巨人的衝突:GDPR 與國際仲裁 - 展望未來

刊物: November 10, 2021

Back to overview

作者

Catherine Raudaschl

相關專家指南

簡介

近年來,關於個人資料隱私和網路安全對國際仲裁實際進行的實際影響的問題不斷出現,尤其是在考慮到技術不斷變化的情況下。

2020 年 5 月,《一般資料保護條例》(GDPR)[1] 慶祝了它的第二個生日。GDPR 的個人資料保護框架旨在確保「已識別或可識別的自然人」個人資料的自由流動。[2]GDPR 適用於歐盟境內,並具有可能延伸至歐盟境外的域外範圍;[3]GDPR 不僅可能影響所有自然人或法人,還使公共機關、機構和其他團體(可能包括國際組織)承擔個人資料保護義務。[4]GDPR 的制裁額可能高達違規實體上一財政年度全球年營業額的 4% 或 2,000 萬歐元,以較高者為準。[5]多個司法管轄區已對 GDPR 施加數百萬歐元的罰款,證明有必要認真對待其應用。

儘管個人資料保護法適用於仲裁的規定已經確立,但應用法律的方式尚未確立。因此,國際商事仲裁理事會 (ICCA) 與國際律師協會 (IBA) 於 2019 年 2 月成立了國際仲裁程序中的資料保護聯合工作小組 (Joint Task Force on Data Protection in International Arbitration Proceedings),旨在製作一份指南,為國際仲裁中的個人資料保護提供實用指引。專責小組於 2020 年 3 月發佈了該指南的諮詢草案。[7]本評論將以該路線圖草案(路線圖)為基礎,[8]路線圖的最終修訂版預計將於 2021 年 9 月發佈。儘管在撰寫本文時,諮詢稿的評論截止日期已過,但路線圖的初步版本仍能說明 GDPR 在國際仲裁中提出的問題。因此,它將被用作討論的基礎。

大多數個人資料保護法在仲裁程序中都是強制性的,這意味著它們規定了

  • 哪些個人資料可被處理;
  • 在何處
  • 以何方式處理;
  • 採用何種資訊安全措施;以及
  • 多長時間。

但是,它們並未提及在仲裁程序中應如何遵守這些具有約束力的義務。在缺乏監管機構具體指導的情況下,本路線圖旨在幫助仲裁專業人士識別和瞭解他們在國際仲裁中可能要遵守的個人資料保護和隱私權義務。此外,在國際仲裁程序中,GDPR 保護的範圍仍是相關的,主要是 GDPR 法律是否適用於在歐盟以外地點進行的仲裁。如果發現 GDPR 適用於仲裁,則會有各種進一步的影響:首先,是否禁止個人資料處理;其次,是否限制個人資料轉移至歐盟之外。最後,由於網路攻擊日益頻繁,仲裁遭受此類攻擊的後果可能會帶來重大損害。

本文旨在提供對路線圖的評論,並探討國際仲裁程序中個人資料保護義務應考慮的實際措施。本文認為路線圖是一個很有前途的工具,儘管並不完整,但可以補充迄今為止各種協調國際仲裁的軟法嘗試,其中最著名的是國際律師協會 (IBA) 和聯合國國際貿易法委員會 (UNCITRAL) 的工具。

首先,我們將簡單介紹路線圖,其中包括 GDPR 原則。這並非全面性的概述,而是介紹路線圖的重點,讓讀者了解後續討論的背景。其次,將針對六個相關議題提供評論:

  • GDPR 適用於歐盟以外的仲裁;
  • 北美自由贸易协定 (NAFTA) 仲裁中的 GDPR,如 Tennant Energy, LLC v Government of Canada 一案所示;[10]
  • 在 Covid-19 大流行期間重要性大增的視訊會議問題,包括提及「ICCA-NYC Bar-CPR 關於國際仲裁中的網路安全議定書」(網路安全議定書)[11]國際律師協會的「網路安全指引」[12]以及「國際商會關於旨在減輕 COVID-19 大流行影響的可能措施的指引說明」;[13]
  • 第三方資金提供者」以及如何在路線圖中將其納入考量;
  • 濫用 GDPR,尤其是作為不披露資訊的擋箭牌;以及
  • 利用不遵守個人資料保護規定作為廢止或拒絕承認和執行仲裁裁決的途徑的可能性。

最後的想法將在結論中提供。

路線圖

個人和法律實體有義務保護資料當事人的個人資料。仲裁本身不受個人資料保護義務的約束。但是,如果只有仲裁的一個參與者受個人資料保護義務的約束,仲裁作為一個整體可能會受到影響。個人資料處理是否屬於相關法律、資料和管轄範圍將決定個人資料保護法是否適用[14]

現代個人資料保護法適用於在相關個人資料保護法管轄範圍內的活動中處理資料當事人個人資料的情況。[15]個人資料包括「與已識別或可識別的自然人有關的任何資訊」。因此,它們很可能被視為符合「個人資料」的定義。資料當事人」是指上述被識別或可識別的個人。[17]處理包括主動和被動的操作,因此包括使用、傳播和刪除個人資料,以及接收、組織和儲存個人資料。[18]適用範圍包括在歐盟境內[19]控制者或處理者的機構活動中處理個人資料時的行動,以及域外處理個人資料時的行動,例如,將個人資料轉移至歐盟境外,轉移至並非因其他原因已受 GDPR 規範的實體或個人。

仲裁員將被定性為資料控制者,這意味著他們將負責遵守個人資料保護法。但是,根據「資料控制者」的定義;[21]大部分仲裁參與者[22]都可能被視為資料控制者,包括律師、當事人和仲裁機構。資料控制者可將資料處理委託給資料處理者,[23]資料處理者將在其控制之下,並需要根據適用法律規定的條款簽訂資料處理協議。因此,秘書、謄寫員、翻譯員和其他人都可能被視為資料處理者。此外,還有共同控制者的問題,他們共同決定資料處理的目的和方式。共同控制權有廣義的解釋,但共同控制者的責任只限於控制者所決定的處理方式、目的和手段,而非整體處理。

在國際仲裁中,司法管轄區之間個人資料移轉的限制是個人資料保護法適用的明顯方式。不同仲裁參與者的背景將決定不同個人資料保護制度的適用。現代個人資料保護法限制個人資料轉移到第三國,以確保法律義務不會因為個人資料轉移到個人資料保護標準較低的司法管轄區而被規避。[25]如果發生下列情況之一,GDPR 允許第三國個人資料轉移:

  • 歐盟委員會認為該國已提供足夠的個人資料保護;
  • 實施明確列出的保障措施之一;
  • 減損條款允許為建立、行使或辯護法律索賠所需的轉移;或
  • 一方令人信服的合法利益。

這些規則適用於仲裁參與者,而非整個仲裁,因此規定每個仲裁參與者都要考慮哪些個人資料移轉限制適用於他們。

適用於仲裁的個人資料保護原則包括公平合法處理、相稱性、資料最小化、目的限制、資料當事人權利、準確性、資料安全性、透明性和責任。

其中幾項原則需要進一步評論。公平合法處理是指個人資料只應以資料當事人合理預期的方式處理,且處理必須有法律依據。應用公平原則時,當事人及其律師應撫心自問,就所有事實而言,個人是否會預期其個人資料會以這樣的方式處理,是否會對其造成不利後果,以及這些後果是否合理。此原則不會阻止在商業電子郵件中發現的個人資料被接納為證據。

合法處理的概念包含一個以事實為導向且針對特定案例的法律基礎。與其依賴同意,不如援引 GDPR 中特定的法律基礎。

相稱性要求考慮處理的性質、範圍、情境和目的,並與資料當事人所承受的風險相對應。[29]資料最小化要求仲裁參與者將處理限制於充分、相關且僅限於必要的個人資料。[30]透明度要求透過一般通知、特定通知或兩種方式,告知資料當事人處理個人資料的方式和目的。[31]問責性與遵守資料保護規定的個人責任有關,這意味著仲裁參與者應記錄所有個人資料保護措施和所做的決定,以證明遵守規定。

遵守個人資料保護規定會影響國際仲裁程序的各個步驟,不僅在仲裁期間,在準備階段也是如此。從一開始,仲裁參與人就應該考慮哪些個人資料保護法適用於自己和其他仲裁參與人,以及哪些仲裁參與人將以控制者、處理者或共同控制者的身份處理個人資料。此外,還應考慮第三國家的個人資料傳輸規則和有關第三方服務提供商的個人資料處理協議。在文件收集和審查過程中,當事人及其法律顧問需要處理活動和第三國個人資料轉移的合法依據

仲裁請求以及後續提交的文件將包括完全屬於處理範圍的個人資料。如果仲裁機構受適用的個人資料保護法約束,則需要考慮在每個程序步驟中適用的潛在個人資料保護義務。如果仲裁機構受 GDPR 約束,它通常會成為個人資料的控制者。為遵守 GDPR 第 13 條和第 14 條,此類機構應在其隱私權聲明中包含有關安全措施、資料當事人權利的行使、記錄維護、資料外洩和保留政策的資訊。[34]然而,管理投資者與國家間仲裁的國際組織,可能會因為組成國或所在國協議中的特權和豁免而被排除在個人資料保護法的範圍之外。因此,在此需要單獨考慮,包括該組織是否受個人資料保護法的約束,以及仲裁參與者是否 - 以及在多大程度上 - 受特權與豁免的保護。

在仲裁庭指定仲裁員的過程中,通常會交換大量潛在仲裁員的個人資料。仲裁參與人應在其法律通知中包括處理這些個人資料的法律依據,並明確通知被考慮任命的仲裁員其個人資料的處理,尤其是在第三國個人資料轉移的情況下。

仲裁開始後,應及早分配個人資料保護的合規責任,以盡量降低風險。個人資料保護應列入第一次程序會議的議程,仲裁參與者應嘗試盡早就如何處理個人資料保護合規性達成一致。當事人、其律師和仲裁員應考慮簽訂個人資料保護協議,以有效管理合規問題。如果無法達成,另一個選擇是由仲裁庭將其納入第一號程序令。

在文件製作與揭露程序中,個人資料最小化原則尤其相關。根據 GDPR,這可能需要

  • 將披露的個人資料限制於相關且不重複的內容;
  • 識別回應資料中包含的個人資料;以及
  • 編輯或假名化不必要的個人資料。

這些問題也應該在訴訟程序的早期,最好是在第一次程序會議時或之前,就加以考量。

在作出裁決時,仲裁員和仲裁機構應考慮在裁決中包含個人資料的依據和必要性。如果仲裁是保密的,裁決在執行時仍有公開的風險。即使個人資料被刪除,它通常仍然是個人資料,因為資料當事人可從裁決或相關材料的其餘部分被識別出來。

根據 GDPR,資料保留和刪除被視為處理,GDPR 規定,個人資料應 「以允許識別資料當事人的形式保存,保存時間不得超過個人資料處理目的所需的時間」。仲裁參與者需要考慮何種資料保留期限是合理的,並應採取相稱的方式來平衡其需求與資料保留對當事人的影響[41]

GDPR 對於歐盟以外所進行仲裁的適用性

一般資料保護條例》的領域範圍相對廣泛。無論執業者是否在歐盟境內,或仲裁是否在歐盟境內進行,都應了解其適用範圍。GDPR 適用於在歐盟設立的控制者或處理者對個人資料的處理,不論處理本身是否在歐盟進行 (第 3(1) 條)。此外,當涉及向歐盟公民提供商品或服務,或監控發生在歐盟境內的行為時,GDPR 適用於由非設立在歐盟境內的控制者或處理者處理個人資料 (第 3(2) 條)。

適用於仲裁情境時,GDPR 對資料控制者和處理者 (仲裁員、律師、當事人和機構) 所施加的義務,屬於其實質和地域範圍,而非直接對仲裁程序所施加的義務。即使只有一位仲裁參與者與歐盟有關聯,他們也有義務依照 GDPR 處理個人資料。可能會對整個程序產生影響

在國際仲裁的情況下,傳輸包含個人資料的仲裁資料是很常見的事,也許最值得注意的是對個人資料傳輸至歐洲經濟區 (EEA) 以外「第三國家」的限制。在此情況下,允許個人資料轉移需要四種合法依據之一。首先,如果第三國受充分性決定 (第 45(1) 條) 約束,則允許向該第三國轉移。[43]如果情況並非如此,則應在可行的情況下實施適當的保障措施 (第 46(1) 條)。[44]如果沒有充分性決定,且適當的保障措施也不可行,則可依賴特定的減損(第 49(1)條)。[45]最後,在沒有上述規定的情況下,一方可依賴令人信服的合法利益(第 49(1)條)[46],作為第三方個人資料移轉的合法基礎。

路線圖頗為全面地列出了仲裁參與者需要考慮的必要因素。路線圖多次強調,個人資料保護原則和轉移規則適用的是仲裁參與者,而非仲裁本身。[47]根據這一點,推定的結論是,以歐盟為基地的仲裁員參與不受 GDPR 約束的非歐盟仲裁,仍需遵守 GDPR 的個人資料處理和轉移規定。在商事仲裁程序中,這一點確實已被普遍接受,[48]但在涉及投資人與國家間的仲裁時,情況就不那麼明確了。

Tennant Energy, LLC v Government of Canada一案

2019 年,在北美自由贸易协定第 11 章仲裁 Tennant Energy, LLC v Government of Canada (Tennant) 案中,[49]申请人 Tennant 鉴于仲裁庭成员之一的英国国籍和住所,提出了 GDPR 适用于仲裁程序的问题。然而,仲裁庭向當事人發出指示,指出「根據 NAFTA 第 11 章(歐盟及其會員國均非其締約國的條約)進行的仲裁,推定不屬於 GDPR 的實質範圍」[50]

重要的是要區分以條約為基礎的仲裁和商業仲裁,Tennant 屬於前者。51]Tennant 仲裁中的仲裁庭成員可能受制於常設仲裁法院 (PCA) 與荷蘭簽訂的《總部協議》所衍生的某些豁免權。然而,NAFTA 仲裁庭并未考虑,作为一个国际组织,PCA 是否会受到 GDPR 转移规则的约束,或者仲裁庭成员是否会从该协议中获得某些豁免权。

關於 GDPR 是否適用於 NAFTA 訴訟程序,以及更廣泛地適用於以條約為基礎的仲裁,Tennant 的指示所提出的問題比它所提供的答案還要多,細緻的討論超出了目前的範圍。儘管如此,從路線圖來看,Tennant 方向確實顯示此主題仍有很大的不確定性。特別是考慮到路線圖是在 Tennant 指令頒佈之後才頒佈的,但卻沒有對後者給予任何考慮,路線圖是否為面對此問題的仲裁參與者帶來任何明確性,充其量也只是個疑問。

視訊會議問題

路線圖確認了個人資料安全的重要性。然而,由於最近有許多人使用額外的技術來促進虛擬聆訊,以及在家工作(主要是由於 Covid-19 大流行病強加給我們的當前環境所助長),因此這個問題更受重視。網路安全議定書」[52]和「國際律師協會網路安全指導方針」[53]對這個問題有所說明。

與「路線圖」一樣,「網路安全議定書」確立了幾項基本原則。相稱性原則適用、審裁處有權且可自行決定是否採取安全措施,以及資訊安全是應該在第一次案件管理會議中討論的問題。網路安全議定書》附表 A 提供了一份核對清單,仲裁當事人可使用此清單來保護仲裁程序。

隨著最近 Covid-19 大流行導致工作模式和環境的轉變,這些問題應受到更多的重視。在這個被迫尋找新的業務方式並適應不確定時代的世界中,法律界所面臨的其中一個問題是結合限制與社會疏離需求的聽證議題。因此,視訊會議的普及以及在國際仲裁程序中的使用,是路線圖應該處理但尚未處理的問題--至少目前還沒有。

管許多人已討論並指出視訊聆訊的問題,但大多數人都沒有提及個人資料保護法應如何適用於視訊聆訊,不僅是個人資料保護方面,還有安全方面,因為有些平台曾遭受安全攻擊。

如上文所討論的,必須瞭解涉及 GDPR 仲裁的各方的不同角色,也就是誰是「資料控制者」和「資料處理者」。如果視訊會議軟體正在處理任何個人資料,例如當事人使用服務時所產生的使用者名稱和電子郵件位址,他們就會被視為「資料處理者」。這意味著,如果任何參與者的住所在歐盟,他們就必須遵守 GDPR 規則。由於審裁處是「資料控制者」,因此審裁處有責任確保有關規定獲得遵守。

國際商會 (ICC) 發布了一份指導說明[55],為當事人提供網路安全協定和虛擬聽證會的建議條款。其目的在於解決安全方面的問題,但並未解決個人資料保護方面的問題。路線圖應該討論個人資料保護適用於虛擬進行的聽證會的可能性,以及如何遵守相同的規定。雖然 GDPR 規定了視訊會議必須符合的要求,但卻未就其要求的直接適用方式提供指引。

雖然「路線圖」並未針對特定軟體供應商提出建議,但它可以彙整並提供執業人員一份清單,列出理想視訊聽證軟體的必要規格,就像它在附件中提供其他各種事項的清單一樣。

第三方資金提供者的定位?

第三方資金提供者被理解為仲裁程序的任何非當事人,他們作出安排,為仲裁程序的全部或部分費用提供資金,以獲得完全或部分取決於案件結果的報酬。雖然路線圖明確只針對仲裁參與者,但它也指出,該指引對同樣受個人資料保護要求影響的服務提供者也有關聯[57]

在路線圖中,服務提供者包括「電子取證專家、資訊技術專業人員、法庭記者、翻譯服務等」[58],但未明確提及第三方資金提供者。根據 GDPR,個人資料的收集與儲存包含在處理中。因此,如果第三方資金提供者從他人收集個人資料,個人資料法也適用於他們[59]

GDPR 允許當事人處理個人資料,如果「處理是控制者或第三方追求合法利益所必要的」[60],仲裁參與人有可能將此引用為處理相關個人資料的適用法律依據。路線圖指出:

合法利益評估的第一步是確定合法利益 - 處理個人資料的目的是什麼,以及為什麼它對身為控制者的你來說很重要?在仲裁的情況下,合法利益可能涉及司法行政、確保當事人的權利受到尊重、根據適用的仲裁規則迅速且公平地解決申索,以及許多其他利益'[62]

所包含的「許多其他利益」可能包括第三方資金提供者的合法金錢利益。如果是這樣,他們顯然有義務與仲裁程序的當事人簽訂資料處理協議,並納入個人資料保護法規和要求的範圍。有趣的是,路線圖沒有明確詳述第三方資金提供者如何融入其中,尤其是考慮到他們被納入仲裁程序的情況正在增加。

不披露的盾牌

個人資料保護義務可能會被濫用。仲裁當事人可能惡意使用 GDPR 作為擋箭牌,以阻止與仲裁程序相關的資訊揭露,或阻止對方所要求的資訊揭露。例如,一方當事人可能反對披露請求,聲稱文件包含與爭議無關的個人資料,或刪除個人資料會造成不適當的負擔[63]

路線圖解決了濫用的可能性。它建議儘早提出並澄清個人資料保護義務,以降低這些義務影響訴訟的風險。參與者應考慮簽訂「資料保護協議書」,即在特定情況下如何應用個人資料保護的協議。另外,若無法達成已簽署的資料保護協議,則應在第一號程序令中處理這些問題。

比較之下,我們可以看看美國訴訟中開示期間的 GDPR 合規性。美國聯邦法院已採用平衡測試來決定是否下令揭露或遵守可能違反外國法規(包括個人資料保護法) 的傳票或證據揭露命令:

  • 所要求的文件或其他資訊對訴訟的重要性;
  • 要求的具體程度
  • 信息是否源自美國;
  • 是否有其他方法可取得該資訊;及
  • 不遵守要求在多大程度上會損害美國的重要利益

聯邦法院通常會要求披露資訊,管這可能會違反外國的個人資料保護法。

仲裁員在決定是否命令一方披露資料時,面臨與法院不同的考量。正如文獻所言,[68]鑒於 1958 年《承認及執行外國仲裁裁決公約》(紐約公約)規定的廢止或拒絕執行的威脅,仲裁庭必須認知相互競爭的權利和義務,這是正確的。69]州法院不對披露令進行審查的例子比比皆是。

70] 鑒於法庭在程序事項上的自由裁量權,廢止或拒絕執行的威脅不大可能成為核心考量。當事人嘗試濫用 GDPR 的義務以取得潛在的程序優勢是無可避免的,這將使審裁處陷入困境,一方面要平衡資料當事人的利益,另一方面又要維持健全的舉證程序。[71]按照路線圖的建議,在訴訟一開始就釐清個人資料保護的合規義務 (最好是在已簽署的資料保護協議中),似乎是阻止這種行為的先決條件。

不遵守個人資料保護規定作為廢止和拒絕承認與執行的途徑

路線圖並沒有涉及不遵守個人資料保護要求是否可以用來廢止仲裁裁決,或者拒絕承認和執行仲裁裁決。當事人對裁決的追索手段非常有限。儘管如此,未勝訴的當事人可能希望挑戰其結果,並使用主要的共同理由之一來挑戰裁決,或阻止其承認或執行。

紐約公約》目前有 168 個締約國,使其成為國際商事仲裁中承認和執行外國裁決的主要法律依據。該公約第五條規定了可以拒絕承認和執行仲裁裁決的有限理由。就目前而言,最值得注意的是,第五條(2)款(b)項承認締約國主管機關有可能拒絕承認或執行違反公共政策的裁決。

可撤銷仲裁裁決的理由在不同的司法管轄區各有不同。已被廣泛採納的《聯合國國際貿易法委員會國際商事仲裁示範法》第34(2)條列出了廢止裁決的理由清單。73]第 34(2)(b)(ii)條規定,若仲裁裁決與該國公共政策相衝突,法院得宣告裁決無效。

歐洲法院 (ECJ) 在 Eco Swiss v Benetton 一案中認為,歐盟法律中的凌駕性強制規定可構成公共政策的基本規則,違反此類規則可構成基於國家法律中此類理由廢止仲裁裁決的理由。[75]因此,裁決是否可因未遵守個人資料保護規定而被廢止,或其承認或執行是否被拒絕,將取決於 GDPR 的規則是否應被視為凌駕性強制規定,違反此類規定是否違反國家公共政策。

羅馬 I 規例》第 9 (1) 條將凌駕性強制規定定義為「一國視尊重該規定為維護其公眾利益之關鍵......,且其適用範圍涵蓋任何情況,不論其他適用之法律為何」之規定。正如 Cervenka 和 Schwarz 先前所認知的,GDPR 的大多數規則可能會被視為依據歐盟法律的凌駕性強制規定。因此,違反這些規則可能會被視為違反公共政策。

不遵守個人資料保護規定可能導致仲裁裁決被廢止、不被承認或不被執行,這引起了多方面的關注。首先,應精確界定哪些個人資料保護義務會構成凌駕性的強制規定,因為並非所有的違規行為都具有相同的份量。最終,ECJ 很可能會被要求提供進一步的說明。其次,以違反 GDPR 為由對裁決的執行提出質疑或抗辯的可能性可能被濫用,這一點也應納入考量,以防止當事人故意違反個人資料保護規則,以便日後有可能對裁決提出追訴。最後,應界定個人資料保護法規將構成程序法或實體法之一部分,以及以何種方式構成。

儘管仍有許多問題有待界定,但應處理不遵守個人資料保護規定對仲裁裁決的廢止以及承認和執行所造成的後果。最有趣的是,在路線圖中沒有提及這一點。

結論

路線圖旨在幫助仲裁專業人士識別和理解他們在國際仲裁中可能要承擔的個人資料保護和隱私義務。然而,正如前面所討論的,它仍未涉及一些當今相關和迫切的具體問題。本文所確定和闡述的六個問題為

  • GDPR 對在歐盟以外進行的仲裁的適用性;
  • 北美自由贸易协定仲裁中的 GDPR;
  • 虛擬仲裁聽證的問題;
  • 第三方資金提供者及其在路線圖中的地位;
  • 濫用 GDPR 的可能性;以及
  • 不遵守 GDPR 的潛在可能性,作為廢止或拒絕承認和執行仲裁裁決的途徑。

這些問題都值得進一步思考,因為預測它們在未來幾年內只會變得更為相關。我們的希望是,這些問題已被證明值得納入路線圖。

加入路線圖的附件[79] 旨在協助專業人員實際處理這些要求。新增的「資料保護檢查清單」、「合法利益評估檢查清單」、「隱私通知範例」和「歐盟標準合約條款」都是極有價值的資源,專業人員應該加以利用,以確保他們符合 GDPR 的規定。

然而,在不同司法管轄區之間發生衝突的情況下,各種與個人資料保護相關的國內立法之間的差異可能會導致歧義。即使路線圖所提供的指引範圍廣泛,但仍不具約束力。過去,聯合國國際貿易法委員會 (UNCITRAL) 和國際律師協會 (IBA) 傾向於透過其規則、指導方針和類似規定來協調國際仲裁;雖然這些規則、指導方針和類似規定並無約束力,但肯定具有說服力。正如聯合國國際貿易法委員會和國際律師協會嘗試在國際仲裁的各個方面所做的一樣,在仲裁的個人資料保護要求方面也亟需協調;因此,必要的指導方針應以協調為前提。

雖然對 GDPR 的合規要求及其在國際仲裁中的影響仍缺乏協調、理解和認知,但我們作為仲裁專業人士,仍將繼續在現有的法律框架下勉強度日。然而,儘管路線圖有瑕疵,它仍是亟需且令人鼓舞的一步,邁向對仲裁參與者個人資料保護義務的共同理解。

資源

  1. 歐洲議會和理事會 2016 年 4 月 27 日第 (EU) 2016/679 號規例,關於在個人資料處理方面對自然人的保護以及該等資料的自由流動,並廢除第 95/46/EC 號指令 (《一般資料保護規例》),OJ 2016 L 119/1。
  2. GDPR 第 4 條將「個人資料」定義為(1) '「個人資料 」是指與已識別或可識別的自然人(「資料當事人」)有關的任何資訊;可識別的自然人是指可以直接或間接識別的自然人,尤其是透過參考識別符,如姓名、識別號碼、位置資料、線上識別符或與該自然人的身體、生理、基因、精神、經濟、文化或社會身分有關的一個或多個特定因素。
  3. GDPR 的領域範圍在第 3 條中定義如下:
    1. 本規例適用於控制者或處理者在聯盟內的機構活動中對個人資料的處理,不論該處理是否在聯盟內進行。

    2. 本規例適用於非設於歐盟的控制者或處理者對身處歐盟的資料當事人的個人資料的處理,而該處理活動與以下情況有關:

      (a) 向歐盟內的資料當事人提供商品或服務,不論是否需要資料當事人付款;或

      (b) 監控其行為,只要其行為發生在歐盟境內。

    3. 本規例適用於並非設立於歐盟,但位於成員國法律憑藉國際公法而適用的地方的控制者對個人資料的處理'。
  4. 請參閱 GDPR 第 4 條中「處理者」的定義。
  5. GDPR 第 83(4)條。
  6. 根據 GDPR 向 Google 徵收的最大罰款」(Simmons + Simmons, 2019 年 1 月 22 日),請參閱www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google;Joe Tidy, 「英國航空因資料外洩被罰 2000 萬英鎊」(British Airways fined £20m over data breach) (BBC, 2020 年 10 月 16 日),請參閱www.bbc.com/news/technology-54568784。
  7. 'ICCA-IBA Joint Task Force on Data Protection in International Arbitration' (ICCA), seewww.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, accessed 18 August 2021.
  8. ICCA-IBA 國際仲裁資料保護路線圖」(ICCA,2020 年 2 月),請參閱https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf,於 2021 年 8 月 18 日存取。
  9. 同上,1。
  10. PCA Case No.
  11. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', seehttps://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accessed 18 August 2021.
  12. 'Cybersecurity Guidelines' (IBA, October 2018), see www.ibanet.org/LPRU/Cybersecurity, accessed 1 December 2020.
  13. ICC Guidance Note on Possible Measures Aim」(國際商會,2020 年 4 月 9 日),於 2021 年 8 月 18 日存取。
  14. 路線圖,B 節。
  15. 同上。
  16. GDPR 第 4 條。
  17. 同上。
  18. GDPR 第 4 條。
  19. 同上,第 3(1)條。
  20. 路線圖,7。
  21. GDPR 第 4 條。
  22. 路線圖將「仲裁參與人」定義為「包括當事人、其法律顧問、仲裁員及仲裁機構(僅)」。見 Roadmap (n 3),2。
  23. GDPR 第 4 條。
  24. 見 2019 年 7 月 29 日判決,Fashion ID GmbH & Co KG v. Verbraucherzentrale NRW eV,C-40/17,ECLI:EU:C:2019:629,第 74、85 段。另参见2018年6月5日判决,Wirtschaftsakademie Schleswig-Holstein C-210/16,EU:C:2018:388;2018年7月10日判决,Jehovan todistajat,C-25/17,EU:C:2018:551。
  25. 路線圖,11
  26. 同上,12。
  27. Art 5 and 12-22, GDPR; Roadmap 14-15.
  28. 例如,根據 GDPR,在國際仲裁的情況下處理個人資料是合法的,但必須是為了資料控制者的合法利益 - 受基於資料當事人的利益和基本權利的限制 - 在仲裁的情況下,敏感資料可根據法律索賠減損 (第 9(2)(f)條) 處理。
  29. 路線圖,19。
  30. 同上,20-21。
  31. 同上,30-31。
  32. 同上,32。
  33. Ibid, 33-36.
  34. Ibid, 37-39.
  35. Ibid, 37.
  36. Ibid, 39.
  37. Ibid, 40-41.
  38. Ibid, 42.
  39. Ibid, 43.
  40. GDPR 第 5(1)(e)條。
  41. 路線圖,44。
  42. Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration:Can't We Make It Goway?' (Kluwer Arbitration Blog, 29 August 2019), seehttp://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.
  43. 歐盟委員會認為該國已提供足夠的資料保護。
  44. 在國際仲裁的情況下,這很可能是一個標準的合同條款。
  45. 法律索賠減損,允許「為確立、行使或辯護法律索賠所必要」的資料移轉,最適用於仲裁情境。
  46. 由於其高門檻和通知要求,依賴令人信服的合法利益的實際意義不大。見 EDPB, 'Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679', 6 February 2018 (Data Transfer Guidance).
  47. 路線圖,8、13。
  48. Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration:Can't We Make It Goway?' (Kluwer Arbitration Blog, 29 August 2019), seehttp://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/[accessed 18 August 2021].
  49. PCA Case No 2018-54。
  50. 同上,Tribunal's Communication to the Parties (Perm Ct Arb, 2019)。
  51. 路線圖,37。
  52. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), seehttps://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, accessed 18 August 2021.
  53. 網路安全指引」(IBA,2018 年 10 月),見www.ibanet.org/LPRU/Cybersecurity,於 2020 年 12 月 1 日存取。
  54. Andreas Respondek、Tasha Lim,「ICCA/IBA 的資料保護專責小組」路線圖「應否處理 GDPR 對國際仲裁程序中視訊會議的影響?」(Kluwer Arbitration Blog,2020 年 7 月 18 日),見http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings,於 2021 年 8 月 18 日存取。
  55. ICC Guidance Note on Possible Measures Aimed to Mitigating the Effects of the COVID-19 Pandemic' (ICC, 9 April 2020), accessed 18 August 2021.
  56. 國際仲裁中的第三方資金:ICCA-QMUL 報告',(ICCA,2018 年 5 月),https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf,於 2018 年 8 月 18 日存取。
  57. 路線圖,2。
  58. 同上,23-25。
  59. GDPR 第 4(2)條,見上文 n 1。
  60. GDPR 第 6(1)(f)條。
  61. Allan J Arffa 等人,「國際仲裁中的 GDPR 問題」(Lexology,2020 年 8 月 10 日),見www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91,於 2021 年 8 月 18 日存取。
  62. 路線圖,附件 5。
  63. Allan J Arffa 等人,「國際仲裁中的 GDPR 問題」(Lexology,2020 年 8 月 10 日),請參閱www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91,於 2021 年 8 月 18 日存取。
  64. 路線圖 40-41。
  65. 例如,請參閱David M Howard,「國際仲裁和美國訴訟中的外國資料保護法」(2020) 55 Tex Int'l L J 395。
  66. 同上;Richmark Corp v Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992)。
  67. 美國訴訟與國際仲裁中的外國資料保護法」(Baker Botts,2020 年 2 月 6 日),請參閱www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration,2021 年 8 月 18 日存取。
  68. David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.406.
  69. Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335。
  70. 同上。Born 引用下列判決強化此論點:2004 年 1 月 22 日的判决,Société Nat'l Cie for Fishing & Marketing 'Nafimco' v Société Foster Wheeler Trading Co.AG, 2004 Rev arb 647 (Paris Cour d'appel):仲裁庭命令披露的決定屬於其程序裁量權範圍,法院無法審核」;Karaha Bodas Co v Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004):披露請求「完全在法庭合理行使裁量權的範圍內」。
  71. Natalia M Szlarb, 'GDPR and International Arbitration at a Crossroads' (The National Law Review, 4 December 2019), seewww.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, accessed 18 August 2021.
  72. 紐約公約》,第 V(2)條:仲裁裁決之承認與執行,如尋求承認與執行所在國之主管機關認為...(b) 承認或執行該裁決將違反該國之公共政策,亦得拒絕承認與執行。
  73. 聯合國秘書長,《國際商事仲裁示範法案文草案分析評論》,A/CN.9/264 (1985),第 34 條,第 6 段。
  74. 聯合國國際貿易法委員會國際商事仲裁示範法,第 34(2)條:只有在下列情況下,第 6 條所指定的法院才可撤銷仲裁裁決:......(b) 法院發現......(ii) 裁決與本國的公共政策相衝突。
  75. 1999 年 6 月 1 日判決,Eco Swiss China Time Ltd v Benetton International NV C-126/97 [1999] ECR I-03055,第 39 及 41 段。第 39 及 41 段。有關歐盟公共政策的詳細討論,請參閱:Sacha Prechal and Natalya Shelkoplyas, 'National Procedures, Public Policy and EC Law.From Van Schijndel to Eco Swiss and Beyond' (2004) 5 European Review of Private Law 589, 598。
  76. Anja Cervenka and Philipp Schwarz, 'Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts' (SchiedsVZ 2020, 78) 84.
  77. 同上。
  78. 有關這些及其他問題的詳細討論,請參閱:Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka and Schwarz, see n 76 above, 84-85.
  79. ICCA-IBA International Arbitration Data Protection Roadmap, Annexes', (ICCA, February 2020), seehttps://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, accessed 18 August 2021.

本文首次刊登於《國際爭議解決》,第 15 卷第 2 期,2021 年 10 月,經英國倫敦國際律師協會許可轉載。© 國際律師協會。

Back to overview