В епоху, коли дані є новою формою валюти, Захист конфіденційної інформації є важливою увагою в міжнародному арбітражі. В той самий час, Закони про захист даних у світі швидко розширилися до того, що, За словами Гонсалвеса та філії, "Не існує жодної сфери права, на яку не впливає ці питання."[1] Ця примітка досліджує ключові виклики та практичні міркування щодо теми захисту даних у міжнародному арбітражі.
Конфіденційність у міжнародному арбітражі
Міжнародний арбітраж широко цінується за його конфіденційним характером. На відміну від внутрішніх костюмів, Арбітражне провадження, як правило, відбувається за закритими дверима, і арбітражні нагороди залишаються неопублікованими, якщо інше не домовлено.
Цей принцип відображається в правилах більшості арбітражних установ. Наприклад, то 2025 Арбітражні правила Сінгапурського міжнародного арбітражного центру Забезпечте, що всі учасники арбітражу "має бути під постійним зобов'язанням ставитися до всіх питань, що стосуються провадження як до конфіденційності."[2]
Аналогічно, то 2024 HKIAC вводили арбітражні правила Міжнародного арбітражного центру Гонконгу констатуйте, що "[в]якщо інше не домовлено сторонами, Жоден представник партії чи партії не може публікувати, Розголошувати або повідомити будь -яку інформацію, що стосується […] арбітраж за арбітражною угодою".[3]
В Англії та Уельсі, Конфіденційність арбітражного провадження навіть має на увазі умови арбітражних угод (за обмеженими винятками). В Східна сага, Комерційний суд постановив, що "Сторони погодилися подати до арбітражу конкретних суперечок, що виникають між ними та лише між ними", спричиняючи мається на увазі термін конфіденційності.[4] В Алі доставка, Апеляційний суд підтвердив, що це поширюється на документи, які надаються сторонами, благання, письмові заяви, та показання свідків, між іншим.[5]
Кібербезпека: Уроки з PCA Hack
Однак, в рідкісних випадках, Дані витягуються з арбітражного провадження без згоди сторін.
В 2015, Постійний арбітражний суд ("PCA") проводив гучні слухання між Філіппінами та Китаєм через морську суперечку в Південно-Китайському морі. Конкретно, Філіппіни ініціювали арбітраж згідно з частиною XV Додатку VII до Конвенції Організації Об'єднаних Націй ("Розгорт"), Стверджуючи, що територіальні претензії Китаю до регіону виходили за рамки його прав під конвенцією і що він обтяжує суперечку сторін, будуючи низку штучних островів (Іноді називають “Велика стіна з піску") Щоб зміцнити його утримання над регіоном.[6]
Хоча Китай відмовився брати участь, Арбітраж проходив за його відсутності. Однак, на день 3 слухання, Незалежна фірма з кібербезпеки виявила експлуатацію на веб-сайті PCA, який нібито використовував група китайських хакерів, пов'язаних.[7] Конкретно, Група, як стверджувалося, зловживали експлуатацією в теперішньому відключеному Adobe Flash Play.
На щастя, З моменту не було гучного порушення даних 2015, А ризик порушення кібербезпеки, ймовірно, вищий від сторін, ніж арбітражні установи. Арбітражні установи також можуть мати законодавчі вимоги, щоб доглядати за таким порушенням даних. Наприклад, Стаття 32 з Загальний регламент захисту даних Великобританії забезпечує, що контролери даних та процесори ””здійснює відповідні технічні та організаційні заходи для забезпечення рівня безпеки, відповідного ризику".[8]
Це зрозуміло з вищезазначеного, тому, що існують тверді обмеження щодо використання для інших цілей даних, отриманих у ході міжнародного арбітражу. Однак, Поширення суворих режимів захисту даних означає, що учасники арбітражу повинні забезпечити належну обробку даних і в арбітражному процесі.
Законодавство про захист даних
За останнє десятиліття існує все більше законів про захист даних, включаючи Відомий загальний загальний регламент із захисту даних Європейського Союзу ("GDPR"). GDPR накладає великі штрафи за невідповідність до 20 мільйонів євро або 4% обороту компанії в попередньому році, залежно від того, що вище.[9] це є, тому, Важливо, щоб сторони, пов'язані з зв'язками з Європейським Союзом, відповідали його положенням.
На папері, Здається, що міжнародні арбітражі прямо підлягають GDPR, якщо в Європейському Союзі штаб -квартира або функціонує будь -які сторони:
Стаття 3
Територіальний обсяг
- Це регулювання стосується обробки персональних даних у контексті діяльності створення контролера або процесора в Союзі, незалежно від того, обробка відбувається в Союзі чи ні.
- Цей регламент стосується обробки персональних даних суб'єктів даних, які перебувають у союзі контролером або процесором, не встановленим у Союзі, де переробні заходи пов'язані з:
(а) Пропозиція товарів чи послуг, Незалежно від того, чи потрібна плата суб'єкта даних, до таких суб'єктів у Союзі; або
(б) Моніторинг їх поведінки, що стосується їх поведінки.
- Цей регламент стосується обробки персональних даних контролером, не встановленим у Союзі, Але в місці, де застосовується право членів державного законодавства в силу публічного міжнародного права.
Стаття 3 Здається, накладає GDPR на арбітраж, де в Європейському Союзі відбувається будь -яка форма обробки чи контролю даних, будь то арбітражними установою, арбітри, адвокат, свідків, Суд -репортери, або інші. Згідно з деклараціями GDPR, Положення застосовується "серед іншого, до діяльності судів та інших судових органів".[10] За словами Борн, Таким чином, виникає правдоподібний аргумент, що арбітраж та арбітражні установи підпадають під сферу дії GDPR.[11] Це викликає цікаві питання, наприклад, чи наперед Запити на виробництво документів в арбітражі може порушити GDPR.
Однак, Арбітражний трибунал, що складається згідно з Північноамериканською угодою про вільну торгівлю ("МАСЛО") у випадку Теннант V. Канада Визначив, що GDPR не застосовується, незважаючи на те, що один з його арбітрів знаходиться у Сполученому Королівстві (Тоді член Європейського Союзу) і незважаючи на власне повідомлення про конфіденційність даних на своєму веб -сайті, що вказує на те, що він його охоплював.[12] Трибунал міркував, що "Договір, до якого ні Європейський Союз, ані держави -члени не є партією, не, імовірно, заходити в матеріальну сферу GDPR."[13]
Це робить застосовність GDPR до міжнародних арбітражів досить незрозумілим. Як стверджують Хуанг і Сі, Пізніший суд юриспруденції Європейського Союзу свідчить про те, що це, можливо, було неправильним рішенням, заснованим на неправильному тлумаченні статті 2.[14]
Тим не менш, Тільки час покаже, як арбітражні трибунали будуть лікувати закони про захист даних, такі як GDPR, які, здається, мають екстериторіальний ефект.
Процедурні замовлення та захисні заходи
Поки що, Побоювання щодо захисту даних, як правило, слід викликати на початку провадження, В ідеалі приблизно під час першої конференції з управління справами. Сюди, Сторони можуть заявити про свою справу та забезпечити передбачення адекватних заходів захисту даних.
Лондонський суд арбітражу міжнародного арбітражу 2020, наприклад, надати наступне:
30.5 Відповідно до своїх обов'язків відповідно до статті 14.1, На ранньому етапі арбітражу арбітражний трибунал повинен, за консультацією з сторонами та, де це доречно, LCIA, подумайте, чи доцільно прийняти:
(я) Будь -які конкретні заходи безпеки інформаційної безпеки для захисту фізичної та електронної інформації, що ділиться в арбітражі; і
(ii) Будь -які засоби для вирішення обробки персональних даних, що виробляються або обмінюються в арбітражі з урахуванням чинного захисту даних еквівалентного законодавства.
30.6 LCIA та арбітражний трибунал можуть видавати вказівки, що стосуються безпеки інформації або захисту даних, що є обов'язковим для сторін, у випадку тих, що видаються ДМСА, також на членів арбітражного трибуналу, За умови обов'язкових положень будь -якого чинного закону чи Правил закону.
Міжнародна торгова палата публікує застереження про захист даних за замовчуванням, між іншим, передбачає, що "[я]F Чутливі/Спеціальні дані категорії подаються під час арбітражу, він повинен оброблятися в міру необхідності для встановлення, вправа, або захищати юридичні вимоги в арбітражі."[15]
Інший варіант-вимагати замовлення на конфіденційність, щоб законно прив’язати учасників до певних зобов’язань щодо нерозголошення.
Висновок
Очевидно, що, У міру розвитку міжнародного арбітражу у все більш цифровому та орієнтованому на дані світ, Захист даних більше не може розглядатися як задумка. В той самий час, З цього питання є дорогоцінні невеликі вказівки від юриспруденції та законодавців. Для того, щоб забезпечити захист даних у міжнародних арбітражних сторін, повинен забезпечити використання безпечних платформ, безпечних від загроз кібербезпеки. Вони також повинні подбати про розгляд законів про захист даних, які можуть вплинути на будь -яку сторону до арбітражу. Нарешті, Вони повинні мати на увазі свою здатність вимагати конкретних положень у процедурних замовленнях, щоб забезпечити більш високий рівень захисту даних.
[1] Е. Gonçalves і p. Індустрія, Питання захисту даних у міжнародному арбітражі у Г.. Втомлений і al. (едс.) Лідерство, Легітимність, Спадщина: Данина Алексісу Мурре (2022), с. 199.
[2] Арбітражні правила Сінгапурського міжнародного арбітражного центру 2025, Правило 59.1.
[3] 2024 Правила адміністративного арбітражу HKIAC, Стаття 45.1.
[4] Oxford Shipping v Nippon yusen Kaisha [1984] 2 Lloyd's Rep 373, 379, як цитується в Ali Shipping Corporation V Rifeward Trogir [1997] EWCA Civ 3054, с. 3.
[5] Ali Shipping Corporation v Riefyard Trogic [1997] EWCA Civ 3054, пп. 18-21 ("це зрозуміло (І справді сторони не оскаржують) що принцип охоплює також, письмові заяви, та докази свідків, а також стенограми та записки доказів, наведених у арбітражі »).
[6] Республіка Філіппіни V. Китайська Республіка, Справа № PCA. 2013-19, Нагорода, 12 Липень 2016, кращий. 7-10.
[7] Загроза, Камер: Закриття діафрагми на підрозділі Китаю 78020 (2019), с. 15.
[8] Регулювання (Я) 2016/679 Європейського парламенту та Ради, Стаття 32(1).
[9] Регулювання (Я) 2016/679 Європейського Парламенту та Ради Російської Федерації 27 Квітень 2016 про захист природних осіб щодо обробки персональних даних та про вільний рух таких даних та скасування Директиви 95/46/ЄС [2016] Oj l 119/1, Ст. 83.5.
[10] Регулювання (Я) 2016/679 Європейського Парламенту та Ради Російської Федерації 27 Квітень 2016 про захист природних осіб щодо обробки персональних даних та про вільний рух таких даних та скасування Директиви 95/46/ЄС [2016] Oj l 119/1, Декларація, для. 20.
[11] Г. Народився, Глава 13: Права та обов'язки міжнародних арбітрів (Оновлений лютий 2024) в Міжнародний комерційний арбітраж (Третє видання) (2024).
[12] Теннант Енергія ТОВ V. Уряд Канади, Справа № PCA. 2018-54, Питання та відповідь інвестора на питання Tribunal GDPR та питання конфіденційності даних, 4 Червень 2019.
[13] Теннант Енергія ТОВ V. Уряд Канади, Справа № PCA. 2018-54, Повідомлення Трибуналу з сторонами, 24 Червень 2019.
[14] Дж. Хуанд і Д. Xie, Закон про захист даних в інвестиційному арбітражі: Застосовується чи ні?, в W. Парк (ред.), Арбітражний Міжнародний (2021).
[15] Міжнародна торгова палата, Модель застереження про захист даних для процедурного замовлення, https://iccwbo.org/wp-content/uploads/sites/3/2021/01/icc-model-po1-data-protection-english.pdf (останній доступ 23 Може 2025).