Reflections on and Responses to the Application of the Principle of "Minimality and Necessity" for Processing Athletes' Personal Data in the Context of Intelligent Training
-
摘要: “最小必要”原则是个人数据处理的一项基本原则,旨在将个人数据处理限于实现目的所必需的最小范围内,以降低数据处理的风险,保护数据主体的权益。运用文献资料法、逻辑分析法、比较研究法等,探讨智能化训练场景下“最小必要”原则适用的困境与应对。研究认为,由于运动员训练、比赛是一个非线性的复杂动态系统,智能化训练对运动员个人数据有着丰富维度和密集颗粒度的需求,加之大数据不可预测的推断性和关联性,“最小必要”原则与运动员个人数据处理之间存在着巨大张力,且强化运动员个人数据自主控制、通过匿名化保护机制的既有解决方案都难以缓解该张力。为达致运动员个人数据保护和利用的平衡,可以适当限缩“最小必要”原则的适用,替代以数据处理者“信义义务”的制度设计。Abstract: The principle of "minimality and necessity" is a basic principle in personal data processing, which aims to limit the processing of personal data to the minimum extent necessary to achieve the intended purpose, so as to reduce the risk of data processing and protect the rights and interests of data subjects. This study uses literature review, logical analysis, and comparative research methods to explore the challenges and solutions to applying the principle of "minimality and necessity" in intelligent training scenarios. The study holds that due to the non-linear and complex dynamic system of athlete training and competition, intelligent training requires rich dimensions and intensive granularity of athletes' personal data. Coupled with the unpredictable and correlated nature of big data, there exists a huge tension between the principle of "minimality and necessity" and the processing of athletes' personal data. In addition, existing solutions that reinforce the autonomy of athlete personal data control and the anonymous protection mechanism are difficult to relieve this tension. In order to strike a balance between the protection and utilisation of athletes' personal data, the application of the principle of "minimality and necessity" could be limited and replaced by an institutional design based on the "fiduciary duty" of the data processor.
-
随着各种传感器和数据追踪技术的进步,以运动员个人数据规模化和集成式处理为重要特征的智能化训练成为了竞技体育发展的重要趋势。通过全方位、多角度、多层次地处理运动员在训练和比赛中产生的数据,可以对运动员的身体活动进行实时监测和反馈,评估力量、速度和协调性等训练效果,分析心率、肌氧、血乳酸等动态体征,为运动员的身体认知和活动调整构建真实客观的依据,从而有效帮助运动员优化竞技能力、提高表现和预防损伤[1]。
然而,无论是欧盟的《通用数据保护条例》(General Data Protection Regulation, GDPR)还是《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等个人数据(信息)保护立法,都要求个人数据的处理遵循“最小必要”原则,强调数据处理以“处理目的之必要为限度”,这与智能化训练下对运动员个人数据“敞口”需求的理念目标和运行规律形成了巨大张力。如何适用这一原则妥适协调运动员数据权益保护与数据有效利用之间的关系,是竞技体育面临的一项重要法律议题。基于此,本文尝试反思智能化训练下运动员个人数据处理“最小必要”原则的适用,探讨可能的应对方案,以期对运动员个人数据保护和运动训练智能化发展有所裨益。在展开正文之前,有必要指出,本文并没有严格区分数据和信息的概念,运动员个人数据即指以电子或其他方式记录的与已识别或可识别的运动员有关的各种信息。
1. 运动员个人数据处理“最小必要”原则适用的反思
1.1 个人数据处理的“最小必要”原则
“最小必要”原则也称必要性原则、数据最小化原则,是个人数据保护最基本的一项原则,在个人数据处理中起到“阀门”的调节作用[2]。“最小必要”原则的概念最早萌芽于美国著名隐私法学者艾伦·威斯汀在1967年撰写的《隐私与自由》中,他指出政府所收集的个人数据,只能用于特定目的,不得用于其他目的或者进一步流转[3]。20世纪70年代,美国“公平信息实践”确立了收集限制、使用限制、披露限制等规则,为“最小必要”原则的确立与发展提供了立法基础,此后,“最小必要”原则逐渐成为世界各国个人信息保护立法普遍申明的机制[4]。GDPR第5条第c项要求对个人数据的处理应充分、相关,并仅限于处理数据的目的所必需的范围,该条第e项规定个人数据的存储时间要严格限定在最小值[5]。《个人信息保护法》第6条规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”;第19条规定,“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间”。
“最小必要”原则背后的法理在于,个人数据承载着人格尊严、人身和财产安全以及通信自由等个人权益,对个人数据的过度处理很可能对这些权益造成难以预料的危险和损害[6]。特别是随着数字技术的飞速发展和社会生活的高度数字化,个人数据几乎随时随地都在以自动化的方式被大规模地收集和储存。同时,算法技术的发展使得从海量数据中提取有价值的信息变得异常容易[7]。通过“最小必要”原则约束,有助于从两个方面减少风险:一方面,数据越少,窃取数据的动力就越小,数据泄露的风险也就越低;另一方面,数据处理者囿于数据数量有限,违反数据主体合理预期的能力就越小,数据滥用的风险就越低[8]。从“最小必要”原则的渊源和立法文本出发,在具体内涵上,以“最小”对“必要原则”进行限定,包含着以下两方面的具体内容:其一,相关性,也称适当性,即个人数据处理应与特定目的相关,并有助于实现该特定目的。按照《个人信息保护法》第6条,这种相关性还必须是直接相关的,换言之,实现处理目的和处理个人数据之间必须具有必然、紧密的联系。其二,最小化。个人数据的处理应限制在为实现特定目的所不可或缺的范围内,即如果不处理特定的个人数据,就无法通过其他方式合理实现该目的,具体要求包括最少数量、最少类型、最短存储时间、最小共享范围、最低处理频率等[9]。
1.2 “最小必要”原则与运动员个人数据处理之间的张力
1.2.1 “最小化”的困境
“最小必要”原则追求运动员个人数据处理的最小化,但是运动能力的非线性系统观认为,运动能力是一个由不同性质的因素相互交错、联系和作用的复杂体系,具有不满足叠加性、突变性、临界性等非线性特征[10]。运动训练的应激理论也认为,运动训练是一个典型的人体应激过程,是运动员机体在不同层次(系统、器官、组织、细胞、分子等)和多种机制下对训练应激源(如负荷刺激)的空间和时间适应的动态过程。因此,旨在提高运动能力和竞技水平的运动训练无疑是一个多因素(遗传、生理、心理、健康、成长环境等)作用的过程,具有多阶段性特征(如训练分期中的“积累—转化—实现—过渡”)等非线性的复杂动态系统[11],这也决定了智能化训练强调泛在数据采集和融合[12]。为了有效评估运动员的比赛和身体表现,往往需要对训练、身体系统、历史伤病、整体健康水平和个人生活方式等多维数据进行大规模的深入整合,并需要全面和持续地动态积累。例如,为了帮助备战和促进科学训练,国家体育总局科教司《关于加强国家队训练数据和信息规范管理的通知》(体科字〔2018〕135号)就要求,运动员训练数据的收集包括运动员每次的生理生化监测数据(如血常规、血尿素、免疫球蛋白、血氧饱和度),以及不同训练阶段(如冬训、夏训、赛前)的训练负荷量、强度、负荷动态变化(如乳酸、心率、睾酮、铁蛋白和免疫球蛋白)等指标,甚至还收集运动员每餐的营养摄入量、每晚的睡眠时长、每天的体重和体脂百分比变化率。
1.2.2 “相关性”的难题
其一,“最小必要”原则要求运动员个人数据处理的目的应不迟于数据收集时予以确定,而且必须是明确和具体的,即依赖于一个前提假设,数据处理的目的在数据收集之时予以确定是可能的,但是智能化训练场景通常旨在利用全方位、多样化和预测性的数据处理,促进训练依据从显性、简单和静态要素向隐性、复杂和动态要素演化,从而为运动员改进个性化训练内容、靶向制定训练方案提供参考[11],目的在于“从数据集中提取隐藏的或不可预测的推断和关联”,这使得详细提供运动员个人数据处理目的和预期输出结果变得非常困难,很多数据收集之时并无意用作他用,但最终却产生了“神来之笔”的创造性用途[13]。
其二,虽然“最小必要”为了约束收集某些特定的数据集或用于特定目的的数据集,但随着许多技术被打包到可穿戴设备中,例如全球范围内超过750家俱乐部使用的一款名为“Catapult Sport”的可穿戴设备,集成了GPS、心率带、多轴加速度仪、陀螺仪、电子罗盘等组件,能够实时采集和记录运动员比赛和训练过程中的跑跳、加速、变向、力量、单次负荷、负荷累积等100多种数据指标。与此同时,技术工具也在进行不可知的数据收集,存在着偶然收集无相关数据的风险[14]。这使得数据处理者无法在数据收集阶段详细阐释运动员个人数据的所有可能用途。例如,运动队往往需要倚借模糊或宽泛的方式表达数据处理的目的,如宣称“有权将运动员个人数据用于任何训练、比赛所需之合法用途”,以确保可以持续监测跟踪运动员在比赛、训练中的各种身体变量和动作变化,监测球队的整体健康状况,发现运动员可能存在的肌肉、骨骼或心血管疾病的风险,从而有助于及时处理这些问题来保持运动员和球队的健康和安全。
其三,“最小必要”原则要求对数据的处理必须与收集数据的最初目的直接相关,反向推之,如果数据处理的目的与最初目的不一致时,数据处理者应及时告知运动员目的变更的缘由并再次征得运动员的同意[15]。然而,智能化训练的发展使得在运动员数据处理的各个阶段,都有可能出现在数据收集时未预料到的数据处理,再加上运动员和俱乐部以及体育组织之间的“互动”程度非常密切,存在着频繁的数据传输,过于密集地向运动员告知变更事项,不仅增加了数据处理者的负担,而且在某种程度上还干扰了运动员的正常个人生活。
1.2.3 “理性预设”的问题
“最小必要”原则预设了数据主体只有在充分理解数据处理的目的和风险后,才能决定是否将数据转移给数据处理者,也即“最小必要”原则有赖于数据主体的理性预设。然而,智能化训练下数据处理的复杂性,尤其是算法的生成和应用,使得技术操控正从有形的机器和设备遁入无形的软件和数据,运动员并无可依赖的理性预设[16]。一方面,俱乐部、体育组织等数据处理者通过传感系统、数据追踪系统等技术手段,实时收集和分析运动员在训练和恢复过程中的各类数据,以评估其表现和身体状况,从而确定其技战术角色和上场安排,这种“收集—分析—决策”的过程形成了运动员的“技术从属性”。另一方面,运动员面对专业化的数据操作能力不足,无法对自己的数据进行合适的利用预判和伤害计算。有实证研究[1]就显示从可穿戴设备中获得的运动员个人数据的价值以及与数据泄露和滥用有关的风险是巨大的,然而,受限于不完全信息和有限认知结构,运动员在决定参与使用数据采集装置之前,鲜有充分了解这些风险。近年来,随着虚拟现实、数字孪生等技术的兴起及其在体育领域的深入应用,“数字运动员”(digital athlete)等新兴训练辅助工具也不断涌现,即利用高保真人体扫描数据,结合生物力学骨骼肌肉模型等,创建运动员的数字孪生体,在模拟环境中接受训练和康复,并生成各种预测结果[11],更是形成了对运动员的技术“压制”。人工智能、机器学习、数字孪生等手段的协同运作,不同于以往“提出假设—分析数据—验证假设—得出结论”的计算过程,它通常基于运动员的海量训练历史数据和实时体征,依靠算法自动调整和优化决策模型,自动输出运动员的运动表现、身体反应、受伤风险等[17]。数据处理的过程就像一个封闭的“黑匣子”,难以被外界所认识和理解,这就使得运动员难以判断和预测数据处理的影响,亦难以作出理性判断。
2. 既有解决方案及其限度
2.1 强化运动员数据自主控制的有限性
洛克[18]在《政府论》中指出,除非出于自身同意,否则,一切自然人皆是自由的,不受制于任何世俗的权力。黑格尔[19]也认为,作为有意志力的人,有权在任何事情上体现自己的意志。换言之,人依其本质属性,能够自主和负责任地确定自己的存在和关系,为自己设定目标,并将自己的行动限制在特定的范围内[20]。缓解“最小必要”原则张力的一个观点认为应赋予个人以更强的控制力,强化数据的自主控制,但是强化运动员数据自主控制在智能化训练场景下亦存在着失灵的困境[9]。
一方面,俱乐部、体育组织等数据处理者对运动员具有身份地位上的支配关系,运动员在数据处理过程中并没有说“不”的权利,任何不予提供数据或拒绝同意都可能导致其无法正常注册、比赛,特别是在顶级职业体育联赛中,运动员对于个人数据处理并不存在自由选择的空间。同时,俱乐部、体育组织等数据处理者对运动员存在实质性控制的人身关系。在竞争激烈的体育劳动力市场上,俱乐部、体育组织占据明显的主导地位。例如,统计数据显示,自1994年我国足球职业化以来,巅峰时期,有3 800多所职业俱乐部梯队足球学校,65万多名青训球员,但中超、中甲、中乙三级联赛合计注册人数仅1 500多名[21],故而运动员在“僧多粥少”的情况下不太可能为保护数据而牺牲工作机会,反而可能为了获得竞争优势而主动披露相关数据。大多数运动员即使意识到他们的数据权益有被侵犯的风险,但为了保住工作合同或与俱乐部、体育组织保持良好的关系,在个人数据处理过程中大多采取服从管理、听从安排的态度。例如,当俱乐部要求运动员在训练中佩戴可穿戴设备以提高运动表现时,运动员很难作出不同意的意思表示[22]。即使运动员出于隐私和信息保护的考虑拒绝提供过量的数据,俱乐部、体育组织等也很容易通过规章制度对运动员施加管理压力,运动员如果不履行提供相关数据的义务,或者履行义务时提供数据不当,就可能面临严厉的处罚,迫使他们在同意与被处罚之间作出选择。例如美国职业棒球大联盟的统一球员合同第7(b)条规定,如果合同包括运动员和球队之间的可穿戴技术协议,运动员拒绝穿戴设备危及其“一流的身体状况”,违反俱乐部训练规则,或严重违反合同,球队可以要求终止运动员的合同[23]。
另一方面,对于普通人的个人数据处理而言,主要由个人提供给特定的处理者(如网络平台)以利用,个人对数据仍有一定的支配力。然而,运动员个人数据处理过程目前主要由俱乐部、体育组织及其授权的数据服务提供商通过可穿戴设备或场上布置的数据追踪系统采集和分析。先进的光学追踪摄像机能够每秒采集千余种运动员个人数据,包括速度、负荷、轨迹等。在这种数据处理模式下,运动员对个人数据的控制“力有不逮”[24]。一方面,运动员无法控制数据的发出与否。运动员在比赛和训练中的心率、能量消耗和心电图并非由大脑判断并由主体发出,而是由各类可穿戴设备或数据跟踪系统自动收集的[25]。另一方面,设备有限的计算和存储能力使得运动员数据依赖第三方平台上传、集成和存储,技术的集成应用和数据共享使得运动员在这一系列过程中难以有效行使权利,比如及时地查询、删除或撤回同意。当运动员数据流向云端,不是关闭开关或切断电源就可以防止侵害的,数据在多个处理器之间流动[25],并根据具体场景、行业需求和商业模式被多向度、多层面聚合,形成的结果就是运动员对其个人数据扩散的范围、用途、情境“失控”,而且这种“失控”还将随着技术的发展进一步加剧[24]。
2.2 匿名化制度的有限性
匿名化一般是指对数据主体可识别信息进行不可逆转的改变,使数据主体不能被直接或间接识别,实质上阻断个人与数据之间的关联性[26]。例如,GDPR将匿名化定义为“一种处理个人数据的方式,即处理后不能单独或与其他数据结合识别至特定自然人”。《个人信息保护法》第73条用匿名化指称“个人信息经过处理无法识别特定自然人且不能复原的过程”。综合而言,匿名化有两个核心要素:一是不能直接或间接地识别出某个特定的自然人;二是识别信息被永久删除,且不能复原[27]。匿名化可以通过多种方式进行,包括删除或替换可识别的个人符号信息,或者将这些符号信息与数据本体分而治之,令具有可识别性的个人符号信息和数据其他部分无法同时呈现,但无论采用何种方式,其欲达致目的皆为使他人无法通过个人数据定位至特定主体[28]。匿名化为消弭个人数据保护困境提供了一条出路,根据理论预设,由于消除了识别符,匿名化不仅可以减少数据处理过程中对个人隐私及其他权益的侵扰,而且还能促进数据的合理流通与再利用,实现数据的效用和价值[26]。
然而,在智能化训练场景中,匿名化保护路径效果不彰。一方面是匿名化的有效性问题。匿名化技术和重新识别技术仿佛一对处于竞技场上的对抗双方,从目前来看,重新识别技术似更胜一筹[29],匿名化更像是一个“美丽的神话”(beautiful myth)而并不真实存在[30]。早在20年前的小数据时代,匿名化实践上的局限性就饱受诟病[31],而今随着数据量的不断积累和计算能力的持续提升,解锁匿名数据中的模糊身份的概率不断增加,通过数据的聚合和链接,往往很容易捕捉到隐藏在数据背后的主体[32]。例如,深度学习领域权威专家沃登就质疑匿名化过程犹如镜花水月。鲁宾斯坦等[30]亦担忧,匿名化规则以结果为导向,难以保证和评估其效果。实践中,K匿名和差分隐私(differential privacy)被认为是实现匿名化的两种重要技术,但现有研究[33]表明,这两种技术处理的数据同样存在被重新识别的风险。就运动员而言,由于其公众人物身份的高度识别性和优秀运动员在世界范围内的极度稀缺性,相比普通人具有更强的识别性[34]。即使删除了所有可识别字段的运动员个人数据,借助其他运动员活动信息或有时间戳的体育事件,没有统计学和计算机科学背景的普通人也可能从匿名数据中识别到特定的运动员,即使当下难以识别,随着时间的推移、新数据的产生和识别技术的发展,重新识别亦十之八九能实现。
另一方面是匿名化的有用性问题。个人数据匿名化有假设前提,即匿名化后的数据仍有继续留存和使用的价值[35]。但在智能化训练场景下,数据的有用性和数据的匿名化之间存在着根本的矛盾,二者难以兼得,无法实现像立法者所期待的那样实现数据利用和数据保护之间的有效平衡。运动员单个数据的价值效应使数据分析和挖掘要指征具体运动员,例如,在技战术领域,教练会有针对性地分析运动员的身体状态和动作习惯,以便制定针对性的攻守战术[36]。同时,如果与运动员主体失去连接,个人数据也将无法可靠地指导针对特定运动员的诊疗和康复,无法充分发挥个人数据在运动员“伤病预防”中的价值。因为在运动员的诊疗和康复中,其个人数据的处理是为了揭示影响因素X和最终结果Y之间可能的联系Z。如果不能对X和Y之间的联系进行全面深入的探索,就难以得出明确的相关性Z,而运动员主体就是X和Y之间联系的桥梁[37]。
3. “最小必要”原则的限缩与信义义务的引入
3.1 “最小必要”原则的限缩
“最小必要”原则在运动员个人数据处理领域遭遇的困境使得实践中“最小必要”原则流于形式,对数据处理的束缚也桎梏了智能化训练的发展,既有的强化运动员数据控制和匿名化解决方案也只是一种乌托邦式的愿景,与其披着“最小必要”厚重的外衣,不如基于运动员个人数据处理的特殊性,在处理中适当限缩“最小必要”原则的适用。换言之,对运动员个人数据处理采取一定程度的宽松化态度,“最小必要”原则的缺失并不导致其处理行为的绝对非法性。
在理论依据上,一方面,从数据场景化理论上讲,“最小必要”原则的限缩契合个人数据保护场景化理论的要求。在以人工智能和物联网为主要特征的新技术中,个人数据高度依赖场景。个人数据与土地、石油或计算机等有形物品不同。这些物品的性质和价值基本上是不变的,并且可以在一定程度上予以标准化,无论位于何处或由谁使用。个人数据甚至异于无形财产,比如知识产权亦可以通过市场进行较为标准化的确权[38]。个人数据处理的必要性和合理性往往有赖于不同的场景,一些数据处理在某些场景下是正当的,但若场景变更则随之而变。例如,医生在医疗场景中提取病人的基因信息可能是适当的,但在工作场景中,如足球俱乐部对运动员进行基因检测一般而言被认为是不合理的[39]。当前关于个人数据保护的基本共识是,对个人数据的法律保护不是统一和标准化的保护[40],而是应该基于数据的敏感性质和不同场景的技术范式,按照数据主体的合理预期,寻求与“具体场景相关的信息规范”(context-relative informational norms)[41]。例如,美国学者海伦·尼森鲍姆[42]倡导“场景一致性(contextual integrity)理论框架”,强调数据保护的“场景一致性”,认为各个生活领域皆发生在由数据(信息)组成的场景中,因此数据处理在不同的场景中应受到不同的约束,其本质上是一种由场景(contexts)、行为主体(actors)、属性(attributes)和传输原则(transmission principles)构成的框架。其核心思想是,数据处理是由数据持有者、传播者和接收者等多个主体共同完成的活动,不同主体在数据处理中的角色不同,控制数据的能力不同,合理预期不同,遵循的行为规范也不同,因此,各方主体在数据传播中的利益分配及风险分担根据差异情况适用相异的规则。
另一方面,“最小必要”原则的限缩契合“最小必要”原则的内在逻辑。“最小必要”原则旨在避免对运动员主体的权益造成损害或危险的数据处理,无论是GDPR还是《个人信息保护法》,其基本前提是认为数据处理范围的大小与个人权益受损的风险呈正相关,因此限制个人数据处理的范围有助于降低数据主体权益受损风险,也只有针对这种对数据主体利益减损的处理行为,才有必要将处理范围限制在最小值[9]。如果个人数据处理还有保障和促进数据主体利益的功能,并且个人数据被处理的范围越广,保障和促进数据主体利益的效果越大,那么处理范围就不应限制在最小值。在运动员个人数据处理中,运动员与数据处理者一定程度上形成了利益共同体,数据处理具有负荷量化和训练优化、表现评估和技战术提升等多重效果。例如负荷的精确量化是竞技体育训练和比赛的基础。运动员通常需要以特定的负荷(例如90% 1RM)进行训练,从而使机体发生预期的良性应激反应。如果训练负荷过高,就有可能出现过度训练和与疲劳有关的损伤,而如果负荷过低,就有可能出现训练不足和肌纤维利用不足的情况,这也可能影响竞技表现。运动员个人数据处理能够帮助运动员在最佳训练时间进行最适合身体实际状态的训练内容和强度,如上文提及的“Catapult Sport”,通过测量当前运动员的心率变异性、疲劳指数、肌肉状态、能量代谢等生物特征数据,教练员可以调整运动员训练的“开窗时间”(根据身体状态增加训练内容和负荷)和“闭窗时间”(减少训练负荷或在身体疲劳时进行恢复训练),从而有效预防运动损伤[11]。故而,运动员个人数据处理并非一定是主体利益减损性行为,在此背景下,“最小必要”原则也就有了限缩适用的空间。
3.2 信义义务的引入
如上所述,如果数据处理者在处理个人数据时始终将数据主体的利益置于首要考虑范畴,并尽可能采取一切措施避免损害或牺牲数据主体的利益,则不必苛以“最小必要”原则的要求,因此关键问题是如何确保俱乐部、体育组织等数据处理者在数据处理过程中增益运动员主体利益。在个人数据法律保护实践中,为消弭个人数据处理中对主体利益的侵损,近年来有学者开始尝试从信义义务理论角度理解个人数据保护。例如,巴尔金[43]指出,个人与网络平台等数据处理者之间的关系类似于客户与资产管理人、律师之间的关系,存在着专业知识和技术能力的差距,但也存在着相互依赖和信任的关系,有着同舟共济的价值追求。在处理资产管理人、律师、会计师与客户之间的关系时,法律施加了特殊的照顾、保密和忠诚义务[44]。尼德曼[45]也提出了类似的意见,认为数据处理者应被标明一个独特的标签,即“数据守密人”(data confidants),她视数据守密人为有限的信息受托人,认为他们基于数据主体的信任获得了数据,并有义务为数据主体“尽忠职守”。在智能化训练的背景下,运动员与俱乐部、体育组织等数据处理者之间存在着知识和技术的差距,但也具有较强人身依附性和信赖性的雇佣关系,有提升竞技水平和技战术能力等的共同价值追求,当运动员提供数据时,他们也大多相信俱乐部和体育组织等数据处理者会维护他们的利益,而不是滥用数据。这是一种特殊类型的信任,类似于传统的专业人士(如律师、医生、资产管理人)和他们的客户之间形成的基于信任的特殊关系[46]。因此,可以将信义义务或其要素引入运动员个人数据处理,要求俱乐部、体育组织等数据处理者以数据受托人身份参与运动员个人数据处理,为运动员的最佳利益而行动,其基本理念在于以谨慎、保护与忠实等实质性义务重塑数据处理者开发行为规范,促使数据处理者始终将运动员主体的利益置于优先地位,而不再仅依赖“最小必要”原则等形式性规范[47]。
具体而言,可将运动员视为数据委托人,他们基于信赖维系将数据托付给俱乐部、体育组织等数据处理者,而俱乐部、体育组织等数据处理者则被视为数据受托人,为了避免数据处理者滥用其优势地位,损害运动员利益,对其施加信义义务之要求。数据处理者需将运动员的利益置于短期利益之上,必须尽可能促进数据主体的利益,并有责任在收集、使用或共享运动员数据时避免不合理、危险或其他有害行为。实践中,由于运动训练是一个全周期、系统性的应激过程,具有多成因、多阶段、多结果的特点,判断数据处理者是否履行信义义务,大体可以从以下方面衡量:一是数据处理目的是否合理。目的合理基于合法性基础,但合法的目的仅为合理的必要非充分要件。在智能化训练场景下,目的合理要求通过运动员个人数据的处理,为运动员提供符合其最佳利益的竞技机会,即在运动员的身体和生理能力范围内,数据处理所欲追求的目的是运动训练的最佳模式,有助于促进运动员的健康和安全,提升其技战术能力和水平[9]。二是是否存在其他对运动员权益损害更小的替代方式。例如,达拉斯独行侠队新近采用了专门的血液测试,分析球员的疲劳和饮食。虽然这种数据可能有助于指导关于恢复和促进表现的重要决定,但它具有非常强的侵入性,如果处理不当会产生很大的风险[48]。相比之下,可穿戴设备侵入性较低,运动员数据采集应优先选择冒犯性低的采集方式。三是数据处理各阶段是否有时间限制。在采集时间上,对运动员数据的采集原则上只能限于运动员比赛、训练时间,除确有必要的生理健康测量外,禁止全天候的数据采集,即使在比赛、训练时间,也应尽量避免持续监控,而应只对比赛、训练的关键时间段进行采集。在存储时间上,随着运动训练从单一要素、简单系统逐渐向多元、复杂、动态化方向演进,体育领域不断追求数据存储时间与存储数量的最大化[49]。但是,海量运动员个人数据被永久或长期存储,伴随着数据量的积累和技术的突破,质量风险、安全风险、隐私风险也随之“水涨船高”。限缩运动员个人数据的存储时间也是尽量减少对运动员个人数据权利干扰的体现。因此在达到原初处理目的或数据处理所依赖的合同关系、雇佣关系或管理关系解除后,应及时、安全地删除数据。四是数据处理是否存在类型限制。数据处理者原则上只能处理一般性的运动员表现数据,除非有特殊理由,否则不得处理基因等可能诱发多种侵害风险的强敏感数据。例如,美国《反基因歧视法》(Genetic Information Nondiscrimination Act)原则上禁止雇主收集雇员的基因信息,仅限于维护工作场所的安全和健康等的有限例外。五是数据处理是否存在共享限制。运动员个人数据应当仅限于教练员、技术总监、球队特定管理人员访问,而其他人员应被限制访问。
同时,强化俱乐部、体育组织等数据处理者的安全保障义务。由于运动员个人数据的高价值性和集中存储性,黑客攻击和未经授权的披露是竞技体育面临的一个严重问题,限缩“最小必要”原则适用的同时,应当强化俱乐部、体育组织等数据处理者的安全保障义务,除了继续强调“数据合规审计”“数据保护影响评估”及“数据保护负责人”制度等个人数据保护法的一般要求,还应该根据运动员个人数据频繁传输和交互的特点,特别重视在网络、存储、共享等方面的数据安全管控责任体系,要求采取一切可能的技术、管理等措施,确保运动员个人数据处于安全状态,不允许任何未经授权的访问和使用。例如,就网络安全管控责任而言,需要严格限定访问、使用运动员个人数据的内部人员权限,以及后台即时、全程记录任何访问、使用行为,避免非必要人员接触数据,并根据相关实体可能掌握的数据类型和使用历史,进行风险预测,动态调整数据访问权限[50]。
4. 结束语
智能化训练的核心在于借助数据分析量化运动员的竞技表现,提升训练质量、提高运动成绩并减少运动伤害[51]。既有个人数据(信息)处理规范中的“最小必要”原则在智能化训练场景下面临着“最小化”的困境、“相关性”的难题和“理性预设”的问题,强化运动员数据自主控制和匿名化机制的解决方案也难以实现运动员数据利用和保护的有效平衡。从数据保护的场景化理论和“最小必要”原则的内在逻辑上讲,在智能化训练场景下可以适当限缩“最小必要”原则的适用,转向数据处理者“信义义务”的替代方案,在数据处理行为符合运动员最佳利益的情况下,允许超越“最小必要”原则。
-
[1] GALE K. Evolving sports technology makes its mark on the internet of things: Legal implications and solutions for collecting, utilizing, and disseminating athlete biometric data collected via wearable technology[J]. Arizona State University Sports and Entertainment Law Journal, 2016, 5(2):337-380. [2] 范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016,38(5):92-115. [3] 梁泽宇.个人信息保护中目的限制原则的解释与适用[J].比较法研究,2018(5):16-30. [4] 王月明,唐瑞芳.大数据时代最小必要原则的悖论与超越[J].湖南大学学报(社会科学版),2023,37(3):119-125. [5] 高富平.个人数据保护和利用国际规则: 源流与趋势[M].北京: 法律出版社,2016:12. [6] 张新宝.个人信息处理的基本原则[J].中国法律评论,2021(5):18-27. [7] 翟相娟.个人信用信息采集最小化原则的适用困境与替代方案[J].南京大学学报(哲学·人文科学·社会科学),2024,61(3):73-82,158. [8] FTC report on internet of things urges companies to adopt best practices to address consumer privacy and security risks[EB/OL].[2015-01-27].https://www.ftc.gov/news-events/press-releases/2015/01/ftc-report-internet-things-urges-compnies-adopt-best-practices. [9] 武腾.最小必要原则在平台处理个人信息实践中的适用[J].法学研究,2021,43(6):71-89. [10] 仇乃民,李少丹.竞技能力系统的非线性演化: 内涵、形式与特征[J].北京体育大学学报,2016,39(1):137-144. [11] 吴彰忠,钟亚平,史金田,等.数智赋能科学训练: 内涵逻辑、国际经验与本土实践[J].体育学研究,2023,37(1):82-94. [12] 钟亚平,吴彰忠,陈小平,等.数据驱动精准训练: 理论内涵、实现框架与推进路径[J].体育科学,2021,41(12):48-61. [13] 刘权.论个人信息处理的合法、正当、必要原则[J].法学家,2021(5):1-15,191. [14] Abhinav Shrivastava. Physiological and performance data in sport and the legal issues it raises[EB/OL].[2019-08-15].https://www.lawinsport.com/component/zoo/item/physiological-and-performance-data-in-sport-and-the-legal-issues-it-raises. [15] 朱荣荣.个人信息保护“目的限制原则”的反思与重构: 以《个人信息保护法》第6条为中心[J].财经法学,2022(1):18-31. [16] 陈龙.“数字控制”下的劳动秩序: 外卖骑手的劳动控制研究[J].社会学研究,2020,35(6):113-135,244. [17] 徐伟康.量化的规训: 运动员生物统计数据的法律保护[J].体育科学,2023,43(10):53-65. [18] 洛克.政府论(下篇)[M].叶启芳,瞿菊农,译.北京: 商务印书馆,2013:74. [19] 黑格尔.法哲学原理[M].范扬,张企泰,译.北京: 商务印书馆,2013:24. [20] 林国华.私法自治原则的基础[J].山东大学学报(哲学社会科学版),2006(3):49-53. [21] 于鸿贤.类型化界分下职业体育用工的法律关系认定[J].体育科学,2021,41(10):76-85. [22] 胡旭忠,徐伟康.体育分析中运动员个人数据保护的研究[J].体育与科学,2021,42(2):89-93,120. [23] JOHN A B. Measuring baseball's heartbeat: The hidden harms of wearable technology to professional ballplayers[J].Duke Law & Technology Review, 2020(18):268-292. [24] 徐伟康.运动员个人数据处理中“同意”原则适用的检视[J].武汉体育学院学报,2020,54(12):40-45,60. [25] 许天颖.数据智能化规训: 可穿戴设备的隐私风险与保护[J].江西社会科学,2022,42(12):162-170. [26] 王海洋.政府数据开放场景下个人信息匿名化研究[J].情报理论与实践,2022,45(12):84-91,137. [27] 李润生.论个人健康信息“利用友好型”保护模式的建构[J].行政法学研究,2021(5):79-90. [28] 郑曦.匿名化处理: 刑事诉讼被遗忘权实现的另一种途径[J].法治研究,2021(5):46-54. [29] 吕炳斌.个人信息保护的“同意”困境及其出路[J].法商研究,2021,38(2):87-101. [30] IRA S R, WOODROW H. Anonymization and risk[J].Washington Law Review, 2016, 91(2):703-710. [31] 高富平.个人信息流通利用的制度基础: 以信息识别性为视角[J].环球法律评论,2022,44(1):84-99. [32] PAUL M S, DANIEL J S. The PII problem:Privacy and a new concept of personally identifiable information[J]. New York University Law Review, 2011, 86(6):1814-1894. [33] MARC D, GUY C, MARCUS G. Introduction to anonymisation[EB/OL] [2022-06-06]. https://go.privitar.com/rs/588-MYA-374/images/2021-07-Privitar-Bristows-Intro_to_Anonymisation.pdf. [34] 韩勇.体育特殊性、问题导向与中国实践: 体育法学的研究进路[J].上海体育学院学报,2023,47(1):55-68. [35] 齐英程.我国个人信息匿名化规则的检视与替代选择[J].环球法律评论,2021,43(3):52-66. [36] 徐伟康.数字体育时代赛事组织者数据权益的保护[J].体育科学,2021,41(7):79-87. [37] SOPHIE S B, ALISON K. Anonymous data v. personal data — A false debate: An EU perspective on anonymization, pseudonymization and personal data[J]. Wisconsin International Law Journal, 2016, 34(2):284-322. [38] 丁晓东.数据交易如何破局: 数据要素市场中的阿罗信息悖论与法律应对[J].东方法学,2022(2):144-158. [39] 海伦·尼森鲍姆.场景中的隐私: 技术、政治和社会生活中的和谐[M].王苑,译.北京: 法律出版社,2022. [40] 姜野.人脸识别技术应用的场景化法律规制[J].法制与社会发展,2023,29(1):208-224. [41] 丁晓东.《个人信息保护法》的比较法重思: 中国道路与解释原理[J].华东政法大学学报,2022,25(2):73-86. [42] NISSENBAUM H. Privacy in context: Technology, policy, and the integrity of social life[M]. US: Stanford University Press, 2009:52. [43] BALKIN J M. Information fiduciaries and the first amendment[J]. U.C.Davis Law Review, 2016, 49(4):1183-1234. [44] 莉娜·坎,大卫·博森,林少伟,等.信息信义义务理论之批判[J].交大法学,2021,12(1):168-199. [45] ALICIA S N. Beyond the privacy torts: Reinvigorating a common law approach for data breaches[J]. Yale Law Journal Forum, 2018, 127(1):614-636. [46] ARI E W. Privacy as trust: Sharing personal information in a networked world[J]. University of Miami Law Review, 2015, 69(3):559-630. [47] 解正山.数据驱动时代的数据隐私保护: 从个人控制到数据控制者信义义务[J].法商研究,2020,37(2):71-84. [48] NAJJAR M C. Legal and ethical issues arising from the application of data analytics and artificial intelligence to traditional sports[J]. Albany Law Journal of Science & Technology, 2023, 33(1):51-114. [49] 胡海旭,杨国庆.数字化转型: 点燃当代竞技运动训练变革新引擎[J].北京体育大学学报,2021,44(11):81-98. [50] 苏宇.数据推理的法律规制[J].浙江学刊,2022(4):46-58,2. [51] 胡海旭,金成平.智能化时代的个性化训练: 机器学习应用研究进展与数字化未来[J].体育学研究,2021,35(4):9-19.