黃潔
悉尼大學法學院副教授,仲裁員
要目
一、引言
二、條約和仲裁規則
三、連接點
四、國際公法規定的特權和豁免
五、結論
數據保護是投資仲裁中的一個新問題。條約和程序規則在確定哪個數據保護法應當適用方面的規定有限。解決數據保護法在投資仲裁中的法律適用問題是迫切和必要的。它可以使投資仲裁充分享受數字化的好處。從投資仲裁所依據的條約和程序規則、數據保護法與投資仲裁之間的連接點,以及國際爭端解決機構制定的相關公約、案例和國際習慣法的分析來看,投資仲裁應當遵守仲裁參與者住所地的數據保護,數據保護法在承認和執行裁決地的適用性不受國際公法規定的特權和豁免的影響。
一、引言
近年來,我國企業積極通過投資仲裁解決與投資東道國的爭議。作爲接收外國投資的大國,涉及我國的投資仲裁案件日益增多。與RCEP暫時不包含投資仲裁不同,投資仲裁是CPTPP投資章節的重要內容。
投資仲裁中涉及的許多信息可被視爲個人數據。最近的兩個案例,即Tennant Energy v Canada和Elliott Associates v Korea,表明仲裁庭和當事人越來越多地被要求考慮各種仲裁參與者的個人信息,並采取相應的行動來處理數據隱私保護的義務。如果當事人選擇適用某國的個人數據保護法,那麽該法就應當被適用。如果仲裁所依據的條約或仲裁規則有適用數據保護法的法律選擇規則,該規則也應被適用。但是,由于數據保護是投資仲裁中的一個新問題,當事人往往沒有做出相關選擇。此外,條約和程序規則在確定哪個數據保護法應當適用方面的規定有限。因此,在沒有當事人選擇的情況下,投資仲裁是否應當適用數據保護法尚無定論。Tennant案和Elliott案對投資仲裁中數據保護法的適用性提出了有益的見解。然而,這兩個案子帶來的新問題大大多于其解決的問題。
解決數據保護法在投資仲裁中的法律適用問題是迫切和必要的。它可以使投資仲裁充分享受數字化的好處。它還爲確定在一起投資仲裁案件的法律使用提供了可預測性和確定性。更重要的是,它可以幫助維護投資仲裁的公正性,使其不受不應當適用的數據保護法的影響。這是因爲,數據保護法還可以用來進行數字化監控。基于條約、國際法院的裁決和習慣國際法,投資仲裁可以通過國際公法規定的特權和豁免而免受一國數據保護法的影響。
本文通過分析仲裁的相關法律(如條約和仲裁規則)以及仲裁與數據保護法之間的連接點,來探討數據保護法在投資仲裁中的法律適用問題。本文還探討了國際公法下適用于本地個人數據保護義務的豁免權或特權(如果該權利存在的話)的問題;如果國際組織(如解決投資爭端的國際中心和海牙常設仲裁院)、其官員和當地工作人員、仲裁員和投資仲裁的其他仲裁參與者享有這種豁免,他們是否就不受某國法律規定的個人數據保護義務的約束,也不會因違反該法律而受到當地程序的管轄。
本文共分五節。下文第二節研究投資仲裁所依據的條約和程序規則。第三節討論數據保護法與投資仲裁之間的連接點,如仲裁員和其他仲裁參與人的住所地、仲裁所在地和審理地、數據處理地、裁決的承認和執行狀態等。第四部分側重于根據解決國際投資爭端解決中心和海牙常設仲裁院的創始條約、常設仲裁院締結的總部協定、其他相關公約、案例和國際習慣法來討論當地數據保護法的特權和豁免。第五節是本文的總結。
二、條約和仲裁規則
仲裁以當事人意思自治爲基礎。如果當事人已經選擇了某一數據保護法,則應適用該法。如果當事人沒有做出法律選擇,在確定投資仲裁是否受數據保護法約束時,仲裁所依據的條約或適用的程序規則應當是首要考慮因素。
條約
Elliott案涉及一個包含數據保護法的相關條約選擇法律適用規則的問題。該仲裁是根據《美國-韓國自由貿易協定》(以下簡稱“美韓自貿協定”)提起的。美韓自貿協定第11.28條將“受保護信息”定義爲“商業機密信息或根據一方法律享有特權或以其他方式保護不被披露的信息”。有鑒于此,韓國認爲應適用韓國的個人信息保護法(以下簡稱“PIPA”),該法禁止公開披露可能識別個人身份的信息。因此,韓國主張對仲裁通知、答複和修正後的索賠書(以下簡稱“ASoC”)進行刪改,特別是對韓國公職人員的姓名。Elliott不同意,並認爲這些名字不是受保護信息,因爲韓國沒有在提交的文件中指定這些姓名爲受保護信息從而放棄了自己的權利。仲裁庭駁回了Elliott的主張,並認爲,雖然這些名字被公布,但根據PIPA,它們是受保護的信息,因此應該被刪減。此外,即使根據PIPA第11.28條韓國可能放棄了反對公布未經刪減信息的仲裁答複的權利,因爲它只是在2019年4月15日向被申請人表示打算提出刪減的請求。但是韓國的放棄並沒有剝奪其要求Elliott在仲裁通知書和修正後的索賠書中刪改這些名字的權利。
關于個人數據保護的爭議屬于程序性問題。根據2013年《聯合國國際貿易法委員會仲裁規則》(以下簡稱“《UNCITRAL仲裁規則》”),仲裁庭可在其認爲適當的情況下進行仲裁,但須平等對待各方當事人。國際投資爭端解決中心公約第47條還規定,仲裁庭可以建議采取任何臨時措施,以維護各方當事人各自的權利。因此,仲裁庭有權決定有關個人數據保護問題的程序問題。然而,根據仲裁所依據的條約,個人數據保護問題可能必須由仲裁庭以外的機構最終決定。例如,《美韓自由貿易協定》爲仲裁庭關于數據保護問題的決定提供了一個審查機制。《美韓自由貿易協定》第11.21(4)條規定,任何爭議方對聲稱是受保護信息的認定提出的異議,投資仲裁庭應做出裁定。但是,爭議方可以請求一個由美國貿易代表和韓國貿易部長或他們各自指定的人共同主持的聯合委員會,對仲裁庭的裁決進行審查。聯合委員會做出的決定對仲裁庭具有約束力,仲裁庭做出的任何決定或裁決必須與該決定一致。因此,Elliott可以要求聯合委員會審查仲裁庭關于韓國提出的“受保護信息”是否認定適當的問題。
仲裁規則
近年來,投資仲裁的透明度日益加增。最近的重要例子是2014年締結的毛裏求斯公約。該公約旨在以公平和高效方式平衡投資仲裁中的公共利益和各方爭議相關方的利益。該公約規定適用《聯合國國際貿易法委員會透明度規則》。公約規定的透明度義務旨在確保公衆了解投資東道國的賠償情況、對投資政策的解釋以及加強投資仲裁的合法性。因此,公約規定的透明度義務並不打算讓公衆在投資仲裁中獲取個人信息。在投資仲裁中保護個人信息並不減損毛裏求斯公約規定的透明度目標。
《聯合國國際貿易法委員會透明度規則》第7條規定了透明度的例外情況。例外情況是指機密信息或受保護信息。機密信息或受保護信息包括:“對于被申請國信息,根據被申請國的法律受到保護而不向公衆提供的信息,對于其他信息,根據仲裁庭確定的適用于披露此類信息的任何法律或規則確定。”毛裏求斯公約要求仲裁庭作出安排,防止向公衆提供包括酌情決定的任何機密或受保護的信息。值得注意的是,個人數據保護可受益于《聯合國國際貿易法委員會透明度規則》第7條規定的保密例外。這是因爲個人數據可被視爲一種機密信息,並須遵守保密令。例如,在Appleton & Associates v Barry Appleton, the Clerk of the Privy Council Office一案中,加拿大聯邦法院關注的是,向第三方披露含有個人信息的文件是否與UPS v Canada一案中作出的保密令相沖突。法院認爲,仲裁庭的保密令特別提到了加拿大信息獲取法,根據該法,此類信息(即姓名和工作地點)不應披露給第三方。
然而,保護個人數據並不總是等同于在仲裁中保護機密信息。根本原因是個人數據保護往往是基于強制性的數據保護法(如歐盟一般數據保護條例,以下簡稱“GDPR”),當事人無法選擇不適用強制性的法律。只要滿足仲裁與該法律之間的連接點,該法律就必須得到遵守。就歐盟GDPR而言,連接點指的是其實質性適用範圍和地域範圍。但是,個人信息以外的保密信息往往由當事人的協議而非強制性法律來保護。此外,由于個人信息以外的保密信息往往受到當事人協議的保護,因此,保密義務不會由于國際公法規定的特權和豁免而得到豁免。相反,保護個人信息往往是由強制性的地方法律要求的。這一義務可以被國際公法規定的特權和豁免所豁免。
此外,仲裁程序中的保密規則可能無法充分保護個人信息。例如,在Giovanna A. Beccara and Others v. Argentina案中,在決定阿根廷是否應能得到載有申請人個人信息的數據庫時,仲裁庭認爲:
“解決投資爭端國際中心公約和仲裁規則沒有全面涵蓋程序的保密/透明度問題。因此,根據解決投資爭端國際中心公約第44條和解決投資爭端國際中心仲裁規則第19條,除非當事各方就保密/透明度問題達成協議,否則法庭應逐案作出決定,而不是傾向于強加一條贊成或反對保密的一般規則,而是努力達成一種解決方案,平衡透明度的普遍利益與某些信息和/或文件保密的具體利益。”
因此,仲裁庭根據意大利隱私法對阿根廷訪問數據庫施加了某些保密限制。
三、連接點
投資仲裁所依據的條約和仲裁規則不是確定數據保護法是否適用的唯一因素。仲裁庭可以考慮連接點來決定法律適用,如:(1)仲裁員和其他仲裁參與人的住所;(2)仲裁所在地和審理地;(3)處理個人數據的數據控制者和處理者所在地;(4)裁決的生效和執行;(5)仲裁機構所在地等。本節主要討論前四個連接因素。這是因爲大多數投資仲裁案件在ICSID或PCA審理。仲裁機構所在地的當地數據保護法的適用性應與ICSID和PCA可能享有的特權和豁免一起考慮。因此,第五個關聯因素將在本文第五節討論。
仲裁員和其他仲裁參與人的住所地
在Tennant案中,仲裁庭考慮了仲裁員的住所在英國是否會導致歐盟GDPR的適用。Tennant是一家美國公司。仲裁是根據北美自由貿易協定(以下簡稱“NAFTA”)提起的,適用的程序規則是1976年聯合國國際貿易法委員會仲裁規則。Tennant認爲,歐盟GDPR應該適用,因爲仲裁員Q.C. Daniel Bethlehem爵士是倫敦居民。Daniel Bethlehem爵士在自己的數據隱私通知中確認,歐盟GDPR對他是適用的,他既是數據“處理者”又是“控制者”。加拿大對此持否定態度,因爲適用的程序法和實體法不是歐盟法律,而且仲裁申請人都不來自歐盟國家。
確定歐盟GDPR適用性的第一個問題是,GDPR是否應當普遍適用于投資仲裁。GDPR第20條規定,它適用于法院和其他司法機關的活動。第20條規定的“司法活動”包括仲裁活動。當法院以司法機關身份行事時,爲了保障司法機關在執行司法任務(包括決策)時的獨立性,數據監管機構的權限不包括監督法院對個人數據的處理。但這一免責條款並不適用于仲裁。另外根據歐盟法院的解釋,“司法權”不包括仲裁。英國也沒有規定仲裁可以豁免歐盟GDPR的管轄。此外,雖然歐盟GDPR序言第91段豁免律師進行數據保護影響評估,但仍應適用歐盟GDPR規定的其他義務。
歐盟GDPR普遍適用于仲裁這一事實並不一定意味著它應適用于某一特定仲裁。歐盟GDPR第2.2(a)條描述了其實質性範圍:“本條例不適用于處理個人數據:(a)在不屬于歐盟法律範圍的活動過程中……”歐盟或其任何成員國都不是《北美自由貿易協定》的締約國。因此,Tennant案的仲裁庭正確地得出結論,Tennant仲裁案是一項不屬于歐盟法律範圍的活動。
歐盟GDPR第3條劃定了其地理管轄範圍。如果個人數據是在歐盟境內中處理的,或與向歐盟境內的數據主體提供産品和服務或監測歐盟境內數據主體的行爲有關,則GDPR適用。歐盟GDPR第22條規定,營業場所意味著通過穩定的安排有效和真實地開展活動。因此,如果一個人經常居住在歐盟,並在那裏經營業務,他或她就在歐盟境內具有營業場所。Tennant案的仲裁員Daniel Bethlehem爵士就屬于這種情況。
但是,歐盟GDPR第2條和第3條的適用並不是平行的,即第2條是第3條適用的前提條件。如果符合歐盟GDPR第2.2.(a)條規定的條件(不屬于歐盟法律的範圍),就沒有必要再討論第3條的適用性。因此,仲裁庭認爲,歐盟GDPR不適用,因爲這是根據《北美自由貿易協定》第11章進行的仲裁,而歐盟及其成員國都不是該條約的締約方,因此,該仲裁不在歐盟GDPR的實質範圍內。仲裁庭認爲沒有必要討論歐盟GDPR的地理管轄範圍。
值得注意的是,加拿大建議,各方當事人、仲裁員和常設仲裁院有責任分開單獨確定歐盟GDPR是否適用于其仲裁活動。這個觀點帶來的問題是,在仲裁庭裁定歐盟GDPR不適用本案仲裁後,Q.C. Daniel Bethlehem爵士作爲本案的仲裁員,是否應該單獨遵守歐盟GDPR?答案應該是否定的,因爲如果一項仲裁不屬于歐盟GDPR的實質範圍,從邏輯上講,該仲裁的仲裁員雖然居住在歐盟,但也不受歐盟GDPR的約束。這一結論對其他仲裁參與者,如當事人、律師和證人也應適用。
Tennant認爲,如果根據歐盟及其成員國不是締約方的條約(如北美自由貿易協定)提起投資仲裁,則歐盟GDPR被推定爲不適用,因爲仲裁將不在其實質性範圍內。這一結論很可能對其他投資仲裁案件産生廣泛的影響。這也解釋了爲什麽Ellioit仲裁雖然設在倫敦,但不應該適用歐盟GDPR。然而,Tennant和Ellioit案並沒有回答歐盟GDPR是否應適用于基于歐盟或其一個或多個成員國爲締約方的條約的投資仲裁。典型的例子是《能源憲章條約》(以下簡稱“ECT”)。例如,一家德國公司根據ECT對土耳其提起的投資仲裁是否應遵守歐盟GDPR?德國和土耳其都是ECT成員國,但歐盟GDPR只適用于德國,不適用土耳其。與美韓自貿協定不同的是,ETC並沒有規定一方當事人的數據保護法應當適用的條款。因此,仲裁庭需要考慮仲裁與歐盟GDPR之間的連接點。首先要考慮的連接點是投資者的住所地。因爲投資者的住所在德國,所以這個ECT仲裁很可能滿足歐盟GDPR的實質範圍。那麽仲裁庭就需要考慮歐盟GDPR的地域適用範圍。值得注意的是,歐盟GDPR第4條第2款對“處理”進行了寬泛的定義,包括“對個人數據或個人數據集進行的任何操作或一組操作,無論是否通過自動化手段”。結合歐盟GDPR第3條和第4條,如果投資者的住所在歐盟,GDPR就有可能適用。
仲裁地和審理地
仲裁法是“一套規則,它爲仲裁的進行規定了一套仲裁協議和當事人意願之外的標准。”仲裁所在地的法律就是仲裁法。即使當事人爲仲裁選擇了不同的程序法,也仍然適用所在地的仲裁相關法律。在Union of India v McDonnell Douglas Corp一案中,服務合同受印度法律管轄,並載有仲裁條款,規定仲裁應按照1940年印度仲裁法規定的程序“進行”,而該仲裁的所在地卻爲倫敦。英國法院認爲,通過使用“所在地”一詞,雙方當事人選擇了英國法律來管轄仲裁程序,而“進行”的提法具有從合同中引入印度法的效力,而該印度法的規定涉及其仲裁的內部行爲,與選擇英國仲裁程序法並不矛盾。因此,英國法律作爲仲裁地的法律應當被適用:
“(b)仲裁與法院之間的外部關系,法院的權力可能既是支持性的,也是監督性的,例如給予臨時救濟、從第三方獲取證據和確保證人出庭、撤換仲裁員和撤銷裁決;以及(c)仲裁與該地公共政策之間更廣泛的外部關系,其中包括可仲裁性等事項,也可能包括——更有爭議的——每個國家的社會、宗教和其他基本價值觀對仲裁的影響。”
這一立場得到紐約公約第五(1)(d)條和聯合國國際貿易法委員會仲裁示範法第34(2)(a)條的支持。這兩條都規定,如果仲裁程序不符合當事人的約定,或者在沒有這種約定的情況下,不符合仲裁地所在國的法律,仲裁裁決可以被拒絕承認和執行。
仲裁所在地的法律應包括所在地適用的數據保護法。其根本原因在于,所在地的法律規定了仲裁與法院和所在地的公共政策之間的關系。所在地法院象征著所在地的監管部門,其中應包括政府數據監管機構。仲裁協議不能排除所在地的公共政策。數據保護法是否屬于所在地的公共政策?在歐盟,答案是肯定的,因爲個人數據保護權被認爲不能被交易。因此,歐盟GDPR代表歐盟的公共政策。美國沒有歐盟GDPR這樣統一的數據保護法。外國企業如果收集、持有、傳輸、處理或分享美國居民的個人數據,就必須遵守美國聯邦數據保護法,還可能受到數據主體所在州的相關州法的約束。因此,美國數據保護法是否代表公共政策,應根據所涉及的法律法規具體來確定。
值得注意的是,仲裁所在地不一定是審理地(place of hearing)。這是因爲“所在地是一個法律概念,而不是一個地理位置”,審理地的法律不是仲裁法。不過,其數據保護法可以適用于仲裁。這一點至關重要,因爲審理地是處理仲裁所涉及的數據的物理地點(之一)。值得注意的是,在仲裁法中,審理地的選擇主要是爲了方便仲裁,只有仲裁所在地才具有法律意義。但在數據保護制度中,個人數據“處理”地往往就是仲裁審理地對當的數據保護法的適用性具有重要意義。
其次,審理地的數據保護法往往被視爲適用于其境內所有數據處理活動的強制適用的法律。例如,歐盟GDPR第3條第(2)款(a)項規定,如果向歐盟境內的數據主體提供免費或付費的商品或服務,則適用該條例。如果控制者/處理者設想向歐盟境內的數據主體提供商品或服務,如使用一個或多個歐盟成員國普遍使用的語言或貨幣,或以歐盟客戶爲目標,則符合這一條件。如果數據主體的行爲是在歐盟境內發生的,則歐盟GDPR也適用。這些數據主體可能都不是歐盟居民或公民。類似的情況還有網絡安全法,該法對個人數據進行了保護。其第2條規定,在中國境內建設、運行、維護、使用網絡以及對網絡的監督管理,均應遵守本法。
處理個人數據的實體的所在地
個人數據處理實體所在地通過的個人數據保護法可以適用于投資仲裁。例如,中國在《兒童個人信息網絡保護規定》中,在中國境內進行的與兒童個人信息有關的網上收集、存儲、使用、轉移、披露等活動,適用該規定。因此,如果投資仲裁中涉及兒童個人信息,且該信息在中國境內處理的,應適用中國關于兒童個人信息在線保護的相關規定。
此外,處理個人數據的實體所在地可能規定了向第三國或國際組織轉移數據的標准。一個典型的例子是歐盟GDPR,其中有整整一章(第5章,第44條及其他條款)規定了向第三國和國際組織轉移個人數據的問題。作爲一般原則,只有在不損害歐盟GDPR所保障的對自然人的保護水平的情況下,才能進行任何將正在處理或打算在轉移到第三國或國際組織後處理的個人數據的轉移。
一個相關的案例是Giovanna A. Beccara and Others v. Argentina案。申請人是擁有阿根廷發行的外債的意大利人。他們聲稱阿根廷拖欠付款,因此根據《阿根廷共和國和意大利共和國關于促進和保護投資的協定》(以下簡稱”阿根廷-意大利雙邊投資協定”)對阿根廷提起投資仲裁。申請人委托一家意大利公司編制在線數據庫,其中包括每個希望同意加入阿根廷-意大利雙邊投資協定的意大利國民債券持有人的個人身份、財務和國籍信息。申請人允許阿根廷進入數據庫,但條件是遵守意大利的隱私法。阿根廷拒絕了。仲裁庭指出,投資仲裁中的透明度考慮不能優先于根據一方當事人的國內法保護信息不被披露。它認爲,“申請人具有意大利國籍,在線數據庫是根據意大利法律建立的,這個問題應根據意大利法律進行審查。”意大利的隱私法第5(1)條規定,如果個人數據處理是由在意大利設立的任何實體進行的,則該法應適用于該個人數據的處理。仲裁庭認爲,個人數據的處理,即借助電子手段收集、記錄、組織、保存等,是由一家根據意大利法律注冊的公司完成的。法庭認爲,“因此,意大利隱私法適用于處理索賠人的個人數據。”法庭還認爲,根據第95/46/EC號指令第25(2)條的規定,阿根廷被認爲是從歐盟轉移的個人數據提供了充分的保護。因此,將原告的個人數據轉移到阿根廷必須被視爲意大利隱私法所允許的轉移。盡管如此,仲裁庭依然認爲,必須遵守意大利隱私法,因爲:
“爲了繼續保護申請人的個人資料,這種轉讓的方式仍必須使數據庫控制者能夠遵守意大利隱私法和歐盟第95/46/EC號指令規定的保障義務,特別是防止未經授權與收集數據的目的不一致而獲取和處理的信息。因此,即使允許轉讓,而且沒有迹象表明被申請人將不遵守阿根廷的數據保護法律和條例,但申請人仍有合法權益制定關于使用這些信息的具體規則,特別是如果被申請人將被允許直接訪問申請人的整個在線數據庫。”
歐盟第95/46/EC號指令,即歐盟數據保護條令,歐盟GDPR的前身。它允許成員國適用自己的法律,相比之下,歐盟GDPR由于直接適用于成員國,建立了一個更加統一的法律架構。Giovanna A. Beccara案證明,如果基于適當性決定將個人數據從歐盟轉移到第三國或國際組織,仍可適用歐盟GDPR。
裁決的承認和執行地
雖然只是在承認和執行階段,但在仲裁審理過程中,也應考慮到裁決能否在被執行人的財産所在地得到承認和執行地。如果根據紐約公約執行投資仲裁裁決,則承認和執行程序受承認和執行地的法律管轄,其中可能包括以違反作爲“公共政策例外”的當地數據保護法爲理由不承認和執行仲裁裁決的情況。如果投資仲裁裁決是根據關于解決國家和其他國家國民之間投資爭端的公約(以下簡稱“ICSID公約”)來執行,那麽承認和執行國的數據保護法就無需考慮。因爲ICSID公約規定,“裁決的執行應受要求執行裁決的國家的承認和執行判決的現行法律管轄”。因此,解決投資爭端國際中心的投資仲裁裁決應作爲國內判決在承認和執行國執行。不應以公共政策例外爲由對解決投資爭端國際中心的裁決進行審查。但是,如果投資仲裁裁決是保密的,則裁決的內容,包括裁決所涵蓋的個人數據,應根據承認國和執行國的法律予以保護,而不論裁決是根據紐約公約還是解決投資爭端國際中心公約執行的。
四、國際公法規定的特權和豁免
在國際公法中,特權和豁免是指保障國際組織及其官員、主權國家及其具有外交地位的工作人員和其他人員獨立履行職責和義務,以實現國際組織或國家的目標。特權通常是指對一國原本適用的實體法的豁免,而豁免則是對一國行政、裁決或行政權力的豁免。在本文中,“特權”指的是不適用當地數據保護法,“豁免”指的是管轄豁免,即免除違反當地法律的任何程序的管轄權。它們産生了同樣的否定效果,即當地的數據保護法對投資仲裁及其參與者沒有影響。
如果當地的數據保護法是由當事人選擇的,或者是投資仲裁所依據的條約所要求的,那麽它不能被國際公法規定的特權和豁免所豁免。例如,在Elliott案中,PIPA是根據美韓自貿協定適用的。遵守PIPA的義務不可能被其他國際公法規定的權利和義務所豁免。這是因爲美韓自由貿易協定考慮到了PIPA的適用,除非韓國和美國達成一致,否則基于該自由貿易協定的投資仲裁不可能被豁免于PIPA的適用。
但是,如果基于當地法律中指明的連接點,當地數據保護法因其強制性而適用于投資仲裁,則必須考慮當地法律的適用是否可以通過國際公法規定的特權和豁免而得到豁免。例如,假設一個日本投資者對土耳其提起ECT仲裁,相關的個人數據在巴黎的仲裁審理地被收集,或者由位于德國的數據公司處理。這個仲裁是否需要遵守歐盟GDPR?這個問題可以通過探討該仲裁是否超出歐盟GDPR的實質範圍來回答。然而,歐盟、德國和法國是ECT的成員國,數據是在歐盟收集和處理的。因此,要確定此次ECT仲裁是否超出了歐盟法律的範圍,可能並不容易。這個問題也可以(而且更好)從另一個方面來處理:國際公法規定的特權和豁免(如果有的話)是否使日本投資者、土耳其和仲裁庭免于遵守歐盟GDPR,或免于因違反歐盟GDPR而引起的任何訴訟。
投資仲裁可以不受當地數據保護法的約束。這源于國際法院發表的具有約束力的《關于人權委員會特別報告員享有法律程序豁免的爭議的咨詢意見》(以下簡稱“Cumaraswamy”)中分析的“口頭或書面語言的各種法律程序豁免”。該案涉及一名被聯合國任命爲特別報告員的馬來西亞法學家在英國出版但也在馬來西亞發行的一本雜志上的采訪。特別報告員評論了馬來西亞法院進行的某些訴訟。因此,馬來西亞的一些個人和實體聲稱,上述采訪文章含有誹謗性的詞語,“使他們陷入了公衆的醜聞、憎惡和蔑視之中”。他們以誹謗爲由對特別報告員提起訴訟。據國際法院稱,“馬來西亞承認Cumaraswamy先生作爲委員會的特別報告員是一名特派專家,這種專家在與締約國的關系中享有聯合國特權和豁免公約規定的特權和豁免,無論該專家是作爲締約國的國民還是居民。”國際法院認爲,聯合國特權和豁免公約第22(b)節對于聯合國秘書長在確定某位特派專家是否有權就享有各種法律程序的豁免,可以發揮“關鍵作用”。國際法院的結論是,“秘書長正確地認定Cumaraswamy先生在說該條所引用的話時……是在執行聯合國任務的過程中。”關于馬來西亞政府的法律義務,國際法院指出,“馬來西亞政府沒有將秘書長的調查結果通知馬來西亞主管司法當局,即Cumaraswamy先生是在執行聯合國任務過程中說了有關的話,因此有權免于法律訴訟。”國際法院認爲,秘書長的“調查結果及其文件表達方式産生了一種推定,只有出于最令人信服的理由才能將其擱置,因此國家法院應給予最大的重視。”
會員國代表、聯合國官員和專家在聯合國主要機構和附屬機構以及在聯合國及其專門機構召開的會議上發表的言論或書寫的文字享有各種法律程序豁免,這一理論被廣泛接受,並得到聯合國憲章、聯合國特權和豁免公約和專門機構特權和豁免公約的一致認可。這一理論是在言論自由和國際組織具有不受成員國法律制約的獨立性的基礎上規定的。給予國際組織及其人員豁免權的目的是保護這些組織不受成員國的幹涉。與Cumaraswamy案中涉及的馬來西亞的誹謗法一樣,個人數據保護法也因國家的不同而不同,因爲這些法律反映了每個國家不同的隱私概念。一個信息的表達在一國可能受到言論自由的保護,但與此同時,在另一國可能被認爲是違反數據保護法的非法行爲。有些國出于國家安全的考慮,甚至有些國出于言論審查的目的,對個人數據進行保護。一些國將個人數據保護法作爲強制性法律適用。因此,Cumaraswamy案中所認爲的“對口頭或書面語言的各種法律程序的豁免權”應該包括數據保護法。如果這種豁免適用于當地的誹謗法,而不適用當地的數據保護法,是不合理的。因此,會員國代表、聯合國官員、聯合國主要和附屬機構的專家以及聯合國及其專門機構召開的會議的代表在行使其身份時,應免于因違反當地個人數據保護法而引起的法律程序。這種豁免旨在給予“足夠程度的主權,使[聯合國]能夠獨立、公正和有效地履行其職能”。
本節以條約、Cumaraswamy和習慣國際法爲基礎,重點闡述解決投資爭端中心和海牙常設仲裁院、其官員和當地工作人員、仲裁員和其他仲裁參與者在解決投資爭端中心和海牙常設仲裁院管理的投資仲裁程序中的特權和豁免問題。本節旨在描述適用于解決投資爭端中心和常設仲裁院的條約以及習慣國際法所規定的特權和豁免。本節無意對解決投資爭端中心和海牙常設仲裁院之間享有的特權和豁免的範圍進行比較。
聯合國國際投資爭端解決中心
根據投資爭端解決中心公約提起的投資仲裁不應受到任何國內數據保護法的約束,除非當事人另有約定且投資爭端解決中心放棄其豁免權。這是因爲投資爭端解決中心公約第21條(a)款對此有規定:
“主席、行政理事會成員、擔任調解員或仲裁員的人員或根據第52條第(3)款任命的委員會成員,以及秘書處的官員和雇員:(a)對他們在履行職責時的行爲享有法律程序豁免,除非中心放棄這種豁免。”
投資爭端解決中心不是聯合國專門機構,因此,投資爭端解決中心的特權和豁免僅限于投資爭端解決中心公約第20-24條規定的特權和豁免,而不包括聯合國各項公約規定的特權和豁免。然而,這並不意味著“對口頭或書面語言的各種法律程序的豁免”應被排除在投資爭端解決中心公約第21條之外。第21條是根據與世界銀行工作有關的人員的平行規定起草的,而世界銀行是聯合國的一個專門機構。第21條所列的人員對其在履行投資爭端解決中心職能時實施的行爲免于任何訴訟。Christoph Schreuer教授明確指出,“這種職能豁免與其他國際機構官員的待遇是一致的”,並引用了聯合國特權和豁免公約第18節和專門機構特權和豁免公約第19節。因此投資爭端解決中心公約第21條應涵蓋“口頭或書面語言的各種法律程序豁免”。
投資爭端解決中心公約第22條將第21條的適用範圍擴大到作爲當事人、代理人、律師、辯護人、證人或專家出現在本公約規定的程序中的人員;但其中(b)項僅適用于他們往返于仲裁審理地的旅行和停留。該規定旨在確保程序的正常運行不受當地法律的幹擾。因此,根據投資爭端解決中心公約提起的投資仲裁中的仲裁員和其他仲裁參與者在履行職責時,應享有因違反當地數據保護法而引起的任何法律程序的豁免權。
海牙仲裁法院
海牙常設仲裁法院是一個政府間組織。它主要處理三類案件:國家對國家的仲裁、基于條約的投資仲裁以及根據涉及國家或其他公共實體的合同仲裁案件。本文重點討論第二類案件,即基于條約的投資仲裁。海牙常設仲裁院的條約框架爲常設仲裁院、其官員和當地工作人員、仲裁員和其他仲裁參與者提供了特權和豁免,該框架由其創始條約和總部協定構成。
1.兩項海牙公約
海牙仲裁法院是根據1899年關于和平解決國際爭端的條約(以下簡稱“1899年海牙公約”)設立的,該條約後被1907年關于和平解決國際爭端的公約(以下簡稱“1907年海牙公約”)取代。1899年海牙公約設立了海牙仲裁法院,旨在爲簽署國之間的國際爭端提供立即訴諸仲裁的機會。
兩項海牙公約允許每個成員國最多提名四名“在國際法問題上具有公認的能力和最高道德聲望”的人接受仲裁員的職責,並登記爲海牙仲裁法院成員(The Members of the Court)。法院成員在履行職責和離開本國時享有外交特權和豁免。當成員國希望求助于常設仲裁院時,它們必須從法院成員總名單中選擇仲裁員來解決其爭端。然而,如果當事方同意,兩項公約都允許常設仲裁院將其管轄權擴大到非成員國之間或成員國與非成員國之間的爭端。兩項公約均未規定,要求接受常設仲裁院管轄的非成員國應從法院成員總名單中選擇仲裁員。值得注意的是,1899年海牙公約第24條規定,“法院成員(The Members of the Court)在本國以外履行職責時,享有外交特權和豁免。”相反,1907年海牙公約第46條規定,“法庭成員(The members of the Tribunal)在履行職責和離開本國時,享有外交特權和豁免”,這意味著1907年海牙公約將法院成員的外交豁免權擴大到爲法庭挑選的任何仲裁員。根據維也納外交關系公約(Vienna Convention on Diplomatic Relations,以下簡稱“VCDR”),外交特權和豁免包括本地法律及本地民事和行政管管轄的文件和信件不可侵犯,但有限的例外情況除外。因此,在數據保護的語境中,兩項海牙公約爲仲裁員提供了因違反當地數據保護法而引起的法律程序的豁免權。
從兩個方面來看,兩個海牙公約規定的特權和豁免是不完整的。首先,兩個海牙公約沒有爲仲裁員以外的仲裁參與人提供特權和豁免。其次,常設仲裁院管理的投資仲裁案件是根據雙邊投資條約和自由貿易協定而不是兩個海牙公約進行的。投資仲裁的仲裁員不一定從法院成員名單中選出。這兩個問題通過常設仲裁院總部協定、VCDR和習慣國際法所規定的特權和豁免得到了部分補救。
2.總部協定
海牙常設仲裁院分別與阿根廷、智利、中國香港特區、哥斯達黎加、吉布提、印度、愛爾蘭、馬來西亞、毛裏求斯、巴拉圭、葡萄牙、新加坡、南非、烏拉圭和越南締結了總部協定。總部協定可以涵蓋不依據兩項海牙公約或常設仲裁院的任何選擇性程序規則所提起的投資仲裁。
總部協定規定的這些特權和豁免並非沒有限制。海牙總部協定第14.1條規定:“根據本協定條款給予的特權和豁免是爲了常設仲裁院的利益而不是爲了個人的個人利益。常設仲裁院和所有享有這種特權和豁免的人有義務在所有方面遵守荷蘭的法律和條例。”
因此,常設仲裁院、其官員和當地工作人員、仲裁員和其他仲裁參與者不應濫用其特權和豁免,這些特權和豁免僅限于爲常設仲裁院和常設仲裁院的利益而行使其職能。此外,常設仲裁院可以放棄特權和豁免。根據不同的被申請人,兩個總部協定規定的特權和豁免可分爲三類:
(1)海牙仲裁法院作爲一個國際組織
兩份總部協定均規定,常設仲裁院、其財産和資産在中國香港和荷蘭享有各種形式的法律程序的豁免權。這意味著常設仲裁院在中國香港和荷蘭享有司法管轄豁免權,不受任何侵犯數據所産生的指控。因此,作爲一個國際組織,常設仲裁院應不受中國香港和荷蘭當地數據保護法律的約束,並免于因違反這些法律而引起的任何追訴。
(2)海牙仲裁法院官員和當地工作人員
根據荷蘭與常設仲裁院之間的總部協定,常設仲裁院秘書長及其官員應享有政府根據維也納外交關系公約給予相當級別的外交使團的特權和豁免、免除和便利。中國香港的法令規定,海牙仲裁法院官員在履行職責過程中發表的口頭或書面言論和實施的行爲應享有各種法律程序的豁免,在他們停止行使與海牙仲裁法院有關的職能後,這種豁免應繼續有效,但因交通事故引起的法律訴訟除外。常設仲裁院的當地人員即使在停止行使其與常設仲裁院有關的職能後,其以官方身份發表的口頭或書面言論也應享有法律程序豁免。因此,常設仲裁院官員及其當地工作人員不會因違反適用于荷蘭和中國香港的當地數據保護法律而受到起訴。
(3)海牙仲裁法院仲裁員和其他仲裁參與者
根據總部協定,仲裁員的特權和豁免與常設仲裁院官員的特權和豁免相同。因此,在由常設仲裁院管理的投資仲裁中,仲裁員可免于因違反分別在荷蘭和中國香港適用的當地數據保護法而引起的訴訟。即使在仲裁員完成與常設仲裁院有關的裁決活動後,這些豁免權仍應繼續。
與兩個海牙公約規定不同,海牙總部協定規定,常設仲裁院程序的參與方爲履行其在常設仲裁院程序中的職責而實施的行爲應享有刑事、民事和行政管轄豁免。中國香港的法令的規定比與海牙簽訂的總部協定詳細得多。它規定,參與者在參加常設仲裁院程序或常設仲裁院會議過程中的口頭或書面言論以及所有行爲均應免于各種法律程序。即使在他們停止行使其與常設仲裁院有關的職能之後,這些豁免仍應繼續,但交通事故引起的索賠除外,但應在常設仲裁院不再要求仲裁參與人出庭之日後不間斷的十五天後失效。因此,仲裁參與人應當對違反分別適用于荷蘭和香港的當地數據保護法的任何法律程序享有管轄豁免。不過,仲裁參與者可享有的豁免期比仲裁員、常設仲裁院官員和工作人員要短。
維也納外交關系條約和特別使團公約
VCDR爲派遣國代表團中的外交人員、行政和技術人員以及服務人員提供了接受國法律的特權和豁免。特別使團公約(the Convention on Special Missions)補充了VCDR對臨時特別使團爲處理具體問題或完成具體任務而給予的特權和豁免。提供特權和豁免是出于國家主權平等、維護國際和平與安全以及禮讓。這些特權和豁免是基于職能上的需要,旨在確保外交使團有效履行職能,而不是使個人受益。
在投資仲裁中代表締約國的仲裁參與者是否可以被視爲該國特別使團的成員?“特別使團成員”可以包括使團團長、外交人員、派遣國代表、行政和技術人員以及服務人員。特使團團長和外交人員是具有外交官銜的“外交人員”。但是,派遣國代表不需要有外交官銜。只要派遣國授予該身份,個人就被視爲派遣國的代表。在仲裁中代表投資東道國的政府官員如果具有外交級別,應被視爲外交代表。如果沒有,他們仍可能具有派遣國代表的身份:只要締約國明確表示,代表締約國的律師、專家和證人也可被列入派遣國代表的行列。
由于代表締約國的仲裁參與者可被視爲特別使團的成員,他們可根據VCDR和特別使團公約享有特權和豁免。VCDR第27條規定,接受國應允許並保護使團爲一切公務目的而進行的自由通信,使團的檔案和文件無論何時何地均不得侵犯。“外交檔案的不可侵犯性隨之而來,這是使團館舍不可侵犯性的必然結果。”外交通信和檔案應根據使團派遣國的法律而不是使團接受國的法律進行保護。因此,後者的數據保護法不應當適用于代表國家(即投資東道國)的仲裁參與人的通訊和檔案,除非當事人放棄其特權和豁免。VCDR第31條賦予外交人員無一例外的刑事管轄豁免權,以及無有限例外的民事和行政管轄豁免權。值得注意的是,特別使團公約將外交人員的管轄豁免擴大到了特別使團中的派遣國代表。
在海牙舉行的常設仲裁院投資仲裁中,如果一國的律師、專家或證人是荷蘭的國民或永久居民,該人是否可以享有荷蘭管轄權的特權和豁免?答案是肯定的,但條件是,特權和管轄豁免僅限于此人在履行職責時的官方行爲。
國際習慣法
外交豁免的依據是國際習慣法。因此,如果代表投資東道國的仲裁參與者被授予外交地位或被該國視爲外交代表,國際習慣法使他們有權對因違反當地法律(包括當地數據保護法)而産生的任何程序享有管轄豁免。相反,投資者一方的仲裁參與者不太可能被視爲代表投資母國的特別使團。因此,國際習慣法規定的外交豁免不適用于他們。國際組織及其官員的豁免權主要以條約法爲依據。正如一位專家所言:
“由于不同的法院對是否存在關于國際組織特權和豁免的國際習慣法作出了不同的裁決,因此,管轄豁免是否是國際習慣法規定的所有國家,而不僅僅是國際組織成員國有義務承認的國際組織的屬性,這一點尚未確定。”
因此,國際習慣法能否保護解決投資爭端中心和常設仲裁院及其官員的豁免權不受當地數據保護法的影響是值得懷疑的。這一結論也適用于國際投資爭端解決中心和海牙常設仲裁院管理的投資程序中的仲裁員。重要的是,投資東道國指定的仲裁員不應享有代表該國的仲裁參與者的外交豁免權,因爲仲裁員在仲裁程序中不代表該國,而應保持中立。
小結
根據條約、Cumaraswamy案和國際習慣法,國際投資爭端解決中心和海牙常設仲裁院、其官員和當地工作人員、仲裁員以及解決投資爭端中心和常設仲裁院管理的投資仲裁程序中的其他仲裁參與者可享有當地數據保護法規定的特權和豁免。其目的是使他們能夠獨立于地方當局而公正、高效地履行其職能。這些特權和豁免的行使應當是爲了履行投資仲裁的職能,並符合國際投資爭端解決中心和常設仲裁院的利益。仲裁參與者、相關國家(即投資母國和投資東道國)、國際投資爭端解決中心和常設仲裁院可以放棄這些特權和豁免。
關于根據投資爭端解決中心公約進行的投資仲裁,公約給予國際投資爭端解決中心的官員和當地工作人員、仲裁員和其他仲裁參與者特權和豁免,使其不受154個國際投資爭端解決中心成員國數據保護法的管轄。
關于常設仲裁院管理的投資仲裁,兩項海牙公約給予仲裁員特權和豁免,但不給予其他仲裁參與者特權和豁免。由于常設仲裁院管理的大多數投資仲裁不是根據兩項海牙公約提起的,因此,這些仲裁的仲裁員和其他仲裁參與者不能享受公約規定的特權和豁免。然而,常設仲裁院締結的總部協定給予仲裁參與者特權和豁免,不受這些法域適用的數據保護法的管轄。
VCDR和特別使團公約可以賦予代表投資東道國的仲裁參與者特權和豁免,這取決于投資東道國賦予他們外交特別使團的地位:如果投資東道國這樣做,他們就可以成爲投資東道國特別使團的成員,從而,他們不受適用于接收國和享有特權和豁免權的人經過的第三國的當地數據保護法的管轄。然而,投資者和代表投資者一方的仲裁參與者較難被認定爲代表投資者母國的外交特別使團成員,因爲投資者不是投資母國的代表。《VCDR》和特別使團公約不適用于仲裁員,因爲他們應該是中立的,而不是某個國家的代表。
國際習慣法還爲代表投資東道國的仲裁參與者提供了外交豁免權,因此,他們應當對享有特權和豁免權的人經過的接受國和第三國所適用的當地數據保護法享有管轄豁免。但是,國際投資爭議解決中心和常設仲裁院、仲裁員和代表投資者的仲裁參與者可能無法根據援引國際法習慣獲得外交豁免。
根據這些總結(表一),可以提出兩點建議。
首先,就常設仲裁院的投資仲裁而言,關于地方法律管轄的特權和豁免的條約框架是零散的。應根據仲裁所在地是否與常設仲裁院訂立了總部協定,以及仲裁參與者是代表投資東道國還是代表投資者兩個方面,來分析當地數據保護法的適用性。常設仲裁院可以考慮采取兩項措施來加強其條約框架。第一項是與各國締結更多的總部協定。第二項措施是修訂1907年海牙公約。1907年海牙公約規定的特權和豁免可以從仲裁員擴大到其他仲裁參與者。常設仲裁院也可以考慮在1907年海牙公約和常設仲裁院管理的投資仲裁之間架起“橋梁”。這是因爲投資仲裁往往不是根據1907年海牙公約提起的,因此,該公約不適用于這些仲裁。這種差距還來自于1907年海牙公約沒有被納入許多雙邊投資條約和自由貿易協定的投資爭端解決條款。相比之下,投資爭端解決中心公約已被納入許多雙邊投資條約和自由貿易協定的投資爭端解決條款中。此外,在投資仲裁中代表投資者的仲裁參與者所享有的特權和豁免也不夠充分。
第二,投資仲裁所依據的雙邊投資條約和自由貿易協定通常不爲仲裁參與者提供特權和豁免。除非投資母國賦予仲裁參與者以外交地位,否則維也納公約和特別使團公約不適用于代表投資者的仲裁參與者。根據國際習慣法,他們的特權和豁免也不明確。
表1 地方數據保護法的特權和豁免權
五、結論
在當事人沒有進行法律選擇的情況下,如果仲裁所依據的條約或程序規則表明,投資仲裁應適用當地數據保護法,該法需要被適用。
投資仲裁應當遵守仲裁參與者住所地的數據保護法,這是因爲國際公法規定的特權和豁免不能使個人或實體免受其住所地法律的約束,除非該個人或實體爲一國際組織工作。
仲裁地的數據保護法不能被國際公法規定的特權和豁免所排除,因爲當事人一旦確定了仲裁地,就意味著選擇了仲裁地的法律,包括其數據保護法作爲仲裁法來管轄仲裁程序。
數據保護法在承認和執行裁決地的適用性不受國際公法規定的特權和豁免的影響。這是因爲投資仲裁裁決的承認和執行是根據紐約公約或投資爭議解決中心公約進行的。因此,數據保護法在裁決的承認和執行地的適用性應當由這兩項公約決定。
審理地或相關數據處理地的數據保護法不得適用于投資仲裁,因爲國際公法規定的特權和豁免可以免除這些法律。回到第四節開始討論的假設中的問題,如果仲裁由國際投資爭端解決中心管理,那麽該中心本身、其官員、仲裁員和其他仲裁參與者應享有歐盟GDPR的管轄豁免權。如果仲裁由常設仲裁院管理,答案很可能是一樣的,但要看更多的假設事實(如仲裁地在何處)。這一結論也可以得到Giovanna A. Beccara等案的支持,在該案中,仲裁庭反複強調申請人的住所是意大利。因此,意大利隱私法的適用不應僅僅因爲處理數據的實體位于意大利。
應結合國際公法規定的特權和豁免來考慮仲裁與當地數據保護法之間的聯系因素。這種做法可以爲確定投資仲裁中適用的當地數據保護法提供可預測性和確定性。當投資仲裁程序因COVID-19大流行而不得不轉移到網上進行時,這一點尤爲寶貴。更重要的是,這種方法還可以保持投資仲裁的獨立性和公正性,使其不受當地數據保護法的影響。
