В эпоху, когда данные являются новой формой валюты, Защита конфиденциальной информации является важным фактором в международном арбитраже. В то же время, Законы о защите данных мира быстро расширились по объему до такой степени, что, По словам Гонсалвеса и Вещика, «нет области закона, на которую не влияют эти вопросы.»[1] В этой записке рассматриваются ключевые проблемы и практические соображения, связанные с темой защиты данных в международном арбитраже.
Конфиденциальность в международном арбитраже
Международный арбитраж широко ценится за его конфиденциальный характер. В отличие от домашних костюмов, Арбитражное разбирательство обычно происходит за закрытыми дверями, и арбитражные награды остаются неопубликованными, если не согласовано.
Этот принцип отражен в правилах большинства арбитражных учреждений. Например, то 2025 Арбитражные правила Сингапурского международного арбитражного центра Предоставьте это всем участникам в арбитраже »обязанность рассматривать все вопросы, касающиеся разбирательства как конфиденциальные.»[2]
так же, то 2024 Арбитражные правила Гонконгского международного арбитражного центра Укажите, что «[в]Если стороны не договорились об ином, Ни один из партий или представителя партии не может опубликовать, раскрывать или сообщать любую информацию, касающуюся [...] Арбитраж в соответствии с арбитражным соглашением».[3]
В англии и уэльсе, Конфиденциальность арбитражных разбирательств даже подразумевается в условиях арбитражных соглашений (с ограниченными исключениями). В Восточная сага, Коммерческий суд постановил, что «Стороны согласились представить в арбитраж конкретные споры, возникающие между ними и только между ними», вызывая подразумеваемое термин конфиденциальности.[4] В Али доставка, Апелляционный суд подтвердил, что это распространяется на документы, которые создаются сторонами, судоговорение, письменные представления, и свидетельские показания, среди прочего.[5]
Кибербезопасность: Уроки от взлома PCA
Однако, в редких случаях, Данные извлекаются из арбитражного разбирательства без согласия сторон.
В 2015, Постоянный арбитражный суд («СПС») проводил громкие слушания между Филиппинами и Китаем по морским спорам в Южно-Китайском море. конкретно, Филиппины инициировали арбитраж в соответствии с частью XV приложения VII к Конвенции Организации Объединенных Наций по закону моря («КООНМП»), утверждая, что территориальные заявления Китая в регионе вышли за рамки своих прав в соответствии с конвенцией и что усугубляет спор сторон, построив серию искусственных островов (иногда называли «Отличная песчаная стена») чтобы укрепить его удержание над регионом.[6]
Хотя Китай отказался участвовать, Арбитраж продолжил его отсутствие. Однако, в день 3 слушания, Независимая фирма по кибербезопасности обнаружила эксплойт на веб-сайте PCA, который якобы использовался группой китайских хакеров, связанных с государством.[7] конкретно, Утверждается, что группа злоупотребляла эксплойтом в нынешнном Adobe Flash Player, чтобы получить доступ и изменить части веб-сайта суда, чтобы загрузить вредоносный код на компьютеры посетителей.
к счастью, не было громкого нарушения данных с момента 2015, и риск нарушения кибербезопасности, вероятно, выше от сторон, чем арбитражные учреждения. Арбитражные учреждения также могут иметь законом требования, чтобы позаботиться о предотвращении таких нарушений данных. Например, Статья 32 из Общее правила защиты данных Великобритании Предоставляет этот контроллер данных и процессоры »должен принять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску».[8]
Это ясно из вышеизложенного, следовательно, То, что существуют твердые ограничения на использование для других целей данных, которые были получены в ходе международного арбитража. Однако, Пролиферация строгих режимов защиты данных означает, что участники арбитража должны убедиться, что данные также обрабатываются и в рамках арбитражного процесса..
Законодательство о защите данных
За последнее десятилетие все больше и больше законов о защите данных существовали, в том числе Известное общее регулирование защиты данных Европейского Союза («GDPR»). GDPR налагает сильные штрафы за несоблюдение до 20 миллионов евро или 4% оборота компании в предыдущем году, что бы ни было выше.[9] это, следовательно, Крайнее, что партии с связями с Европейским Союзом соответствуют его положениям.
На бумаге, Похоже, что международные арбитражные арбитражи прямо подвергаются GDPR, если какие -либо стороны, которые им не поступают штаб -квартиру, работают в Европейском союзе:
Статья 3
Территориальная область
- Это регулирование применяется к обработке личных данных в контексте деятельности создания контроллера или процессора в профсоюзе, Независимо от того, происходит ли обработка в Союзе или нет.
- Это правила применяется к обработке личных данных субъектов данных, которые находятся в союзе контроллером или процессором, не установленным в профсоюзе, где обработка связана с:
(а) предложение товаров или услуг, Независимо от того, требуется ли оплата субъекта данных, к таким субъектам данных в Союзе; или
(б) мониторинг их поведения в отношении их поведения происходит в рамках профсоюза.
- Это правила применяется к обработке личных данных контроллером, не установленным в профсоюзе, но в месте, где закон государства -члена применяется в силу государственного международного права.
Статья 3 По -видимому, навязывает GDPR на арбитражи, где какая -либо форма обработки или контроля данных имеет место в Европейском союзе, Будь то арбитражные учреждения, арбитры, адвокат, свидетелей, судебные репортеры, или другие. Согласно концертам GDPR, Регламент применяется «среди прочего, на деятельность судов и других судебных органов».[10] По мнению Борна, Таким образом, возникает правдоподобный аргумент, что арбитры и арбитражные учреждения попадают в объем GDPR.[11] Это поднимает интересные вопросы, например, будь то сверхбиточная Запросы на производство документов в арбитраже может нарушить GDPR.
Однако, Арбитражный суд, созданный в соответствии с Североамериканским соглашением о свободной торговле («НАФТА») в случае Tennant v. Канада определил, что GDPR не применяется, несмотря на то, что один из его арбитров был в Великобритании (тогда член Европейского Союза) и, несмотря на свое собственное уведомление о конфиденциальности данных на его веб -сайте, указывающее, что он охватил его.[12] Трибунал рассуждал, что «договор, в котором ни Европейский Союз, ни его государства -члены не являются партией, не, предположительно, войти в материал масштаба GDPR.»[13]
Это дает применимость GDPR к международным арбитражам довольно неясно. Как спорят Хуан и Си, Позднее суд юриспруденции Европейского Союза указывает на то, что это могло быть неправильным решением, основанным на неправильном толковании статьи 2.[14]
тем не менее, Только время покажет, как арбитражные трибуналы будут рассматривать законы о защите данных, такие как GDPR, которые, по -видимому, оказывают экстратерриториальный эффект.
Процедурные заказы и защитные меры
На данный момент, Обеспокоенность по поводу защиты данных, как правило, должно быть повышено на ранней стадии разбирательства, В идеале во время первой конференции по управлению делами. Сюда, Стороны могут указать свой случай и обеспечить предоставление адекватных мер по защите данных.
Арбитражные правила лондонского суда международного арбитража 2020, например, предоставить следующее:
30.5 В соответствии с его обязанностями в соответствии с статьей 14.1, На ранней стадии арбитража арбитражный суд, В консультации с сторонами и при необходимости, LCIA, подумайте, уместно принять:
(я) Любые конкретные меры информационной безопасности для защиты физической и электронного информации, передаваемой в арбитраже; и
(б) Любые средства для рассмотрения обработки персональных данных, созданных или обмена в арбитраже в свете применимой защиты данных эквивалентного законодательства.
30.6 LCIA и арбитражный трибунал могут выпускать указания, посвященные информационной безопасности или защите данных, который является обязательным для сторон, и в случае тех, которые были выпущены LCIA, Также на членах арбитражного трибунала, при условии обязательных положений любого применимого закона или правил права.
Международная торговая палата публикует пункт о защите данных по умолчанию, который, среди прочего, предусматривает, что «[я]F -конфиденциальные/специальные данные категории представлены во время арбитража, он должен быть обработан в той степени, в которой необходимо для установления, упражнение, или защищать юридические претензии в арбитраже.»[15]
Другой вариант-запросить приказ о конфиденциальности, чтобы законно связать участников с определенными обязательствами по неразглашению..
Заключение
Очевидно, что, Поскольку международный арбитраж развивается во все более цифровом и ориентированном на данные мира, Защита данных больше не может рассматриваться как запоздалая мысль. В то же время, Существует драгоценное небольшое руководство со стороны юриспруденции и законодателей по этому вопросу. Чтобы обеспечить защиту данных в международных арбитражных сторонах, должны убедиться, что они используют безопасные платформы, которые безопасны от угроз кибербезопасности. Они также должны позаботиться о том, чтобы рассмотреть законы о защите данных, которые могут повлиять на любую сторону арбитража. в заключение, Они должны иметь в виду их способность запрашивать конкретные положения в процедурных заказах, чтобы обеспечить более высокий уровень защиты данных.
[1] Е. Гонсалвес и р. Промышленность, Проблемы защиты данных в международном арбитраже в G. Устал и Ал. (ред.) Лидерство, Легитимность, Наследие: Дань Алексис Соррр (2022), п. 199.
[2] Арбитражные правила Сингапурского международного арбитражного центра 2025, правило 59.1.
[3] 2024 Управляемый арбитражный регламент HKIAC, Статья 45.1.
[4] Oxford Shipping v Nippon Yusen Kaisha [1984] 2 Ллойд Реп 373, 379, как цитируется в Ali Shipping Corporation v Shipyard Trogir [1997] EWCA Civ 3054, п. 3.
[5] Ali Shipping Corporation v Shipyard Trogic [1997] EWCA Civ 3054, стр. 18-21 («ясно (и действительно стороны не оспаривают) что принцип покрывает также заявления, письменные представления, и доказательства свидетелей, а также транскриптов и заметок доказательств, приведенных в арбитраже »).
[6] Республика Филиппины v. Китайская Народная Республика, PCA Дело №. 2013-19, награда, 12 июль 2016, лучший. 7-10.
[7] Угроза, Операционные: Закрытие диафрагмы на подразделении Китая 78020 (2019), п. 15.
[8] регулирование (США) 2016/679 европейского парламента и совета, Статья 32(1).
[9] регулирование (США) 2016/679 Европейского парламента и Совета 27 апрель 2016 о защите естественных лиц в отношении обработки персональных данных и свободного перемещения таких данных и отмены директивы 95/46/ec [2016] Oj l 119/1, Изобразительное искусство. 83.5.
[10] регулирование (США) 2016/679 Европейского парламента и Совета 27 апрель 2016 о защите естественных лиц в отношении обработки персональных данных и свободного перемещения таких данных и отмены директивы 95/46/ec [2016] Oj l 119/1, Концерты, для. 20.
[11] г. Родился, глава 13: Права и обязанности международных арбитров (Обновлено в феврале 2024) в Международный коммерческий арбитраж (Третье издание) (2024).
[12] Tennant Energy LLC V. Правительство Канады, PCA Дело №. 2018-54, Вопросы и ответ инвесторов на вопросы GDPR Трибунала и вопросы конфиденциальности данных, 4 июнь 2019.
[13] Tennant Energy LLC V. Правительство Канады, PCA Дело №. 2018-54, Общение Трибунала с сторонами, 24 июнь 2019.
[14] Дж. Хуанд и д. Xie, Закон о защите данных в инвестиционном арбитраже: Применимо или нет?, в W. Парк (редактор), Арбитраж Международный (2021).
[15] Международная Торговая Палата, Статья о защите данных модели для процедурного заказа первого, HTTPS://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-protection-english.pdf (последний доступ 23 май 2025).