在Tennant Energy LLC (USA) v. Government of Canada (PCA Case No. 2018-54)一案中,NAFTA仲裁庭就《通用数据保护条例》(General Data Protection Regulation 2016/679,以下简称GDPR)的适用范围发表意见。这项欧盟条例生效于2016年5月,规定了数据处理和控制方面的广泛义务。这项条例自生效以来引发了诸多问题。在本案中,仲裁庭需要处理的问题是,这项欧盟条例是否会影响根据《北美自由贸易协定(NAFTA)》提起的仲裁。
一、背景
2017年6月1日,仲裁申请人Tennant Energy LLC向加拿大提起投资仲裁,仲裁程序由海牙常设仲裁院(PCA)管理。申请人根据NAFTA第11章就其在加拿大安大略省的一个风力项目投资提出了金额为1.16亿美元的损害赔偿请求。
从仲裁程序一开始,数据保护问题就成为讨论的核心。申请人力劝仲裁庭严格遵守GDPR的数据政策,认为仲裁庭应在其程序令中处理数据保护问题,并确保“适当的GDPR合规机制能够到位”。根据申请人的观点,该欧盟条例适用于该仲裁程序。从已报道的案例中无法确认申请人为何如此坚决要求遵守GDPR。
申请人称其中一名仲裁员居住在英国,故受GDPR管辖。其基本观点是,如果一名仲裁员来自欧盟,整个仲裁庭都需遵守GDPR,并须在程序令中处理数据安全问题。此外,申请人指出,PCA在欧盟数据保护法下被视为超国家机构。因此,只要PCA与仲裁庭之间存在个人资料的转移,就会产生GDPR义务。
但是,加拿大拒绝接受在程序令中涉及GDPR的相关规定,并认为整个NAFTA不属于GDPR的实质范围。
随后,当事人就GDPR的适用性以及是否必须将合规机制纳入仲裁庭的程序命令中展开讨论。
二、裁定
仲裁庭不同意申请人的观点。2019年6月24日,仲裁庭仅通过以下用两段话告知当事人为何不适用GDPR,以及为何不相应地修改其程序命令。仲裁庭的陈述简明扼要:
“关于《通用数据保护条例》对此次仲裁的潜在适用问题,仲裁庭在仔细审议当事人对此提出的意见后认为,因欧盟及其成员国均非NAFTA成员国,故根据NAFTA第11章进行的仲裁不能被推定为属于GDPR的实质范围。因此,保密令将不会提及GDPR。这并不影响确保高水平的数据保护的重要性并在保密中加入此类效力的措辞(On the potential application of the General Data Protection Regulation 2016/679 (“GDPR”) to this arbitration, having carefully considered Parties’ submissions on this issue, the Tribunal finds that an arbitration under NAFTA Chapter 11, a treaty to which neither the European Union nor its Member States are party,does not, presumptively, come within the material scope of the GDPR. Accordingly, the Confidentiality Order makes no reference to the GDPR. This is without prejudice to the importance of ensuring a high level of data protection, and language to this effect has been added into the Confidentiality Order)。”
“在一方当事人希望提起法院程序以便从第三方收集证据的情况下,该当事人在提出申请前,必须尽早将有关情况通知仲裁庭及另一方当事人,包括所寻求信息的细节,提出申请的法院以及申请的安排。仲裁庭还希望当事人定期向仲裁庭和另一方当事人报告此种法院程序的进展(To the extent that a Party wishes to initiate court proceedings for the gathering of evidence from third parties, the Party is required to fully inform the Tribunal and the other Party in good time in advance of the application, including as regards the detail of the information that it is intended to seek, the court before which the application will be made, and the timing of the application.The Tribunal also expects the Party to report to the Tribunal and the other Party on the status of such court proceedings on a regular basis.”)。”
仲裁庭没有提供进一步解释。然而,仲裁庭在之前的通讯中已经指出GDPR第2(2)(a)条涉及该条例的实质范围。该条款规定,GDPR“不适用于在不属于欧盟法范围的活动过程中处理的个人数据。”
仲裁庭解释道,程序令将不会提及GDPR,但这“不影响确保高水平的数据保护的重要性”。
三、评论
截至今天,在实践中,大多数程序令并未特别提到GDPR和数据安全的规定。在未来这是否会发生变化以及是否会出版关于这一问题的判例法还有待观察。
总体而言,GDPR对仲裁的影响尚未十分明确,这仍然是仲裁界的一个大的话题。例如,ICCA和IBA成立了一个国际仲裁数据保护工作组,旨在对GDPR的影响提供指导(参见网址:https://www.arbitration-icca.org/projects/ICCA-IBA_TaskForce.html)。
虽然Tennant Energy LLC (USA) v. Government of Canada案的裁定只涉及基于条约的仲裁程序的适用性,但许多文章已经讨论了GDPR对基于合同的商事仲裁的影响(参见例如:seee.g.http://arbitrationblog.kluwerarbitration.com/2019/09/07/gdpr-issues-in-commercial-arbitration-and-how-to-mitigate-them/;http://arbitrationblog.practicallaw.com/the-gdpr-and-disclosure-of-documents-in-arbitration/;https://globalarbitrationreview.com/article/1170035/managing-arbitral-data-under-the-gdpr;https://www.garrigues.com/en_GB/new/protecting-personal-data-under-gdpr-arbitration)。