巨头的冲突。GDPR与国际仲裁--对未来的展望
作者。Neva Cirkveni和 Per Neuburger
介紹
近年来,关于个人数据隐私和网络安全对国际仲裁实际进行的实际影响的问题已经呈现出来--特别是当考虑到技术变革的不断步伐时。
通用数据保护条例(GDPR)[i] 于2020年5月迎来了它的第二个生日。GDPR的个人数据保护框架旨在确保 "已识别或可识别自然人 "的个人数据的自由流动。[二] 它适用于欧盟内部,并具有可能延伸到欧盟以外的域外范围。[iii] GDPR不仅可能影响到所有的自然人或法人,而且还使公共机关、机构和其他团体--可能包括国际组织--承担个人数据保护义务。[四] GDPR制裁可能达到违规实体上一财政年度全球年营业额的4%或2000万欧元,以较高者为准。[v] 通过在多个司法管辖区实施的数百万欧元的罚款,已经确定了认真对待其应用的必要性。[vi]
虽然个人数据保护法在仲裁中的适用是既定的,但法律的适用方式却并非如此。为此,国际商事仲裁理事会(ICCA)和国际律师协会(IBA)于2019年2月成立了国际仲裁程序中的数据保护问题联合工作组,目的是编制一份指南,为国际仲裁中的个人数据保护提供实用指导。工作队于2020年3月公布了该指南的咨询草案。[vii] 本评论将以该路线图草案(路线图)为基础。[viii] 路线图的最终修订版预计将于2021年9月公布。尽管在撰写本报告时,对咨询草案提出意见的截止日期已经过去,但路线图的初步版本还是说明了GDPR在国际仲裁中提出的问题。因此,它将被用来作为讨论的基础。
大多数个人数据保护法在仲裁程序中是强制性的,这意味着它们规定了。
- 哪些个人数据可以被处理。
- 其中。
- 通过什么方式。
- 有哪些信息安全措施;以及
- 多久。[ix]
但是,它们并不涉及在仲裁程序中应如何遵守这些具有约束力的义务。在监管机构没有提供具体指导的情况下,该路线图旨在帮助仲裁专业人士确定和理解他们在国际仲裁中可能要承担的个人数据保护和隐私义务。此外,GDPR的保护程度在国际仲裁程序中仍有意义,主要是GDPR法律是否适用于欧盟以外的仲裁。如果发现GDPR适用于仲裁,还有各种进一步的影响:首先,个人数据处理是否被禁止,其次,对个人数据在欧盟以外的转移是否有限制。最后,由于网络攻击越来越频繁,这种攻击对仲裁的后果可能带来巨大的损失。
本文试图对《路线图》进行评论,并探讨在国际仲裁程序中应考虑的个人数据保护义务的实际措施。它认为路线图是一个有希望的工具,尽管还不完整,但可以补充迄今为止协调国际仲裁的各种软法律尝试,最主要的是国际律师协会和联合国国际贸易法委员会(UNCITRAL)的文书。
首先,将对路线图进行简要总结,其中包括对GDPR原则的参考。这并不是要做一个全面的概述,而是要介绍路线图的要点,为读者提供后续讨论的背景。其次,将提供一个评论,涉及六个相关的问题。
- GDPR对在欧盟以外举行的仲裁的适用性。
- 在北美自由贸易协定(NAFTA)仲裁的背景下,GDPR在Tennant Energy, LLC v Government of Canada一案中得到了说明。[x]
- 视频会议问题,该问题在整个Covid-19大流行期间的重要性大大增加,包括提及 "ICCA-NYC Bar-CPR关于国际仲裁中的网络安全议定书"(网络安全议定书)[十一] 国际律师协会的网络安全准则[xii] 以及国际商会关于旨在减轻COVID-19大流行病影响的可能措施的指导说明。[xiii]
- 第三方资助者 "以及在路线图中如何考虑到他们。
- 滥用GDPR,特别是将其作为不披露的挡箭牌;以及
- 将不遵守个人数据保护要求作为撤销或拒绝承认和执行仲裁裁决的途径的可能性。
最后的想法将在结论中提出。
路线图
个人和法律实体都有义务保护数据主体的个人数据。仲裁本身不受个人数据保护义务的约束。但是,如果只有一个仲裁参与者需要履行个人数据保护义务,那么整个仲裁可能会受到影响。个人数据处理是否属于相关法律、材料和管辖范围将决定个人数据保护法是否适用。[xiv]
只要在属于相关个人数据保护法管辖范围的活动中处理有关数据主体的个人数据,现代个人数据保护法就适用。[xv] 个人数据包括 "与已识别或可识别的自然人有关的任何信息"。[xvi] 在典型的仲裁程序中,大量的信息被交换,特别是与当事人、其律师、法庭和第三方有关的信息。因此,它们可能被视为符合 "个人数据 "的定义。数据主体 "是指上述被识别或可识别的个人。[xvii] 处理包括主动和被动操作,因此包括使用、传播和删除个人数据,以及接收、组织和储存个人数据。[xviii] 适用范围包括在控制者或处理者在欧盟的机构活动中处理个人数据的任何行动。[xix] 和治外法权,例如当个人数据被转移到欧盟以外的实体或个人,而这些实体或个人并没有因为其他原因已经受到GDPR的约束。[XX]
仲裁员将被定性为数据控制者,意味着他们将负责遵守个人数据保护法。然而,根据 "数据控制者 "的定义。[xxi] 大多数仲裁参与者[xxii] 有可能被认为是这样,包括律师、当事人和机构。数据控制者可以将数据处理委托给数据处理者。[二十三] 这些人将在他们的控制之下,并需要按照适用法律规定的条款签订数据处理协议。因此,秘书、誊写员、翻译和其他人都可能被视为数据处理者。还有一个问题是共同控制人,他们共同决定数据处理的目的和方式。对联合控制人的解释很宽泛,但联合控制人的责任只限于控制人决定的处理,其目的和手段,而不是整体处理。[二十四]
在国际仲裁中,对管辖区之间的个人数据转移的限制是个人数据保护法的一种明显的适用方式。不同仲裁参与者的背景将决定不同个人数据保护制度的适用。现代个人数据保护法限制个人数据向第三国转移,以确保法律义务不会因个人数据转移到个人数据保护标准较低的管辖区而被规避。[二十五] 如果发生以下情况之一,GDPR允许第三国个人数据转移。
- 该国已被欧盟委员会视为提供充分的个人数据保护。
- 明确列出的保障措施中的一项已经到位。
- 允许为建立、行使或捍卫法律要求而进行的转让的减损;或
- 一方令人信服的合法利益。[二十六]
这些规则适用于仲裁参与者,而不是整个仲裁,因此规定每个仲裁参与者都要考虑哪些个人数据传输限制对其适用。
适用于仲裁的个人数据保护原则包括公平合法的处理、相称性、数据最小化、目的限制、数据主体权利、准确性、数据安全、透明度和问责制。[xxvii]
其中有几条原则需要进一步评论。公正合法的处理意味着个人数据只应以数据主体合理期望的方式进行处理,并且处理必须有法律依据。应用公平原则,当事人及其律师应该问自己,在所有事实的背景下,个人是否会期望他们的个人数据以这样的方式被处理,是否会对他们产生不利后果,以及这些后果是否合理。这一原则不会阻止在商业电子邮件中发现的个人数据作为证据被采纳。
合法处理的概念需要一个法律依据,这个法律依据是由事实驱动的,并且是针对具体案例的。与其依赖同意,不如援引GDPR中的具体法律依据。[xxviii]
相称性要求考虑处理的性质、范围、背景和目的与对数据主体造成的风险之间的关系。[二十九] 数据最小化要求仲裁参与者将处理限制在充分、相关和限于必要的个人数据上。[xxx] 透明度要求通过一般通知、具体通知或两者来通知数据主体对个人数据的处理和处理目的。[三十一] 问责制涉及到个人对数据保护合规性的责任,这意味着仲裁参与者应记录所有个人数据保护措施和采取的决定,以证明合规性。[三十二]
个人数据保护的合规性影响着国际仲裁程序的各个步骤,不仅是在仲裁本身,而且在准备期间。从一开始,仲裁参与者就应考虑哪些个人数据保护法适用于自己和其他仲裁参与者,哪些仲裁参与者将作为控制者、处理者或联合控制者处理个人数据。还应考虑第三国个人数据转移规则和有关第三方服务提供者的个人数据处理协议。在文件收集和审查过程中,当事人及其法律顾问需要有处理活动和第三国个人数据转移的合法依据。[xxxiii]
仲裁请求以及随后提交的材料,将包括完全属于处理范围的个人数据。如果仲裁机构受适用的个人数据保护法约束,它需要考虑每个程序步骤中适用的潜在个人数据保护义务。如果仲裁机构受GDPR的约束,它通常会成为个人数据的控制者。为了遵守GDPR第13条和第14条,这样的机构应在其隐私通知中包括有关安全措施、数据主体权利的行使、记录维护以及数据泄露和保留政策的信息。[三十四] 然而,由于组成国或东道国协议中的特权和豁免权,管理投资者-国家仲裁的国际组织可能被排除在个人数据保护法的范围之外。因此,这里需要单独考虑,包括该组织是否受个人数据保护法的约束,以及仲裁参与者是否--以及在何种程度上--受特权和豁免权的保护。[xxxv]
在为仲裁庭指定仲裁员的过程中,一般会交换大量的潜在仲裁员的个人数据。仲裁参与者应在其法律通知中列入处理这些个人数据的法律依据,并明确通知正在考虑任命的仲裁员处理其个人数据,特别是在第三国个人数据转移的情况下。[xxxvi]
一旦仲裁开始,应尽早分配个人数据保护合规责任,以尽量减少风险。个人数据保护应列入第一次程序性会议的议程,仲裁参与者应尝试尽早就如何处理个人数据保护合规问题达成一致。当事人、其律师和仲裁员应考虑签订个人数据保护协议,以有效管理合规问题。如果这不可能,另一个选择是由法庭将其列入第一号程序令。[xxxvii]
在文件制作和披露过程中,个人数据最小化的原则尤其相关。根据GDPR,这可能需要: 1:
- 将披露的个人数据限制在相关和不重复的范围内。
- 识别响应性材料中包含的个人数据;以及
- 对不必要的个人数据进行编辑或假名化。
这些问题也应在诉讼的早期,最好是在第一次程序性会议上或之前考虑。[xxxviii]
在作出裁决时,仲裁员和机构应考虑将个人数据纳入裁决的依据和必要性。如果仲裁是保密的,那么裁决在执行时就有可能被公开。即使个人数据被编辑,它通常仍然是个人数据,因为从裁决书的其余部分或相关材料中可以识别数据主体。[三十九]
根据GDPR,数据保留和删除被认为是处理,它规定个人数据应 "以允许识别数据主体的形式保存,时间不超过处理个人数据的目的所需的时间"。[十一] 控制者必须考虑、记录并能够证明存储期限。仲裁参与者需要考虑什么样的数据保留期是合理的,并应采取相称的方法来平衡他们的需求和数据保留对主体的影响。[xli]
GDPR对在欧盟以外举行的仲裁的适用性
通用数据保护条例》的地域范围相对广泛。无论从业者是否位于欧盟,或仲裁是否在欧盟进行,都应了解其适用情况。GDPR适用于在欧盟设立的控制者或处理者对个人数据的处理,无论处理本身是否发生在欧盟(第3(1)条)。此外,当涉及到向欧盟公民提供商品或服务或监测发生在欧盟境内的行为时,GDPR适用于由不在欧盟设立的控制者或处理者对个人数据的处理(第3(2)条)。
应用于仲裁背景,GDPR对属于其物质和领土范围的数据控制者和处理者--仲裁员、律师、当事人和机构--施加义务,而不是直接对仲裁程序施加义务。即使只有一个仲裁参与者与欧盟有联系,他们也将有义务按照GDPR处理个人数据。对整个程序的影响可能会出现。[xlii]
在国际仲裁中,转移含有个人数据的仲裁材料是很常见的,也许最值得注意的是对向欧洲经济区(EEA)以外的 "第三国 "转移个人数据的限制。在这种情况下,允许个人数据转移需要有四个合法的依据之一。首先,如果第三国受制于充分性决定,则允许向第三国转移(第45(1)条)。[xliii] 如果不是这样,在可行的情况下,应采取适当的保障措施之一(第46条第1款)。[xliv] 如果没有充分性决定,并且适当的保障措施不可行,可以依靠具体的减损(第49(1)条)。[xlv] 最后,在没有上述情况的情况下,一方可以依靠令人信服的合法利益(第49条第1款)。[十六] 作为第三方个人数据转移的合法依据。
路线图相当全面地阐述了仲裁参与者需要做出的必要考虑。它多次强调,个人数据保护原则和转移规则所适用的是仲裁参与者,而不是仲裁本身。[xlvii] 根据这一点,推定的结论是,设在欧盟的仲裁员参加非欧盟的仲裁,否则不受GDPR的约束,但仍然需要遵守GDPR的个人数据处理和转移要求。这确实是商业仲裁程序中普遍接受的。[xlviii] 但在投资者-国家仲裁方面,情况就不那么清楚了。
Tennant Energy, LLC诉加拿大政府案
2019年,在北美自由贸易协定第11章仲裁中 Tennant Energy, LLC诉加拿大政府(Tennant)案,[xlix] 申请人Tennant提出了GDPR适用于诉讼程序的问题,因为其中一名法庭成员拥有英国国籍和住所。然而,法庭向各方发出指示,指出 "根据《北美自由贸易协定》第11章进行的仲裁,欧洲联盟或其成员国都不是该条约的缔约方,推定不属于GDPR的实质范围"。[l]
区分基于条约的仲裁和商业仲裁是很重要的,Tennant就属于前者。路线图涉及到这种区分,指出国际组织可能被排除在个人数据保护法的范围之外。[li] Tennant仲裁中的法庭成员可能会受到来自常设仲裁法院(PCA)与荷兰的总部协议的某些豁免权。然而,NAFTA法庭并没有考虑作为一个国际组织,PCA是否会受到GDPR的转移规则的约束,或者法庭成员是否会从该协议中获得某些豁免权。
该 滕纳特 关于GDPR对NAFTA程序和更普遍的基于条约的仲裁的适用性,该方向提出的问题多于提供的答案,对其进行细微的讨论超出了本报告的范围。尽管如此,从路线图来看,Tennant的方向确实表明这个问题仍然非常不确定。路线图是否为面临这一问题的仲裁参与者带来任何澄清,充其量也是值得怀疑的,特别是考虑到路线图是在《仲裁法》颁布后发布的。 滕纳特 做出了指示,但没有给予后者任何考虑。
视频会议的问题
路线图认识到个人数据安全的重要性。然而,随着最近使用更多的技术来促进虚拟听证会,以及在家工作--主要是由Covid-19大流行病强加给我们的当前情况所推动的--这个问题变得更加重要。网络安全议定书[lii] 和国际律师协会的网络安全准则[liii] 已经对这个问题进行了一些说明。
与《路线图》一样,《网络安全议定书》确立了若干基本原则。相称性原则适用,法庭有权力和自由裁量权来确定所采取的安全措施,而信息安全是一个应该在第一次案件管理会议上讨论的问题。网络安全议定书》的附表A提供了一份核对表,仲裁各方可以用它来保障程序。
在最近由于Covid-19大流行病导致工作模式和环境的转变之后,这些问题应该得到更多重视。在一个被迫寻找新的经营方式和适应不确定时代的世界里,法律部门所面临的问题之一是听证会与限制和社会距离的需要相结合的问题。因此,视频会议的普及和在国际仲裁程序中的使用是路线图应该解决的问题,但却没有这样做--或者至少是还没有。
尽管许多人讨论并指出了视频听证会的问题,但大多数人没有解决个人数据保护法应该如何适用于它们,不仅是个人数据保护,还有安全问题,因为一些平台已经受到了安全攻击。[liv]
如上所述,必须了解有关GDPR的仲裁所涉及的各方的不同角色,即谁是'数据控制者'和'数据处理者'。如果视频会议软件正在处理任何个人数据,如来自一方使用服务的用户名和电子邮件地址,他们将被视为'数据处理者'。这意味着,如果任何参与者的住所在欧盟,他们必须遵守GDPR规则。由于法庭是 "数据控制者",因此法庭将有责任确保这种遵守。
国际商会(ICC)已经发布了一份指导说明[lv]。 其中为各方提供了网络安全协议和虚拟听证会的建议条款。它旨在解决安全方面的问题,但它没有解决个人数据保护方面的问题。路线图应讨论个人数据保护适用于虚拟听证的可能性,以及如何遵守这些规定。虽然GDPR规定了在视频会议方面必须满足的要求,但它没有就其要求的直接适用方式提供指导。
虽然路线图没有提供关于具体软件供应商的建议,但它可以汇编并向从业人员提供一份理想的视频听证软件的必要规格清单,就像它在附件中提供关于其他各种事项的检查清单一样。
第三方资助者的作用在哪里?
第三方出资人被理解为仲裁程序的任何非当事人,达成安排资助全部或部分程序费用,以换取全部或部分取决于案件结果的款项。[lvi] 第三方出资人在其出资或考虑出资的仲裁程序中可以接触到各种个人数据。虽然路线图明确只针对仲裁参与者,但它确实指出,该指南与同样受个人数据保护要求影响的服务提供者有关。[lvii]
在路线图中,服务提供者包括 "电子发现专家、信息技术专业人员、法庭记录员、翻译服务,等等[lviii] 但没有明确提到第三方资助者。根据GDPR,个人数据的收集和存储被包括在处理过程中。因此,如果第三方资助者从其他人那里收集个人数据,个人数据法也将适用于他们。[lix]
GDPR允许一方处理个人数据,如果 "为了控制者或第三方所追求的合法利益的目的,处理是必要的,[lx] 仲裁参与者有可能引用它作为处理相关个人数据的适用法律依据。关于这个问题的指导意见有限。[lxi] 路线图》指出。
'合法利益评估的第一步是确定合法利益--处理个人数据的目的是什么,为什么它对作为控制者的你很重要?在仲裁方面,合法利益可能涉及司法行政,确保当事人的权利得到尊重,并根据适用的仲裁规则迅速和公平地解决索赔,以及许多其他利益'。[lxii]
纳入 "许多其他利益 "可能包括第三方资助者的合法货币利益。如果是这样,他们显然有义务与仲裁程序的当事人签订数据处理协议,并被纳入个人数据保护条例和要求的范围。有趣的是,路线图没有明确详细说明第三方出资人如何融入其中,特别是考虑到他们被纳入仲裁程序的情况增多。
不披露的保护伞
个人数据保护义务导致了滥用的可能性。仲裁方可能会恶意利用GDPR作为挡箭牌,阻止与诉讼相关的信息披露或对手方的要求。例如,一方可能反对披露请求,声称文件包含与争议无关的个人数据,或编辑个人信息将是不适当的负担。[lxiii]
路线图涉及到滥用的可能性。它建议尽早提出和澄清个人数据保护义务,以减少这些义务影响诉讼的风险。参与者应考虑签订 "数据保护协议"--关于个人数据保护在特定情况下如何应用的协议。或者,在不可能达成签署数据保护协议的情况下,应在第一号程序令中解决这些问题。[lxiv]
作为比较,我们可以看看在美国诉讼中发现GDPR的合规性。美国联邦法院采用平衡测试来决定是否命令披露或遵守可能违反外国法规(包括个人数据保护法)的传票或披露命令。[lxv] 美国联邦法院考察的因素有以下几项,但并非详尽无遗。
- 要求的文件或其他信息对诉讼的重要性。
- 请求的具体程度。
- 该信息是否源自美国。
- 是否有其他方式来确保信息的安全;以及
- 不遵守规定会在多大程度上损害美国的重要利益。[lxvi]
更常见的情况是,尽管可能违反外国个人数据保护法,联邦法院仍要求披露。[lxvii]
仲裁员在决定是否命令一方当事人披露时,面临着与法院不同的考虑。正如文献中所论证的那样,这是正确的。[lxviii] 鉴于1958年《承认及执行外国仲裁裁决公约》(纽约公约)规定的撤销或拒绝执行的威胁,法庭必须认识到相互竞争的权利和义务。然而,这种观点没有考虑到这样一个事实,即鉴于司法不干涉的原则,披露令受到州法院的最低限度的审查。[lxix] 州法院不参与审查披露令的例子比比皆是。[lxx]
鉴于在程序问题上给予法庭的自由裁量权,废除或拒绝执行的威胁不太可能是一个核心考虑因素。当事人不可避免地试图滥用GDPR的义务以获得潜在的程序优势,这将使法庭处于困难的境地,一方面要平衡数据主体的利益,另一方面要维持一个强大的证据程序。[lxxi] 根据路线图的建议,在诉讼开始时澄清个人数据保护的合规义务--最好是在签署的数据保护协议中--似乎是检查这种行为的一个先决步骤。
不遵守个人数据保护要求是废止和拒绝承认和执行的一个途径
路线图没有涉及不遵守个人数据保护要求是否可以用来撤销仲裁裁决,或拒绝承认和执行。当事人对裁决的追索手段非常有限。然而,不成功的一方可能希望质疑其结果,并使用主要的常见理由之一来质疑裁决或阻止其承认或执行。
纽约公约》目前有168个缔约国,使其成为国际商业仲裁中承认和执行外国裁决的主要法律依据。该公约在第五条中规定了可以拒绝承认和执行仲裁裁决的有限理由。就目前而言,最值得注意的是,第五条第(2)款(b)项确认了签署国的主管当局可以拒绝承认或执行违反公共政策的裁决。[lxxii]
撤销仲裁裁决的理由在不同的管辖区有所不同。已被广泛采用的《联合国国际贸易法委员会国际商事仲裁示范法》第34(2)条列出了撤销的理由清单。这份清单密切参照了《纽约公约》第五条的规定。[lxxiii] 第34(2)(b)(ii)条规定,如果仲裁裁决与国家的公共政策相冲突,法院可以撤销该裁决。[lxxiv]
欧洲法院(ECJ)在Eco Swiss诉Benetton一案中认为,欧盟法律中凌驾于法律之上的强制性规定可以构成公共政策的基本规则,对这些规则的违反可以构成废除基于国内法中的这种理由的仲裁裁决的理由。[lxxv] 因此,一项裁决是否会因不符合个人数据保护要求而被搁置,或被拒绝承认或执行,将取决于GDPR的规则是否被视为凌驾于强制性规定之上,其违反是违反国家公共政策的。[lxxvi]
罗马一号法规第 9(1)条将压倒性的强制性规定定义为 "一国认为尊重这些规定对维护其公共利益至关重要......以至于它们适用于属于其范围的任何情况,而不考虑其他适用的法律。正如Cervenka和Schwarz之前所承认的,GDPR的大多数规则可能被认为是根据欧盟法律的压倒性强制规定。因此,违反这些规则可能被认为是对公共政策的违反。[lxxvii]
不遵守个人数据保护要求有可能导致仲裁裁决被取消或不被承认和不被执行,这引起了各种关切。首先,应准确界定哪些个人数据保护义务将构成压倒性的强制性规定,因为并非所有的违反行为都具有相同的分量。最终,欧洲法院可能会被要求提供进一步的澄清。其次,还应该考虑到以违反GDPR为由对裁决的执行提出质疑或异议的可能性被滥用,以防止当事人故意违反个人数据保护规则,以便日后有可能对裁决提出申诉。最后,应界定个人数据保护条例是构成程序法还是实体法的一部分,以及以何种方式构成。[lxxviii]
虽然有很多东西需要界定,但不遵守个人数据保护要求对废止以及承认和执行仲裁裁决的后果,应该得到解决。最有趣的是,在路线图中没有提到这一点。
结论
路线图旨在帮助仲裁专业人士确定和理解他们在国际仲裁中可能要承担的个人数据保护和隐私义务。然而,正如前面所讨论的,它仍然没有解决一些与今天相关且紧迫的具体问题。本文确定和阐述的六个问题是:。
- GDPR对在欧盟以外举行的仲裁的适用性。
- 在NAFTA仲裁中的GDPR。
- 虚拟仲裁听证会的问题。
- 第三方资助者和他们在路线图中的地位。
- 滥用GDPR的可能性;以及
- 潜在的不遵守GDPR的情况,作为废止或拒绝承认和执行仲裁裁决的途径。
这些问题都值得进一步思考,因为预计它们在未来几年只会变得更加相关。希望表明这些问题值得被纳入路线图。
附件[lxxix] 添加到路线图的目的是帮助专业人士实际处理这些要求。增加的数据保护核对表、合法利益评估核对表、隐私声明示例和欧盟标准合同条款都是非常有价值的资源,专业人员应使用这些资源来确保他们符合GDPR。
然而,在不同司法管辖区之间的冲突情况下,与个人数据保护有关的各种国内立法之间的差异会导致歧义。即使路线图提供的准则范围很广,但它们仍然没有约束力。过去,联合国国际贸易法委员会和国际律师协会一直倾向于通过其规则、准则和类似的东西来提供国际仲裁的协调性;尽管这些东西没有约束力,但它们肯定具有说服力。正如联合国国际贸易法委员会和国际律师协会试图在国际仲裁的各个方面所做的那样,也迫切需要在仲裁的个人数据保护要求方面进行协调;因此,应在考虑到协调的情况下制定必要的准则。
虽然对GDPR合规要求及其在国际仲裁中的影响仍然缺乏协调、理解和认识,但作为仲裁专业人士,我们将继续利用目前的法律框架。然而,尽管存在缺陷,路线图在对仲裁参与者的个人数据保护义务达成共识的方向上迈出了亟需的、令人鼓舞的一步。
[i] 欧洲议会和理事会2016年4月27日关于在处理个人数据方面保护自然人和此类数据自由流动并废除第95/46/EC号指令(《一般数据保护条例》)的条例(欧盟)2016/679,OJ 2016 L 119/1。
[二] 在GDPR第4条中,"个人数据 "被定义为。
(1) '"个人数据 "是指与已识别或可识别的自然人("数据主体")有关的任何信息;可识别的自然人是指可以直接或间接识别的人,特别是通过参考诸如姓名、识别号码、位置数据、在线识别符等识别符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个具体因素。
[iii] GDPR的领土范围在第3条中定义如下。
- '本条例适用于控制者或处理者在欧盟境内的机构活动中对个人数据的处理,无论处理是否在欧盟境内发生。
- 本条例适用于不在欧盟设立的控制者或处理者对身处欧盟的数据主体的个人数据的处理,其处理活动与以下方面有关。
(a) 向联盟内的此类数据主体提供商品或服务,无论是否需要数据主体付款;或
(b) 对他们的行为进行监督,只要他们的行为是在联盟内发生的。
- 本条例适用于不在欧盟内设立的控制人对个人数据的处理,但根据国际公法,该控制人是在成员国法律适用的地方。
[四] 见GDPR第4条中 "处理者 "的定义。
[v] 第83(4)条,GDPR。
[vi] 根据GDPR对谷歌征收的最大罚款》(Simmons + Simmons,2019年1月22日),见www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>;Joe Tidy,《英国航空公司因数据泄露被罚款2000万英镑》(BBC,2020年10月16日),见www.bbc.com/news/technology-54568784。
[vii] ICCA-IBA国际仲裁中的数据保护联合工作组"(ICCA),见www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration,2021年8月18日访问。
[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration' (ICCA, February 2020), see https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, accessed 18 August 2021.
[ix] 同上,1。
[x] PCA第2018-54号案件。
[十一] ICCA和纽约市律师协会及国际冲突预防和解决研究所,'ICCA-NYC Bar-CPR关于国际仲裁中的网络安全的议定书(2020年版)',见https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf,2021年8月18日访问。
[xii] '网络安全准则'(IBA,2018年10月),见www.ibanet.org/LPRU/Cybersecurity,2020年12月1日访问。
[xiii] 国际商会关于可能的措施目标的指导说明》(国际商会,2020年4月9日)2021年8月18日访问。
[xiv] 路线图,B节。
[xv] 同上。
[xvi] 第4条,GDPR。
[xvii] 同上。
[xviii] 第4条,GDPR
[xix] 同上,第3(1)条。
[XX] 路线图, 7.
[xxi] 第4条,GDPR。
[xxii] 路线图将'仲裁参与者'定义为'包括当事人、其法律顾问、仲裁员和仲裁机构(仅)'。见路线图(n 3),2。
[二十三] 第4条,GDPR。
[二十四] 见2019年7月29日的判决,Fashion ID GmbH & Co KG诉Verbraucherzentrale NRW eV,C-40/17,ECLI:EU:C:2019:629,第74、85段。另见2018年6月5日的判决,石勒苏益格-荷尔斯泰因经济学院C-210/16,EU:C:2018:388;2018年7月10日的判决,Jehovan todistajat,C-25/17,EU:C:2018:551。
[二十五] 路线图, 11
[二十六] 同上,12。
[xxvii] GDPR第5条和第12-22条;路线图14-15。
[xxviii] 例如,根据GDPR,在国际仲裁背景下处理个人数据是合法的,如果是为了数据控制者的合法利益所必需的--受到基于数据主体的利益和基本权利的限制--在仲裁背景下,敏感数据可以根据法律要求的减损(第9(2)(f)条)来处理。
[二十九] 路线图, 19.
[xxx] 同上,20-21。
[三十一] 同上,30-31。
[三十二] 同上,32。
[xxxiii] 同上,33-36。
[三十四] 同上,37-39。
[xxxv] 同上,37。
[xxxvi] 同上,39。
[xxxvii] 同上,40-41。
[xxxviii] 同上,42。
[三十九] 同上,43。
[十一] GDPR第5(1)(e)条。
[xli] 路线图,44。
[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.
[xliii] 欧盟委员会认为该国提供了充分的数据保护。
[xliv] 在国际仲裁的情况下,这很可能是一个标准的合同条款。
[xlv] 法律诉求的减损,允许在 "为建立、行使或捍卫法律诉求所必需 "的情况下进行转让,在仲裁方面最为适用。
[十六] 由于其高门槛和通知要求,对令人信服的合法利益的依赖没有什么实际意义。见EDPB,"关于2016/679条例下第49条减损的准则2/2018",2018年2月6日(数据传输指南)。
[xlvii] 路线图,8,13。
[xlviii] Emily Hay,"国际条约仲裁中GDPR的隐形手臂。我们不能让它消失吗?(Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [accessed 18 August 2021].
[xlix] PCA第2018-54号案件。
[l] 同上,法庭给双方的函件(Perm Ct Arb, 2019)。
[li] 路线图, 37.
[lii] ICCA和纽约市律师协会及国际冲突预防和解决研究所,'ICCA-NYC Bar-CPR关于国际仲裁中的网络安全议定书(2020年版)'(ICCA),见https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf,2021年8月18日访问。
[liii] '网络安全准则'(IBA,2018年10月),见www.ibanet.org/LPRU/Cybersecurity,2020年12月1日访问。
[liv] Andreas Respondek, Tasha Lim, 'Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?(Kluwer Arbitration Blog,2020年7月18日),见http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings,2021年8月18日访问。
[lv]。 国际商会关于旨在减轻COVID-19大流行病影响的可能措施的指导说明》(国际商会,2020年4月9日),2021年8月18日访问。
[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.
[lvii] 路线图, 2.
[lviii] 同上,23-25。
[lix] GDPR第4(2)条,见上文n 1。
[lx] 第6(1)(f)条,GDPR。
[lxi] Allan J Arffa 和其他人,"国际仲裁中的 GDPR 问题"(Lexology,2020 年 8 月 10 日),见 www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91,2021 年 8 月 18 日访问。
[lxii] 路线图,附件5。
[lxiii] Allan J Arffa和其他人,"国际仲裁中的GDPR问题"(Lexology,2020年8月10日),见www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91>2021年8月18日访问。
[lxiv] 路线图40-41。
[lxv] 见,例如。David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.
[lxvi] 同上;Richmark Corp诉Timber Falling Consultants,959 F.2d 1468,1475(9th Cir 1992)。
[lxvii] 美国诉讼和国际仲裁中的外国数据保护法》(Baker Botts,2020年2月6日),见www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration>2021年8月18日访问。
[lxviii] David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395.406.
[lxix] Gary Born, International Commercial Arbitration (2nd edn, Kluwer Law International 2014), 2335.
[lxx] 同上。Born引用了以下判决来加强这一论点。2004年1月22日的判决,Société Nat'l Cie for Fishing & Marketing 'Nafimco' v Société Foster Wheeler Trading Co.AG, 2004 Rev arb 647 (Paris Cour d'appel): '仲裁庭命令披露的决定属于其程序上的自由裁量权,法院不能审查';Karaha Bodas Co 诉 Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004) 。披露要求是'完全属于法庭合理行使的自由裁量权'。
[lxxi] Natalia M Szlarb,"处于十字路口的GDPR和国际仲裁"(《国家法律评论》,2019年12月4日),见www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads,2021年8月18日访问。
[lxxii] 纽约公约》第五条第(2)款:"如果寻求承认和执行的国家的主管当局发现......(b)承认或执行该裁决将违背该国的公共政策,也可拒绝承认和执行仲裁裁决。
[lxxiii] 联合国秘书长,《国际商事仲裁示范法文本草案的分析评注》,A/CN.9/264(1985年),第34条,第6款。
[lxxiv] 贸易法委员会国际商事仲裁示范法》第34(2)条:"只有在......(b)法院认为......(ii)裁决与该国的公共政策相冲突时,第6条规定的法院才能撤销仲裁裁决"。
[lxxv] 1999年6月1日的判决,Eco Swiss China Time Ltd诉Benetton International NV C-126/97 [1999] ECR I-03055,第39和41段。39和41。关于欧盟公共政策的详细讨论,见。Sacha Prechal 和 Natalya Shelkoplyas,"国家程序、公共政策和欧盟法律。从Van Schijndel到Eco Swiss及其他'(2004)5 European Review of Private Law 589, 598。
[lxxvi] Anja Cervenka 和 Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
[lxxvii] 同上。
[lxxviii] 关于这些和其他问题的更详细讨论,请参见。Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka and Schwarz, see n 76 above, 84-85。
[lxxix] The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes', (ICCA, February 2020), see https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, accessed 18 August 2021.
本文首次发表于《国际争端解决》第15卷第2期,2021年10月,经国际律师协会(英国伦敦)的善意许可转载。© 国际律师协会。