[!warning] 注意:
本文系微信公众号原文转发,已经获得原作者授权。如侵犯论坛规则或个人权益,请联系此帐号。此帐号使用者将在8小时之内及时处理。
[!info] 提示:
原作者是去年针对Adventure X2025用户隐私泄漏一事对活动方提起诉讼的原告律师。目前该案仍在杭州互联网法院审理中。
下为正文:
本文共5843 字,预计阅读时间:15分钟差不多吧····
叠甲:本人在文中的表述、发表的观点与本人任职的机构无关,皆由本人负责。本文中内容由本人和AI 协同生成,如有错误或侵权,请私信联系博主。转载请注明出处。
传说中的「中国有史以来最大黑客松」AdventureX 开启了 2026 年的招募。
今年不一样,之前一直自称「没有固定实体」(上次听说类似说法还是自来也形容佩恩六道)的 AdventureX ,
今年多出来一个主办方AdventureX Education Technology Limited ,一家香港注册公司。
从法律角度来说,今年的所有锅都由这家公司来背。
众所周知,2025 年的 AdventureX陷入过数据合规争议,
[传送门]
(顺便一提,AdventureX 起诉过这篇文章名誉权侵权,但案子我们已经胜诉,法院明确认定不构成名誉权侵权。 战报在此
去年的问题主要有
-
报名网站服务器在境外,没有ICP备案。
-
通过「梦想家数据库」将报名信息和游客信息共享给第三方赞助商,但隐私政策对「共享给哪些第三方」「如何处理」「跨境传输」只字未提。
今年的协议打开,虽然换了香港主体,但依旧是熟悉的配方。
依然是不知道共享给哪些赞助商 ,也没提数据跨境处理。
以及,和去年一样,对未成年人保护 只字未提。
下面,就一个一个展开讲讲。
–
去了香港,照样适用《个保法》
在讲具体问题之前,有件事要先说清楚。
主办方去了香港,不但要遵守PDPO,而且适用《个人信息保护法》。
这个是管辖的问题。
2026 版隐私协议 Privacy Policy | AdventureX Auth (已经用时间戳取证了)是主张本次活动只受PDPO管理。
本政策受中华人民共和国香港特别行政区法律专属规管 ,严格遵循香港法例第486章《个人资料(私隐)条例》(下称「PDPO」)及香港个人资料私隐专员公署(下称「PCPD」)发布的所有具约束力的守则、指引与监管要求制定。
第七章第二条说
我们自愿将全部服务器及数据存储节点部署于香港特别行政区境内。
第十五条法律适用与争议解决 更是直接写明了强制适用香港法律、香港法院专属管辖。
本政策的订立、生效、履行、解释与争议解决,强制适用中华人民共和国香港特别行政区法律法规,不适用其冲突法规则。
因本政策引起的或与本政策有关的任何争议、纠纷、索赔,包括其订立、效力、履行、违约、终止或无效,双方应首先通过友好协商解决;协商不成的,任何一方均有权将争议提交香港特别行政区有管辖权的法院专属管辖。
这几段话合在一起,可以看出主办方设想的一套法律规避逻辑。
香港属于境外,个人信息保护有单独的PDPO管理。
公司在香港注册,服务器在香港,数据存储在香港,所以《个保法》管不到,香港PDPO专属管辖。
也就是「我们是香港公司,受香港法律规制,出了事请去香港处理。」
但可惜,不是这么回事。
但个人信息保护是公法,不是在合同条款中的约定就能排除的。
根据个保法第三条第二款规定,在境外处理境内自然人个人信息,以向境内自然人提供产品或服务为目的的,适用本法。
即使我们退一万步,假设AdventureX2026的所有数据处理都在香港完成,只要面向内地报名参赛者提供服务,个保法照样适用。
但是实际上并不可能所有数据都在香港处理。
因为 AdventureX 2026的活动举办地在杭州,参赛者在杭州现场验证身份、参加比赛,根据举办地和往届经验,参赛者大多数也会是内地参赛者。
个保法第三条第一款,在中国境内处理自然人个人信息的活动,适用本法。
那协议里「专属适用香港法 」的条款起到了什么作用呢?
它只是一条合同选法条款。 它能约束的仅限于合同双方就合同条款发生争议时去哪个法院打官司,它根本无权排除公法的适用。
这就像你在上海开一家餐厅,门口贴一张告示「本店一切纠纷适用开曼群岛法律」。但中国的食品安全法该管还是管。
更微妙的是,协议试图把管辖改到香港。但数据从境内传到境外非但不是免责理由,反而是需要额外履行合规义务的情形。 协议把「数据放在香港」当成挡箭牌,实际上给自己多扣了一顶「数据跨境处理」的帽子。
如果有针对个人信息保护方面的诉讼,依然可以选择侵权行为地 ,也就是被侵权人的住所地起诉。
这种「香港壳、内地核 」的结构,可能让主办方陷入两头落空的尴尬,不能走PDPO的数据流通自由保护,而且无法排除个保法适用。
问题一、赞助商问题依然说不清楚
好消息是,我们今年终于知道赞助商都是谁了。
隐私协议第 5.1.2 条写道:
我们的赞助商合作伙伴是该专属赛道的联合举办方、官方评审委员会独家成员、全部赛事奖金的唯一出资方、获奖项目孵化计划的独家提供方。
四个「独家」,一气呵成。一场所谓「非营利青年科技创新黑客松」,赞助商同时身兼联合举办方、独家评委、唯一金主、独家孵化方。
但坏消息是,今年我们依旧不知道有哪些赞助商会拿到报名信息 (好在今年告诉我们会共享哪些信息了)。
不同意将信息共享给赞助商,就不能参加比赛。
各位梦想家在报名时,是否都有了解这个信息?
在隐私协议中是有明确的约定的。
隐私协议第 5.1.2 约定
参与者必须就赞助商信息共享作出单独、明示、自愿、书面的同意,方可进入赛事报名流程。拒绝作出同意的参与者,仅能申请观众观赛通道,无法进入赛事报名系统、提交任何参赛申请。
《个保法》第十六条明确禁止以不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
那我们就得讨论下向赞助商提供参与者个人信息是否是比赛举办的必备了。
参赛者不愿意把信息送给赞助商,这场比赛就办不下去了?
那这是一场比赛?还是将参赛者信息输送给赞助商的中介?
还别说,其实在隐私协议里主办方主动承认了。
想参赛,必须向赞助商提供个人信息。
还是隐私协议第 5.1.2 条
本通道的核心目的为开展赞助商主导的赛事评审、人才选拔、项目评估与孵化 。向赞助商评审委员会共享参赛者的参赛信息,是申请本通道的必要前提,该目的与参赛赛道的核心职能直接相关,符合PDPO项下的保障资料第1原则。
「人才选拔」和「项目孵化」,为什么会是一场黑客松比赛的核心职能呢?
参赛者报的是比赛还是招聘会或者融资路演?
这些目的恐怕超出「举办黑客松赛事」的直接必要范围 了吧?
《个保法》第六条要求处理目的与收集目的直接相关,PDPO保障资料原则第三原则同样要求个人资料不得用于与收集目的不直接相关的用途 。
我很好奇AdventureX 会怎么解释这些是这场比赛的合理用途。
协议援引PDPO保障资料第一原则为这套设计背书,但第一原则本身也要求收集「不超乎适度 」。
而且必须说明“资料可能会被转移给哪类人士”
保障资料第1原则订明,资料使用者须为直接与其职能或活动有关的合法目的,收集个人资料;收集的资料对该目的是必须及足够的,但不超乎适度;而收集的方法应该是合法和公平的。
如果你直接向资料当事人收集个人资料,你应告知资料当事人是否必须提供资料、收集资料的目的、资料可能会被转移给哪类人士 ,以及资料当事人可要求查阅和改正自己的资料的权利及途径。
这和个保法的规定一样,必须提前告知第三方共享的接收方是哪些公司
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
也就是说,无论 PDPO 还是 个保法,告知接收方是谁,都是硬性要求 。
那么 AdventureX 是怎么「告知 」的呢?
长达3万字的隐私协议的缝隙中,第 5.3 条第 3 项也只是会在做出同意前告知共享的核心赞助商 清单。
完整的清单会在微信公众号发布。
那我就好奇了,有几个问题想请教一下主办方:
只有核心赞助商 会拿到报名信息,还是所有赞助商 都会拿到呢?
在同意隐私协议时,会共享给哪些第三方,为什么还得我自己去公众号看?
为什么不能在协议里贴个链接?
退一万步说,就算赞助商名单可能持续更新,现在还没有
再退一万步,就算在公众号更新的方式也能被认定为合法有效(但实际上很难)
但截止发文的今天,估计已经有不少人报名的情况下,为什么公众号上依然看不到公示任何赞助商的名单?
告知义务的核心要求是在收集信息时、以可留存的方式、让数据主体完整知晓接收方信息 。
但是在报名阶段,连一个赞助商我都看不到,请问如何算得上是单独、明示、自愿、书面的同意 ?
至于单独同意
在报名的最后,确实有五项单独同意,第五项就是会将信息共享至经授权的合作方。
但是在单独同意的选项中,依然看不到一个赞助商的名字。
这份名单就这么保密吗?
把「接收方是谁」藏起来,然后让用户在不知情的情况下点「同意」,还要求这个「同意」是单独、明示、自愿、书面 的。
你这种行为,是不是有点太为难 报名参赛者了?
问题二、数据依旧跨境未获取单独同意
如前所述,内地参赛者的个人信息传输到香港服务器,也是一种数据出境 。
协议第七章第二条洋洋洒洒讲了服务器部署在香港、讲了技术安全措施、讲了加密标准,唯独没有讲上述三条合规路径哪一条走完了。
协议第七章第二节专门写了「跨境数据转移声明」,核心论点是「PDPO第三十三条至今未被香港政府实施生效,香港现行法律项下无个人资料跨境转移的法定禁止性规定」。
这句话在技术上是事实,但在合规层面极具误导性。PDPO没有监管数据跨境,不代表个保法也没有。
AdventureX的数据流向,依旧是数据跨境 。
数据跨境不只是数据跨越国境从境内传输到境外 ,境外主体能够通过远程访问、使用、分析 等方式接触到境内的数据 ,同样也会被认定为是数据跨境传输。
比如境外的数据接收方,跳过境内提供这个中间商,而是自己直接从用户处收集个人信息。
这叫做数据直采
传统的数据跨境,是需要由境内处理个人信息的公司收集境内的个人信息,再传给接收方。有两个清晰的动作,境内收集、向境外传输,链路可见,所以大家更能理解有数据「跨境 」的过程。
数据直采则把这个链路压缩成了一步,境内数据主体直接与境外数据接收主体产生交互,数据提供方的角色「消失 」了。但在中国法律框架下,这依然属于数据跨境,根据《数据出境安全评估申报指南》(第三版),《个人信息保护法》第三条第二款所规定的「在境外处理境内自然人个人信息 」的情形,属于数据跨境。
协议声称「自愿将全部服务器及数据存储节点部署于香港特别行政区境内」「除非已向资料当事人完整告知相关详情、取得资料当事人的明示书面同意,否则不会将资料当事人的个人资料转移至香港以外的任何地区」。
把数据放在香港,但报名者是从内地提交。
数据从内地用户的手机/电脑出发,落到香港服务器,构成数据跨境。
需要告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序 等事项(这些勉强可以算在协议中有沟通,毕竟这次终于有个香港实体了,也在协议中有告知上述内容)
并取得个人的单独同意。
单独同意这个真没有。
你以为把服务器搬去香港就能绕开《个保法》?
监管要看的是数据是否从境内出发。
未成年人保护依然是零
这是最令人震惊的缺位。
面向青年的赛事,对少年儿童视而不见。
AdventureX 2026的定位是「非营利青年科技创新黑客松 」,目标群体是「青年创新者 」。
这个群体必然包含大量初高中生和大学生,其中大量人员未满十八周岁,甚至可能包含十四周岁以下的儿童。
然而,这份两万字的隐私协议,和去年的协议一样,去年协议的快照在这里United Portal @AdventureX
(AdventureX 2025 相关方认可过这份协议的真实性)。
没有任何条款涉及未成年人保护 。
没有年龄验证机制。
没有监护人同意要求。
没有对未成年人资料的特殊保护措施。
没有区分未成年人与成年人的同意能力。
个保法第三十一条设有两道硬性红线:
处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
两个「应当」,没有例外。一旦有不满十四周岁的参赛者参与,主办方可能就要双重违规了。
十二岁的编程神童、十三岁的算法竞赛选手、十四岁的开源社区活跃者。
在各种黑客松中,这种低龄高才的参赛者并不罕见。
更隐蔽的风险在于同意的效力。
协议第十条第一款要求资料当事人作出「单独、明示、自愿、书面 」的同意,但未区分成年人与未成年人。根据香港普通法,十八岁以下人士的合约能力受《未成年合约条例》(第334章)限制。
如果一名十六岁高中生不具备充分理解隐私政策及数据共享后果的认知能力,其「同意」可能被认定为无效或可撤销。
一旦监护人主张该同意无效,AdventureX向赞助商共享该未成年人资料的行为将立即丧失所有合法基础,而赞助商基于该无效同意的后续处理同样构成违法。
民法典类似的条款我就不说了,也是一样的。
看看国外同行的实践。
全球最大的学生黑客松MLH在其隐私协议Privacy Policy | Major League Hacking 中的「儿童信息」专条中明确写了「十三岁以上可以使用本网站」,且「十三至十八岁之间必须有监护人同意」。
AdventureX三万多字的协议,在未成年人保护上的字数是零。
实在不太应该。
非营利组织做数据合规,标准应该更高
写这篇的过程中,我一直在想一个问题
为什么一个面向青年创新者的公益活动,会把协议写成这个样子?
可能的原因有很多。
但什么理由都不是借口。
参赛者交给你的,是他们的身份证号、银行账户、简历、项目文档、技术成果。
这些东西背后,是一个一个真实的、刚刚十几二十岁的、对未来满怀期待的年轻人
他们相信你是在办一个非营利的公益活动,相信你会保护他们的数据。
然后你把他们的信息打包给了「联合举办方 + 独家评委 + 唯一金主 + 独家孵化方」的赞助商,用一份香港法的协议似乎在试图挡住内地监管。(毕竟提到了强制由香港法管辖)
非营利组织做数据合规,标准应该更高不是更低。
因为你赚的不是钱,你赚的是信任。
而信任一旦被透支,比赔钱贵得多。
以上属于一个数据合规从业者在阅读 2026 年 4 月 20 日可以查看的AdventureX 2026的隐私协议后的一些自认为是合理的质疑,如有错误,请各位专家批评指教。随时愿意学习修改。
1 个帖子 - 1 位参与者