此次黑客攻击受国际人道主义法管辖
Posted: Wed Feb 19, 2025 8:27 am
网络安全界立即做出反应,证实我们正处于未知领域。例如,谷歌 Mandiant 网络间谍团队的 Dan Black指出,这可能是一个国家首次“直接将责任归咎于”此类行动。假设乌克兰声明中所述的事实准确无误(不出所料,俄罗斯联邦税务局很快就否认了这一事件),这意味着我们可以将棘手的归咎问题放在一边。乌克兰已明确宣布对此次行动负责。但这合法吗?
此次行动发生在俄罗斯与乌克兰之间持续不断的国际武装冲突背景下。作为冲突一方针对另一方采取的行动,此次行动与冲突有着明显的联系。因此,毫无疑问,此次行动受国际人道法的管辖,换言之,国际人道法是规范武装冲突期间交战方行为的法律体系。
2010 年代,各国曾讨论过国际人道法是否适用于网络空间。当时,一些国家表示担心,接受国际人道法在网络环境中的适用性可能会使军事网络行动合法化,并导致网络空间军事化。虽然这些都是重要的考虑因素,但正如 Laurent Gisel 和我在其他地方所解释的那样,它们并不一定与将国际人道法应用于武装冲突期间的网络行动相矛盾(见第 146 页)。
重要的是,2021 年,各国就一项折衷方案达成一致——该方案最初在一份专家报告中提出,后来得到联合国大会一项协商一致决议的认可——该方案承认国际人道法的适用性,但指出“重申[国际人道法]原则绝不会使冲突合法化或鼓励冲突”。从那时起,我们可以说国际人道法规范武装冲突期间的网络行动,就像本文所分析的那样,这是一个国际共识。
衡量行动是否符合敌对行为规则
要评估此次行动是否合法,目前应强调两个方面。首先,此次行动 巴西 WhatsApp 号码 并不止于侵入俄罗斯联邦税务局的网络,根据乌克兰军事情报,它还销毁了存储在这些网络中的数据。这一点很重要,因为人们普遍认为,网络间谍活动并不违反国际人道法(例如,参见《塔林手册 2.0》第 89 条第 5 款的评论)。重要的是,此次行动是否产生了不仅仅是访问网络和泄露数据的结果——据称这次行动确实产生了这样的结果。
其次,相关数据与受国际人道法特别保护的任何物体或人员无关。这些实体包括医疗机构和公正的人道主义组织及其人员。因此,例如,如果乌克兰瞄准并摧毁了一个医疗数据库,那么这一行动将涉及医疗单位、运输和人员必须始终受到冲突各方的尊重和保护的要求(见红十字国际委员会习惯国际人道法研究规则25、28 和 29)。由于破坏医疗机构所依赖的数据库从定义上讲会妨碍此类机构的运作,因此国际人道法禁止这种行为。
然而,税务数据并不享有这种特殊保护,因此必须根据普通敌对行为规则进行评估。其中最关键的是《1949 年日内瓦公约第一附加议定书》第 52(1) 条,该条规定禁止直接攻击民用物体。如果乌克兰武装部队轰炸了属于俄罗斯税务机关的建筑物(即民用物体),这次袭击显然违反了这一规则。但民用数据也是民用物体吗?
数据作为国际人道法客体的资格
这是一个棘手的问题,长期以来国际法学者、国家和其他利益相关者对此存在分歧,可以追溯到《塔林手册》专家的交流(见2013 年版对规则 38 的评论,第 4-5 段)。我是很早就加入讨论的人之一,我在 2015 年就指出,严格适用条约解释规则导致的结论是,第一附加议定书中“对象”一词的含义已经随着时间的推移而演变,包括计算机数据(第 65-80 页)。其他人不同意:例如,在最近的一篇文章中,Ori Pomson 拒绝了这种演变解释,并认为第一附加议定书中的“对象”一词基本上是指“物质的东西”(第 368-373 页)。
此次行动发生在俄罗斯与乌克兰之间持续不断的国际武装冲突背景下。作为冲突一方针对另一方采取的行动,此次行动与冲突有着明显的联系。因此,毫无疑问,此次行动受国际人道法的管辖,换言之,国际人道法是规范武装冲突期间交战方行为的法律体系。
2010 年代,各国曾讨论过国际人道法是否适用于网络空间。当时,一些国家表示担心,接受国际人道法在网络环境中的适用性可能会使军事网络行动合法化,并导致网络空间军事化。虽然这些都是重要的考虑因素,但正如 Laurent Gisel 和我在其他地方所解释的那样,它们并不一定与将国际人道法应用于武装冲突期间的网络行动相矛盾(见第 146 页)。
重要的是,2021 年,各国就一项折衷方案达成一致——该方案最初在一份专家报告中提出,后来得到联合国大会一项协商一致决议的认可——该方案承认国际人道法的适用性,但指出“重申[国际人道法]原则绝不会使冲突合法化或鼓励冲突”。从那时起,我们可以说国际人道法规范武装冲突期间的网络行动,就像本文所分析的那样,这是一个国际共识。
衡量行动是否符合敌对行为规则
要评估此次行动是否合法,目前应强调两个方面。首先,此次行动 巴西 WhatsApp 号码 并不止于侵入俄罗斯联邦税务局的网络,根据乌克兰军事情报,它还销毁了存储在这些网络中的数据。这一点很重要,因为人们普遍认为,网络间谍活动并不违反国际人道法(例如,参见《塔林手册 2.0》第 89 条第 5 款的评论)。重要的是,此次行动是否产生了不仅仅是访问网络和泄露数据的结果——据称这次行动确实产生了这样的结果。
其次,相关数据与受国际人道法特别保护的任何物体或人员无关。这些实体包括医疗机构和公正的人道主义组织及其人员。因此,例如,如果乌克兰瞄准并摧毁了一个医疗数据库,那么这一行动将涉及医疗单位、运输和人员必须始终受到冲突各方的尊重和保护的要求(见红十字国际委员会习惯国际人道法研究规则25、28 和 29)。由于破坏医疗机构所依赖的数据库从定义上讲会妨碍此类机构的运作,因此国际人道法禁止这种行为。
然而,税务数据并不享有这种特殊保护,因此必须根据普通敌对行为规则进行评估。其中最关键的是《1949 年日内瓦公约第一附加议定书》第 52(1) 条,该条规定禁止直接攻击民用物体。如果乌克兰武装部队轰炸了属于俄罗斯税务机关的建筑物(即民用物体),这次袭击显然违反了这一规则。但民用数据也是民用物体吗?
数据作为国际人道法客体的资格
这是一个棘手的问题,长期以来国际法学者、国家和其他利益相关者对此存在分歧,可以追溯到《塔林手册》专家的交流(见2013 年版对规则 38 的评论,第 4-5 段)。我是很早就加入讨论的人之一,我在 2015 年就指出,严格适用条约解释规则导致的结论是,第一附加议定书中“对象”一词的含义已经随着时间的推移而演变,包括计算机数据(第 65-80 页)。其他人不同意:例如,在最近的一篇文章中,Ori Pomson 拒绝了这种演变解释,并认为第一附加议定书中的“对象”一词基本上是指“物质的东西”(第 368-373 页)。