W erze, w której dane są nową formą waluty, Zabezpieczenie wrażliwych informacji jest niezbędnym rozważeniem w międzynarodowym arbitrażu. W tym samym czasie, Przepisy dotyczące ochrony danych świata szybko rozszerzyły się w zakresie do tego stopnia, Według Gonçalves i Brancher, „Nie ma wpływu na te kwestie.”[1] W niniejszej notatce bada kluczowe wyzwania i praktyczne względy związane z tematem ochrony danych w arbitrażu międzynarodowym.
Poufność w międzynarodowym arbitrażu
Międzynarodowy arbitraż jest powszechnie ceniony ze względu na jego poufny charakter. W przeciwieństwie do kombinezonów domowych, postępowanie arbitrażowe zwykle odbywa się za zamkniętymi drzwiami, a nagrody arbitrażowe pozostają niepublikowane, chyba że uzgodniono inaczej.
Ta zasada znajduje odzwierciedlenie w zasadach większości instytucji arbitrażowych. Na przykład, ten 2025 Reguły arbitrażowe Międzynarodowego Centrum Arbitrażu Singapuru podać, że wszyscy uczestnicy arbitrażu ”będzie nadal obowiązuje w trakcie traktowania wszystkich spraw związanych z postępowaniem jako poufnym.”[2]
podobnie, ten 2024 HKIAC administrował zasadami arbitrażowymi Międzynarodowego Centrum Arbitrażu w Hongkongu stwierdzić, że „[w]o ile strony nie uzgodniły inaczej, Żadna partia ani przedstawiciel partii nie może publikować, ujawnić lub przekazać wszelkie informacje dotyczące […] arbitraż na podstawie umowy arbitrażowej”.[3]
W Anglii i Walii, Poufność postępowania arbitrażowego jest nawet implikowana w warunkach umów arbitrażowych (z ograniczonymi wyjątkami). W Wschodnia saga, Sąd komercyjny orzekł, że „strony zgodziły się poddać arbitrażowi szczególne spory między nimi i tylko między nimi”, Doradzanie sobie dorozuwanego terminu poufności.[4] W Ali wysyłka, Sąd Apelacyjny potwierdził, że obejmuje to dokumenty, które są tworzone przez strony, pisma procesowe, pisemne zgłoszenia, i zeznań świadków, między innymi.[5]
Cyberbezpieczeństwo: Lekcje z hacka PCA
jednak, W rzadkich przypadkach, Dane są wyodrębnione z postępowania arbitrażowego bez zgody stron.
W 2015, Stały Sąd Arbitrażowy („PCA”) organizował głośne przesłuchania między Filipinami a Chinami w sprawie sporu morskiego na Morzu Południowochińskim. konkretnie, Filipiny zainicjowały arbitraż na podstawie części XV załącznika VII do Konwencji Narodów Zjednoczonych na temat prawa morza („Unclos”), twierdząc, że roszczenia terytorialne Chin do regionu wykraczają poza jego prawa wynikające z konwencji i że pogarszając spór stron, budując serię sztucznych wysp (czasami nazwałem „Wielka ściana piasku”) Wzmocnienie jego wstrzymania nad regionem.[6]
Chociaż Chiny odmówiły udziału, Arbitraż przeszedł pod jego nieobecność. jednak, w dniu 3 rozprawy, Niezależna firma zajmująca się bezpieczeństwem cybernetycznym odkryła exploit na stronie internetowej PCA, który rzekomo był używany przez grupę hakerów chińskich.[7] konkretnie, Podobno grupa wykorzystywała exploita w niedrogowanym odtwarzaczu Adobe Flash, aby uzyskać dostęp i zmienić części strony sądu, aby załadować złośliwy kod na komputery odwiedzających.
na szczęście, Od tego czasu nie było głośnego naruszenia danych 2015, a ryzyko naruszenia bezpieczeństwa cybernetycznego jest prawdopodobnie wyższe od stron niż instytucje arbitrażowe. Instytucje arbitrażowe mogą również mieć ustawowe wymagania, aby zapobiec naruszeniu danych. Na przykład, Artykuł 32 z Ogólne rozporządzenie w zakresie ochrony danych w Wielkiej Brytanii Zapewnia, że kontrolery danych i procesory „wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka”.[8]
Jest jasne z powyższego, w związku z tym, że istnieją zdecydowane ograniczenia dotyczące wykorzystania do innych celów danych nabytych w trakcie międzynarodowego arbitrażu. jednak, Rozpowszechnianie rygorystycznych systemów ochrony danych oznacza, że uczestnicy arbitrażu muszą zapewnić, że dane są również odpowiednio obsługiwane w procesie arbitrażowym.
Przepisy dotyczące ochrony danych
W ciągu ostatniej dekady pojawiło się coraz więcej przepisów dotyczących ochrony danych, włączając Znane ogólne rozporządzenie w sprawie ochrony danych Unii Europejskiej („RODO”). RODO nakłada duże grzywny za niezgodność w wysokości do 20 milionów euro lub 4% obrotu firmy w poprzednim roku, cokolwiek jest wyższe.[9] To jest, w związku z tym, kluczowe, że strony z powiązaniami z Unią Europejską są zgodne z jej przepisami.
Na papierze, Wydaje się, że międzynarodowe arbitraty podlegają RODO, jeżeli jakakolwiek stronach jest w siedzibie lub działać w Unii Europejskiej:
Artykuł 3
Zakres terytorialny
- Niniejsze rozporządzenie dotyczy przetwarzania danych osobowych w kontekście działań ustanowienia kontrolera lub procesora w Unii, niezależnie od tego, czy przetwarzanie ma miejsce w związku, czy nie.
- Niniejsze rozporządzenie dotyczy przetwarzania danych osobowych osobników danych, które są w związku przez kontrolera lub procesora, który nie został ustanowiony w Unii, gdzie działania przetwarzania są powiązane:
(za) Oferta towarów lub usług, Niezależnie od tego, czy wymagana jest zapłata danych dotyczących danych, Do takich osób w związku; lub
(b) monitorowanie ich zachowania, jeśli chodzi o ich zachowanie w związku.
- Niniejsze rozporządzenie dotyczy przetwarzania danych osobowych przez kontrolera, który nie został ustanowiony w Unii, ale w miejscu, w którym prawo państwa członkowskiego ma zastosowanie na mocy prawa publicznego międzynarodowego.
Artykuł 3 Wydaje się, że narzuca RODO na arbitraż, w których w Unii Europejskiej odbywa się jakakolwiek forma przetwarzania lub kontroli danych, czy to przez instytucje arbitrażowe, arbitrzy, rada, świadkowie, Reporterzy sądowi, lub inne. Według recitali RODO, Przepis ma zastosowanie „między innymi, do działań sądów i innych organów sądowych”.[10] Zdaniem Borna, Powstaje zatem prawdopodobny argument, że arbitrowie i instytucje arbitrażowe mieszczą się w zakresie RODO.[11] To rodzi interesujące pytania, takie jak przeciążenie Dokumentuj wnioski o produkcję w arbitrażu może naruszyć RODO.
jednak, Trybunał arbitrażowy ustanowiony na mocy północnoamerykańskiej umowy o wolnym handlu („OLEJ”) w przypadku Tennant v. Kanada ustalił, że RODO nie miało zastosowania, mimo że jeden z jego arbitrów jest w Wielkiej Brytanii (Następnie członek Unii Europejskiej) i pomimo własnego zawiadomienia o prywatności danych na swojej stronie internetowej, wskazując, że był go objęty.[12] Trybunał uzasadnił to „Traktat, do którego ani Unia Europejska, ani jej państwa członkowskie są stroną, nie, przypuszczalnie, miej się w zakresie materiału RODO.”[13]
To sprawia, że zastosowanie RODO do arbitrażu międzynarodowego jest raczej niejasne. Jak argumentują Huang i Xie, Późniejszy Trybunał Sprawiedliwości Jurysprudencji Unii Europejskiej wskazuje, że mogła to być nieprawidłowa decyzja oparta na nieprawidłowej interpretacji artykułu 2.[14]
Niemniej jednak, Tylko czas pokaże, w jaki sposób trybunały arbitrażowe będą traktować przepisy dotyczące ochrony danych, takie jak RODO, które wydają się mieć efekt eksterytorialny.
Zamówienia proceduralne i środki ochronne
Na razie, obawy dotyczące ochrony danych powinny być ogólnie podnoszone na początku postępowania, Idealnie w czasie pierwszej konferencji zarządzania sprawami. Tą drogą, Strony mogą podać swoją sprawę i zapewnić, że zapewnione są odpowiednie środki ochrony danych.
London Court of International Arbitration's Arbitration Regulation 2020, na przykład, podaj następujące informacje:
30.5 Zgodnie z obowiązkami w artykule 14.1, Na wczesnym etapie arbitrażu trybunał arbitrażowy, w porozumieniu ze stronami i w stosownych przypadkach, Zastanów się, czy należy adoptować:
(ja) Wszelkie konkretne środki bezpieczeństwa informacji w celu ochrony informacji fizycznych i elektronicznych udostępnianych w arbitrażu; i
(ii) Wszelkie sposoby rozwiązania przetwarzania danych osobowych wytworzonych lub wymienianych w arbitrażu w świetle obowiązującej ochrony danych równoważnych przepisów.
30.6 Trybunał LCIA i arbitrażowy może wydawać wskazówki dotyczące bezpieczeństwa informacji lub ochrony danych, które są wiążące dla stron, oraz w przypadku wydanych przez LCIA, także o członkach trybunału arbitrażowego, z zastrzeżeniem obowiązkowych przepisów jakiegokolwiek obowiązującego prawa lub przepisów prawa.
Międzynarodowa Izba Handlowa publikuje domyślną klauzulę ochrony danych, między innymi, zapewnia to "[ja]F Wrażliwe/specjalne dane kategorii są przesyłane podczas arbitrażu, będzie on przetwarzany w zakresie niezbędnym do ustalenia, ćwiczenia, lub bronić roszczeń prawnych w arbitrażu.”[15]
Inną opcją jest zażądanie nakazu poufności w celu legalnego powiązania uczestników z niektórymi zobowiązaniami o zachowaniu informacji.
Wniosek
To oczywiste, W miarę ewolucji międzynarodowej arbitrażu w coraz bardziej cyfrowym i skoncentrowanym na danych, Ochrony danych nie można już traktować jako refleksji. W tym samym czasie, Jurisprudence i ustawodawcy mają cenne wskazówki. Aby zapewnić ochronę danych w międzynarodowych stronach arbitrażowych, muszą upewnić się, że korzystają z bezpiecznych platform, które są bezpieczne przed zagrożeniami bezpieczeństwa cybernetycznego. Muszą również uważać, aby rozważyć przepisy dotyczące ochrony danych, które mogą wpłynąć na każdą stronę arbitrażu. Wreszcie, Muszą pamiętać o swojej zdolności do żądania określonych przepisów w zleceń proceduralnych, aby zapewnić wyższy poziom ochrony danych.
[1] mi. Gonçalves i p. Branże, Kwestie dotyczące ochrony danych w arbitrażu międzynarodowym NS. Zmęczony i al. (Eds.) Przywództwo, Prawowitość, Dziedzictwo: Hołd dla Alexis Mourre (2022), P. 199.
[2] Reguły arbitrażowe Międzynarodowego Centrum Arbitrażu Singapuru 2025, Reguła 59.1.
[3] 2024 Reguły arbitrażu administrowanego przez HKIAC, Artykuł 45.1.
[4] Oxford Shipping przeciwko Nippon Yusen Kaisha [1984] 2 Przedstawiciel Lloyda 373, 379, jak cytowano w Ali Shipping Corporation przeciwko stoczni Trogir [1997] EWCA Civ 3054, P. 3.
[5] Ali Shipping Corporation przeciwko stoczni Trogic [1997] EWCA Civ 3054, pp. 18-21 („to jest jasne (I rzeczywiście strony nie kwestionują) że zasada obejmuje również błaganie, pisemne zgłoszenia, oraz dowody świadków, a także transkrypcje i notatki dowodów podanych w arbitrażu ”).
[6] Republika Filipin v. Chińska Republika Ludowa, PCA Nr sprawy. 2013-19, Nagroda, 12 lipiec 2016, najlepszy. 7-10.
[7] GroundConnect, Kamerashia: Zamknięcie przysłony na chińskiej jednostce 78020 (2019), P. 15.
[8] Rozporządzenie (ME) 2016/679 Parlamentu Europejskiego i Rady, Artykuł 32(1).
[9] Rozporządzenie (ME) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwiecień 2016 o ochronie osób naturalnych w odniesieniu do przetwarzania danych osobowych i swobodnego przemieszczania takich danych i uchylania dyrektywy 95/46/EC [2016] OJ l 119/1, Sztuka. 83.5.
[10] Rozporządzenie (ME) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwiecień 2016 o ochronie osób naturalnych w odniesieniu do przetwarzania danych osobowych i swobodnego przemieszczania takich danych i uchylania dyrektywy 95/46/EC [2016] OJ l 119/1, Recitale, dla. 20.
[11] sol. Urodzony, Rozdział 13: Prawa i obowiązki międzynarodowych arbitrów (Zaktualizowano luty 2024) w Międzynarodowy arbitraż handlowy (Trzecia edycja) (2024).
[12] Tennant Energy LLC v. Rząd Kanady, PCA Nr sprawy. 2018-54, Pytania i odpowiedź inwestora na pytania Trybunału RODO i pytania dotyczące prywatności danych, 4 czerwiec 2019.
[13] Tennant Energy LLC v. Rząd Kanady, PCA Nr sprawy. 2018-54, Komunikacja trybunału ze stronami, 24 czerwiec 2019.
[14] jot. Huand i d. Xie, Prawo ochrony danych w arbitrażu inwestycyjnym: Dotyczy lub nie?, w W. Park (wyd.), Międzynarodowy arbitraż (2021).
[15] Międzynarodowa Izba Handlowa, Model Klauzula ochrony danych do zamówienia proceduralnego pierwszego, https://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-protection-english.pdf (ostatni dostęp 23 Może 2025).