В епоха, в която данните са нова форма на валута, Запазването на чувствителната информация е съществено съображение при международния арбитраж. По същото време, Законите за защита на данните в света бързо се разширяват в обхвата до степен, че, Според Gonçalves и разклонение, "Няма област на закона, която да не се влияе от тези въпроси."[1] Тази бележка изследва ключови предизвикателства и практически съображения около темата за защитата на данните в международния арбитраж.
Поверителност в международния арбитраж
Международният арбитраж е широко ценен заради поверителния си характер. За разлика от домашните костюми, Арбитражните производства обикновено се провеждат зад затворени врати, и арбитражните награди остават непубликувани, освен ако не е уговорено друго.
Този принцип се отразява в правилата на повечето арбитражни институции. Например, на 2025 Арбитражни правила на Международния арбитражен център в Сингапур Осигурете, че всички участници в арбитраж “са под непрекъснато задължение за третиране на всички въпроси, свързани с производството като поверителни."[2]
по същия начин, на 2024 Администрирани арбитражни правила на HKIAC на Международния арбитражен център в Хонконг посочете, че "[в]освен ако страните не са уговорили друго, Никой партиен или партиен представител не може да публикува, разкриват или съобщават всяка информация, свързана с [...] арбитражът съгласно арбитражното споразумение".[3]
В Англия и Уелс, Конфиденциалността на арбитражните производства дори се подразбира в условията на арбитражните споразумения (с ограничени изключения). в Източната сага, Търговският съд постанови това “страните са се съгласили да се представят на арбитражните конкретни спорове, възникващи между тях и само между тях", пораждайки подразбиращ се срок на поверителност.[4] в Али доставка, Апелативният съд потвърди, че това се разпростира върху документи, които се произвеждат от страни, писмени становища, писмени бележки, и свидетелски показания, наред с други неща.[5]
Киберсигурност: Уроци от PCA Hack
въпреки това, в редки случаи, Данните се извличат от арбитражните производства без съгласието на страните.
в 2015, Постоянният арбитражен съд ("PCA") беше домакин на изслушвания с висок профил между Филипините и Китай заради морски спор в Южнокитайско море. По-конкретно, Филипините инициираха арбитраж съгласно част XV от Приложение VII на Конвенцията на ООН за морето ("Unclos"), Твърдейки, че териториалните претенции на Китай към региона надхвърлят правата си съгласно Конвенцията и че той утежнява спора на страните чрез изграждане на поредица от изкуствени острови (понякога наречен „Страхотна пясъчна стена") за укрепване на задържането над региона.[6]
Въпреки че Китай отказа да участва, Арбитражът продължи в неговото отсъствие. въпреки това, на ден 3 на изслушването, Независима фирма за киберсигурност откри експлоатация на уебсайта на PCA, която се предполага, че се използва от група китайски държавни хакери, свързани с държавата.[7] По-конкретно, Твърди се, че групата е злоупотребявала с експлоатация в вече открития играч на Adobe Flash, за да получи достъп и да промени части от уебсайта на съда, за да зареди злонамерен код на компютрите на посетителите.
за щастие, Оттогава не е нарушение на данните с високопрофилни данни 2015, и рискът от нарушение на киберсигурността вероятно е по -висок от страните, отколкото арбитражните институции. Арбитражните институции също могат да имат законови изисквания, които да се погрижат за предотвратяване на такива нарушения на данните. Например, статия 32 от Общото регламент за защита на данните на Обединеното кралство Предоставя, че контролерите на данни и процесорите “прилагат подходящи технически и организационни мерки, за да се гарантира ниво на сигурност, подходящо за риска".[8]
От горното става ясно, Следователно, че има твърди ограничения за използването за други цели на данните, придобити в хода на международен арбитраж. въпреки това, Разпространението на строги режими за защита на данните означава, че арбитражните участници трябва да гарантират, че данните се обработват правилно и в арбитражния процес.
Законодателство за защита на данните
През последното десетилетие съществуват все повече закони за защита на данните през последното десетилетие, включително Добре известният регламент за защита на данните на Европейския съюз ("GDPR"). GDPR налага тежки глоби за неспазване до 20 милиона евро или 4% на оборота на компанията през предходната година, което от двете е по -високо.[9] то е, Следователно, от решаващо значение, че партиите с връзки с Европейския съюз отговарят на неговите разпоредби.
На хартия, Изглежда, че международните арбитражи са подложени категорично на GDPR, ако някое страни към тях са със седалище или оперират в Европейския съюз:
статия 3
Териториален обхват
- Този регламент се прилага за обработката на личните данни в контекста на дейността на установяване на контролер или процесор в Съюза, независимо дали обработката се извършва в Съюза или не.
- Този регламент се прилага за обработката на лични данни на субекти от данни, които са в съюз от контролер или процесор, който не е установен в Съюза, където дейностите по обработка са свързани с:
(а) предлагането на стоки или услуги, Независимо дали се изисква плащане на субекта на данни, на такива субекти на данни в Съюза; или
(б) Мониторингът на тяхното поведение, що се отнася до тяхното поведение в рамките на Съюза.
- Този регламент се прилага за обработката на личните данни от контролер, който не е установено в Съюза, Но на място, където държавното законодателство се прилага по силата на общественото международно право.
статия 3 Изглежда, че налага GDPR на арбитражи, където всяка форма на обработка или контрол на данните се извършва в Европейския съюз, било то от арбитражни институции, арбитри, съвет, свидетели, съдебни репортери, или други. Според рециталите на GDPR, Регламентът се прилага “inter alia, към дейността на съдилищата и други съдебни органи".[10] Според Born, По този начин възниква правдоподобен аргумент, че арбитрите и арбитражните институции попадат в обхвата на GDPR.[11] Това повдига интересни въпроси, като например дали превишава Заявки за производство на документи в арбитраж може да наруши GDPR.
въпреки това, Арбитражен трибунал, съставен съгласно Северноамериканското споразумение за свободна търговия ("МАСЛО") в случая на Tennant v. Канада определи, че GDPR не се прилага, въпреки че един от неговите арбитри е в Обединеното кралство (Тогава член на Европейския съюз) и въпреки собственото си известие за поверителност на данните на уебсайта му, което показва, че той е бил покрит от него.[12] Трибуналът разсъждаваше това “Договор, на който нито Европейският съюз, нито нейните държави -членки са партия, не, по презумпция, елате в рамките на материала на GDPR."[13]
Това прави приложимостта на GDPR в международните арбитражи доста неясни. Както твърдят Хуанг и Си, По -късният съд на съдебната практика на Европейския съюз показва, че това може да е било неправилно решение, основано на неправилно тълкуване на статия 2.[14]
въпреки това, Само времето ще покаже как арбитражните трибунали ще третират законите за защита на данните като GDPR, които изглежда имат екстериториален ефект.
Процедурни поръчки и защитни мерки
Засега, Притесненията относно защитата на данните обикновено трябва да бъдат повдигнати в началото на производството, В идеалния случай по времето на първата конференция за управление на делата. Насам, Страните могат да посочат своя случай и да гарантират, че са предвидени адекватни мерки за защита на данните.
Арбитражните правила на Лондонския съд на международния арбитраж 2020, например, осигурете следното:
30.5 В съответствие с задълженията му съгласно член 14.1, В ранен етап на арбитража арбитражният съд трябва да, след консултация със страните и когато е подходящо LCIA, Помислете дали е подходящо да се приеме:
(аз) Всякакви специфични мерки за информационна сигурност за защита на физическата и електронната информация, споделена в арбитража; и
(II) Всяко средство за справяне с обработката на лични данни, произведени или обмени в арбитража в светлината на приложимата защита на данните на еквивалентното законодателство.
30.6 LCIA и арбитражният трибунал може да издаде указания, насочени към информационната сигурност или защита на данните, което е обвързващо за страните, и за тези, издадени от ЗКИР, Също така върху членовете на арбитражния съд, При спазване на задължителните разпоредби на всеки приложим закон или правила на закона.
Международната търговска камара публикува клауза за защита на данните по подразбиране, която, наред с други неща, предвижда, че „[аз]F Сентивни/Специална категория Данни се подават по време на арбитража, тя се обработва до степента, необходима за установяване, Упражнение, или да защитават правните искове в арбитража."[15]
Друг вариант е да поискате заповед за поверителност за законно обвързване на участниците с определени задължения за неразгласяване.
заключение
Видно е, че, Тъй като международният арбитраж се развива във все по-дигитален и ориентиран към данните свят, Защитата на данните вече не може да се третира като следствие. По същото време, Има ценни малки насоки от съдебната практика и законодателите по въпроса. За да се гарантира защитата на данните в международните арбитражни страни, трябва да гарантира, че те използват сигурни платформи, които са безопасни от заплахи за киберсигурност. Те също трябва да се погрижат да разгледат законите за защита на данните, които могат да засегнат всяка страна в арбитража. накрая, Те трябва да имат предвид способността им да поискат конкретни разпоредби в процедурни поръчки, за да се гарантира по -високо ниво на защита на данните.
[1] Е. Gonçalves и p. Индустрии, Проблеми за защита на данните в международния арбитраж в G. Уморен и ал. (ред.) Лидерство, Легитимност, Наследство: Почит към Алексис Муре (2022), р. 199.
[2] Арбитражни правила на Международния арбитражен център в Сингапур 2025, правило 59.1.
[3] 2024 Правила за администриран арбитраж на HKIAC, статия 45.1.
[4] Oxford Shipping срещу Nippon Yusen Kaisha [1984] 2 Лойдс Реп 373, 379, както е цитирано в Ali Shipping Corporation v корабостроителница Trogir [1997] EWCA Civ 3054, р. 3.
[5] Ali Shipping Corporation v корабостроителница Trogic [1997] EWCA Civ 3054, п.п.. 18-21 ("ясно е (И наистина страните не оспорват) че принципът обхваща също моли, писмени бележки, и доказателствата на свидетели, както и преписи и бележки на доказателствата, дадени в арбитража ”).
[6] Република Филипини V. Китайската народна република, Случай № PCA. 2013-19, награда, 12 Юли 2016, най-доброто. 7-10.
[7] Заплаха, Камери: Затваряне на блендата на Китайското звено 78020 (2019), р. 15.
[8] регулиране (САЩ) 2016/679 на Европейския парламент и на съвета, статия 32(1).
[9] регулиране (САЩ) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 относно защитата на естествените лица по отношение на обработката на личните данни и за свободното движение на такива данни и директива за отмяна 95/46/ЕС [2016] Oj l 119/1, Изкуство. 83.5.
[10] регулиране (САЩ) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 относно защитата на естествените лица по отношение на обработката на личните данни и за свободното движение на такива данни и директива за отмяна 95/46/ЕС [2016] Oj l 119/1, Рецитали, за. 20.
[11] г. Роден, глава 13: Права и задължения на международните арбитри (Актуализирано февруари 2024) в Международен търговски арбитраж (Трето издание) (2024).
[12] Tennant Energy LLC V. Правителство на Канада, Случай № PCA. 2018-54, Въпроси и отговор на инвеститора на въпроси на Tribunal GDPR и въпроси за поверителност на данните, 4 юни 2019.
[13] Tennant Energy LLC V. Правителство на Канада, Случай № PCA. 2018-54, Комуникацията на Трибунала към страните, 24 юни 2019.
[14] Дж. Хуанд и г.. Си, Закон за защита на данните в инвестиционния арбитраж: Приложимо или не?, в W. парк (изд.), Арбитражен международен (2021).
[15] Международна търговска камара, Модел Клауза за защита на данните за процедурна поръчка, HTTPS://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-potection-english.pdf (последен достъп 23 Може 2025).