在数据是一种新的货币形式的时代, 保护敏感信息是国际仲裁中的重要考虑因素. 与此同时, 世界数据保护法在范围上迅速扩展到, 根据贡萨尔维斯和分支机, “没有法律领域不会受到这些问题的影响.”[1] 本说明探讨了国际仲裁中数据保护主题的关键挑战和实际考虑因素.
国际仲裁保密
国际仲裁因其机密性而被广泛重视. 与国内西装不同, 仲裁程序通常发生在闭门造车后面, 除非另有同意,否则仲裁裁决仍未出版.
该原则反映在大多数仲裁机构的规则中. 例如, 的 2025 新加坡国际仲裁中心的仲裁规则 向所有参与者提供仲裁应承担将与诉讼有关的所有事项视为机密的持续义务.”[2]
相似地, 的 2024 HKIAC管理香港国际仲裁中心的仲裁规则 指出“[在]除非双方另行同意, 没有政党或政党代表可以发布, 披露或传达与 […] 根据仲裁协议的仲裁”.[3]
在英格兰和威尔士, 仲裁程序的机密性甚至隐含在仲裁协议条款中 (有限的例外). 在 东部传奇, 商业法院裁定“当事方同意服从他们之间的仲裁,并且仅在他们之间出现的特定争议”, 产生隐含的保密性.[4] 在 阿里运输, 上诉法院证实,这扩展到当事方生产的文件, 诉状, 书面意见, 和证人陈述, 除其他事项外.[5]
网络安全: PCA骇客的教训
然而, 在极少数情况下, 未经双方同意的仲裁程序提取数据.
在 2015, 常设仲裁法院 (“主成分分析”) 菲律宾和中国之间在南中国海举行了海上争端,主持了备受瞩目的听证会. 特别, 菲律宾根据《联合国海洋法公约 (“联合国海洋法公约”), 声称中国对该地区的领土主张超出了公约下的权利,并且通过建造一系列人造岛屿来加剧当事方的争议 (有时被称为“沙滩”) 加强对该地区的持有.[6]
尽管中国拒绝参加, 仲裁在缺席的情况下进行. 然而, 在一天 3 听证会, 一家独立的网络安全公司在PCA网站上发现了一个漏洞.[7] 特别, 据称该小组滥用了现已掩盖的Adobe Flash播放器中的剥削,以访问和更改法院网站的一部分,以在访问者的计算机上加载恶意代码.
幸好, 自从没有备受瞩目的数据泄露以来 2015, 违反网络安全的风险可能高于仲裁机构. 仲裁机构也可能有法定要求,以防止此类数据泄露. 例如, 文章 32 的 英国的一般数据保护法规 提供数据控制器和处理器“应采取适当的技术和组织措施,以确保适合风险的安全水平”.[8]
从上面可以明显看出, 因此, 在国际仲裁过程中获得的对其他数据的其他目的有公司的限制. 然而, 严格的数据保护制度的扩散意味着仲裁参与者必须确保在仲裁程序中正确处理数据.
数据保护立法
在过去的十年中,越来越多的数据保护法已经存在, 包括 欧盟著名的通用数据保护法规 (“GDPR”). GDPR对不合规的罚款高达2000万欧元或 4% 上一年的营业额, 以较高为准.[9] 它是, 因此, 与欧盟有联系的当事方遵守其规定.
在纸上, 如果任何当事方总部位于欧盟,国际仲裁似乎正受到GDPR的限制:
文章 3
领土范围
- 本法规适用于在建立控制器或工会中的处理器的活动中处理个人数据的处理, 无论该处理是否在工会中进行.
- 该法规适用于处理联盟中未建立的控制器或处理器在工会中的数据主体的个人数据处理, 处理活动与:
(一种) 提供商品或服务, 不管是否需要付款数据主体, 联盟中的此类数据主体; 要么
(b) 监督他们的行为,只要他们的行为发生在欧盟内部.
- 该法规适用于未在工会中建立的控制器对个人数据的处理, 但是,在成员国法律根据公共国际法适用的地方.
文章 3 似乎将GDPR强加于欧盟发生任何形式的数据处理或控制形式的仲裁, 是由仲裁机构, 仲裁员, 法律顾问, 证人, 法院记者, 或其他. 根据GDPR的见证, 该法规适用除其他外, 参加法院和其他司法机构的活动”.[10] 根据博恩, 因此,有一个合理的论点是,仲裁员和仲裁机构属于GDPR的范围.[11] 这提出了有趣的问题, 例如过度 仲裁中的文件生产请求 可能会违反GDPR.
然而, 根据北美自由贸易协定构成的仲裁庭 (“机油”) 如果是 Tennant v. 加拿大 确定,尽管其中一位仲裁员在英国,但GDPR不适用 (然后是欧盟成员) 尽管他的网站上有自己的数据隐私通知,表明他已被它覆盖.[12] 法庭认为“欧盟和成员国既不是政党的条约, 才不是, 推定, 进入GDPR的材料范围内.”[13]
这使得GDPR对国际仲裁的适用性还不清楚. 正如黄(Huang)和西(Xie)所说的, 后来的欧盟法院法院表明,这可能是基于对条款的错误解释的错误决定 2.[14]
不过, 只有时间才能说明仲裁庭如何处理似乎具有域外效应的GDPR等数据保护法.
程序命令和保护措施
目前, 对数据保护的担忧通常应在诉讼中提早提高, 理想情况下,在第一次案件管理会议期间. 这边走, 当事方可以说明其案件,并确保提供适当的数据保护措施.
伦敦国际仲裁法院的仲裁规则 2020, 例如, 提供以下内容:
30.5 根据其条款的职责 14.1, 在仲裁的早期阶段仲裁庭应, 在与当事方协商时,在适当的情况下,LCIA, 考虑是否合适:
(一世) 任何特定的信息安全措施,以保护仲裁中共享的物理和电子信息; 和
(ii) 根据适用的同等立法的适用数据保护,以解决仲裁中生产或交换的个人数据处理的任何方法.
30.6 LCIA和仲裁庭可以发布有关信息安全或数据保护的指示, 对双方具有约束力, 如果是由LCIA发布的, 也是仲裁庭的成员, 遵守任何适用法律或法律规则的强制性规定.
国际商会发布了默认数据保护条款, 除其他事项外, 规定“[一世]F敏感/特殊类别数据是在仲裁期间提交的, 它应在建立必要的范围内处理, 锻炼, 或捍卫仲裁中的法律要求.”[15]
另一个选择是要求机密命令将参与者合法地绑定到某些不披露义务.
结论
显然, 随着国际仲裁在越来越以数据为中心和数据的世界中演变, 数据保护不再被视为事后的想法. 与此同时, 法学和立法者就此事几乎没有宝贵的指导. 为了确保国际仲裁方中的数据保护必须确保他们使用安全的平台,这些平台免受网络安全威胁. 他们还必须注意考虑可能影响仲裁当事方的数据保护法. 最后, 他们必须牢记自己在程序订单中要求特定规定的能力,以确保更高的数据保护水平.
[1] Ë. gonçalves和p. 行业, 国际仲裁中的数据保护问题 在 G. 累了. (eds。) 领导, 合法性, 遗产: 向亚历克西斯·穆雷致敬 (2022), p. 199.
[2] 新加坡国际仲裁中心的仲裁规则 2025, 规则 59.1.
[3] 2024 香港国际仲裁中心的仲裁规则, 文章 45.1.
[4] 牛津运输v Nippon Yusen Kaisha [1984] 2 劳埃德代表 373, 379, 如所引用 Ali Shipping Corporation v造船厂Trogir [1997] EWCA文明 3054, p. 3.
[5] 阿里航运公司诉造船厂Trogic [1997] EWCA文明 3054, pp. 18-21 (“很明显 (实际上,各方也没有争议) 原则涵盖也恳求, 书面意见, 以及证人的证明以及仲裁中给出的证据的笔录和笔记”).
[6] 菲律宾共和国诉. 中华人民共和国, PCA案号. 2013-19, 奖, 12 七月 2016, 最好. 7-10.
[7] 威胁连接, 摄影: 关闭中国单位的光圈 78020 (2019), p. 15.
[8] 规 (我) 2016/679 欧洲议会和理事会, 文章 32(1).
[9] 规 (我) 2016/679 欧洲议会和理事会理事会 27 四月 2016 关于自然人的保护以及该数据的自由移动和废除指令95/46/EC的保护 [2016] OJL。 119/1, 艺术. 83.5.
[10] 规 (我) 2016/679 欧洲议会和理事会理事会 27 四月 2016 关于自然人的保护以及该数据的自由移动和废除指令95/46/EC的保护 [2016] OJL。 119/1, 独奏, 为. 20.
[11] G. 天生, 章节 13: 国际仲裁员的权利和义务 (2月更新 2024) 在 国际商事仲裁 (第三版) (2024).
[12] Tennant Energy LLC V. 加拿大政府, PCA案号. 2018-54, 问题和投资者对法庭GDPR的回答问题和数据隐私问题, 4 六月 2019.
[13] Tennant Energy LLC V. 加拿大政府, PCA案号. 2018-54, 法庭与政党的沟通, 24 六月 2019.
[14] Ĵ. Huand and D. XIE, 投资仲裁中的数据保护法: 是否适用?, 在 W. 公园 (ed。), 国际仲裁 (2021).
[15] 国际商会, 过程订单的模型数据保护条款一, https://iccwbo.org/wp-content/uploads/sites/3/3/2021/01/icc-model-po1-data-protection-english.pdf (最后访问 23 可以 2025).