GDPR对跨境数据仲裁的挑战

人工智能的出现，对当下的伦理标准、法律规则、社会秩序及公共管理体制带来一场前所未有的危机和挑战。^[10]由于数据的无界性，欧盟GDPR成为第一个针对个人数据的“长臂管辖”规则。由于人工智能技术首先需要“学习”，而“学习”的对象就是相关的海量数据。在国际商事仲裁中，如果人工智能涉及的数据活动处于欧盟境内或者数据来自于欧盟公民，则处于GDPR“长臂管辖” 的范围之内。2019年1月，法国数据保护机构（CNIL）向谷歌公司开出5000万欧元的罚单，成为GDPR生效以来处罚的欧盟外首家大型科技公司。^[11]因为谷歌公司在向欧盟用户发送广告时，没有获得用户的许可，该案对GDPR的域外适用有标杆性的意义。GDPR在适用范围上规定：适用于完全或部分以自动的方式对个人数据的处理。换句话说，GDPR涵盖了所有人工智能下涉及个人信息处理的仲裁活动，特别是在线提交证据，通过人工智能分析证据，比如电子合同、书证、视听证据、鉴定结论等。

GDPR第55条规定：“对于法庭在其司法活动中进行处理操作，监管机构不具有监管职权。”换言之，欧盟境内法院在司法活动中对个人数据的处理是GDPR监管的例外情形，该豁免的目的是保障司法的独立性和保护诉讼的进行，而司法活动的主体并不包括仲裁和欧盟境外的法院。依据文义解释和GDPR第23条中限制的列举，国际商事仲裁不属于GDPR的豁免范围。另一方面，GDPR的原则对国际商事仲裁的保密性特征构成挑战，因为国际商事仲裁的案件很多涉及商业秘密和个人隐私，不宜公开审理。该特征与GDPR规定的数据主体个人信息应该以透明方式处理相违背。由于人工智能需要“学习”大量真实仲裁数据，才能客观地分析案件和作出相关的预测，当收集和处理涉及欧盟的数据时，GDPR的管辖权则延伸到人工智能领域。

在未来人工智能跨境数据纠纷“自动仲裁”中，机器审查的“个人数据” 是否与GDPR规则相冲突，是特别需要探讨的问题。GDPR将个人数据定义为：“任何已识别或可识别的自然人（‘数据主体’）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体”。如通过人的姓名、身份证号、地址数据、网上标识等或人的社会身份而识别个体。在互联网时代，仲裁中审查的内容基本都是数字化的，也就是说当事人提交的仲裁协议、证据（包括电子邮件记录、聊天记录、电子转账记录）、视听证据、鉴定结论都可能成为被GDPR识别为个人信息。

根据国际私法理论通说：商事法律关系的主体、客体和权利义务据以发生的法律事实，只要三者之中有其一具有国际性，则为国际商事法律关系。^[12]因此，人工智能国际商事仲裁的范围应该作广义的解释。另一方面，国际商事仲裁中当事人证据披露是实践中常见的情况。《联合国贸法会仲裁规则》第27条第3款规定的情形包括，一方当事人掌握解决纠纷所必要的文件证据，而对方当事人无可能取得该文件证据时，仲裁庭可以命令其披露出示该证据，以实现公平原则。所以，在设计人工智能的程序时，需要将实践中常用的规则考虑在内，以便于双方当事人合理地知道对方的证据，有利于机器公平、合理地解决取证的问题。然而，国际性的广义解释和当事人的线上证据披露，构成了个人数据的跨境交换；机器对证据的收集、记录、存储、检索、使用则构成GDPR定义的个人数据的“处理”，而仲裁机构成为“数据保管人”。因此，在GDPR的框架下，面临最高年营业额的4%的处罚，无论是传统的国际商事仲裁制度，还是未来在人工智能模式下的国际商事仲裁，都面临涉及GDPR法律风险和挑战。