Юрист центра Международного права Роман Петрович Абрашин подготовил статью, в которой анализируется возможность и обстоятельства квалификации кибератак на персональные данные с точки зрения международного гуманитарного права (далее — МГП).

Автор рассматривает три варианта квалификации кибератак на персональные данные: военная операция, нападение и вооруженный конфликт. Часто именно персональные данные становятся объектом кибератаки. Ввиду этого обстоятельства дискуссия о признании данных «объектом» в соответствии с МГП способствует решению вопроса о юридической квалификации кибератаки, которая зависит, в частности, от того, признают ли государства данные «объектом» в соответствии с МГП, и в какой степени.

В отсутствие международного договора, регулирующего применение МГП к злонамеренному использованию ИКТ, основное внимание в исследовании уделяется существующим источникам МГП (Женевским конвенциям, Дополнительным протоколам, принципам), международному обычному праву, а также судебным решениям и правовым доктринам, выступающим вспомогательным средством определения правовых норм. Особое внимание уделяется позициям Российской Федерации и Соединенных Штатов по вопросу о применении МГП к кибернетической деятельности. В результате автор приходит к выводу, что кибератака на персональные данные может квалифицироваться как военная операция, нападение и предпосылка вооруженного конфликта, и предлагает возможные критерии для такой квалификации.

Автор убежден, что распространение jus in bello на кибернетическую деятельность создает угрозы для международного сообщества ввиду потенциальной милитаризации «киберпространства».

Краткое содержание

Войны между государствами ведутся на протяжении многих веков. С развитием человечества и политических образований средства и методы ведения военных действий совершенствовались. Так, деревянный лук со стрелами стремительно трансформировался в ядерное оружие. В консультативном заключении относительно законности угрозы ядерным оружием или его применения Международный суд подтвердил применение принципов международного гуманитарного права (далее – МГП) как ко всем формам ведения войны, так и ко всем видам оружия прошлого, настоящего и будущего. В XXI веке милитаризация затронула и передовые ИКТ-технологии. В результате «киберпространство» становится новым театром войны, в котором государства привыкли проводить кибероперации или кибератаки против своих противников. Таким образом, в середине 2000-х годов перспектива некоторых вооруженных конфликтов изменилась в пользу новой платформы для ведения боевых действий. Вопрос в том, можно ли квалифицировать кибератаки как военную операцию или нападение, или могут ли они служить предпосылкой для начала военных действий.

Предмет настоящего исследования является относительно новым в российской доктрине международного публичного права. До выхода этой статьи понятие «киберпространство» и применение к нему норм международного права рассматривались в работах ряда ученых-юристов. Однако лишь некоторые эксперты подняли вопрос о применении норм МГП к «киберпространству». Тем не менее, хотя ранее предпринимались попытки квалифицировать кибератаки на критически важную инфраструктуру, в этой статье основное внимание уделяется персональным данным, которые очень уязвимы для кибератак. Таким образом, новизна данного исследования заключается в том, что в нем предпринята попытка квалифицировать кибератаки на персональные данные в соответствии с МГП, используя метод эволюционной толкования концепций военной операции, нападения и вооруженного конфликта.

В связи с этим исследовательский вопрос заключается в том, могут ли кибератаки быть квалифицированы в соответствии с МГП и при каких условиях они квалифицируется как военная операция, нападение или вооруженный конфликт. Юридическая квалификация кибератак зависит от того, признают ли государства данные в качестве «объекта» согласно МГП и в какой степени.

В итоге автор приходит к выводу, что кибератака на персональные данные может квалифицироваться как военная операция, нападение и даже вооруженный конфликт. Такая квалификация возможна, если данная кибератака соответствует определенным требованиям. В результате исследования автор разработал следующие критерии: (i) контекст и взаимосвязь (военная операция); (ii) последствия в виде ранений или смертей, повреждения или уничтожения объектов (нападение); (iii) порог насилия (вооруженный конфликт). Кроме того, квалификация кибератак на персональные данные зависит от позиции государства по вопросу признания данных объектом МГП.

Для целей исследования был использован эволюционный подход к толкованию общепринятых понятий, поскольку обычное значение терминов не позволяет применять их к кибернетической деятельности. На основе анализа текущих официальных позиций государств по вопросу применения МГП в «киберпространстве» наблюдается фрагментация государственной практики, поскольку нынешние официальные позиции делятся на два «противоборствующих лагеря»: абсолютную и ограниченную парадигмы. Кроме того, не существует нормы обычного международного права, поскольку позиция тех государств, которые допускают квалификацию кибератак как нападения и вооруженного конфликта, не является юридически обязывающей нормой для всего международного сообщества.

Более того, поскольку буквальное толкование положений ДП I разъясняет, что объектом согласном МГП является то, что можно увидеть и потрогать, следовательно, персональные данные в это значение не входят (lex lata). Однако, исходя из политических соображений, представляется оправданной позиция в пользу защиты конфиденциальных данных (например, гражданских и гуманитарных) от кибератак во время вооруженных конфликтов (lex ferenda). Таким образом, буквальное толкование понятия объект согласно МГП создает «серую зону», поскольку не существует правовой защиты для гражданских и гуманитарных данных, которые могут быть уничтожены в случае вооруженного конфликта. Тем не менее, не стоит забывать «оговорку Мартенса», которая остается применимой в любом случае, когда МГП умалчивает об этом, и которая могла бы восполнить правовые пробелы в аспекте защиты уязвимых категорий лиц во время вооруженных конфликтов. Автор убежден, что распространение jus in bello на деятельность, осуществляемую в «киберпространстве» создает угрозы для международного сообщества, если кибератака может быть квалифицирована как нападение или может послужить предпосылкой для начала активных боевых действий. Те государства, которые придерживаются абсолютной парадигмы, способствуют милитаризации «киберпространства», то есть превращению его в новую зону для ведения боевых действий.

Список литературы:

1.Гаркуша-Божко, С. Ю. (2021). Международное гуманитарное право в кибер-пространстве: Ratione materiae, ratione temporis и проблема квалификации кибератак. Цифровое право, 2(1), 64–82.
2.Гаркуша-Божко, Сергей Ю. (2023). Определение вооруженного конфликта в киберпространстве. Вестник Санкт-Петербургского университета. Право 1: 194–210.
3.Давид Э. (2011). Принципы права вооруженных конфликтов. МККК. Москва.
4.Иванова К.А. (2022). Понятие киберпространства в международном праве / К.А. Иванова, М.Ж. Мылтыкбаев, Д.Д. Штодина. Правоприменение. 6(4), 32-44.
5.Капустин А. Я. (2022). Суверенитет государства в киберпространстве: международно-правовое измерение. Журнал зарубежного законодательства и сравнительного правоведения. 18(6), 99–108.
6.Русинова В. (2022). Международно-правовой принцип невмешательства и кибероперации: неоправданные ожидания? Международное правосудие. 1(25), 38–52.
7.Русинова В.Н. (2022). Международно-правовая квалификация вредоносного использования информационно-коммуникационных технологий: в поисках консенсуса. Московский журнал международного права. (1): 38–51.
8.Ardilla Castro C. A., Ramírez Benítez E., Cubides-Cárdenas J. (2020). International Humanitarian Law and Its Significance for Current and Future Military Operations. Revista Científica General José María Córdova, vol. 18, no. 32, pp. 857–882.
9.Chang Z. (2017). Cyberwarfare and International Humanitarian Law. Creighton International and Comparative Law Journal, vol. 9, no. 1, pp. 29–53.
10.Dörr O., Schmalenbach K. (eds.) (2018). Vienna Convention on the Law of Treaties: A Commentary, Heidelberg: Springer Berlin.
11.Faisal S., Emad A. A., Sultan I. A. (2022). International Responsibility Arising from Cyberattacks in the Light of Contemporary International Law. International Journal of Cyber Criminology, vol. 16, no. 1, pp. 156–169.
12.Geiss R., Lahmann H. (2021). Protection of Data in Armed Conflict. International Law Studies, vol. 97no. 556, pp. 556–572.
13.Laurent G., Tilman R., Knut D. (2020). Twenty Years On: International Humanitarian Law and the Protection of Civilians Against the Effects of Cyber Operations During Armed Conflicts. International Review of the Red Cross, vol. 102, no. 913, pp. 287–334
14.Mačák K. (2015). Military Objectives 2.0: The Case for Interpreting Computer Data as Objects undee International Humanitarian Law. Israel Law Review, vol. 48, no. 1, pp. 55–80.
15.Mačák K. (2021). Unblurring the Lines: Military Cyber Operations and International Law. Journal of Cyber Policy, vol. 6, no. 3, pp. 411–428.
16.Manevich V. V. (2024). Mezhdunarodno-pravovoe regulirovanie primeneniya kibersredstv pri vedenii vooruzhennykh konfliktov: pravovye osnovy i nauchnye discussii [International Legal Regulation of the Use of Cyber Means in Armed Conflicts: Legal Foundations and Scientific Discussions]. Zakon i Pravo, vol. 12, no. 2, pp. 275–282. (In Russian).
17.McCormack T. (2018). International Humanitarian Law and the Targeting of Data. International Law Studies, vol. 94, no. 1, pp. 222–240.
18.Ottis R. (2008). Analysis of the 2007 Cyber Attacks Against Estonia From the Information Warfare perspective. 7th European Conference on Information Warfare and Security 2008, pp. 163–168.
19.Pomson O. (2023). ‘Objects’? The Legal Status of Computer Data under International Humanitarian Law. Journal of Conflict and Security Law, vol. 28, no. 2, pp. 349–387.
20.Roscini M. (2014) Cyber Operations and the Use of Force in International Law, Oxford: Oxford University Press.
21.Schmitt M. N. (2013). Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge: Cambridge University Press.
22.Schmitt M. N. (2017). Tallinn Manual 2.0 on International Law Applicable to Cyber Operations, 2nd ed., Cambridge: Cambridge University Press.
23.Schmitt M. N. (2019). Wired Warfare 3.0: Protecting the Civilian Population during Cyber Operations. International Review of the Red Cross, vol. 101, no. 910, pp. 333–355.
24.Schondorf R. (2021). Israel’s Perspective on Key Legal and Practical Issues Concerning the Application of International Law to Cyber Operations. International Law Studies, vol. 97, no. 395, pp. 395–406.
25.Spaic B. (2023). Evolutionary and Static Interpretation. In: Załuski W. (ed.) Research Handbook on Legal Evolution, Edward Elgar Publishing.
26.Veljković S. (2024). Possibility of Applying the Rules of International Humanitarian Law to Cyber Warfare. Pravo – Teorija I Praksa, vol. 41, no. 3, pp. 17–28.
27.Vöneky S. (2008). Analogy in International Law. In: Wolfrum R. (ed.) Max Planck Encyclopedia of Public International Law, Oxford: Oxford University Press.

Ознакомиться со статьей можно здесь.

Роман Петрович Абрашин, Центр международного права на Чистых прудах
младший юрист, Центр международного права на Чистых прудах

Если Вам необходима помощь по защите Ваших нарушенных прав, обращайтесь по контактам ниже:

Следите за новостями нашего Центра в социальных сетях: