Di era di mana data adalah bentuk mata uang baru, Melindungi informasi sensitif adalah pertimbangan penting dalam arbitrase internasional. Pada waktu bersamaan, Undang -undang perlindungan data dunia telah berkembang pesat dalam lingkupnya, Menurut Gonçalves dan Brancher, “Tidak ada bidang hukum yang tidak terpengaruh oleh masalah ini.”[1] Catatan ini mengeksplorasi tantangan utama dan pertimbangan praktis seputar topik perlindungan data dalam arbitrase internasional.
Kerahasiaan dalam Arbitrase Internasional
Arbitrase internasional sangat dihargai karena sifatnya yang rahasia. Tidak seperti pakaian domestik, Proses arbitrase biasanya terjadi di balik pintu tertutup, dan penghargaan arbitrase tetap tidak dipublikasikan kecuali disepakati sebaliknya.
Prinsip ini tercermin dalam aturan sebagian besar lembaga arbitrase. Sebagai contoh, itu 2025 Aturan Arbitrase Pusat Arbitrase Internasional Singapura menetapkan bahwa semua peserta untuk arbitrase “harus berkewajiban berkelanjutan untuk memperlakukan semua hal yang berkaitan dengan proses sebagai rahasia.”[2]
Demikian pula, itu 2024 HKIAC Mengelola Aturan Arbitrase dari Pusat Arbitrase Internasional Hong Kong menyatakan bahwa "[masuk]n kecuali disepakati lain oleh para pihak, Tidak ada perwakilan partai atau partai yang dapat menerbitkan, mengungkapkan atau mengomunikasikan informasi apa pun yang berkaitan dengan [...] arbitrase berdasarkan perjanjian arbitrase”.[3]
Di Inggris dan Wales, Kerahasiaan proses arbitrase bahkan tersirat ke dalam ketentuan perjanjian arbitrase (dengan pengecualian terbatas). Di The Eastern Saga, Pengadilan komersial menyatakan bahwa “Pihak telah sepakat untuk mengajukan arbitrase sengketa tertentu yang timbul di antara mereka dan hanya di antara mereka”, memunculkan istilah kerahasiaan yang tersirat.[4] Di Pengiriman Ali, Pengadilan Tinggi mengkonfirmasi bahwa ini meluas ke dokumen yang diproduksi oleh para pihak, permohonan, pengajuan tertulis, dan keterangan saksi, antara lain.[5]
Keamanan siber: Pelajaran dari peretasan PCA
Namun, pada kesempatan langka, Data diekstraksi dari proses arbitrase tanpa persetujuan para pihak.
Di 2015, Pengadilan Arbitrase Permanen (“PCA”) menjadi tuan rumah audiensi terkenal antara Filipina dan Cina karena perselisihan maritim di Laut Cina Selatan. Secara khusus, Filipina memprakarsai arbitrase di bawah Bagian XV Lampiran VII ke Konvensi PBB tentang Hukum Laut (“UNCLOS”), menuduh bahwa klaim teritorial Tiongkok atas wilayah tersebut melampaui haknya di bawah Konvensi dan bahwa itu memperparah perselisihan para pihak dengan membangun serangkaian pulau buatan (terkadang dijuluki “Dinding pasir yang bagus”) untuk memperkuat cengkeramannya di atas wilayah tersebut.[6]
Padahal Cina menolak untuk berpartisipasi, arbitrase berjalan tanpa kehadiran. Namun, di siang hari 3 dari pendengaran, Sebuah perusahaan cybersecurity independen menemukan eksploitasi di situs web PCA yang konon digunakan oleh sekelompok peretas yang berhubungan dengan negara bagian Cina.[7] Secara khusus, Kelompok ini diduga telah menyalahgunakan eksploitasi di Adobe Flash Player yang sekarang sudah tidak terpenuhi untuk mendapatkan akses ke dan mengubah bagian-bagian dari situs web pengadilan untuk memuat kode berbahaya di komputer pengunjung.
Untung, Sejak itu belum ada pelanggaran data profil tinggi 2015, dan risiko pelanggaran keamanan siber kemungkinan lebih tinggi dari pihak daripada lembaga arbitrase. Lembaga arbitrase juga dapat memiliki persyaratan hukum untuk berhati -hati untuk mencegah pelanggaran data tersebut. Sebagai contoh, Artikel 32 dari Peraturan Perlindungan Data Umum Inggris Memberikan bahwa pengontrol dan pemroses data “harus menerapkan langkah -langkah teknis dan organisasi yang tepat untuk memastikan tingkat keamanan yang sesuai dengan risiko”.[8]
Jelas dari yang di atas, karena itu, bahwa ada pembatasan perusahaan pada penggunaan untuk keperluan data lain yang diperoleh selama arbitrase internasional. Namun, Proliferasi rezim perlindungan data yang ketat berarti bahwa peserta arbitrase harus memastikan bahwa data ditangani dengan benar dalam proses arbitrase juga.
Legislasi Perlindungan Data
Semakin banyak undang -undang perlindungan data telah ada selama dekade terakhir, termasuk Peraturan Perlindungan Data Umum Uni Eropa yang terkenal (“GDPR”). GDPR memaksakan denda berat untuk ketidakpatuhan hingga € 20 juta atau 4% dari omset perusahaan di tahun sebelumnya, mana yang lebih tinggi.[9] ini, karena itu, penting bahwa partai -partai yang berhubungan dengan Uni Eropa mematuhi ketentuan -ketentuannya.
Di atas kertas, Tampaknya arbitrase internasional tunduk pada GDPR jika ada pihak yang berkantor pusat atau beroperasi di Uni Eropa:
Artikel 3
Ruang lingkup teritorial
- Peraturan ini berlaku untuk pemrosesan data pribadi dalam konteks kegiatan pembentukan pengontrol atau prosesor di Union, terlepas dari apakah pemrosesan terjadi di Union atau tidak.
- Peraturan ini berlaku untuk pemrosesan data pribadi subjek data yang berada di Uni oleh pengontrol atau pemroses yang tidak ditetapkan dalam serikat pekerja, di mana kegiatan pemrosesan terkait:
(Sebuah) penawaran barang atau jasa, terlepas dari apakah pembayaran subjek data diperlukan, untuk subjek data tersebut di Union; atau
(B) pemantauan perilaku mereka sejauh perilaku mereka terjadi di dalam Union.
- Peraturan ini berlaku untuk pemrosesan data pribadi oleh pengontrol yang tidak ditetapkan di Union, Tetapi di tempat di mana hukum negara anggota berlaku berdasarkan hukum internasional publik.
Artikel 3 tampaknya memaksakan GDPR ke arbitrase di mana segala bentuk pemrosesan atau pengendalian data terjadi di Uni Eropa, baik itu dengan institusi arbitrase, arbiter, nasihat, saksi mata, Reporter Pengadilan, atau orang lain. Menurut resital GDPR, Peraturan tersebut berlaku “antara lain, untuk kegiatan pengadilan dan badan peradilan lainnya”.[10] Menurut Lahir, Argumen yang masuk akal muncul bahwa arbiter dan lembaga arbitrase termasuk dalam lingkup GDPR.[11] Ini menimbulkan pertanyaan menarik, seperti apakah overbroad Dokumen Permintaan Produksi dalam Arbitrase mungkin melanggar GDPR.
Namun, Pengadilan Arbitrase yang dibentuk berdasarkan Perjanjian Perdagangan Bebas Amerika Utara (“MINYAK”) dalam kasus Tennant v. Kanada ditentukan bahwa GDPR tidak berlaku meskipun salah satu arbiternya berada di Inggris (Kemudian seorang anggota Uni Eropa) dan terlepas dari pemberitahuan privasi datanya sendiri di situs webnya yang menunjukkan bahwa ia diliput olehnya.[12] Tribunal beralasan bahwa “Perjanjian yang tidak menjadi Partai Uni Eropa maupun negara -negara anggotanya, tidak, dugaan, datang dalam ruang lingkup material GDPR.”[13]
Ini membuat penerapan GDPR pada arbitrase internasional agak tidak jelas. Seperti yang dikatakan Huang dan Xie, Pengadilan Kehakiman Selanjutnya dari Yurisprudensi Uni Eropa menunjukkan bahwa ini mungkin merupakan keputusan yang salah berdasarkan interpretasi yang salah dari artikel 2.[14]
Namun, Hanya waktu yang akan memberi tahu bagaimana pengadilan arbitrase akan memperlakukan undang -undang perlindungan data seperti GDPR yang tampaknya memiliki efek ekstrateritorial.
Perintah prosedural dan tindakan perlindungan
Untuk saat ini, Kekhawatiran tentang perlindungan data umumnya harus dinaikkan sejak awal dalam proses, Idealnya sekitar waktu konferensi manajemen kasus pertama. Cara ini, Pihak dapat menyatakan kasus mereka dan memastikan bahwa langkah -langkah perlindungan data yang memadai disediakan untuk.
Aturan Arbitrase Arbitrase Pengadilan Internasional London 2020, sebagai contoh, menyediakan yang berikut ini:
30.5 Sesuai dengan tugasnya berdasarkan artikel 14.1, Pada tahap awal arbitrase Pengadilan Arbitrase harus, dalam konsultasi dengan para pihak dan jika sesuai LCIA, Pertimbangkan apakah pantas untuk mengadopsi:
(saya) Setiap langkah keamanan informasi spesifik untuk melindungi informasi fisik dan elektronik yang dibagikan dalam arbitrase; dan
(ii) Segala cara untuk mengatasi pemrosesan data pribadi yang diproduksi atau dipertukarkan dalam arbitrase mengingat perlindungan data yang berlaku dari undang -undang yang setara.
30.6 LCIA dan Pengadilan Arbitrase dapat mengeluarkan arahan yang membahas keamanan informasi atau perlindungan data, yang mengikat para pihak, dan dalam kasus yang diterbitkan oleh LCIA, juga pada anggota Pengadilan Arbitrase, tunduk pada ketentuan wajib dari hukum atau aturan hukum yang berlaku.
Kamar Dagang Internasional menerbitkan klausa perlindungan data default yang, antara lain, menyatakan bahwa “[saya]F Data Kategori Sensitif/Khusus diserahkan selama arbitrase, itu harus diproses sejauh yang diperlukan untuk menetapkan, latihan, atau membela klaim hukum dalam arbitrase.”[15]
Pilihan lain adalah meminta perintah kerahasiaan untuk mengikat peserta secara hukum ke kewajiban non-pengungkapan tertentu.
Kesimpulan
Jelas itu, Seiring berevolusi arbitrase internasional di dunia yang semakin digital dan berpusat pada data, Perlindungan data tidak dapat lagi diperlakukan sebagai renungan. Pada waktu bersamaan, Ada sedikit bimbingan yang berharga dari yurisprudensi dan legislator tentang masalah ini. Untuk memastikan perlindungan data di partai arbitrase internasional harus memastikan bahwa mereka menggunakan platform aman yang aman dari ancaman keamanan siber. Mereka juga harus berhati -hati untuk mempertimbangkan undang -undang perlindungan data yang mungkin mempengaruhi pihak mana pun terhadap arbitrase. Akhirnya, Mereka harus mengingat kemampuan mereka untuk meminta ketentuan spesifik dalam perintah prosedural untuk memastikan tingkat perlindungan data yang lebih tinggi.
[1] E. Gonçalves dan p. Industri, Masalah Perlindungan Data dalam Arbitrase Internasional di G. Lelah dan al. (Eds.) Kepemimpinan, Legitimasi, Warisan: Penghargaan untuk Alexis Mourre (2022), hal. 199.
[2] Aturan Arbitrase Pusat Arbitrase Internasional Singapura 2025, Aturan 59.1.
[3] 2024 Peraturan Arbitrase yang Diatur HKIAC, Artikel 45.1.
[4] Oxford Shipping v Nippon Yusen Kaisha [1984] 2 Lloyd's Rep 373, 379, seperti yang dikutip dalam Ali Shipping Corporation v Shipyard Trogir [1997] EWCA Sipil 3054, hal. 3.
[5] Ali Shipping Corporation v Shipyard Trogic [1997] EWCA Sipil 3054, hlm. 18-21 (“itu jelas (Dan memang para pihak tidak membantah) bahwa prinsip yang dicakup juga memohon, pengajuan tertulis, dan bukti saksi serta transkrip dan catatan bukti yang diberikan dalam arbitrase ").
[6] Republik Filipina v. Republik Rakyat Tiongkok, Casing PCA No. 2013-19, Menghadiahkan, 12 Juli 2016, terbaik. 7-10.
[7] Ancaman, Camerashy: Menutup aperture di unit China 78020 (2019), hal. 15.
[8] Peraturan (AKU) 2016/679 Parlemen Eropa dan Dewan, Artikel 32(1).
[9] Peraturan (AKU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 Tentang perlindungan orang alami sehubungan dengan pemrosesan data pribadi dan pada pergerakan bebas data tersebut dan membatalkan Petunjuk 95/46/EC [2016] Oj l 119/1, Seni. 83.5.
[10] Peraturan (AKU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 Tentang perlindungan orang alami sehubungan dengan pemrosesan data pribadi dan pada pergerakan bebas data tersebut dan membatalkan Petunjuk 95/46/EC [2016] Oj l 119/1, Resital, untuk. 20.
[11] G. Lahir, Bab 13: Hak dan Tugas Arbiter Internasional (Diperbarui Februari 2024) di Arbitrase Komersial Internasional (Edisi ketiga) (2024).
[12] Tennant Energy LLC V. Pemerintah Kanada, Casing PCA No. 2018-54, Pertanyaan dan tanggapan investor terhadap pertanyaan GDPR Tribunal dan pertanyaan privasi data, 4 Juni 2019.
[13] Tennant Energy LLC V. Pemerintah Kanada, Casing PCA No. 2018-54, Komunikasi Pengadilan dengan Pihak, 24 Juni 2019.
[14] J. Huand dan d. Xie, Undang -undang Perlindungan Data dalam Arbitrase Investasi: Berlaku atau tidak?, dalam w. Taman (ed.), Arbitrase Internasional (2021).
[15] Kamar Dagang Internasional, Klausul Perlindungan Data Model untuk Pesanan Prosedural Satu, https://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-protection-english.pdf (terakhir diakses 23 Mungkin 2025).