08 жовтня 2019, 14:36

Захист даних та кібербезпека в міжнародному арбітражі

Опубліковано в №40 (694)

Ірина Вівчарик «Asters, ЮФ» молодший юрист практики міжнародного арбітражу

Використання комп'ютерних та інформаційних технологій — неодмінна складова сучасного ділового світу у процесі здійснення фактично всіх видів діяльності, в тому числі у процесі вирішення спорів. Тому найбільш резонансні правопорушення все частіше відбуваються саме в парадигмі кіберпростору. Згідно з прогнозами Cybersecurity Ventures, одного з провідних дослідників світової кіберекономіки, середня річна сума збитків у світі від кіберзлочиності досягне 6 трлн доларів у 2021 р.


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


Міжнародний арбітраж — не виняток із правил, він так само вразливий до загроз інформаційної безпеки

Часто в міжнародному арбітражі розглядають спори, вартість предмета яких сягає величезних сум, а сторонами виступають ключові гравці ринку та навіть держави. До цього механізму вирішення спорів звертаються, очікуючи, що спір та результат вирішення залишаться конфіденційними, а секретна комерційна інформація не буде облікованою. З цією метою сторони навіть укладають угоду про конфіденційність, а факт арбітражного розгляду часто тримають у таємниці. Однак одного лише бажання зберегти конфіденційність і приватність не достатньо.

Під час проведення арбітражного процесу учасники зазвичай обмінюються даними, які неможливо отримати з відкритих джерел. Наприклад, об'єктами інтелектуальної власності, комерційними таємницями, персональними даними, інформацією про проєктні угоди та тендери компанії, конфіденційною інформацією щодо діяльності державних органів, численними листуваннями сторін тощо.

Витік такої інформації або небажане розоголошення результату арбітражу потенційно може спричинити суттєві наслідки, включаючи економічні втрати та репутаційну шкоду. Наприклад, ціна на акції компанії може значно знизитися, а якщо така компанія котирується на фондовій біржі, інколи cкомпрометування даних чи опублікування арбітражного рішення може навіть призвести до порушення цілісності фондового ринку. Публічне розкриття інформації щодо державних справ може негативно вплинути на державну політику та інвестиційний клімат держави. Окрім того, витік комерційної таємниці або персональних даних може спровокувати застосовування регуляторних санкцій та позовів про недбалість у зв'язку з порушенням контрактних зобов'язань чи законів, що до того ж ускладнюється тим фактом, що учасники арбітражного процесу є суб'єктами різних законів про безпеку даних, режимів конфіденційності та етичних стандартів. Зрештою, систематичні порушення безпеки даних під час проведення арбітражного процесу можуть підірвати репутацію міжнародного арбітражу як надійного механізму вирішення спорів.

Отже, враховуючи той факт, що майже вся комунікація та обмін даними між учасниками арбітражу відбувається за допомогою електронної пошти та різноманітних хмарних сервісів для зберігання файлів, вагу такої інформації та ймовірні наслідки її розкриття, існує потреба у застосуванні практичних заходів безпеки даних, про які мова піде далі у цій статті.

Мішені кібератак у міжнародному арбітражі

Основна мета хакерів, які діють на замовлення третіх осіб або від свого імені, переслідуючи недобросовісні цілі, — знайти слабкі місця в системі безпеки, зламати її та отримати несанкціонований доступ до чужих конфіденційних даних. Погано захищений учасник арбітражу являє собою ту слабку ланку, якою хакер потенційно може скористатися, щоб досягти бажаного результату. Доцільно окремо проаналізувати кожен вид учасників арбітражу в аспекті безпеки даних, оскільки кожен із них має у своєму розпорядженні різні обсяги конфіденційної інформації та рівень захисту комп'ютерних мереж.

  • Сторони арбітражного процесу. Сторонами міжнародного арбітражного процесу часто виступають передові національні компанії, транснаціональні корпорації, держави, державні органи, які поза арбітражем систематично виступають мішенями для кіберзлочинців. Хоча трапляються винятки, але зазвичай такі учасники надійно захищенні в технологічному аспекті. Однак необережність та зухвале нехтування правилами інформаційної безпеки навіть захищеними сторонами ставить під загрозу безпеку даних в арбітражному процесі.
  • Юридичні фірми. Щодо цього виду учасника також регулярно здійснюються кібератаки. Фірми, які надають юридичний супровід або консультують з питань національного права під час проведення арбітражного процесу, працюють з величезною кількістю конфіденційної інформації (зокрема, з персональними даними фізичних осіб та комерційною інформацією компаній). Обговорення стратегій захисту, обмін проєктами процесуальних документів та іншою інформацією найчастіше відбувається за допомогою електронної пошти. Докази, експертні звіти, показання свідків також часто передаються у цифровому форматі арбітрам, юридичним радникам іншої сторони, експертам, перекладачам та свідкам. Обираючи юридичну фірму, одним з найголовніших критеріїв, яким потрібно керуватися, є надійність системи інформаційної безпеки потенційного юридичного радника.
  • Арбітражні установи. Мішенню для кібератаки виступають арбітражні інституції. Для прикладу, у 2015 р. був здійснений злом офіційного вебсайту Постійної палати третейського суду (PCA) під час розгляду спору щодо морського кордону між Китаєм та Філіппінами. Хакери встановили шкідливий код на вебсайт PCA, заразивши комп'ютери дипломатів, юристів та всіх тих, хто відвідував вебсайт. PCA була навіть змушена на деякий час закрити вебсайт. У 2016 р. під час Олімпійських ігор у Ріо‑де‑Жанейро анонімні хакери атакували сайт Спортивного арбітражного суду (CAS). Однак тоді спрацював захист комп'ютерної мережі.
  • Арбітри. Привабливість арбітрів у ролі жертви кібератаки зумовлена не лише наявністю у них доступу до конфіденційної інформації щодо сторін чи деталей спору. Часто недобросовісно налаштовані особи зацікавлені в тому, щоб попередньо дізнатися результат арбітражу, а також подробиці щодо винесеного рішення. Для цієї мети хакерам необхідно отримати доступ до комп'ютерних мереж арбітрів, а також до їх комунікації між з собою та з арбітражною установою. Тому призначаючи арбітрів, важливо подбати про кіберзахист цих учасників.
  • Інші особи. Перекладачі, свідки, експерти також мають доступ до певної конфіденційної інформації. Однак, на відміну від сторін чи арбітражних установ, комп'ютерні системи таких осіб не завжди забезпечені належним захистом, що лише спрощує завдання для хакерів.
  • Ресурси для зберігання електронних документів. Перегляд та обмін більшістю документів під час проведення арбітражу, як правило, відбувається за допомогою хмарних сховищ для зберігання електронних даних (Dropbox, Google Drive, Onedrive, Icloud, Sugarsync тощо). За результатами досліджень аналітичного центру компанії InfoWatch, витік даних з такого виду ресурсів є доволі поширеним явищем. Наприклад, у 2018 р. було зафіксовано 70 випадків несанкціонованого доступу до конфіденційних даних користувачів хмарних сховищ, внаслідок чого зникло 1,3 млрд записів. Тому вкрай важливо обрати надійний сервер, оскільки у разі небажаного витоку інформації процес відновлення попереднього становища може зайняти багато часу та ресурсів, при цьому не гарантуючи результату.

Запобігання порушенням безпеки даних у міжнародному арбітражі

Питання захисту даних та кібербезпеки рекомендовано вирішувати на початкових стадіях міжнародного арбітражу. Конференція щодо порядку розгляду справи (Case management conference) — це можливість для сторін та арбітражного трибуналу обговорити безпечні варіанти передачі даних та домовитися про застосування заходів безпеки.

На початку цього року був опублікований Протокол щодо кібербезпеки в міжнародному арбітражі, розроблений Міжнародною радою з комерційного арбітражу (ICCA) спільно з Нью-Йоркською Асоціацією Адвокатів (NYSBA) та Міжнародним інститутом запобігання й вирішення конфліктів (CPR). Протокол містить рішення для безпечного обміну інформацією в арбітражі, чинники, на які повинні зважати сторони, обираючи заходи безпеки, перелік таких заходів, а також заходів для обмеження впливу порушень безпеки даних. Протокол має рекомендаційний характер, однак сторони можуть домовитися про обов'язковість його застосування.

Арбітражні установи також можуть відіграти роль у сприянні кібербезпеки, зокрема, включаючи відповідні положення у свої регламенти. Наприклад, як це зробив Гонконгський міжнародний арбітражний центр (HKIAC): в оновленому Регламенті міститься спеціальне положення, яким онлайн-сховище, погоджене сторонами для використання, було визнане як засіб зв'язку. Окрім того, установам варто впроваджувати безпечні методи передачі та зберігання даних, які зможуть протистояти сучасним викликам і ризикам кібербезпеки.

Час змінювати формулювання арбітражного застереження

У положенні щодо вирішення спорів зазвичай передбачають лише порядок. Однією з рекомендацій у згаданому вище Протоколі про кібербезпеку є включення в арбітражні угоди положення щодо кібербезпеки та обов'язків захисту конфіденційної інформації протягом арбітражного процесу. Запропоновано такий варіант застереження: «Сторони домовляються, що арбітражний розгляд буде проведений у безпечний спосіб, визначений арбітражним трибуналом, беручи до уваги думки сторін та Протокол про кібербезпеку в міжнародному арбітражі».

Однак не рекомендується прописувати конкретні заходи кібербезпеки в арбітражній угоді, оскільки технології можуть значно змінитися до того часу, як виникне спір, а попередньо обрані заходи виявитися неактуальними.

Рекомендовані практичні заходи кібербезпеки:

  • обмеження щодо використання електронного листування як засобу передачі електронних документів чи будь-якої конфіденційної інформації;
  • передача електронних документів через безпечні портали обміну інформацією;
  • використання складних паролів та багатофакторної автентифікації для отримання доступу до електронних документів/інформації;
  • шифрування;
  • надання доступу до певних категорій електронних документів/інформації лише тим учасникам арбітражу, яким така інформація необхідна для належної участі;
  • обмеження доступу до паперових екземплярів документів;
  • домовленість щодо обмеження відкриття документів, використовуючи публічний інтернет;
  • перевірка наявності всіх учасників арбітражу брандмауерів, антишпигунських та антивірусних програм і забезпечення ними у разі відсутності;
  • попереднє погодження алгоритму спільних дій учасників арбітражного процесу на випадок порушення безпеки даних.

Кожна залучена особа в міжнародному арбітражному процесі повинна усвідомлювати загрози та вживати відповідні заходи з метою уникнення ризиків порушення безпеки даних. Інколи хакерам, для того щоб отримати доступ до цільових даних, може бути достатньо того, щоб принаймні один учасник процесу був погано захищеним.

Допустимість доказів, отриманих за допомогою хакерства

Останнім часом одним з найбільш дискусійних аспектів міжнародного арбітражу є дилема допустимості доказів, отриманих через хакерство. Арбітражні правила зазвичай дають трибуналу широкі дискреційні повноваження щодо вирішення питань, пов'язаних з доказами. Наприклад, ч. 4 ст. 27 Регламенту ЮНСІТРАЛ передбачає, що арбітражний трибунал визначає допустимість, належність, істотність та вагомість доказів.

Ч. 1 ст. 34 Регламенту Міжнародного центру з врегулювання інвестиційних спорів (ICSID Rules) передбачено, що трибунал визначає допустимість будь-яких поданих доказів та їхню доказову цінність. Ч. 2 ст. 9 Правил збору доказів у міжнародному арбітражі міжнародної Асоціації юристів (IBA Rules) дозволяє трибуналу виключати докази, зокрема, на підставі правових або етичних норм, комерційної або технічної конфіденційності, чинників особливого політичного або інституційного значення (включаючи докази, що кваліфікуються як державна таємниця або таємниця міжнародної організації).

Водночас прийняття трибуналом доказів, отриманих через кібератаку, ймовірно, може призвести до деяких небажаних наслідків. Зокрема, встановлення факту незаконності отримання доказів потенційно може перешкоджати отриманню дозволу на примусове виконання рішення на підставі порушення публічного порядку. Окрім того, прийняття незаконно отриманих доказів може спровокувати тенденцію здобуття доказів неправомірним шляхом у наступних справах.

Вирішення питання допустимості доказів, отриманих через кібератаку

На відміну від міжнародного комерційного арбітражу, деталі розгляду якого повинні залишатися конфіденційними, публічно-правова природа інвестиційного арбітражу дозволяє проаналізувати декілька випадків, пов'язаних з доказами, отриманими за допомогою хакерства в арбітражному процесі.

Під час розгляду справи Caratube International v Kazakhstan (ICSID Case No. ARB/08/12) позивачі подали 11 документів (зокрема, листування між відповідачем та його юридичним радником, які були одними з попередньо опублікованих на Kazakhleaks внаслідок зламу комп'ютерної мережі уряду Казахстану). Трибунал прийняв 7 з 11 поданих документів, оскільки решта підпадали під привілеї юридичної професії. У справі Libananco v. Turkey (ICSID Case No. ARB/06/8) відповідач намагався надати як доказ аудіозапис конфіденційного спілкування між позивачем та його юридичним радником, яке було перехоплене та записане в межах непов'язаних кримінальних розслідувань щодо відмивання коштів. Однак трибунал, зважаючи на привілеї юридичної професії, принципи справедливості та добросовісності, відмовився приймати такі докази, наказав знищити подане привілейоване та конфіденційне листування. У справі Yukos shareholders vs. Russia (PCA No. AA 227) також постали докази, отримані з WikiLeaks, якими підтверджувався факт тиску на аудиторів з боку російської влади.

Як бачимо, ніщо не обмежує арбітражний трибунал у його повноваженнях щодо прийняття такого виду доказів. Як показує практика, докази, отримані з публічних джерел (таких як Wikileaks), найімовірніше, арбітражний трибунал не ігноруватиме, адже вони не порушуватимуть принципи належного здійснення правосуддя, справедливості та привілеї. Щодо доказів, які не знаходяться у відкритому доступі на момент проведення арбітражу, або якщо до реалізації кібератак причетні особи, які покладаються на такі докази, існує висока ймовірність того, що трибунал відмовиться їх приймати, оскільки окрім порушення процесуальної рівності сторін, це ставить під ризик ефективність арбітражного рішення, спричинивши його подальше оскарження або неможливість примусового виконання.

0
0

Додати коментар

Відмінити Опублікувати