印度数据泄露引发的跨境保险理赔困境

在当今全球经济互联互通发展的背景下，数据跨境流动频繁，如果发生无授权访问数据或数据外泄的网络安全事件，将引发复杂的法律问题。

当数据主体、处理者和控制者分布于多个司法管辖区，且各自关于个人数据的法律义务不一致时，问题就会复杂化。适用哪个法律？当事人——连带各自的保险公司和再保险公司——之间的判决、裁决和其他裁定可否执行？这种涉及多方当事人、多法域的纠纷面临着诸多挑战。

此类争议对当事人有重大利害关系，因为一次非法数据泄露事件就可能引发后续一连串的个人身份数据跨国交易，而这些交易通常发生在暗网上，在全球范围内威胁数据完整性和个人安全。在恶意软件入侵、勒索软件、身份盗窃和数字勒索等网络犯罪激增的背景下，受害的数据主体通常提起推定集团诉讼，寻求补偿性和惩罚性损害赔偿，以及禁令救济和衡平法上的救济。

印度是全球IT与后端服务中心，与诸如美国这些拥有庞大科技和金融企业的司法管辖区来往甚密，数据相关的纠纷往往呈现出跨境特征，印度网络责任法和保险政策的适用面临挑战。

网络责任争议适用特殊的法律规则，有别于传统侵权诉讼。涉及数据泄露的诉讼往往索要高额赔偿，让相关企业陷入监管风险，遭遇声誉损失，更遑论取证、诉讼成本高昂，加上强制通报和信用监督等义务。

集体诉讼涉及的责任和索赔巨大，如果走完全部审理流程，耗费大量时间和成本，因此大多以和解告终。实证研究也证实，大多数网络事件通过协商和解而非判决解决。

在印度，承保范围争议往往在和解结束后才出现，这些争议涉及基础保险合同条款的解释、对承保范围的异议、和解款项追偿，以及围绕安全漏洞免责条款和排除赔偿条件的索赔。这时通常引发法院和仲裁庭管辖权的问题。

争议性问题还包括事先批准、和解权限和上限、辩护费用和赔偿义务，尤其是在保险公司以未参与主诉讼为由拒绝承担责任，认为自己不受任何判决或裁定约束时。

在National Insurance Company v Nippon Paper Foodpac Pvt Ltd一案中，面对保险索赔案件中标的不同的情况，最高法院指出，“这将不可避免地导致混乱、多重诉讼、零散的判裁甚至相互矛盾的命令”。

在跨境索赔案件中，协调国内保险范围与外国诉讼程序是一大挑战，常导致结果不一致，让保险公司有理由拒绝理赔。在外国司法管辖区获得主要责任诉讼的判决结果后，当事人须请求印度法院或其他裁判机构裁定该外国判决或和解令是否有约束力。

法院必须判断该判决在保险理赔争议中是否具有禁止再诉或证据效力，在有些情况下，虽然判赔金额确定，但因为这是对人判决，而外国诉讼当事人与国内争议当事人并不相同，保险公司未参与主诉讼，这种情况尤其棘手。

证明判决具有终局效力的举证责任在于主张该效力的一方。根据国际礼让、既判力和禁止反言原则，印度法院和仲裁机构需考虑对于外国判决或裁定已决的事项或索赔是否禁止再诉。

法院将审查争议可仲裁性、裁决的认可、兼容性、证据权重、互惠性及一致性等因素。在Nippon Paper案中，最高法院质疑印度保险监管与发展局将金额争议视为可仲裁事项，而将拒赔和否认索赔争议排除在可仲裁性范围外的做法，认为这种区别对待让可仲裁性的问题更复杂，也让外国判决的终局性问题变得更不确定。

《民事诉讼法》（1908）就外国判决和裁定（包括和解协议）的效力做出规定。第13条规定，外国判决对“已直接裁决的同一当事人之间的事项”具有终局性，但有若干例外情况，比如判决支持的某个诉讼请求与印度法律相悖的情况。

第44A条规定了来自互惠地区的判决的执行。《仲裁与调解法》（1996）第19条规定仲裁庭对证据的可采性和价值具有程序自主决，不受《民事诉讼法》约束。

因此，即使是来自互惠地区的法院批准的和解，在印度也不必然具有终局性。获得承认的前提是满足《民事诉讼法》第13条的要求，没有违反印度法律，且其约束力仅限于同一当事人。

这在保险争议中造成结构性难题，因为最终判决通常仅在被告与原告之间作出，保险人或再保险人（来自其他司法管辖区）未必被列为当事人，这为保险公司拒绝理赔或报销提供了理由。

加拿大最高法院在考虑是否中止两个平行进行的有关承保范围的诉讼（在不同法域进行）的其中一个时，审查了多种处理方式。

国际法协会关于既判力与仲裁的最终报告（2006年）建议，仲裁庭应“自主”处理既判力——不受任何国内法律体系冲突规则约束，而应适用仲裁实践发展出的“跨国实体和程序规则”。

印度保险公司通常坚持严格遵守保单条款，尤其是与通知要求、事先授权和同意、免责条款解释相关的条款，即使当事人的行为并没有违反合同条款（因有例外或条款意思含糊）、或者当事人的不遵守并没有造成实质影响或损害，其目的就是为了拒绝承担理赔或报销责任，尽管已有判决确定被保险人责任。

保险公司还往往无理拖延授权或批准，或延迟同意承担辩护费用/辩护/和解诉讼/索赔，导致未决诉讼规模扩大。保险公司还坚持要求被保险人提供明确的陈述、承认过错或疏忽，而被保险人在主要责任诉讼尚未判决时无法做出此类陈述。

值得注意的是，印度最高法院近期做出判决，认定保险公司不能够在保单条件已无法履行的情况下以当事人不遵守保单条件为由拒绝理赔。

在保险责任仲裁中，与第三方达成的私下和解通常对保险人没有约束力。和解协议或协议裁决中关于责任或因果关系的认定，或许具有初步的说服力。然而，关于索赔与保险责任、免责条款以及保单位条件履行等问题，仍由仲裁庭独立裁决。

随着数据泄露引发的跨境集体诉讼日益增多，网络保险的错配问题日益暴露，导致本应保护被保险人免受灾难性责任的保单频频失效。外国原告通常只起诉公司被告，将保险人或再保险人排除在诉讼之外。

因此，在诉讼地成为既判力的任何判决或和解，往往与承保方之间不存在法律关系。这迫使被保险人在其他司法管辖区单独提起保险理赔诉讼，以获得赔偿，造成效率低下和不确定性。

这一问题因标准保险条款（如同意和解、合作义务及“禁止自愿付款”条款）而加剧，这些条款与集体诉讼中仓促的和解进程并不契合。

当和解接近法院批准阶段，受认证截止日期和选择退出权利驱动时，保险人的通知和同意要求往往滞后，且保险人缺乏主动加快和解、主动承担赔付的动力。如果保险人拒绝或延迟同意，被保险人要么面临和解失败的风险，要么在未获保险人同意的情况下继续推进和解，后者极可能让被保险人因违反先决条件而丧失保险保障。

如果严格遵守保险合同条款，网络保险就丧失了其核心功能——风险转移。法院和仲裁庭应以商业合理性为视角解释此类条款，推定诚信与合作义务。如果保险人在已获通知、有参与机会且未受到实质性损害的情况下，仍以技术性理由拒赔，应被禁止。法院应要求保险人和再保险人在诉讼伊始即被列为当事人，确保其利益得到代表，减少后续争议的可能性。

改革承认和执行外国判决和裁决的制度是当务之急，应让保险人直接承担损害赔偿义务。否则，数据泄露保险形同虚设，被保险人继续面临多司法管辖区争议的风险。

SHARDUL AMARCHAND MANGALDAS & CO
Amarchand Towers 216
Okhla Industrial Estate
Phase III New Delhi 110 020, India
电话: +91 11 4159 0700
邮箱: connect@amsshardul.com
www.amsshardul.com