黄洁的数字经济（个人数据保护对投资仲裁的挑战）

黄洁

悉尼大学法学院副教授，仲裁员

要目

一、引言

二、条约和仲裁规则

三、连接点

四、国际公法规定的特权和豁免

五、结论

数据保护是投资仲裁中的一个新问题。条约和程序规则在确定哪个数据保护法应当适用方面的规定有限。解决数据保护法在投资仲裁中的法律适用问题是迫切和必要的。它可以使投资仲裁充分享受数字化的好处。从投资仲裁所依据的条约和程序规则、数据保护法与投资仲裁之间的连接点，以及国际争端解决机构制定的相关公约、案例和国际习惯法的分析来看，投资仲裁应当遵守仲裁参与者住所地的数据保护，数据保护法在承认和执行裁决地的适用性不受国际公法规定的特权和豁免的影响。

一、引言

近年来，我国企业积极通过投资仲裁解决与投资东道国的争议。作为接收外国投资的大国，涉及我国的投资仲裁案件日益增多。与RCEP暂时不包含投资仲裁不同，投资仲裁是CPTPP投资章节的重要内容。

投资仲裁中涉及的许多信息可被视为个人数据。最近的两个案例，即Tennant Energy v Canada和Elliott Associates v Korea，表明仲裁庭和当事人越来越多地被要求考虑各种仲裁参与者的个人信息，并采取相应的行动来处理数据隐私保护的义务。如果当事人选择适用某国的个人数据保护法，那么该法就应当被适用。如果仲裁所依据的条约或仲裁规则有适用数据保护法的法律选择规则，该规则也应被适用。但是，由于数据保护是投资仲裁中的一个新问题，当事人往往没有做出相关选择。此外，条约和程序规则在确定哪个数据保护法应当适用方面的规定有限。因此，在没有当事人选择的情况下，投资仲裁是否应当适用数据保护法尚无定论。Tennant案和Elliott案对投资仲裁中数据保护法的适用性提出了有益的见解。然而，这两个案子带来的新问题大大多于其解决的问题。

解决数据保护法在投资仲裁中的法律适用问题是迫切和必要的。它可以使投资仲裁充分享受数字化的好处。它还为确定在一起投资仲裁案件的法律使用提供了可预测性和确定性。更重要的是，它可以帮助维护投资仲裁的公正性，使其不受不应当适用的数据保护法的影响。这是因为，数据保护法还可以用来进行数字化监控。基于条约、国际法院的裁决和习惯国际法，投资仲裁可以通过国际公法规定的特权和豁免而免受一国数据保护法的影响。

本文通过分析仲裁的相关法律（如条约和仲裁规则）以及仲裁与数据保护法之间的连接点，来探讨数据保护法在投资仲裁中的法律适用问题。本文还探讨了国际公法下适用于本地个人数据保护义务的豁免权或特权（如果该权利存在的话）的问题；如果国际组织（如解决投资争端的国际中心和海牙常设仲裁院）、其官员和当地工作人员、仲裁员和投资仲裁的其他仲裁参与者享有这种豁免，他们是否就不受某国法律规定的个人数据保护义务的约束，也不会因违反该法律而受到当地程序的管辖。

本文共分五节。下文第二节研究投资仲裁所依据的条约和程序规则。第三节讨论数据保护法与投资仲裁之间的连接点，如仲裁员和其他仲裁参与人的住所地、仲裁所在地和审理地、数据处理地、裁决的承认和执行状态等。第四部分侧重于根据解决国际投资争端解决中心和海牙常设仲裁院的创始条约、常设仲裁院缔结的总部协定、其他相关公约、案例和国际习惯法来讨论当地数据保护法的特权和豁免。第五节是本文的总结。

二、条约和仲裁规则

仲裁以当事人意思自治为基础。如果当事人已经选择了某一数据保护法，则应适用该法。如果当事人没有做出法律选择，在确定投资仲裁是否受数据保护法约束时，仲裁所依据的条约或适用的程序规则应当是首要考虑因素。

条约

Elliott案涉及一个包含数据保护法的相关条约选择法律适用规则的问题。该仲裁是根据《美国-韩国自由贸易协定》（以下简称“美韩自贸协定”）提起的。美韩自贸协定第11.28条将“受保护信息”定义为“商业机密信息或根据一方法律享有特权或以其他方式保护不被披露的信息”。有鉴于此，韩国认为应适用韩国的个人信息保护法（以下简称“PIPA”），该法禁止公开披露可能识别个人身份的信息。因此，韩国主张对仲裁通知、答复和修正后的索赔书（以下简称“ASoC”）进行删改，特别是对韩国公职人员的姓名。Elliott不同意，并认为这些名字不是受保护信息，因为韩国没有在提交的文件中指定这些姓名为受保护信息从而放弃了自己的权利。仲裁庭驳回了Elliott的主张，并认为，虽然这些名字被公布，但根据PIPA，它们是受保护的信息，因此应该被删减。此外，即使根据PIPA第11.28条韩国可能放弃了反对公布未经删减信息的仲裁答复的权利，因为它只是在2019年4月15日向被申请人表示打算提出删减的请求。但是韩国的放弃并没有剥夺其要求Elliott在仲裁通知书和修正后的索赔书中删改这些名字的权利。

关于个人数据保护的争议属于程序性问题。根据2013年《联合国国际贸易法委员会仲裁规则》（以下简称“《UNCITRAL仲裁规则》”），仲裁庭可在其认为适当的情况下进行仲裁，但须平等对待各方当事人。国际投资争端解决中心公约第47条还规定，仲裁庭可以建议采取任何临时措施，以维护各方当事人各自的权利。因此，仲裁庭有权决定有关个人数据保护问题的程序问题。然而，根据仲裁所依据的条约，个人数据保护问题可能必须由仲裁庭以外的机构最终决定。例如，《美韩自由贸易协定》为仲裁庭关于数据保护问题的决定提供了一个审查机制。《美韩自由贸易协定》第11.21(4)条规定，任何争议方对声称是受保护信息的认定提出的异议，投资仲裁庭应做出裁定。但是，争议方可以请求一个由美国贸易代表和韩国贸易部长或他们各自指定的人共同主持的联合委员会，对仲裁庭的裁决进行审查。联合委员会做出的决定对仲裁庭具有约束力，仲裁庭做出的任何决定或裁决必须与该决定一致。因此，Elliott可以要求联合委员会审查仲裁庭关于韩国提出的“受保护信息”是否认定适当的问题。

仲裁规则

近年来，投资仲裁的透明度日益加增。最近的重要例子是2014年缔结的毛里求斯公约。该公约旨在以公平和高效方式平衡投资仲裁中的公共利益和各方争议相关方的利益。该公约规定适用《联合国国际贸易法委员会透明度规则》。公约规定的透明度义务旨在确保公众了解投资东道国的赔偿情况、对投资政策的解释以及加强投资仲裁的合法性。因此，公约规定的透明度义务并不打算让公众在投资仲裁中获取个人信息。在投资仲裁中保护个人信息并不减损毛里求斯公约规定的透明度目标。

《联合国国际贸易法委员会透明度规则》第7条规定了透明度的例外情况。例外情况是指机密信息或受保护信息。机密信息或受保护信息包括：“对于被申请国信息，根据被申请国的法律受到保护而不向公众提供的信息，对于其他信息，根据仲裁庭确定的适用于披露此类信息的任何法律或规则确定。”毛里求斯公约要求仲裁庭作出安排，防止向公众提供包括酌情决定的任何机密或受保护的信息。值得注意的是，个人数据保护可受益于《联合国国际贸易法委员会透明度规则》第7条规定的保密例外。这是因为个人数据可被视为一种机密信息，并须遵守保密令。例如，在Appleton & Associates v Barry Appleton, the Clerk of the Privy Council Office一案中，加拿大联邦法院关注的是，向第三方披露含有个人信息的文件是否与UPS v Canada一案中作出的保密令相冲突。法院认为，仲裁庭的保密令特别提到了加拿大信息获取法，根据该法，此类信息（即姓名和工作地点）不应披露给第三方。

然而，保护个人数据并不总是等同于在仲裁中保护机密信息。根本原因是个人数据保护往往是基于强制性的数据保护法（如欧盟一般数据保护条例，以下简称“GDPR”），当事人无法选择不适用强制性的法律。只要满足仲裁与该法律之间的连接点，该法律就必须得到遵守。就欧盟GDPR而言，连接点指的是其实质性适用范围和地域范围。但是，个人信息以外的保密信息往往由当事人的协议而非强制性法律来保护。此外，由于个人信息以外的保密信息往往受到当事人协议的保护，因此，保密义务不会由于国际公法规定的特权和豁免而得到豁免。相反，保护个人信息往往是由强制性的地方法律要求的。这一义务可以被国际公法规定的特权和豁免所豁免。

此外，仲裁程序中的保密规则可能无法充分保护个人信息。例如，在Giovanna A. Beccara and Others v. Argentina案中，在决定阿根廷是否应能得到载有申请人个人信息的数据库时，仲裁庭认为：

“解决投资争端国际中心公约和仲裁规则没有全面涵盖程序的保密/透明度问题。因此，根据解决投资争端国际中心公约第44条和解决投资争端国际中心仲裁规则第19条，除非当事各方就保密/透明度问题达成协议，否则法庭应逐案作出决定，而不是倾向于强加一条赞成或反对保密的一般规则，而是努力达成一种解决方案，平衡透明度的普遍利益与某些信息和/或文件保密的具体利益。”

因此，仲裁庭根据意大利隐私法对阿根廷访问数据库施加了某些保密限制。

三、连接点

投资仲裁所依据的条约和仲裁规则不是确定数据保护法是否适用的唯一因素。仲裁庭可以考虑连接点来决定法律适用，如：（1）仲裁员和其他仲裁参与人的住所；（2）仲裁所在地和审理地；（3）处理个人数据的数据控制者和处理者所在地；（4）裁决的生效和执行；（5）仲裁机构所在地等。本节主要讨论前四个连接因素。这是因为大多数投资仲裁案件在ICSID或PCA审理。仲裁机构所在地的当地数据保护法的适用性应与ICSID和PCA可能享有的特权和豁免一起考虑。因此，第五个关联因素将在本文第五节讨论。

仲裁员和其他仲裁参与人的住所地

在Tennant案中，仲裁庭考虑了仲裁员的住所在英国是否会导致欧盟GDPR的适用。Tennant是一家美国公司。仲裁是根据北美自由贸易协定（以下简称“NAFTA"）提起的，适用的程序规则是1976年联合国国际贸易法委员会仲裁规则。Tennant认为，欧盟GDPR应该适用，因为仲裁员Q.C. Daniel Bethlehem爵士是伦敦居民。Daniel Bethlehem爵士在自己的数据隐私通知中确认，欧盟GDPR对他是适用的，他既是数据“处理者”又是“控制者”。加拿大对此持否定态度，因为适用的程序法和实体法不是欧盟法律，而且仲裁申请人都不来自欧盟国家。

确定欧盟GDPR适用性的第一个问题是，GDPR是否应当普遍适用于投资仲裁。GDPR第20条规定，它适用于法院和其他司法机关的活动。第20条规定的“司法活动”包括仲裁活动。当法院以司法机关身份行事时，为了保障司法机关在执行司法任务（包括决策）时的独立性，数据监管机构的权限不包括监督法院对个人数据的处理。但这一免责条款并不适用于仲裁。另外根据欧盟法院的解释，“司法权”不包括仲裁。英国也没有规定仲裁可以豁免欧盟GDPR的管辖。此外，虽然欧盟GDPR序言第91段豁免律师进行数据保护影响评估，但仍应适用欧盟GDPR规定的其他义务。

欧盟GDPR普遍适用于仲裁这一事实并不一定意味着它应适用于某一特定仲裁。欧盟GDPR第2.2(a)条描述了其实质性范围：“本条例不适用于处理个人数据：(a)在不属于欧盟法律范围的活动过程中……”欧盟或其任何成员国都不是《北美自由贸易协定》的缔约国。因此，Tennant案的仲裁庭正确地得出结论，Tennant仲裁案是一项不属于欧盟法律范围的活动。

欧盟GDPR第3条划定了其地理管辖范围。如果个人数据是在欧盟境内中处理的，或与向欧盟境内的数据主体提供产品和服务或监测欧盟境内数据主体的行为有关，则GDPR适用。欧盟GDPR第22条规定，营业场所意味着通过稳定的安排有效和真实地开展活动。因此，如果一个人经常居住在欧盟，并在那里经营业务，他或她就在欧盟境内具有营业场所。Tennant案的仲裁员Daniel Bethlehem爵士就属于这种情况。

但是，欧盟GDPR第2条和第3条的适用并不是平行的，即第2条是第3条适用的前提条件。如果符合欧盟GDPR第2.2.(a)条规定的条件（不属于欧盟法律的范围），就没有必要再讨论第3条的适用性。因此，仲裁庭认为，欧盟GDPR不适用，因为这是根据《北美自由贸易协定》第11章进行的仲裁，而欧盟及其成员国都不是该条约的缔约方，因此，该仲裁不在欧盟GDPR的实质范围内。仲裁庭认为没有必要讨论欧盟GDPR的地理管辖范围。

值得注意的是，加拿大建议，各方当事人、仲裁员和常设仲裁院有责任分开单独确定欧盟GDPR是否适用于其仲裁活动。这个观点带来的问题是，在仲裁庭裁定欧盟GDPR不适用本案仲裁后，Q.C. Daniel Bethlehem爵士作为本案的仲裁员，是否应该单独遵守欧盟GDPR？答案应该是否定的，因为如果一项仲裁不属于欧盟GDPR的实质范围，从逻辑上讲，该仲裁的仲裁员虽然居住在欧盟，但也不受欧盟GDPR的约束。这一结论对其他仲裁参与者，如当事人、律师和证人也应适用。

Tennant认为，如果根据欧盟及其成员国不是缔约方的条约（如北美自由贸易协定）提起投资仲裁，则欧盟GDPR被推定为不适用，因为仲裁将不在其实质性范围内。这一结论很可能对其他投资仲裁案件产生广泛的影响。这也解释了为什么Ellioit仲裁虽然设在伦敦，但不应该适用欧盟GDPR。然而，Tennant和Ellioit案并没有回答欧盟GDPR是否应适用于基于欧盟或其一个或多个成员国为缔约方的条约的投资仲裁。典型的例子是《能源宪章条约》（以下简称“ECT”）。例如，一家德国公司根据ECT对土耳其提起的投资仲裁是否应遵守欧盟GDPR？德国和土耳其都是ECT成员国，但欧盟GDPR只适用于德国，不适用土耳其。与美韩自贸协定不同的是，ETC并没有规定一方当事人的数据保护法应当适用的条款。因此，仲裁庭需要考虑仲裁与欧盟GDPR之间的连接点。首先要考虑的连接点是投资者的住所地。因为投资者的住所在德国，所以这个ECT仲裁很可能满足欧盟GDPR的实质范围。那么仲裁庭就需要考虑欧盟GDPR的地域适用范围。值得注意的是，欧盟GDPR第4条第2款对“处理”进行了宽泛的定义，包括“对个人数据或个人数据集进行的任何操作或一组操作，无论是否通过自动化手段”。结合欧盟GDPR第3条和第4条，如果投资者的住所在欧盟，GDPR就有可能适用。

仲裁地和审理地

仲裁法是“一套规则，它为仲裁的进行规定了一套仲裁协议和当事人意愿之外的标准。”仲裁所在地的法律就是仲裁法。即使当事人为仲裁选择了不同的程序法，也仍然适用所在地的仲裁相关法律。在Union of India v McDonnell Douglas Corp一案中，服务合同受印度法律管辖，并载有仲裁条款，规定仲裁应按照1940年印度仲裁法规定的程序“进行”，而该仲裁的所在地却为伦敦。英国法院认为，通过使用“所在地”一词，双方当事人选择了英国法律来管辖仲裁程序，而“进行”的提法具有从合同中引入印度法的效力，而该印度法的规定涉及其仲裁的内部行为，与选择英国仲裁程序法并不矛盾。因此，英国法律作为仲裁地的法律应当被适用：

“(b)仲裁与法院之间的外部关系，法院的权力可能既是支持性的，也是监督性的，例如给予临时救济、从第三方获取证据和确保证人出庭、撤换仲裁员和撤销裁决；以及(c)仲裁与该地公共政策之间更广泛的外部关系，其中包括可仲裁性等事项，也可能包括——更有争议的——每个国家的社会、宗教和其他基本价值观对仲裁的影响。”

这一立场得到纽约公约第五(1)(d)条和联合国国际贸易法委员会仲裁示范法第34(2)(a)条的支持。这两条都规定，如果仲裁程序不符合当事人的约定，或者在没有这种约定的情况下，不符合仲裁地所在国的法律，仲裁裁决可以被拒绝承认和执行。

仲裁所在地的法律应包括所在地适用的数据保护法。其根本原因在于，所在地的法律规定了仲裁与法院和所在地的公共政策之间的关系。所在地法院象征着所在地的监管部门，其中应包括政府数据监管机构。仲裁协议不能排除所在地的公共政策。数据保护法是否属于所在地的公共政策？在欧盟，答案是肯定的，因为个人数据保护权被认为不能被交易。因此，欧盟GDPR代表欧盟的公共政策。美国没有欧盟GDPR这样统一的数据保护法。外国企业如果收集、持有、传输、处理或分享美国居民的个人数据，就必须遵守美国联邦数据保护法，还可能受到数据主体所在州的相关州法的约束。因此，美国数据保护法是否代表公共政策，应根据所涉及的法律法规具体来确定。

值得注意的是，仲裁所在地不一定是审理地（place of hearing）。这是因为“所在地是一个法律概念，而不是一个地理位置”，审理地的法律不是仲裁法。不过，其数据保护法可以适用于仲裁。这一点至关重要，因为审理地是处理仲裁所涉及的数据的物理地点（之一）。值得注意的是，在仲裁法中，审理地的选择主要是为了方便仲裁，只有仲裁所在地才具有法律意义。但在数据保护制度中，个人数据“处理”地往往就是仲裁审理地对当的数据保护法的适用性具有重要意义。

其次，审理地的数据保护法往往被视为适用于其境内所有数据处理活动的强制适用的法律。例如，欧盟GDPR第3条第(2)款(a)项规定，如果向欧盟境内的数据主体提供免费或付费的商品或服务，则适用该条例。如果控制者/处理者设想向欧盟境内的数据主体提供商品或服务，如使用一个或多个欧盟成员国普遍使用的语言或货币，或以欧盟客户为目标，则符合这一条件。如果数据主体的行为是在欧盟境内发生的，则欧盟GDPR也适用。这些数据主体可能都不是欧盟居民或公民。类似的情况还有网络安全法，该法对个人数据进行了保护。其第2条规定，在中国境内建设、运行、维护、使用网络以及对网络的监督管理，均应遵守本法。

处理个人数据的实体的所在地

个人数据处理实体所在地通过的个人数据保护法可以适用于投资仲裁。例如，中国在《儿童个人信息网络保护规定》中，在中国境内进行的与儿童个人信息有关的网上收集、存储、使用、转移、披露等活动，适用该规定。因此，如果投资仲裁中涉及儿童个人信息，且该信息在中国境内处理的，应适用中国关于儿童个人信息在线保护的相关规定。

此外，处理个人数据的实体所在地可能规定了向第三国或国际组织转移数据的标准。一个典型的例子是欧盟GDPR，其中有整整一章（第5章，第44条及其他条款）规定了向第三国和国际组织转移个人数据的问题。作为一般原则，只有在不损害欧盟GDPR所保障的对自然人的保护水平的情况下，才能进行任何将正在处理或打算在转移到第三国或国际组织后处理的个人数据的转移。

一个相关的案例是Giovanna A. Beccara and Others v. Argentina案。申请人是拥有阿根廷发行的外债的意大利人。他们声称阿根廷拖欠付款，因此根据《阿根廷共和国和意大利共和国关于促进和保护投资的协定》（以下简称"阿根廷-意大利双边投资协定"）对阿根廷提起投资仲裁。申请人委托一家意大利公司编制在线数据库，其中包括每个希望同意加入阿根廷-意大利双边投资协定的意大利国民债券持有人的个人身份、财务和国籍信息。申请人允许阿根廷进入数据库，但条件是遵守意大利的隐私法。阿根廷拒绝了。仲裁庭指出，投资仲裁中的透明度考虑不能优先于根据一方当事人的国内法保护信息不被披露。它认为，“申请人具有意大利国籍，在线数据库是根据意大利法律建立的，这个问题应根据意大利法律进行审查。”意大利的隐私法第5(1)条规定，如果个人数据处理是由在意大利设立的任何实体进行的，则该法应适用于该个人数据的处理。仲裁庭认为，个人数据的处理，即借助电子手段收集、记录、组织、保存等，是由一家根据意大利法律注册的公司完成的。法庭认为，“因此，意大利隐私法适用于处理索赔人的个人数据。”法庭还认为，根据第95/46/EC号指令第25(2)条的规定，阿根廷被认为是从欧盟转移的个人数据提供了充分的保护。因此，将原告的个人数据转移到阿根廷必须被视为意大利隐私法所允许的转移。尽管如此，仲裁庭依然认为，必须遵守意大利隐私法，因为：

“为了继续保护申请人的个人资料，这种转让的方式仍必须使数据库控制者能够遵守意大利隐私法和欧盟第95/46/EC号指令规定的保障义务，特别是防止未经授权与收集数据的目的不一致而获取和处理的信息。因此，即使允许转让，而且没有迹象表明被申请人将不遵守阿根廷的数据保护法律和条例，但申请人仍有合法权益制定关于使用这些信息的具体规则，特别是如果被申请人将被允许直接访问申请人的整个在线数据库。”

欧盟第95/46/EC号指令，即欧盟数据保护条令，欧盟GDPR的前身。它允许成员国适用自己的法律，相比之下，欧盟GDPR由于直接适用于成员国，建立了一个更加统一的法律架构。Giovanna A. Beccara案证明，如果基于适当性决定将个人数据从欧盟转移到第三国或国际组织，仍可适用欧盟GDPR。

裁决的承认和执行地

虽然只是在承认和执行阶段，但在仲裁审理过程中，也应考虑到裁决能否在被执行人的财产所在地得到承认和执行地。如果根据纽约公约执行投资仲裁裁决，则承认和执行程序受承认和执行地的法律管辖，其中可能包括以违反作为“公共政策例外”的当地数据保护法为理由不承认和执行仲裁裁决的情况。如果投资仲裁裁决是根据关于解决国家和其他国家国民之间投资争端的公约（以下简称“ICSID公约”）来执行，那么承认和执行国的数据保护法就无需考虑。因为ICSID公约规定，“裁决的执行应受要求执行裁决的国家的承认和执行判决的现行法律管辖”。因此，解决投资争端国际中心的投资仲裁裁决应作为国内判决在承认和执行国执行。不应以公共政策例外为由对解决投资争端国际中心的裁决进行审查。但是，如果投资仲裁裁决是保密的，则裁决的内容，包括裁决所涵盖的个人数据，应根据承认国和执行国的法律予以保护，而不论裁决是根据纽约公约还是解决投资争端国际中心公约执行的。

四、国际公法规定的特权和豁免

在国际公法中，特权和豁免是指保障国际组织及其官员、主权国家及其具有外交地位的工作人员和其他人员独立履行职责和义务，以实现国际组织或国家的目标。特权通常是指对一国原本适用的实体法的豁免，而豁免则是对一国行政、裁决或行政权力的豁免。在本文中，“特权”指的是不适用当地数据保护法，“豁免”指的是管辖豁免，即免除违反当地法律的任何程序的管辖权。它们产生了同样的否定效果，即当地的数据保护法对投资仲裁及其参与者没有影响。

如果当地的数据保护法是由当事人选择的，或者是投资仲裁所依据的条约所要求的，那么它不能被国际公法规定的特权和豁免所豁免。例如，在Elliott案中，PIPA是根据美韩自贸协定适用的。遵守PIPA的义务不可能被其他国际公法规定的权利和义务所豁免。这是因为美韩自由贸易协定考虑到了PIPA的适用，除非韩国和美国达成一致，否则基于该自由贸易协定的投资仲裁不可能被豁免于PIPA的适用。

但是，如果基于当地法律中指明的连接点，当地数据保护法因其强制性而适用于投资仲裁，则必须考虑当地法律的适用是否可以通过国际公法规定的特权和豁免而得到豁免。例如，假设一个日本投资者对土耳其提起ECT仲裁，相关的个人数据在巴黎的仲裁审理地被收集，或者由位于德国的数据公司处理。这个仲裁是否需要遵守欧盟GDPR？这个问题可以通过探讨该仲裁是否超出欧盟GDPR的实质范围来回答。然而，欧盟、德国和法国是ECT的成员国，数据是在欧盟收集和处理的。因此，要确定此次ECT仲裁是否超出了欧盟法律的范围，可能并不容易。这个问题也可以（而且更好）从另一个方面来处理：国际公法规定的特权和豁免（如果有的话）是否使日本投资者、土耳其和仲裁庭免于遵守欧盟GDPR，或免于因违反欧盟GDPR而引起的任何诉讼。

投资仲裁可以不受当地数据保护法的约束。这源于国际法院发表的具有约束力的《关于人权委员会特别报告员享有法律程序豁免的争议的咨询意见》（以下简称“Cumaraswamy”）中分析的“口头或书面语言的各种法律程序豁免”。该案涉及一名被联合国任命为特别报告员的马来西亚法学家在英国出版但也在马来西亚发行的一本杂志上的采访。特别报告员评论了马来西亚法院进行的某些诉讼。因此，马来西亚的一些个人和实体声称，上述采访文章含有诽谤性的词语，“使他们陷入了公众的丑闻、憎恶和蔑视之中”。他们以诽谤为由对特别报告员提起诉讼。据国际法院称，“马来西亚承认Cumaraswamy先生作为委员会的特别报告员是一名特派专家，这种专家在与缔约国的关系中享有联合国特权和豁免公约规定的特权和豁免，无论该专家是作为缔约国的国民还是居民。”国际法院认为，联合国特权和豁免公约第22(b)节对于联合国秘书长在确定某位特派专家是否有权就享有各种法律程序的豁免，可以发挥“关键作用”。国际法院的结论是，“秘书长正确地认定Cumaraswamy先生在说该条所引用的话时......是在执行联合国任务的过程中。”关于马来西亚政府的法律义务，国际法院指出，“马来西亚政府没有将秘书长的调查结果通知马来西亚主管司法当局，即Cumaraswamy先生是在执行联合国任务过程中说了有关的话，因此有权免于法律诉讼。”国际法院认为，秘书长的“调查结果及其文件表达方式产生了一种推定，只有出于最令人信服的理由才能将其搁置，因此国家法院应给予最大的重视。”

会员国代表、联合国官员和专家在联合国主要机构和附属机构以及在联合国及其专门机构召开的会议上发表的言论或书写的文字享有各种法律程序豁免，这一理论被广泛接受，并得到联合国宪章、联合国特权和豁免公约和专门机构特权和豁免公约的一致认可。这一理论是在言论自由和国际组织具有不受成员国法律制约的独立性的基础上规定的。给予国际组织及其人员豁免权的目的是保护这些组织不受成员国的干涉。与Cumaraswamy案中涉及的马来西亚的诽谤法一样，个人数据保护法也因国家的不同而不同，因为这些法律反映了每个国家不同的隐私概念。一个信息的表达在一国可能受到言论自由的保护，但与此同时，在另一国可能被认为是违反数据保护法的非法行为。有些国出于国家安全的考虑，甚至有些国出于言论审查的目的，对个人数据进行保护。一些国将个人数据保护法作为强制性法律适用。因此，Cumaraswamy案中所认为的“对口头或书面语言的各种法律程序的豁免权”应该包括数据保护法。如果这种豁免适用于当地的诽谤法，而不适用当地的数据保护法，是不合理的。因此，会员国代表、联合国官员、联合国主要和附属机构的专家以及联合国及其专门机构召开的会议的代表在行使其身份时，应免于因违反当地个人数据保护法而引起的法律程序。这种豁免旨在给予“足够程度的主权，使[联合国]能够独立、公正和有效地履行其职能”。

本节以条约、Cumaraswamy和习惯国际法为基础，重点阐述解决投资争端中心和海牙常设仲裁院、其官员和当地工作人员、仲裁员和其他仲裁参与者在解决投资争端中心和海牙常设仲裁院管理的投资仲裁程序中的特权和豁免问题。本节旨在描述适用于解决投资争端中心和常设仲裁院的条约以及习惯国际法所规定的特权和豁免。本节无意对解决投资争端中心和海牙常设仲裁院之间享有的特权和豁免的范围进行比较。

联合国国际投资争端解决中心

根据投资争端解决中心公约提起的投资仲裁不应受到任何国内数据保护法的约束，除非当事人另有约定且投资争端解决中心放弃其豁免权。这是因为投资争端解决中心公约第21条(a)款对此有规定：

“主席、行政理事会成员、担任调解员或仲裁员的人员或根据第52条第(3)款任命的委员会成员，以及秘书处的官员和雇员：(a)对他们在履行职责时的行为享有法律程序豁免，除非中心放弃这种豁免。”

投资争端解决中心不是联合国专门机构，因此，投资争端解决中心的特权和豁免仅限于投资争端解决中心公约第20-24条规定的特权和豁免，而不包括联合国各项公约规定的特权和豁免。然而，这并不意味着“对口头或书面语言的各种法律程序的豁免”应被排除在投资争端解决中心公约第21条之外。第21条是根据与世界银行工作有关的人员的平行规定起草的，而世界银行是联合国的一个专门机构。第21条所列的人员对其在履行投资争端解决中心职能时实施的行为免于任何诉讼。Christoph Schreuer教授明确指出，“这种职能豁免与其他国际机构官员的待遇是一致的”，并引用了联合国特权和豁免公约第18节和专门机构特权和豁免公约第19节。因此投资争端解决中心公约第21条应涵盖“口头或书面语言的各种法律程序豁免”。

投资争端解决中心公约第22条将第21条的适用范围扩大到作为当事人、代理人、律师、辩护人、证人或专家出现在本公约规定的程序中的人员；但其中(b)项仅适用于他们往返于仲裁审理地的旅行和停留。该规定旨在确保程序的正常运行不受当地法律的干扰。因此，根据投资争端解决中心公约提起的投资仲裁中的仲裁员和其他仲裁参与者在履行职责时，应享有因违反当地数据保护法而引起的任何法律程序的豁免权。

海牙仲裁法院

海牙常设仲裁法院是一个政府间组织。它主要处理三类案件：国家对国家的仲裁、基于条约的投资仲裁以及根据涉及国家或其他公共实体的合同仲裁案件。本文重点讨论第二类案件，即基于条约的投资仲裁。海牙常设仲裁院的条约框架为常设仲裁院、其官员和当地工作人员、仲裁员和其他仲裁参与者提供了特权和豁免，该框架由其创始条约和总部协定构成。

1.两项海牙公约

海牙仲裁法院是根据1899年关于和平解决国际争端的条约（以下简称“1899年海牙公约”）设立的，该条约后被1907年关于和平解决国际争端的公约（以下简称“1907年海牙公约”）取代。1899年海牙公约设立了海牙仲裁法院，旨在为签署国之间的国际争端提供立即诉诸仲裁的机会。

两项海牙公约允许每个成员国最多提名四名“在国际法问题上具有公认的能力和最高道德声望”的人接受仲裁员的职责，并登记为海牙仲裁法院成员（The Members of the Court）。法院成员在履行职责和离开本国时享有外交特权和豁免。当成员国希望求助于常设仲裁院时，它们必须从法院成员总名单中选择仲裁员来解决其争端。然而，如果当事方同意，两项公约都允许常设仲裁院将其管辖权扩大到非成员国之间或成员国与非成员国之间的争端。两项公约均未规定，要求接受常设仲裁院管辖的非成员国应从法院成员总名单中选择仲裁员。值得注意的是，1899年海牙公约第24条规定，“法院成员（The Members of the Court）在本国以外履行职责时，享有外交特权和豁免。”相反，1907年海牙公约第46条规定，“法庭成员（The members of the Tribunal）在履行职责和离开本国时，享有外交特权和豁免”，这意味着1907年海牙公约将法院成员的外交豁免权扩大到为法庭挑选的任何仲裁员。根据维也纳外交关系公约（Vienna Convention on Diplomatic Relations，以下简称“VCDR”），外交特权和豁免包括本地法律及本地民事和行政管管辖的文件和信件不可侵犯，但有限的例外情況除外。因此，在数据保护的语境中，两项海牙公约为仲裁员提供了因违反当地数据保护法而引起的法律程序的豁免权。

从两个方面来看，两个海牙公约规定的特权和豁免是不完整的。首先，两个海牙公约没有为仲裁员以外的仲裁参与人提供特权和豁免。其次，常设仲裁院管理的投资仲裁案件是根据双边投资条约和自由贸易协定而不是两个海牙公约进行的。投资仲裁的仲裁员不一定从法院成员名单中选出。这两个问题通过常设仲裁院总部协定、VCDR和习惯国际法所规定的特权和豁免得到了部分补救。

2.总部协定

海牙常设仲裁院分别与阿根廷、智利、中国香港特区、哥斯达黎加、吉布提、印度、爱尔兰、马来西亚、毛里求斯、巴拉圭、葡萄牙、新加坡、南非、乌拉圭和越南缔结了总部协定。总部协定可以涵盖不依据两项海牙公约或常设仲裁院的任何选择性程序规则所提起的投资仲裁。

总部协定规定的这些特权和豁免并非没有限制。海牙总部协定第14.1条规定：“根据本协定条款给予的特权和豁免是为了常设仲裁院的利益而不是为了个人的个人利益。常设仲裁院和所有享有这种特权和豁免的人有义务在所有方面遵守荷兰的法律和条例。”

因此，常设仲裁院、其官员和当地工作人员、仲裁员和其他仲裁参与者不应滥用其特权和豁免，这些特权和豁免仅限于为常设仲裁院和常设仲裁院的利益而行使其职能。此外，常设仲裁院可以放弃特权和豁免。根据不同的被申请人，两个总部协定规定的特权和豁免可分为三类：

（1）海牙仲裁法院作为一个国际组织

两份总部协定均规定，常设仲裁院、其财产和资产在中国香港和荷兰享有各种形式的法律程序的豁免权。这意味着常设仲裁院在中国香港和荷兰享有司法管辖豁免权，不受任何侵犯数据所产生的指控。因此，作为一个国际组织，常设仲裁院应不受中国香港和荷兰当地数据保护法律的约束，并免于因违反这些法律而引起的任何追诉。

（2）海牙仲裁法院官员和当地工作人员

根据荷兰与常设仲裁院之间的总部协定，常设仲裁院秘书长及其官员应享有政府根据维也纳外交关系公约给予相当级别的外交使团的特权和豁免、免除和便利。中国香港的法令规定，海牙仲裁法院官员在履行职责过程中发表的口头或书面言论和实施的行为应享有各种法律程序的豁免，在他们停止行使与海牙仲裁法院有关的职能后，这种豁免应继续有效，但因交通事故引起的法律诉讼除外。常设仲裁院的当地人员即使在停止行使其与常设仲裁院有关的职能后，其以官方身份发表的口头或书面言论也应享有法律程序豁免。因此，常设仲裁院官员及其当地工作人员不会因违反适用于荷兰和中国香港的当地数据保护法律而受到起诉。

（3）海牙仲裁法院仲裁员和其他仲裁参与者

根据总部协定，仲裁员的特权和豁免与常设仲裁院官员的特权和豁免相同。因此，在由常设仲裁院管理的投资仲裁中，仲裁员可免于因违反分别在荷兰和中国香港适用的当地数据保护法而引起的诉讼。即使在仲裁员完成与常设仲裁院有关的裁决活动后，这些豁免权仍应继续。

与两个海牙公约规定不同，海牙总部协定规定，常设仲裁院程序的参与方为履行其在常设仲裁院程序中的职责而实施的行为应享有刑事、民事和行政管辖豁免。中国香港的法令的规定比与海牙签订的总部协定详细得多。它规定，参与者在参加常设仲裁院程序或常设仲裁院会议过程中的口头或书面言论以及所有行为均应免于各种法律程序。即使在他们停止行使其与常设仲裁院有关的职能之后，这些豁免仍应继续，但交通事故引起的索赔除外，但应在常设仲裁院不再要求仲裁参与人出庭之日后不间断的十五天后失效。因此，仲裁参与人应当对违反分别适用于荷兰和香港的当地数据保护法的任何法律程序享有管辖豁免。不过，仲裁参与者可享有的豁免期比仲裁员、常设仲裁院官员和工作人员要短。

维也纳外交关系条约和特别使团公约

VCDR为派遣国代表团中的外交人员、行政和技术人员以及服务人员提供了接受国法律的特权和豁免。特别使团公约（the Convention on Special Missions）补充了VCDR对临时特别使团为处理具体问题或完成具体任务而给予的特权和豁免。提供特权和豁免是出于国家主权平等、维护国际和平与安全以及礼让。这些特权和豁免是基于职能上的需要，旨在确保外交使团有效履行职能，而不是使个人受益。

在投资仲裁中代表缔约国的仲裁参与者是否可以被视为该国特别使团的成员？“特别使团成员”可以包括使团团长、外交人员、派遣国代表、行政和技术人员以及服务人员。特使团团长和外交人员是具有外交官衔的“外交人员”。但是，派遣国代表不需要有外交官衔。只要派遣国授予该身份，个人就被视为派遣国的代表。在仲裁中代表投资东道国的政府官员如果具有外交级别，应被视为外交代表。如果没有，他们仍可能具有派遣国代表的身份：只要缔约国明确表示，代表缔约国的律师、专家和证人也可被列入派遣国代表的行列。

由于代表缔约国的仲裁参与者可被视为特别使团的成员，他们可根据VCDR和特别使团公约享有特权和豁免。VCDR第27条规定，接受国应允许并保护使团为一切公务目的而进行的自由通信，使团的档案和文件无论何时何地均不得侵犯。“外交档案的不可侵犯性随之而来，这是使团馆舍不可侵犯性的必然结果。”外交通信和档案应根据使团派遣国的法律而不是使团接受国的法律进行保护。因此，后者的数据保护法不应当适用于代表国家（即投资东道国）的仲裁参与人的通讯和档案，除非当事人放弃其特权和豁免。VCDR第31条赋予外交人员无一例外的刑事管辖豁免权，以及无有限例外的民事和行政管辖豁免权。值得注意的是，特别使团公约将外交人员的管辖豁免扩大到了特别使团中的派遣国代表。

在海牙举行的常设仲裁院投资仲裁中，如果一国的律师、专家或证人是荷兰的国民或永久居民，该人是否可以享有荷兰管辖权的特权和豁免？答案是肯定的，但条件是，特权和管辖豁免仅限于此人在履行职责时的官方行为。

国际习惯法

外交豁免的依据是国际习惯法。因此，如果代表投资东道国的仲裁参与者被授予外交地位或被该国视为外交代表，国际习惯法使他们有权对因违反当地法律（包括当地数据保护法）而产生的任何程序享有管辖豁免。相反，投资者一方的仲裁参与者不太可能被视为代表投资母国的特别使团。因此，国际习惯法规定的外交豁免不适用于他们。国际组织及其官员的豁免权主要以条约法为依据。正如一位专家所言：

“由于不同的法院对是否存在关于国际组织特权和豁免的国际习惯法作出了不同的裁决，因此，管辖豁免是否是国际习惯法规定的所有国家，而不仅仅是国际组织成员国有义务承认的国际组织的属性，这一点尚未确定。”

因此，国际习惯法能否保护解决投资争端中心和常设仲裁院及其官员的豁免权不受当地数据保护法的影响是值得怀疑的。这一结论也适用于国际投资争端解决中心和海牙常设仲裁院管理的投资程序中的仲裁员。重要的是，投资东道国指定的仲裁员不应享有代表该国的仲裁参与者的外交豁免权，因为仲裁员在仲裁程序中不代表该国，而应保持中立。

小结

根据条约、Cumaraswamy案和国际习惯法，国际投资争端解决中心和海牙常设仲裁院、其官员和当地工作人员、仲裁员以及解决投资争端中心和常设仲裁院管理的投资仲裁程序中的其他仲裁参与者可享有当地数据保护法规定的特权和豁免。其目的是使他们能够独立于地方当局而公正、高效地履行其职能。这些特权和豁免的行使应当是为了履行投资仲裁的职能，并符合国际投资争端解决中心和常设仲裁院的利益。仲裁参与者、相关国家（即投资母国和投资东道国）、国际投资争端解决中心和常设仲裁院可以放弃这些特权和豁免。

关于根据投资争端解决中心公约进行的投资仲裁，公约给予国际投资争端解决中心的官员和当地工作人员、仲裁员和其他仲裁参与者特权和豁免，使其不受154个国际投资争端解决中心成员国数据保护法的管辖。

关于常设仲裁院管理的投资仲裁，两项海牙公约给予仲裁员特权和豁免，但不给予其他仲裁参与者特权和豁免。由于常设仲裁院管理的大多数投资仲裁不是根据两项海牙公约提起的，因此，这些仲裁的仲裁员和其他仲裁参与者不能享受公约规定的特权和豁免。然而，常设仲裁院缔结的总部协定给予仲裁参与者特权和豁免，不受这些法域适用的数据保护法的管辖。

VCDR和特别使团公约可以赋予代表投资东道国的仲裁参与者特权和豁免，这取决于投资东道国赋予他们外交特别使团的地位：如果投资东道国这样做，他们就可以成为投资东道国特别使团的成员，从而，他们不受适用于接收国和享有特权和豁免权的人经过的第三国的当地数据保护法的管辖。然而，投资者和代表投资者一方的仲裁参与者较难被认定为代表投资者母国的外交特别使团成员，因为投资者不是投资母国的代表。《VCDR》和特别使团公约不适用于仲裁员，因为他们应该是中立的，而不是某个国家的代表。

国际习惯法还为代表投资东道国的仲裁参与者提供了外交豁免权，因此，他们应当对享有特权和豁免权的人经过的接受国和第三国所适用的当地数据保护法享有管辖豁免。但是，国际投资争议解决中心和常设仲裁院、仲裁员和代表投资者的仲裁参与者可能无法根据援引国际法习惯获得外交豁免。

根据这些总结（表一），可以提出两点建议。

首先，就常设仲裁院的投资仲裁而言，关于地方法律管辖的特权和豁免的条约框架是零散的。应根据仲裁所在地是否与常设仲裁院订立了总部协定，以及仲裁参与者是代表投资东道国还是代表投资者两个方面，来分析当地数据保护法的适用性。常设仲裁院可以考虑采取两项措施来加强其条约框架。第一项是与各国缔结更多的总部协定。第二项措施是修订1907年海牙公约。1907年海牙公约规定的特权和豁免可以从仲裁员扩大到其他仲裁参与者。常设仲裁院也可以考虑在1907年海牙公约和常设仲裁院管理的投资仲裁之间架起“桥梁”。这是因为投资仲裁往往不是根据1907年海牙公约提起的，因此，该公约不适用于这些仲裁。这种差距还来自于1907年海牙公约没有被纳入许多双边投资条约和自由贸易协定的投资争端解决条款。相比之下，投资争端解决中心公约已被纳入许多双边投资条约和自由贸易协定的投资争端解决条款中。此外，在投资仲裁中代表投资者的仲裁参与者所享有的特权和豁免也不够充分。

第二，投资仲裁所依据的双边投资条约和自由贸易协定通常不为仲裁参与者提供特权和豁免。除非投资母国赋予仲裁参与者以外交地位，否则维也纳公约和特别使团公约不适用于代表投资者的仲裁参与者。根据国际习惯法，他们的特权和豁免也不明确。

表1 地方数据保护法的特权和豁免权

五、结论

在当事人没有进行法律选择的情况下，如果仲裁所依据的条约或程序规则表明，投资仲裁应适用当地数据保护法，该法需要被适用。

投资仲裁应当遵守仲裁参与者住所地的数据保护法，这是因为国际公法规定的特权和豁免不能使个人或实体免受其住所地法律的约束，除非该个人或实体为一国际组织工作。

仲裁地的数据保护法不能被国际公法规定的特权和豁免所排除，因为当事人一旦确定了仲裁地，就意味着选择了仲裁地的法律，包括其数据保护法作为仲裁法来管辖仲裁程序。

数据保护法在承认和执行裁决地的适用性不受国际公法规定的特权和豁免的影响。这是因为投资仲裁裁决的承认和执行是根据纽约公约或投资争议解决中心公约进行的。因此，数据保护法在裁决的承认和执行地的适用性应当由这两项公约决定。

审理地或相关数据处理地的数据保护法不得适用于投资仲裁，因为国际公法规定的特权和豁免可以免除这些法律。回到第四节开始讨论的假设中的问题，如果仲裁由国际投资争端解决中心管理，那么该中心本身、其官员、仲裁员和其他仲裁参与者应享有欧盟GDPR的管辖豁免权。如果仲裁由常设仲裁院管理，答案很可能是一样的，但要看更多的假设事实（如仲裁地在何处）。这一结论也可以得到Giovanna A. Beccara等案的支持，在该案中，仲裁庭反复强调申请人的住所是意大利。因此，意大利隐私法的适用不应仅仅因为处理数据的实体位于意大利。

应结合国际公法规定的特权和豁免来考虑仲裁与当地数据保护法之间的联系因素。这种做法可以为确定投资仲裁中适用的当地数据保护法提供可预测性和确定性。当投资仲裁程序因COVID-19大流行而不得不转移到网上进行时，这一点尤为宝贵。更重要的是，这种方法还可以保持投资仲裁的独立性和公正性，使其不受当地数据保护法的影响。

,