Расширенный поиск

Международное право и вмешательство в национальное и частное киберпространство

Введение

В настоящем докладе (основанном на статье, которая будет опубликована в конце этого [ред. 2014] года) рассмотрен вопрос о том, что вторжение одного государства в киберпространство другого государства может быть запрещено, даже если оно не признано применением силы, являясь не только нарушением суверенитета, но и нарушением прав человека. Этот вывод сделан с общей точки зрения на основе применения существующих норм международного права.

Киберпространство и международное право

Международное право, в том виде, в котором оно существует в настоящее время, применимо к компьютерным сетям. Как правило, государства также придерживаются такой позиции. Это было подтверждено представительной группой правительственных экспертов ООН, которая в своём докладе ООН в июне 2013 года пришла к следующим выводам:

  • 19. Международное право, и в частности Устав Организа- ции Объединенных Наций, применимо…
  • 20. Государственный суверенитет и международные нормы и принципы, вытекающие из принципа государственного суверенитета, распространяются на поведение государств в рамках деятельности, связанной с использованием ИКТ, а также на юрисдикцию государств над ИКТ-инфраструктурой на их территории.
  • 21. Предпринимаемые государством усилия по обеспечению безопасности ИКТ должны гармонично сочетаться с уважением прав человека и основных свобод, закрепленных во Всеобщей декларации прав человека и других международных инструментах.

Однако до разрешения вопроса ещё далеко. За исключением Будапештской конвенции по киберпреступности и, возможно, некоторых положений Конвенции МСЭ (разработанных задолго до появления Интернета), по этой теме нет международной конвенции. Из существующих документов вышеупомянутый доклад ООН ближе всех подходит к выражению авторитетного межправительственного мнения. Существует мало примеров opinio juris [1], очень мало, если есть, примеров применяемой государствами практики, и никаких решений или отчетов международных судебных или контролирующих органов. Даже принципов не очень много; большинство авторов, которые занимаются аспектами международного права в киберсфере, пишут о международном гуманитарном праве и о применении силы. Одним важным исключением является Таллиннское руководство, подготовленное группой экспертов, приглашенных Центром передового опыта по совместной защите от киберугроз НАТО, и опубликованное в 2013 году. В этом документе профессионально, но не полно и не убедительно рассматриваются аспекты использования Интернета в мирное время.

Суверенитет и интервенция в киберпространстве

Как предлагается выше, отправной точкой должен быть суверенитет, которым государства обладают в своём киберпространстве, mutatis mutandis [2]. Однако у государств может быть множество причин вести деятельность и в киберпространстве других стран. Некоторые из этих причин как таковые являются законными, например, расследование и противодействие терроризму и преступности. Законность других действий, как разведка или саботаж, является сомнительной. Некоторые такие действия могут представлять собой вооруженное нападение, незаконное вмешательство или юридическое противодействие, в то время как другие действия не представляют собой проблему с правовой точки зрения.

Для многих толкователей ситуация, если деяние не является применением силы, в большей или меньшей степени не является проблемной. Однако, большинство таких деяний как, например, шпионаж, могут представлять собой незаконную интервенцию или вмешательство, и этот вопрос гораздо реже был предметом научных дискуссий. Те немногие авторы, которые толковали конкретно принцип невмешательства, в целом согласны, что он применяется в киберпространстве.

В соответствии с принципом невмешательства и суверенного равенства государств, применение законов государства может, а осуществление государственной власти не может происходить на территории другого государства без согласия этого государства. Это было очень четко подтверждено в постановлении Верховного суда Канады:

«Власть вторгнуться в частную сферу личности и собственности и наложить арест на личные вещи и информацию, является парадигматической для государственного суверенитета. Эти действия могут быть санкционированы только государством территориальной юрисдикции.»

Существует разногласие по вопросу, запрещены ли кибервторжения, которые не причиняют длительного вреда. Согласно некоторым авторам, ущерб не имеет значения, в то время как другие считают, что незаконным вмешательством являются только те вторжения, которые причиняют материальный ущерб. Однако последнюю точку зрения трудно понять. В соответствии с Будапештской конвенцией о киберпреступности, криминализован ряд деяний, обычно проводимых в рамках правоохранительной деятельности или кибершпионажа (см. ниже). В том числе незаконный доступ и незаконной перехват, и в Конвенции нет исключений для мероприятий, проводимых агентствами иностранных государств. На самом деле, в рамках работы по подготовке Конвенции было четко оговорено, что Конвенция не позволяет дистанционное экстерриториальное расследование. Таким образом, логично сделать вывод, что общий запрет на вмешательство, в том числе запрет на нарушение территориального суверенитета, применяется также и в киберпространстве.

Однако в некоторых обстоятельствах такие действия могут быть оправданы, даже если они не санкционированы. Государство может противодействовать атакам, исходящим из другого государства, и даже в том случае, когда атака не достигает порога вооруженного нападения или даже использования силы. Так, например, если для вируса Stuxnet можно было бы произвести атрибуцию к какому-либо государству, то Иран мог бы принять контрмеры против этого государства. Кроме контрмер, государства могут также ссылаться на необходимость защиты своих важнейших интересов от значительной и неминуемой опасности.

Некоторые из наиболее известных инцидентов, таких как атаки против Эстонии в 2007 году и против Грузии в 2008 году, было трудно приписать непосредственно какому-либо государству. В принципе, государство может нести ответственность за действия отдельных лиц, если они находятся под руководством или контролем государства. Кроме того, государство обязано «не допустить сознательно, чтобы его территория использовалась для совершения деяний, противоречащих правам других государств» (Дело Международного суда ООН о проливе Корфу). В это обязательство входит осуществление действий по расследованию и преследованию в судебном порядке ответственных лиц, как в сотрудничестве с государством-целью атаки, так и в качестве активных превентивных мер. Утверждается, что если государство, чья территория используется для атак, будучи уведомлено о них, не принимает в духе доброй воли меры по их пресечению, то, по крайней мере, в некоторой степени, оно несет за них ответственность. В любом случае, если государство не в состоянии поддерживать правопорядок в своей части киберпространства, это может побудить другие государства принять меры самопомощи.

Шпионаж

Одним из наиболее спорных — и, конечно, преобладающим — видом Интернет-активности является кибершпионаж. Сам по себе сбор информации не является незаконным в соответствии с международным правом. Сейчас он в значительной степени осуществляется через Интернет и не обязательно требует согласия правительства, являющегося целью.

Однако, шпионаж может также включать в себя несанкционированное проникновение в серверы, содержащие личную информацию и секретные данные. Некоторые авторы утверждают, что шпионаж является законным в рамках международного права, и что таким образом нет никаких препятствий для осуществления шпионажа через Интернет. Утверждающие это приводят по сути два аргумента. Они указывают, что, во-первых, нет договора, запрещающего шпионаж. Следовательно, если это действие не запрещено, то оно правомерно. Однако этот аргумент не учитывает, что даже если нет всеобщего запрета шпионажа, запрещены многие более конкретные формы шпионажа. В частности, в соответствии со статьей 41(1) Венской конвенции о дипломатических сношениях, государства взяли на себя обязательство, что сотрудники дипломатических миссий — многие из которых в действительности являются шпионами — должны соблюдать национальное законодательство государства пребывания. Деятельность других государственных агентов охватывается общим запретом на вмешательство, в том числе запрет на принуждение.

Второй аргумент, приводимый этими авторами, заключается в том, что существует соответствующая норма обычного права, поскольку все государства занимаются подобной деятельностью. Однако этот аргумент основан на полном непонимании того, как формируются положения обычного международного права. (Важно не забывать, что по умолчанию многие категории действий, осуществляемых в ходе шпионажа, являются незаконными, так что бремя доказательства лежит на тех, кто утверждает, что для шпионажа есть исключение). Необходимым условием формирования нормы обычного права является не только государственная практика, но и opinio juris [3], юридическое убеждение, что эта практика соответствует закону. Я не знаю ни одного государства, которое бы публично утверждало, что шпионаж во всех его формах является законным. Напротив, государства как правило отрицают (или по крайней мере не хотят признавать) причастность к незаконному шпионажу.

Поэтому я делаю вывод, что шпионаж, который включает в себя несанкционированный доступ к серверам и другим компьютерам в иностранном государстве, в целом представляет собой незаконное нарушение суверенитета этого государства.

Права человека

Итак, получение несанкционированного доступа к компьютерам в иностранных государствах, как правило, является незаконным согласно международному праву, но в некоторых случаях может быть оправдано. Однако важно отметить, что права человека не могут быть отчуждены государством, гражданином которого является лицо. Следовательно, если государство А осуществляет обыск на компьютере физического лица в государстве Б, то не имеет значения, запрашивает ли А согласие Б или является ли действие оправданным как контрмера.

Наиболее релевантным из прав человека является свобода информации, которая включена в свободу самовыражения, предусмотренную в статье 19 Всеобщей декларации прав человека (ВДПЧ) и Международного пакта о гражданских и политических правах (МПГПП). В то время как государство имеет право закрыть свои границы — в том числе границы в киберпространстве — оно все равно должно уважать право «получать и распространять информацию и различные идеи независимо от границ». Таким образом, это право придется принимать во внимание при осуществлении государством любых мероприятий по противодействию терроризму или другим преступлениям, например, при пресечении распространения частных или общедоступных сообщений с компьютера.

Далее, существует право на личную жизнь, которое закреплено в статье 12 ВДПЧ и статье 17 МПГПП. Статья 17 МПГПП предусматривает:

Никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.

Это относится и к киберпространству. Вторжение государства в сервер в другой стране может представлять собой не только нарушение суверенитета другого государства, но и нарушение прав человека другим человеком. Статья 17 не запрещает любое вмешательство — оно не должно быть произвольным или незаконным — что предполагает необходимость нахождения баланса.

Можно утверждать, что МПГПП не защищает лиц, которые находятся за пределами территории государства, которое вторгается в их частные сферы. Статья 2(1) МПГПП гласит:

Каждое участвующее в настоящем Пакте Государство обязуется уважать и обеспечивать всем находящимся в пределах его территории и под его юрисдикцией лицам права, признаваемые в настоящем Пакте, без какого бы то ни было различия…

Комитет по правам человека подтвердил, что Пакт имеет экстерриториальное применение. В деле Лопес Бургос против Уругвая он постановил, что:

Статья 2(1) Пакта накладывает на государство обязательство уважать и обеспечивать права «всем находящимся в пределах его территории и под его юрисдикцией лицам», но это не означает, что соответствующее государство не может быть привлечено к ответственности за нарушения прав, закрепленных в Пакте, которые его агенты совершают на территории другого государства, будь то с молчаливого согласия правительства этого государства или противодействуя ему.

Таким образом, даже те действия на чужой территории, которые не нарушают суверенитет иностранного государства, могут быть запрещены, поскольку нарушают права человека.

Заключение

При обсуждении кибератак с точки зрения международного права много внимания было уделено порогу использования силы. Кибератаки или вторжения, которые не признаются использованием силы, часто признаются беспроблемными. Однако, как было показано в настоящем докладе, такие вторжения часто представляют собой незаконное нарушение суверенитета другого государства или представляют собой нарушение прав человека.

Однако не совсем ясно, как применительно к этому пространству следует понимать обычные нормы международного права. Как уже было сказано, государства не способствуют уточнению этих вопросов.

Конечно, старые принципы и нормы международного права применяются и к киберпространству. Таким образом, отсутствие новой конвенции, не может служить оправданием того, чтобы не пытаться следовать этим правилам. Однако существует насущная потребность в уточнении этих правил международными органами в виде новых конвенций или менее формальных документов. Мы должны знать, что в киберпространстве означают такие термины как «применение силы», «юрисдикция» или «вмешательство». И мы должны знать, имеют ли правительства право вторгаться в нашу частную жизнь. Толкователи международного права должны играть важную роль в этом процессе.

  1. Убеждённость в правомерности.
  2. С учётом необходимых изменений.
  3. Убежденность в правомерности.

 

Материал подготовлен на основе доклада, представленного на Девятой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 21-24 апреля 2014 года г.Гармиш-Партенкирхен, Германия.

Об авторе

Pal Wrange

Стокгольмский центр международного права, Швеция.

Написать ответ

Send this to a friend

Перейти к верхней панели