国际仲裁进程中的数据合规挑战——以GDPR在ICC和HKIAC适用为例(下)

国际商会仲裁院（ICC, International Chamber of Commerce）位于法国，位于欧盟境内，自动适用GDPR。2021年发布了第一号程序令的数据保护示范条款（Model Data Protection Clause for Procedural Order One）,该示范条款为仲裁员在发出程序令时对数据保护权利义务和原则提供了重要参考[1]。ICC 不仅提供网上开庭系统，还发布了《ICC网上开庭协议，以及组建网上开庭的协议和程序令》。在ICC的仲裁规则里，附件4案件管理方法中提到f） 对于程序性庭审和其他庭审，如果并非绝对有必要亲自到庭，则可以采用电话或视频会议方式进行此类庭审，使用信息技术手段，来实现各方当事人、仲裁庭和仲裁院秘书处之间的网上交流[2]。

同时ICC经过不断探索，在其作为仲裁机构已经声明其遵循GDPR，将自身置为数据控制者的地位。ICC Data Privacy Notice for ICC Dispute Resolution Proceedings（《ICC关于争议解决数据隐私通知》 ），在这个通知里，ICC明确告知其收集信息的类别，对数据主体进行了必要分类（当事人可能是自然人、非自然人、是法律代表人-如律师等）、收集信息基于GDPR下何种合法基础、信息接受方、信息可能被转移的第三方等。特别在第五条中，谈到了信息被传输到第三国的问题。如果信息需要被传输到欧盟之外或者EEA区之外时，则会根据欧盟委员会非 “充分性“名单国家和地区进行的前置措施，签订SCC（标准合同条款）进行跨境传输。另外，自2021年ICC 已在其网站公布ICC的裁决及程序性命令，当然如当事各方提出反对，ICC则不予公布。即使公布裁决，也会清除非必要个人信息、非必要个人信息也会做匿名化或者假名化处理[3]。（https://iccwbo.org/icc-data-privacy-notice-for-icc-dispute-resolution-proceedings/， last visited August 26, 2025, ICC Data Privacy Notice for ICC Dispute Resolution Proceedings

Opus 是由一个由英国法律人Graham Smith‑Bernal于2008年建立的科技公司，致力于为律所、法院、仲裁机构提供先进的在线办案技术解决方案。目前ICC在线办案系统利用了Opus 的Case connect平台。根据ICC描述，该前沿数字平台旨在通过简化仲裁流程、加强安全协作和优化案件管理功能，变革争议解决模式。 最新的Opus2已在2025年4月2日起向用户开放。自2022年ICC case connect 平台首次使用以来，其致力于文档共享、案件管理和仲裁院判决的无缝集成，实现仲裁流程现代化。Opus 2 平台在技术层面对 “swift & user‑friendly” 的核心支撑，其实是通过后端强加密机制（AES‑256 静态、TLS 传输）实现的。传输加密（Encryption in Transit）：用户的浏览器与平台之间的通信，以及平台内部组件之间的通信都使用 TLS 1.2 协议进行加密，邮件通信也实行端到端加密[4]。我们无法探寻Opus官方的技术白皮书，但根据其公开披露信息，其实际采用ISO/IEC 27001 和 Cyber Essentials+ 标准指导下构建云端基础设施，采用STRIDE 风险建模、CREST 渗透测试，确保系统具备高度安全能力。另外根据OPUS的官方网站信息，其系统完全符合GDPR对数据保护要求。

由此证明为了符合GDPR对数据保护要求，ICC已经完全按照GDPR要求明确界定了数主体、数据控制者和数据处理者。根据数据最小化原则，告知当事各方在仲裁中机构、机构成员、各利益相关方、外部法务/律师/会计师/专家所需要承担的数据保密责任。告知数据主体的各项权利，如对数据的“访问权（right to access）、知情权（right 同information）、更正权（right to rectification）、删除权（right to erasure）、限制处理权（right to restriction of processing）、反对权（right to object）等权利的实现方式。当事各方有责任对自己控制的数据保有符合GDPR下数据控制者之责任。在跨国、跨境与非欧盟非EEA区域传输时，提前签订SCC。

香港《个人隐私条例》（PDPO）对个人资料的定义为：符合以下说明的任何资料：（a）直接或者间接与一名在世的个人有关的；（b）从该等资料直接或间接地确定有关个人的身份是切实可行的；（c）该等资料的存在形式令予以查阅及处理均是切实可行的[5]。可见其对个人资料之定义与我国的“个人信息”相似（当然，我国个人信息保护法并不强调个人是否在世的问题）。在法律程序中使用的个人信息会享有一定的豁免，比如“由法院、裁判官或者司法人员在执行司法职能的过程中持有的个人资料”。香港个人资料隐私专员公署（PCPD, Office of the Privacy Commissioner for Personal Data）提供“推荐示范合同条款” (Recommended Model Contractual Clauses, RMCCs，下文简称RMCCs), 为个人和企业提供合规化的数据传输框架。“推荐示范合同条款”与GDPR中的SCC很类似，也是利用提前设置好的框架为数据保护提供指导。其中对数据用途的明确，对安全措施的要求及对数据接受后的再处理等都提供了比较详细的指引。分析RMCC便可得知，其关注重点是香港本地数据的使用及如涉及跨境传输对该数据的保护。

HKIAC也是从新冠时期开始有意识基于现代技术推行网上仲裁。在2020年新冠疫情期间，在线庭审初步实现由Zoom, Cisco Webex和Microsoft Team 等类型的云端视频会议。由于这些系统能够覆盖都更加广泛的地区和当事人，因此确实受到了大多数当事人的欢迎。另外，随着智能手机的发展，当事人也可以通过手机电话拨号进入庭审，为不同法域/时区的当事人提供很大便利。相比较中国内地各仲裁委员会，HKIAC在使用在线仲裁方面一直处于前列。但随着社会上数据作为新质生产力以及数据泄露带来的问题，在线仲裁的个别方式无法完全满足隐私安全之需求。同时由于使用不同商用在线会议平台，会产生两个问题。第一，Zoom, Teams这种会议平台隐私级别偏低。比如ZOOM曾在2020年4月陷入数据丑闻，包括将用户数据发送到Facebook，错误地声称该应用程序具有“端到端加密”以及允许虚拟会议主持人追踪到参与会者的资料（譬如IP等）[6]。无论是开庭还是证据交换，使用这种类似“具有社交平台性质”的会议平台，容易使仲裁失去严肃性，并且如果涉及域外当事人，该交流形式不容易识别数据控制人、处理者，特别是在当今AI可以深度伪造之场景。使用这种商业会议平台的弊端在于，数据处于不断交流之中，但无人为其把关和负责，当事各方虽然会笼统同意并承诺对数据进行适当保密，但这种承诺极其脆弱。当数据泄露时，既不可能追溯泄露之根源，也很难及时进行止损，维权时更不知道谁应该为此负责。第二，Zoom, Teams此种会议从形式上偏非正式，有可能是仲裁庭指示并各方同意后采用之形式。也有可能是双方协商后直接决定使用的。在提高了仲裁效率的同时，形式上的缺陷也显而易见。常见的问题是，在仲裁裁决后，当事各方可能就采用此方式的证据交换、庭审（Hearing）等提出质疑。常见理由可能为没有给予某当事方充分时间进行陈述；没有任何证据显示本方对庭审中的某个问题，做出了确定性回答。当仲裁当事方决定对此在线“具有社交平台性质”式的系统会议进行攻击时，他们完全忘记正是他们促成了事件的发生。ZOOM、Teams作为第三方平台，不隶属于任何仲裁机构，仲裁机构对其也不具有控制权，无法记录数据的传输、备份、复制、储存。比如，平台是否在数据传输中使用了HTTPS或者其他加密通道？ 如果在手机上使用类似这些APP， 则是否过于信赖移动设备所提供的沙盒机制，直接明文存储在本地，但这种沙盒机制能提供的保障是有限的，一但设备被越狱，这些数据可能就泄露了[7]。事实上，ZOOM等此类平台如因使用ZOOM等导致裁决受到挑战，并在事实上可能无力还原仲裁之全过程，这都非对方当事人亦或是仲裁庭所乐见。即使裁决已经做出，各方也无异议，但在如果涉及裁决的跨法域执行时。如域外法院在执行裁决时，发现程序瑕疵，对裁决以程序不正当为由，拒绝执行裁决也非不可能。

HKIAC在实践中目前采用相对宽松的线上开庭方式。当事人可以选择是否完全使用HKIAC的网上仲裁系统，同时根据仲裁庭的指示，进行调整。这样做的优势是某些关键环节是由HKIAC来控制。一些非决定性的会议则由当事人协商使用双方同意的在线交流方式（当然也可以线下）。根据HKIAC表述，其对当事人使用何种云端视频会议系统并无偏好。但当事人需要自己有必要技术保障，比如能够及时入网等。值得注意的时，现阶段由于地缘政治因素影响，ZOOM对中国内地当事人的使用会有部分限制。如果使用HKIAC网上仲裁系统，在仲裁初期会被告知隐私政策，当事人在注册或签约阶段被告知个人资料用途/可能的跨境披露。仲裁协议或当事人同意函可自行签署数据处理条款，明确授权仲裁机构处理数据、可能跨境传输的情况；仲裁庭在程序安排时（如远程听证、证据提交）会在开庭指南中提醒当事人评估并同意平台传输风险与隐私条款[8]。

ICC作为欧盟内仲裁机构，其对数据处理完全符合GDPR要求。我国大湾区仲裁机构以HKIAC为例虽有香港《个人隐私条例》（PDPO）为指导框架，制度上也配备了“推荐示范合同条款” (Recommended Model Contractual Clauses, RMCCs), 但该条款并不等同与SCC。同为跨境数据隐私保护的机制，RMCC和SCC虽然类似但各有其着重点。SCC自始至终贯彻GDPR的核心价值观即数据主体的人权，体现了强烈的价值取向。RMCCs 更趋向缓和，在经济活动和数据主体的权利之间力图寻求平衡之策，并留给香港个人资料隐私专员公署PCPD（Office of the Privacy Commissioner for Personal Data）解释空间。根据欧盟委员会公布名单，由于中国和中国香港地区均不属于数据“充分性”的白名单国家或地区。即便HKIAC能够提供本地的RMCCs, 但依然不符合欧盟要求，除非能够适用SCC或者其他传输机制。

当然，在SCC之外，根据GDPR之规定可以使用约束性企业规则（binding corporate rules）或称“BCRs”，跨国公司、集团公司如果具备欧盟成员国数据管理机构认可的约束性企业规则，则可以直接进行集团内部的数据跨境传输，而无需在另行批准。这种机制也需要事先设计并且只能适用于在各个国家/地区有分支的跨国公司。中小企业组织实际上根本不能力适用该方法。所以，这种方式虽为备选项，在实际使用中，适用范围相对狭窄。我们不能由此武断的认为多数国际仲裁都能够使用该方法。

随着技术不断革新，大数据时代到来。数据如何披露，如何处理，如何保护都将是组织必须要面对的问题。科技浪潮会席卷每个相关和不相关的人，不论主动或者被动。党的十八大以来，党中央高度重视发展数字经济，将其上升为国家战略，根据中国国家互联网信息办公室发布的《数字中国发展报告（2022年）》（以下称《报告》）显示，2022年我国数字经济规模达50.2万亿元，总量稳居世界第二，同比名义增长10.3%，占国内生产总值比重提升至41.5%。大湾区仲裁事业发展不仅要着眼于现阶段，更要展望未来。随着数字经济的发展，在线仲裁将必然是大势所趋。国务院2025年国发11号文，《国务院关于深入实施“人工智能+”行动的意见中》提出在2027年，率先实现人工智能与6大重点领域广泛深度融合……, 到2035年，我国全面步入智能经济和智能社会发展新阶段，为基本实现社会主义现代化提供有力支撑[9]。从在线仲裁到人工智能日后在国际仲裁中的应用和实践，数据跨境流动治理问题将是摆在我们眼前之现实问题。

目前纵观国际仲裁机构在数据处理实践中的经验，还未形成统一操作指引，也未有强制性规定。香港地区HKIAC虽然有类似GDPR的推荐示范合同条款（RMCCs），但其并不等同于SCC。且其作用为境内数据流出香港之用。如国际仲裁中，仲裁某方当事人为欧盟GDPR管辖之主体，则需要考虑利用SCC作为前置仲裁条件。同时应该参照ICC之做法，明确将仲裁机构作为数据控制者或共同控制者。做法可以有两种，第一种当事人在合同签订时设置仲裁条款，如已发现将受制于GDPR管辖，可概括性界定数据控制者责任，届时如争议发生双方争议提交仲裁时，则可以再次与仲裁机构签订SCC，将数据控制者、数据处理者角色进行分配。因其在双方合同争议条款中早就有类似表述和操作，则双方当事人更容易达成一致。第二种为，争议在提交到国内的国际仲裁机构时，如果涉及到对GDPR的适用，由其选定的国际仲裁机构直接以数据控制者身份主导签订SCC。由仲裁机构决定数据处理方式和保护方法，并对此负责，告知数据主体之权利，以及设立类似数据保护官（DPO, Data Protection Officer）之岗位（这个也可以考虑与国内的个人信息保护负责人岗位结合起来）。

在线国际仲裁的推广将大幅提高仲裁效率，便利仲裁当事人，进而突破时间、地域、空间限制，进一步发挥国际仲裁优势。但大湾区仲裁机构在跨国、跨境特别是涉欧盟主体的仲裁时要有意识将数据保护纳入合规体系中，充分发挥中国仲裁在商事解决中的智慧，不断将自身发展与国家科技战略相结合。

薛兆丰在其经济讲义中提到，“披露的信息过多，还会对消费者产生意想不到的误导作用。为什么会产生这样的问题？原因在于我们通过强制披露令想解决的是信息不对称的问题，而要解决信息不对称，不是让每一个人变成专家，而是通过分工、交易的办法，让那些专家来提供信息的收集、整理、分析服务[10]。”在目前国内数据保护和国外以GDPR为代表的数据合规不断强化之时，当2025年9月12日欧盟的数据法（Data Act）生效时，大湾区的国际仲裁机构需要有足够智慧，以便更好的应对跨域的数据保护问题，提升服务品质，不断打造属于自己的仲裁品牌。

[1] 徐泽茜：《国际商事仲裁证据开示与通用数据保护条例的协调路径研究》，2022年5月 对外经济贸易大学硕士毕业论文，第18页。

[2] 2021 Arbitration Rules and 2014 Mediation Rules, International Chamber of Commerce, https://iccwbo.org/news-publications/arbitration-adr-rules-and-tools/arbitration-rules-and-mediation-rules/ access 2025-8-30

[3] ICC Data Privacy Notice for ICC Dispute Resolution Proceedings, International Chamber of Commerce, https://iccwbo.org/icc-data-privacy-notice-for-icc-dispute-resolution-proceedings/ access 2025-8-30

[4] Security you can count on, OPUS 2, https://www.opus2.com/en-apac/company/security access 2025-8-30

[5]第486章 《个人资料(私隐)条例》，电子版香港法例， https://www.elegislation.gov.hk/hk/cap486!sc， access 2025-8-31

[6] Zoom创始人公开道歉承诺修补安全漏洞, BBC NEWS中文， 2020年4月4日https://www.bbc.com/zhongwen/simp/business-52149784 access 2025-8-27

[7] 郑云文：《数据安全架构涉及与实战》，机械工业出版，2019版，第323页。

[8] Teresa Yao，在线庭审：HKIAC发布指引鼓励拥抱新常态https://www.yuandapartners.com/newsinfo/7773684.html access 2025-8-16

[9] 国务院印发《关于深入实施“人工智能+”行动的意见》，最新政策，中华人民共和国中央人民政府，https://www.gov.cn/zhengce/content/202508/content_7037861.htm access 2025-8-31

[10] 薛兆丰: 《薛兆丰经济薛讲义》，中信出版社，2018年版，第389页。

特别申明

本文内容仅由上海言汇律师事务所（以下简称“本所”）为提供信息之目的而制作，不应被视为广告、招揽或法律意见。读者在阅读、传播或参考本文内容时，应明确理解，其目的并非为了建立律师与委托人之间的关系。订阅本所发布的文章，同样不构成律师与委托人之间的法律关系。

本文所包含的信息是基于一般性的法律知识和经验所提供，仅供参考。本所不对本文进行日常性的维护、修改或更新，因此可能无法反映最新的法律动态或变化。读者在针对自身案件或法律事务作出决策时，应当寻求相关法域内具有执业资格的律师的法律意见，而不应依赖本文中的任何信息。

在任何情况下，本所及其律师均不承担因读者对本文的任何形式的使用（无论是作为还是不作为）而产生的任何责任、损失或损害。读者在使用本文信息时，应自行承担所有风险，并谨慎判断。

本所致力于提供准确和有用的法律信息，但无法保证其完全无误。如有疑问或需要进一步的法律建议，请直接联系本所或咨询其他专业律师。

扫码关注我们

微信公众号｜上海言汇律师事务所