编者按

红十字国际委员会法律顾问蒂尔曼·罗登豪瑟及红十字国际委员会新型数字战争技术顾问毛罗·维格纳蒂近日联合撰文《战争期间“平民黑客”的8条规则以及各国约束其的4 项义务》,提出了在武装冲突背景下开展网络行动的平民黑客必须遵守的8条基于国际人道法的规则,并回顾了各国规管和限制平民黑客的4项责任。

文章提出,随着数字技术正在改变军队的战争方式,越来越多的平民通过数字手段卷入武装冲突,包括黑客活动分子、网络安全专业人员、“白帽”、“黑帽”和“爱国”黑客等,这种民间黑客在武装冲突背景下开展网络行动的现象令人担忧,原因包括:一是通过直接或附带方式对平民造成伤害;二是因被视为直接参与敌对行动而导致自身及亲密人员成为军事打击目标;三是平民和作战人员间的界限日益模糊导致平民受到伤害的风险增加。

文章提出,网络空间不是法外空间,国际人道法提出了保护平民方面的基本人道考虑,所有人员在武装冲突背景下开展行动时都必须遵守相关义务;根据国际人道法,平民不得受到攻击,除非其直接参与敌对行动;针对军事或民用目标开展网络攻击可能相当于直接“参与敌对行动”,从而使民间黑客面临容易受到攻击的风险,以及被视为罪犯或恐怖分子而被起诉的风险;任何在武装冲突背景下开展网络行动的人员,包括非国家武装团体和平民黑客都必须了解和尊重国际人道法相关规则,团体或集体应确保其成员遵守相关规则。

文章提出,平民黑客在战争期间必须遵守8条准则:一是不得针对民用物体开展直接网络攻击;二是不得随意使用恶意软件或其他自动传播并损害军事目标和民用物体的工具或技术;三是在计划针对军事目标的网络攻击时,应尽可能避免或尽量减少行动可能对平民造成的影响;四是不得针对医疗和人道主义设施开展任何网络行动;五是不得针对民众生存所必需的或可能释放危险力量的物体开展网络攻击;六是不得以暴力威胁在平民中散布恐怖;七是不得煽动违反国际人道主义法的行为;八是即使敌方不遵守,自身也需遵守相关规则。

文章提出,各国不应鼓励或容忍民间黑客在武装冲突背景下开展网络行动,红十字国际委员会呼吁各国“在鼓励或要求平民参与军事网络行动时适当考虑平民受到伤害的风险”;任何致力于法治或“基于规则的国际秩序”的国家都不能对其领土内人员无视国家或国际法开展的网络行动视而不见,各国需要制订并执行规范民间黑客行为的国家法律。各国在约束平民黑客方面需承担4项责任:一是对在国家指示、指导或控制下行事的平民黑客行为承担国际法律责任;二是不得鼓励平民或团体采取违反国际人道法的行为;三是履行尽职调查义务以防止平民黑客在其领土上违反国际人道法;四是起诉战争罪并采取必要措施制止其他违反国际人道法的行为。

奇安网情局编译有关情况,供读者参考。

战争期间“平民黑客”的8条规则以及各国约束其的4 项责任

随着数字技术正在改变军队的战争方式,越来越多的平民通过数字手段卷入武装冲突,这一趋势令人担忧。平民(包括黑客活动分子、网络安全专业人员、“白帽”、“黑帽”和“爱国”黑客)远离实际敌对行动,包括在交战国家之外,正在针对他们的“敌人”开展一系列网络行动。一些人将平民描述为“首选网络战士”,因为“网络(国防)领域的绝大多数专业知识都掌握在私营(或民用)部门”。

在武装冲突背景下开展活动的民间黑客的例子多种多样。特别是在俄罗斯和乌克兰之间的国际武装冲突中,一些团体将自己描绘成“全球IT社区”,用他们的话说,其使命是“通过削弱侵略者经济、阻碍重要的金融、基础设施和政府服务以及让主要纳税人疲惫不堪来帮助乌克兰获胜。”据报道,其他人“呼吁并对乌克兰及其盟国的医院网站进行破坏性的(尽管是暂时的)攻击”,以及许多其他行动。由于许多团体活跃在这一领域,其中一些团体在其协调渠道中拥有数千名黑客,并向其成员提供自动化工具,武装冲突期间平民参与数字行动的比例达到了前所未有的程度。

这并非民间黑客第一次在武装冲突背景下开展活动,也可能不是最后一次。在这篇文章中,我们解释了为什么这种趋势必须引起各国和社会的关注。随后,我们提出了所有在武装冲突背景下开展行动的黑客都必须遵守的8项基于国际人道法的规则,并回顾了各国限制黑客的责任。

一、平民参与数字战争——一个令人担忧的趋势

民间黑客在武装冲突背景下开展网络行动的现象令人担忧,原因至少有三个。

第一,他们对平民造成伤害,要么直接瞄准民用物体,要么附带地损坏它们。一些专家认为民间黑客和团体主要是“网络治安维护者”,并强调他们的行动在技术上并不复杂,不太可能造成重大影响。然而,民间黑客和“军队”也确实破坏了各种民用目标,包括银行、公司、药房、医院、铁路网络和民用政府服务。

第二,民间黑客可能会将自己以及与他们关系密切的人暴露在军事行动中。根据他们开展的行动类型,武装冲突一方可能会将他们视为直接参与敌对行动。这意味着他们使用的计算机和数字基础设施有成为军事目标的风险,这意味着他们面临受到攻击的风险。同样,在对手的眼中,根据黑客所在的位置,他们可能会受到子弹、导弹或网络操作的攻击。

第三,越多的平民积极参与战争,平民和作战人员间的界限就越模糊。结果,平民受到伤害的风险增加;法律专家曾询问,作为国际人道法核心的区分原则是否能够承受这种压力。

二、在武装冲突背景下活动的平民黑客的8条规则

网络空间不是无法无天的空间——即使是战争也有限度。

不言而喻,平民黑客必须尊重他们活动所在国家的法律。如果这些国家法律很宽松,没有得到执行,或者如果平民黑客决定无视这些法律,则在武装冲突期间,国际人道法 (IHL) 规定一套普遍同意的规则,旨在保护平民和不再能够战斗的士兵免遭战争的恐怖。最严重违反这些规则的行为构成战争罪,可能会在国内或国际上受到起诉。

在武装冲突背景下,国际人道法本身并不禁止“黑客攻击”,也不禁止平民针对军事资产开展网络行动。但它提出了保护平民方面的基本人道考虑,这意味着每个人在武装冲突背景下开展行动时都必须遵守的义务,无论冲突的原因如何,其目标是否被视为合法,或者行动是进攻还是防守。

国际人道法由数百条规则组成——这里有1条警告和8条规则,任何在武装冲突背景下开展网络行动的人(包括非国家武装团体和平民黑客)都必须至少了解和尊重。团体或集体应确保其成员遵守这些限制。

警告:平民黑客可能会失去针对网络或物理攻击的保护,如果通过网络手段直接参与敌对行动,可能会受到刑事起诉。

根据国际人道法,平民不得受到攻击,除非他们直接参与敌对行动。针对军事或民用目标开展网络攻击可能相当于直接“参与敌对行动”,并且存在使民间黑客容易受到攻击的风险。此外,虽然国家武装部队成员(包括网络操作人员)因合法战争行为(例如攻击军事设施)而不受惩罚,并在被俘后成为“战俘”,但平民黑客则不然(《日内瓦第三公约》第85条第 3634段)。如果被捕,他们将面临被视为罪犯或“恐怖分子”并被起诉的风险。

1、不得针对民用物体开展直接网络攻击。

民用物体是指所有非军事目标的物体。这包括民用基础设施、公共服务、公司、私有财产以及可以说是民用数据。军事目标不享有同样的保护。“军事目标”主要包括交战方军队的物理和数字基础设施。它还可能包括民用物体,具体取决于它们是否以及如何被军方使用。

2、不得随意使用恶意软件或其他自动传播并损害军事目标和民用物体的工具或技术。

例如,不得使用自动传播、溢出、不加区分地损害军事目标和民用物体的恶意软件。

3、在计划针对军事目标的网络攻击时,应尽一切可能避免或尽量减少行动可能对平民造成的影响。

例如,如果目标是破坏军队使用的电力或铁路服务,必须避免或尽量减少行动可能对平民造成的影响。在开展操作前,必须研究并了解操作的影响(包括意外影响)。在计划针对军事目标的网络攻击时,应尽一切可能避免或尽量减少行动可能对平民造成的影响,并在对平民造成过度伤害的风险时停止攻击。如果已获得操作系统的访问权限,但不了解操作可能产生的后果,或意识到对平民造成过度伤害的风险,请停止攻击。

4、不得针对医疗和人道主义设施开展任何网络行动。

医院或人道主义救援组织绝不能成为攻击目标。

5、不得针对民众生存所必需的或可能释放危险力量的物体开展网络攻击。

在国际人道法中,含有危险力量的物体被定义为“水坝、堤坝和核电站”;但实际上,化工厂和类似工厂也含有危险力量。平民生存不可或缺的物体包括饮用水设施或灌溉系统等。

6、不得以暴力威胁在平民中散布恐怖。

例如,禁止侵入通信系统发布主要旨在在平民中传播恐怖的信息。同样,设计和传播图形内容以在平民中散布恐怖以迫使他们逃离也是非法的。

7、不得煽动违反国际人道主义法的行为。

不得鼓励或允许他人针对平民或民用物体开展网络或其他行动。例如,不要在通信渠道中共享技术细节以促进对民间机构的攻击。

8、即使敌人不遵守这些规则,也要遵守这些规则。

报复或互换都不能成为违反国际人道法的借口。

* 根据国际人道法,在网络行动的背景下,攻击的概念是指可以合理预期直接或间接导致物体(例如基础设施和数据)损坏、瘫痪或毁坏或人员受伤或死亡的网络行动。例如,它不包括旨在获取未经授权的信息访问的网络操作。

三、黑客并不生活在网络空间——国家必须施加限制

各国不应鼓励或容忍民间黑客在武装冲突背景下开展网络行动。

参与网络行动的平民黑客越多,违反适用法律并模糊战斗人员与平民间界限的行动的风险就越大。因此,红十字国际委员会呼吁各国“在鼓励或要求平民参与军事网络行动时适当考虑平民受到伤害的风险”。

从法律角度来看,所有国家都承诺不会“故意允许其领土被利用信息通信技术开展国际不法行为”(2015年7月联合国《国际安全背景下信息和电信领域发展政府专家组的报告》第13(c) 段)。虽然该规范是作为一项政治承诺制定的,但它反映了各国根据国际法承担的“尽职调查”义务,包括在其领土上活动的民间黑客。任何致力于法治或“基于规则的国际秩序”的国家都不能在其领土上的人员无视国家或国际法开展网络行动时视而不见,即使是针对对手。

这首先意味着通过并执行规范民间黑客行为的国家法律。

此外,特别是在武装冲突期间个人的行为方面,各国已承诺尊重并确保尊重国际人道法。这一法律承诺至少意味着四件事:

首先,如果平民黑客在某个国家的指示、指导或控制下行事,该国应对这些个人违反该国国际法律义务(包括国际人道主义法)的任何行为承担国际法律责任(《国家对国际不法行为的责任(2001年)》第 8条、《国际人道法》第149条)。例如,如果一国利用私人或团体作为“志愿者”,并指示他们无视国际法开展特定的网络行动,则该国应对此类违法行为承担法律责任(《关于国家对国际不法行为的责任的条款草案及评注(2001年)》第8条第2款)。(这种责任是私人黑客可能承担的刑事责任之外的)。

其次,各国不得鼓励平民或团体采取违反国际人道主义法的行为(国际法院《在尼加拉瓜境内及针对尼加拉瓜的军事与准军事活动案》第220段)。具体来说,这意味着国家代理人——无论是军队、情报部门还是任何其他政府行为者——都被禁止鼓励平民或团体对民用物体进行直接网络攻击,无论使用哪种渠道或应用程序来开展此类攻击。

第三,各国有尽职调查义务,防止平民黑客在其领土上违反国际人道主义法(《日内瓦第三公约》第183段)。当然,国家无法阻止所有违法行为。然而,它必须采取可行的措施,例如采取公开立场,要求民间黑客不得开展与武装冲突有关的网络行动,如果实施则尊重国际人道法,并根据国家法律制止违法行为(见下文)。

第四,各国有义务起诉战争罪并采取必要措施制止其他违反国际人道法的行为(《日内瓦第四公约》第49、50、129、146条;《日内瓦公约第一附加议定书》第 85条)。首先,这需要通过和执行必要的法律,将构成战争罪的网络行动定为刑事犯罪;其次,采取有效措施制止所有其他违反国际人道法的行为,其中可能包括法律、纪律或行政措施。显然,采取只要网络行动是针对“敌人”的就对开展网络行动的民间黑客视而不见的法律或政策,则不符合这一义务。

***

国际人道法制定了限制武装冲突对平民影响的基本规则。任何参与战争的人都不能超越这些规则。特别是,每一个在武装冲突背景下开展行动的黑客都必须尊重这些规则,各国必须确保这一点,以保护平民免受伤害。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。