如同中国的数据跨境监管,欧盟GDPR的出台也在国际商事仲裁实践中产生了不小的影响。究其根本原因,还在于GDPR的辐射范围非常广泛,其既包括了欧盟内部设立的数据控制者或处理者对个人数据的处理,又包括了虽在欧盟境外设立的数据控制者或处理者,但对欧盟内数据主体提供商品或服务以及进行监控的行为。因此可以说,GDPR从属地和属人管辖两个方面深入介入到了对欧盟企业和个人的数据处理活动,由此也意味着在欧盟境内形成的相关涉及个人信息的文件都需要符合其监管要求,也只有少数例外的情况下才能够得到豁免。基于上述原因,许多当事人会以GDPR等国家的法律规定作为在国际商事仲裁中拒绝披露相关材料的理由,但在实务中由于该些材料并不一定会涉及国家秘密问题,因而其特免权一般并不会得到仲裁庭的支持,而且符合GDPR数据跨境的要求也只是时间和成本问题,其也并不能视为法律上完全可接受的理由。同时,当事人也很有可能基于其不予披露相关材料的行为而被仲裁庭最终认定为举证不能。
根据GDPR的规定,数据控制者需要实施适当的技术和组织措施,以确保并能够证明数据处理是按照规定进行的,并在必要时对这些措施保持更新。此外,在确定所需采取的技术和组织措施时,应当考虑数据处理的性质、范围、背景和目的,以及该处理行为对个人权利和自由的潜在风险,而数据处理的风险越大,例如可能发生歧视、盗用身份、欺诈、损害名誉等,则数据控制者为了减少风险而采取的措施就应当越强势。一般而言,数据控制者实施的适当技术和组织措施主要应当围绕内部政策、内部责任分配和合规培训三个方面进行。这就要求仲裁庭所在的仲裁机构需要制定相应的配套政策和规则,并提供相应的服务指南来引导仲裁庭合法、合规处理来自欧盟境内的相关个人数据,例如斯德哥尔摩商会仲裁院的电子数据平台,就很好的解决了数据的技术保护问题,其通过电子数据平台授权当事人对材料进行参阅,尽可能杜绝数据的泄露。此外,当数据发生泄漏时,仲裁机构也应当在72小时内对相关数据主体进行通知。需要注意的是,基于仲裁员作出的最终裁决系代为仲裁机构所作出的,因而仲裁机构需要对数据的处理活动负责,由此也也应当将仲裁机构视为数据控制者而不应将其视为系与仲裁员之间共同控制的行为,但由于仲裁员的故意或重大过失导致仲裁机构受损的,其也可以在承担相应责任后向该仲裁员进行索赔和追偿。数据控制者不仅要设计出符合企业自身实际情况的,有利于数据保护方面的举措。同时,还不能忽视GDPR所规定的有关隐私保护的默认手段。因此,数据控制者必须根据实现数据合规的成本、背景、数据处理目的、数据主体权利保障以及可能存在的风险进行综合评估,通过假名化、最小化处理等方式实现数据主体对其数据的更大控制,并定期评估和审查数据处理系统及其使用情况,以确保仲裁庭及各方当事人对数据的使用符合相关法律的规定。需要注意的是,虽然假名化能够尽可能避免对个人信息的泄露,但也可能会丧失或降低证据的证明力,当事人需要在数据假名化的同时兼顾案件需要。此外,关于假名化等技术在国际商事仲裁中的适用问题,在ICCA国际商事仲裁理事会2020年出版的《ICCA/NY City Bar/CPR Cybersecurity Protocol for International Arbitration (2020 Edition)》一书中有所详细介绍,对此感兴趣的读者可以进行研读。根据GDPR第30条的规定,数据控制者必须以书面形式对数据处理活动进行详细记录,以便在监管机构核查时得以及时提供。此外,该条还对数据处理活动的记录内容和类型进行了明确规定,保证欧盟各成员国在法律适用层面的一致性。GDPR规定了三类数据跨境传输的合法途径,可以说,每一类合法途径均有其一定的适用价值和意义。因此在实务中,针对不同的传输国家和个体情况,数据控制者需要灵活运用各种合法手段,选择最为合适的方案考虑数据的跨境传输问题。根据GDPR第45条1款的规定,当欧盟委员会认为相关的第三国、第三国中的某区域或一个或多个特殊行业、或国际组织具有充分性保护,则其可以作出认定,同意欧盟成员国的任何数据控制者将个人数据自由转移到第三国或国际组织,而不再需要另行授权。如若数据传输的目的国不属于充分性保护国家,则在传输数据的数据控制者或处理者提供足够保障基础上的同时,符合以下三类法定条件也可以作为数据跨境传输的合法途径:标准合同条款是向被认为不能提供充分保护国家进行数据跨境传输合法化最常用的机制之一。一般而言,数据控制者或处理者可以使用欧盟委员会或监管机构采用的标准数据保护条款作为跨境传输的依据,但在选择适用监管机构批准采用的标准合同条款时,控制者和处理者也可以根据自身情况增加一些必要条款或额外保护措施作为该标准合同的补充,只要该增加的条款和额外措施不违反GDPR的规定,也不与监管机构事先批准采用的标准合同条款相抵触,则该条款的可以被认定为有效。GDPR赋予了各类协会以及其它代表某类控制者或处理者的实体组织起草行为准则的权利,并以此作为数据跨境传输的合法途径之一。在相关行为准则发布后,数据控制者和处理者必须对此项准则作出履行承诺才能够进行数据跨境的传输。此外,在经欧盟委员会批准后,相关认证机构依据其所建立的数据传输标准也可以授予和签发具有通用性质的欧盟数据保护印章和标记,以满足小微及中型经济体的特定数据跨境传输需求。有约束力的公司规则是全球数据保护的黄金规则,其也同时被称为跨国集团公司内的数据传输规则。BCRs规则的创建,印证了其在跨国集团公司内部数据跨境传输行为的重要作用。实践中,获批通过的BCRs往往都会采用相对于GDPR而言更高的标准,以确保公司内部数据跨境传输的充分保护与合法。如果数据输入国既非充分性保护的国家,在客观上又无法提供足够的保障措施的,在以下符合GDPR所规定的具体例外情况下,仍可进行数据跨境转移或传输至第三国和国际机构。如果数据控制者不能确保出境的数据能够得到充分的保障,同时该数据输入国也并非充分性保护的国家,则数据控制者需要在明确且具体告知数据主体可能存在的数据跨境风险,并获得其同意后才能够进行数据的跨境传输,以保障数据主体的知情权。GDPR还允许在履行合同之必要情况下进行的数据传输行为,例如出口商与相关数据主体之间签订了采购合同,且该合同是应数据主体的个人要求或为了他们的利益而签订的,且同时为履行合同之必要时可进行数据的跨境传输。当涉及国家安全、预防和调查犯罪行为以及税收稽查等重大公共利益的事项,需要将数据跨境传输至第三国的,即便该第三国并非是充分性保护国家,相关数据控制者也可以依据重大公共利益将符合本款的数据对外进行跨境传输,而无需承担任何不利后果。基于司法活动的需要,在当事人确立、行使或进行法律抗辩时,可以向第三国或国际机构传输与案件有关的证据,以完成跨境取证或代理工作,确保其权利的顺利行使。为了保障数据主体的重要利益,可以对数据进行跨境传输。实践中监管部门一般会对此情形加以严格限制,只有在涉及例如数据主体的生死等重大利益时,才能够得以适用。公共登记册是欧盟法或欧盟成员国法律为了向具有正当利益的一般公众提供咨询所使用。对于公共登记册而言,可以允许对外传输从该登记册摘录的部分信息,例如公司的董事和股东身份等,但一般不允许对外传输完整的记录。在数据主体数量有限且对于数据控制者追求其合法利益是必要的情形下,当数据控制者已经评估了围绕数据跨境传输的所有情况,且作出数据控制者的合法利益的保障并不会凌驾于数据主体的权利和自由之上的结论,并能够对个人数据提供适当保障的情况下,数据控制者可以将该类数据进行跨境传输,但其仍应将数据跨境传输的范围和其所追求合法利益向监管机构和数据主体进行通报,确保其知情权。基于GDPR设置了非常高标准的处罚标准,即如果数据控制者和处理者是非法人组织,可在1000-2000万欧元间进行处罚。如果数据处理者是法人组织,最高可处相当于其上一年全球总营业额4%金额或2000万欧元的罚款,以高者计。因此,作为国际商事仲裁机构而言,其显然面对着来自GDPR的巨大合规压力,而针对在仲裁活动中来自于欧盟的个人数据处理活动,仲裁庭可以通过事先在CMC会议上听取双方意见的前提下,作出符合法律规定的初裁。(一)分析仲裁地及仲裁开庭地所在国家和地区是否已被列为充分性保护国家如果仲裁地及仲裁开庭地是欧盟委员会认可的充分性保护国家,则欧盟境内的数据可以与其境内的企业、行业组织及个人进行自由传输。但考虑到目前全球仅有12个国家和地区被欧盟列为充分性保护国家,因此在实务中,大量国际仲裁案件仍需考量其他合法途径。在数据转移对于确立、行使或进行法律抗辩是必要的情形下,GDPR规定了一定的例外。因此,对于仲裁所需的合同以及当事人身份信息等明显的必要信息则无疑可以直接作为欧盟数据出境的对象。但需要注意的是,由于证据必要性的范围在国际商事仲裁实务中仍存有争议,因此适用该条款也并不必然毫无风险。标准合同是国际商事仲裁实践中最为科学和合理的应对欧盟数据跨境传输的方式。由于其一方面既无“充分性保护国家”的高标准,同时也可以明确当事人和仲裁机构之间的权利义务关系,因此近年来也逐渐受到了全球各地国际商事仲裁机构的青睐。仲裁庭一般会在CMC会议上预先沟通需要披露的信息范围和使用目的,以避免在数据处理活动过程中产生违法和违规行为。在条件允许的情况下,其还可以要求欧盟GDPR辐射范围内的当事人与其签署一份标准合同,并取得该当事人数据来源的合法性承诺。同时在标准合同中也会要求数据主体同意豁免仲裁庭对其行使数据删除权、被遗忘权等权利的义务。换句话来说,为保证国际商事仲裁的稳定性和连贯性,即便数据主体根据GDPR第17条的规定提出了删除权,也只有数据出境方才需履行其删除义务,而国际商事仲裁机构并无此类限制。但在仲裁案件结案后,仲裁机构应当及时删除相关个人信息,以确保对数据的使用符合最初目的。然而,倘若在CMC会议上无法就数据传输合法方案协商一致的情形下,或一方当事人主观上拒绝签署标准合同,亦或是意图在故意拖延仲裁程序的情形下,仲裁庭可以根据案件实际需要作出要求限期签署的裁决。需要注意的是,仲裁庭将标准合同作为数据传输的路径时,仍应在整个仲裁过程中时刻遵循GDPR的数据处理规范,避免相关数据主体向其主张相应潜在责任。