明數(shù)據(jù)的處理利益高于數(shù)據(jù)主體的利益?！?9條工作組”在2014年的意見中詳細規(guī)定了如何進行平衡測試，并列舉了一系列指引，總體來說包括：（1）數(shù)據(jù)控制者合法利益重要性的評估；（2）對數(shù)據(jù)主體的影響評估，主要看對數(shù)據(jù)主體引發(fā)風險的高低；（3）一般義務上的平衡，主要看數(shù)據(jù)主體是否遵循一般性的數(shù)據(jù)保障義務，是否符合數(shù)據(jù)主體的合理預期；（4）數(shù)據(jù)控制者為防止對數(shù)據(jù)主體造成過度影響，有無采取額外的保障措施，如假名化處理、隱私增強技術(shù)等。平衡測試的判定方曾在歐盟各成員國形成不同意見，有觀點認為交由控制者判定，也有意見認為控制方作為利益相關者，有違中立性，應交由國家監(jiān)管機構(gòu)執(zhí)行。GDPR最終將平衡測試交由數(shù)據(jù)控制者執(zhí)行，這也就意味著，WADA 可以根據(jù)實際需要對平衡測試做適當?shù)恼{(diào)整。當然，考慮外部的中立性和公正性，建議WADA 引入合法利益豁免作為數(shù)據(jù)處理的合法性基礎，會商“第29 條工作組”或者數(shù)據(jù)保護和監(jiān)管機構(gòu)，構(gòu)建平衡測試框架，為數(shù)據(jù)處理的合法性提供依據(jù)。

3.2 運動員數(shù)據(jù)權(quán)的具體化

2019年11月，盡管在波蘭舉行的世界體育反興奮劑大會上通過的《反興奮劑運動員權(quán)利法案》列入了運動員的數(shù)據(jù)權(quán)利，但該原則性條款仍然需要進一步具體化。建議借鑒GDPR 在《反興奮劑運動員權(quán)利法案》第8條釋義中具體描述運動員享有的數(shù)據(jù)權(quán)利，GDPR 第3 章全面規(guī)定了數(shù)據(jù)主體所享有的若干數(shù)據(jù)權(quán)利。其中，第12～14條規(guī)定數(shù)據(jù)主體獲取信息的權(quán)利，數(shù)據(jù)主體有權(quán)獲取控制者的身份與詳細聯(lián)系方式、處理目的等相關信息；第15～22 條規(guī)定了數(shù)據(jù)主體對個人數(shù)據(jù)的一系列重要權(quán)利：訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、數(shù)據(jù)攜帶權(quán)、拒絕權(quán)和反對自動化處理的權(quán)利。在反興奮劑活動中，有幾個數(shù)據(jù)權(quán)利特別重要。（1）知情權(quán)。知情權(quán)是數(shù)據(jù)主體行使數(shù)據(jù)權(quán)利的前提條件，也是防止數(shù)據(jù)控制者濫用個人數(shù)據(jù)的重要制度安排。正如上文所述，ADOs制定了種類繁多的反興奮劑文件，在數(shù)據(jù)收集時的解釋和告知也不盡詳細，對于外行的運動員來說，很難理解和掌握適用的規(guī)則，那么也就限制了運動員數(shù)據(jù)權(quán)利的行使。因此，應具體規(guī)定ADOs 嚴格確保數(shù)據(jù)處理透明公開，個人數(shù)據(jù)在反興奮劑活動中被處理時，數(shù)據(jù)主體應收到或獲得表述詳細的關于數(shù)據(jù)收集和處理目的、程序的信息。（2）被遺忘權(quán)。被遺忘權(quán)源于西班牙谷歌案。在該案中，一位名叫馬里奧律師要求谷歌公司刪除西班牙《先鋒報》網(wǎng)絡版上刊載的早在十幾年前申請破產(chǎn)的拍賣聲明。西班牙數(shù)據(jù)保護局支持原告的主張，谷歌公司之后提起上訴。歐盟法院經(jīng)審理后認為，過期的數(shù)據(jù)應該有權(quán)被遺忘，從而推導出一種被遺忘權(quán)[27]。在GDPR中，明確規(guī)定了數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者及時刪除其個人數(shù)據(jù)，在符合規(guī)定情形的時候，數(shù)據(jù)控制者也有義務及時刪除數(shù)據(jù)主體的個人數(shù)據(jù)。在反興奮劑實踐中，運動員的行蹤信息需要保留18個月，運動員的基本信息、治療用藥豁免、運動員生物護照需要保留10年，運動員的違規(guī)處罰信息無限期保留，這種長時期的數(shù)據(jù)保留與數(shù)據(jù)保護相違背，即使是違規(guī)處理信息也不應該無限期保留。因此，有必要賦予個人數(shù)據(jù)被遺忘權(quán)，尋求一個合理的保留期，用來對抗信息和數(shù)字技術(shù)給運動員打上的永久性“烙印”。（3）拒絕權(quán)。由于以“合法利益豁免”作為數(shù)據(jù)處理的基礎，作為平衡測試的再補充，還有必要賦予運動員有限的拒絕權(quán)。具體來說，當處理數(shù)據(jù)的目的屬于足夠重要的利益，數(shù)據(jù)主體提出拒絕時，ADOs應該基于數(shù)據(jù)主體的拒絕理由對利益平衡重新評估。當數(shù)據(jù)處理的目的屬于一般利益，數(shù)據(jù)主體有權(quán)拒絕。如非因檢驗、調(diào)查或起訴刑事犯罪等需要，數(shù)據(jù)主體有權(quán)拒絕ADOs 向第三方披露個人數(shù)據(jù)。此外，還應規(guī)定在反興奮劑活動中賦予數(shù)據(jù)主體訪問權(quán)和更正權(quán)，確保處理的個人數(shù)據(jù)是準確的，避免數(shù)據(jù)誤差給權(quán)利人帶來不必要的傷害。

3.3 內(nèi)控和監(jiān)管措施的設立

在反興奮劑活動中，數(shù)據(jù)的安全性也飽受詬病。2005年，作為用來存儲，以及與各個ADOs 共享整個反興奮劑實踐中數(shù)據(jù)的ADAMS 上線，目前已有近60 個國際體育單項聯(lián)合會、40余個國家反興奮劑機構(gòu)和所有35 個WADA 認證實驗室在使用，約100 000 個運動員數(shù)據(jù)已經(jīng)被輸入，不僅規(guī)模巨大，更包含大量高度敏感數(shù)據(jù)，這對數(shù)據(jù)的安全性提出了更高的要求。盡管WADA宣稱其已經(jīng)采取了最為完善的數(shù)據(jù)安全保障措施，特別是對個人敏感數(shù)據(jù)采取了更高級別的安全措施，但是近年來ADAMS多次成功遭到入侵，特別是在2016年，代號為“魔幻熊”（Fancy Bear）的俄羅斯黑客組織入侵了ADAMS，隨后在網(wǎng)絡上接連公布了涉及13個國家近100名運動員數(shù)據(jù)，引起了公眾對ADOs 數(shù)據(jù)安全性和權(quán)威性的廣泛質(zhì)疑。因此，除了要根據(jù)GDPR和ISPPPI在內(nèi)部任命數(shù)據(jù)保護專員，還需要考量建立各類信息安全防護措施，實行過程控制，制作監(jiān)控日志并做到操作留痕，建立個人數(shù)據(jù)被侵或泄露的應急預案等。

此外，對數(shù)據(jù)的處理應當設置相應的監(jiān)督和救濟程序。目前，ISPPPI 只是規(guī)定如果數(shù)據(jù)主體有合理、充分的理由認為反興奮劑組織數(shù)據(jù)處理不符合規(guī)定，其有權(quán)對該反興奮劑組織提起投訴。每個反興奮劑組織都應公平公正地處理此類投訴。如果投訴未能得到完善解決，數(shù)據(jù)主體可向世界反興奮劑機構(gòu)或國際體育仲裁院提交投訴。但是，無論是WADA還是國際體育仲裁院都并沒有建立起反興奮劑活動中數(shù)據(jù)處理的違規(guī)投訴程序，也沒有建立起對相關違規(guī)人員的處罰責任。從近期的“孫楊案”也可以看出，即使檢測人員資質(zhì)不全，授權(quán)不符，但WADA 還是認為運動員需要配合采集數(shù)據(jù)。因此，對ADOs 違規(guī)處理數(shù)據(jù)的監(jiān)督和救濟還需要做出明確的規(guī)范，建立獨立的監(jiān)督機構(gòu)，強化對個人數(shù)據(jù)處理的監(jiān)督。監(jiān)督機構(gòu)可以受理數(shù)據(jù)主體權(quán)利救濟的申請，也可以依職權(quán)調(diào)查ADOs 的數(shù)據(jù)處理情況，要求ADOs 對數(shù)據(jù)處理的整體情況定期加以備案或者建立定期報告制度。尤其要規(guī)范數(shù)據(jù)的效力和責任規(guī)范，如規(guī)定在程序方面未出示合法證件和明確授權(quán)，被檢測的運動員即使沒有拒絕，該項數(shù)據(jù)收集也沒有法律效力，相關的興奮劑檢查官要為此承擔責任，數(shù)據(jù)主體因ADOs 操作與處理不規(guī)范而遭受損害有權(quán)獲得賠償?shù)取?/p>

4 結(jié) 語

各國個人數(shù)據(jù)保護法的相繼出臺，引發(fā)了公眾對數(shù)據(jù)處理利害關系的更多關注。反興奮劑領域是涉及處理個人數(shù)據(jù)最多的體育領域，打擊反興奮劑有賴運動員數(shù)據(jù)的充分供給。數(shù)據(jù)保護的發(fā)展無疑給反興奮劑實踐帶來新的障礙，但這同時也可能是反興奮劑實踐向前發(fā)展的一個新機會。數(shù)據(jù)處理與運動員數(shù)據(jù)權(quán)利的矛盾迫使反興奮劑組織反思其結(jié)構(gòu)、法律地位，審視其數(shù)據(jù)處理方式，并努力建構(gòu)數(shù)據(jù)處理合法性基礎，調(diào)整數(shù)據(jù)處理的具體措施以適應嚴格的數(shù)據(jù)保護要求。也進一步推動反興奮劑領域數(shù)據(jù)保護相關理論的建立，努力達致反興奮劑實踐中數(shù)據(jù)處理和運動員權(quán)利的平衡。