Пал Вранге о вмешательстве в национальное киберпространство

Международное право и вмешательство в национальное и частное киберпространство

Введение

В настоящем докладе (основанном на статье, которая будет опубликована в конце этого [ред. 2014] года) рассмотрен вопрос о том, что вторжение одного государства в киберпространство другого государства может быть запрещено, даже если оно не признано применением силы, являясь не только нарушением суверенитета, но и нарушением прав человека. Этот вывод сделан с общей точки зрения на основе применения существующих норм международного права.

Киберпространство и международное право

Международное право, в том виде, в котором оно существует в настоящее время, применимо к компьютерным сетям. Как правило, государства также придерживаются такой позиции. Это было подтверждено представительной группой правительственных экспертов ООН, которая в своём докладе ООН в июне 2013 года пришла к следующим выводам:

19. Международное право, и в частности Устав Организа- ции Объединенных Наций, применимо…
20. Государственный суверенитет и международные нормы и принципы, вытекающие из принципа государственного суверенитета, распространяются на поведение государств в рамках деятельности, связанной с использованием ИКТ, а также на юрисдикцию государств над ИКТ-инфраструктурой на их территории.
21. Предпринимаемые государством усилия по обеспечению безопасности ИКТ должны гармонично сочетаться с уважением прав человека и основных свобод, закрепленных во Всеобщей декларации прав человека и других международных инструментах.

Однако до разрешения вопроса ещё далеко. За исключением Будапештской конвенции по киберпреступности и, возможно, некоторых положений Конвенции МСЭ (разработанных задолго до появления Интернета), по этой теме нет международной конвенции. Из существующих документов вышеупомянутый доклад ООН ближе всех подходит к выражению авторитетного межправительственного мнения. Существует мало примеров opinio juris [1], очень мало, если есть, примеров применяемой государствами практики, и никаких решений или отчетов международных судебных или контролирующих органов. Даже принципов не очень много; большинство авторов, которые занимаются аспектами международного права в киберсфере, пишут о международном гуманитарном праве и о применении силы. Одним важным исключением является Таллиннское руководство, подготовленное группой экспертов, приглашенных Центром передового опыта по совместной защите от киберугроз НАТО, и опубликованное в 2013 году. В этом документе профессионально, но не полно и не убедительно рассматриваются аспекты использования Интернета в мирное время.

Суверенитет и интервенция в киберпространстве

Как предлагается выше, отправной точкой должен быть суверенитет, которым государства обладают в своём киберпространстве, mutatis mutandis [2]. Однако у государств может быть множество причин вести деятельность и в киберпространстве других стран. Некоторые из этих причин как таковые являются законными, например, расследование и противодействие терроризму и преступности. Законность других действий, как разведка или саботаж, является сомнительной. Некоторые такие действия могут представлять собой вооруженное нападение, незаконное вмешательство или юридическое противодействие, в то время как другие действия не представляют собой проблему с правовой точки зрения.

Для многих толкователей ситуация, если деяние не является применением силы, в большей или меньшей степени не является проблемной. Однако, большинство таких деяний как, например, шпионаж, могут представлять собой незаконную интервенцию или вмешательство, и этот вопрос гораздо реже был предметом научных дискуссий. Те немногие авторы, которые толковали конкретно принцип невмешательства, в целом согласны, что он применяется в киберпространстве.

В соответствии с принципом невмешательства и суверенного равенства государств, применение законов государства может, а осуществление государственной власти не может происходить на территории другого государства без согласия этого государства. Это было очень четко подтверждено в постановлении Верховного суда Канады:

«Власть вторгнуться в частную сферу личности и собственности и наложить арест на личные вещи и информацию, является парадигматической для государственного суверенитета. Эти действия могут быть санкционированы только государством территориальной юрисдикции.»

Существует разногласие по вопросу, запрещены ли кибервторжения, которые не причиняют длительного вреда. Согласно некоторым авторам, ущерб не имеет значения, в то время как другие считают, что незаконным вмешательством являются только те вторжения, которые причиняют материальный ущерб. Однако последнюю точку зрения трудно понять. В соответствии с Будапештской конвенцией о киберпреступности, криминализован ряд деяний, обычно проводимых в рамках правоохранительной деятельности или кибершпионажа (см. ниже). В том числе незаконный доступ и незаконной перехват, и в Конвенции нет исключений для мероприятий, проводимых агентствами иностранных государств. На самом деле, в рамках работы по подготовке Конвенции было четко оговорено, что Конвенция не позволяет дистанционное экстерриториальное расследование. Таким образом, логично сделать вывод, что общий запрет на вмешательство, в том числе запрет на нарушение территориального суверенитета, применяется также и в киберпространстве.

Однако в некоторых обстоятельствах такие действия могут быть оправданы, даже если они не санкционированы. Государство может противодействовать атакам, исходящим из другого государства, и даже в том случае, когда атака не достигает порога вооруженного нападения или даже использования силы. Так, например, если для вируса Stuxnet можно было бы произвести атрибуцию к какому-либо государству, то Иран мог бы принять контрмеры против этого государства. Кроме контрмер, государства могут также ссылаться на необходимость защиты своих важнейших интересов от значительной и неминуемой опасности.

Некоторые из наиболее известных инцидентов, таких как атаки против Эстонии в 2007 году и против Грузии в 2008 году, было трудно приписать непосредственно какому-либо государству. В принципе, государство может нести ответственность за действия отдельных лиц, если они находятся под руководством или контролем государства. Кроме того, государство обязано «не допустить сознательно, чтобы его территория использовалась для совершения деяний, противоречащих правам других государств» (Дело Международного суда ООН о проливе Корфу). В это обязательство входит осуществление действий по расследованию и преследованию в судебном порядке ответственных лиц, как в сотрудничестве с государством-целью атаки, так и в качестве активных превентивных мер. Утверждается, что если государство, чья территория используется для атак, будучи уведомлено о них, не принимает в духе доброй воли меры по их пресечению, то, по крайней мере, в некоторой степени, оно несет за них ответственность. В любом случае, если государство не в состоянии поддерживать правопорядок в своей части киберпространства, это может побудить другие государства принять меры самопомощи.

Шпионаж

Одним из наиболее спорных — и, конечно, преобладающим — видом Интернет-активности является кибершпионаж. Сам по себе сбор информации не является незаконным в соответствии с международным правом. Сейчас он в значительной степени осуществляется через Интернет и не обязательно требует согласия правительства, являющегося целью.

Однако, шпионаж может также включать в себя несанкционированное проникновение в серверы, содержащие личную информацию и секретные данные. Некоторые авторы утверждают, что шпионаж является законным в рамках международного права, и что таким образом нет никаких препятствий для осуществления шпионажа через Интернет. Утверждающие это приводят по сути два аргумента. Они указывают, что, во-первых, нет договора, запрещающего шпионаж. Следовательно, если это действие не запрещено, то оно правомерно. Однако этот аргумент не учитывает, что даже если нет всеобщего запрета шпионажа, запрещены многие более конкретные формы шпионажа. В частности, в соответствии со статьей 41(1) Венской конвенции о дипломатических сношениях, государства взяли на себя обязательство, что сотрудники дипломатических миссий — многие из которых в действительности являются шпионами — должны соблюдать национальное законодательство государства пребывания. Деятельность других государственных агентов охватывается общим запретом на вмешательство, в том числе запрет на принуждение.

Второй аргумент, приводимый этими авторами, заключается в том, что существует соответствующая норма обычного права, поскольку все государства занимаются подобной деятельностью. Однако этот аргумент основан на полном непонимании того, как формируются положения обычного международного права. (Важно не забывать, что по умолчанию многие категории действий, осуществляемых в ходе шпионажа, являются незаконными, так что бремя доказательства лежит на тех, кто утверждает, что для шпионажа есть исключение). Необходимым условием формирования нормы обычного права является не только государственная практика, но и opinio juris [3], юридическое убеждение, что эта практика соответствует закону. Я не знаю ни одного государства, которое бы публично утверждало, что шпионаж во всех его формах является законным. Напротив, государства как правило отрицают (или по крайней мере не хотят признавать) причастность к незаконному шпионажу.

Поэтому я делаю вывод, что шпионаж, который включает в себя несанкционированный доступ к серверам и другим компьютерам в иностранном государстве, в целом представляет собой незаконное нарушение суверенитета этого государства.

Права человека

Итак, получение несанкционированного доступа к компьютерам в иностранных государствах, как правило, является незаконным согласно международному праву, но в некоторых случаях может быть оправдано. Однако важно отметить, что права человека не могут быть отчуждены государством, гражданином которого является лицо. Следовательно, если государство А осуществляет обыск на компьютере физического лица в государстве Б, то не имеет значения, запрашивает ли А согласие Б или является ли действие оправданным как контрмера.

Наиболее релевантным из прав человека является свобода информации, которая включена в свободу самовыражения, предусмотренную в статье 19 Всеобщей декларации прав человека (ВДПЧ) и Международного пакта о гражданских и политических правах (МПГПП). В то время как государство имеет право закрыть свои границы — в том числе границы в киберпространстве — оно все равно должно уважать право «получать и распространять информацию и различные идеи независимо от границ». Таким образом, это право придется принимать во внимание при осуществлении государством любых мероприятий по противодействию терроризму или другим преступлениям, например, при пресечении распространения частных или общедоступных сообщений с компьютера.

Далее, существует право на личную жизнь, которое закреплено в статье 12 ВДПЧ и статье 17 МПГПП. Статья 17 МПГПП предусматривает:

Никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию.

Это относится и к киберпространству. Вторжение государства в сервер в другой стране может представлять собой не только нарушение суверенитета другого государства, но и нарушение прав человека другим человеком. Статья 17 не запрещает любое вмешательство — оно не должно быть произвольным или незаконным — что предполагает необходимость нахождения баланса.

Можно утверждать, что МПГПП не защищает лиц, которые находятся за пределами территории государства, которое вторгается в их частные сферы. Статья 2(1) МПГПП гласит:

Каждое участвующее в настоящем Пакте Государство обязуется уважать и обеспечивать всем находящимся в пределах его территории и под его юрисдикцией лицам права, признаваемые в настоящем Пакте, без какого бы то ни было различия…

Комитет по правам человека подтвердил, что Пакт имеет экстерриториальное применение. В деле Лопес Бургос против Уругвая он постановил, что:

Статья 2(1) Пакта накладывает на государство обязательство уважать и обеспечивать права «всем находящимся в пределах его территории и под его юрисдикцией лицам», но это не означает, что соответствующее государство не может быть привлечено к ответственности за нарушения прав, закрепленных в Пакте, которые его агенты совершают на территории другого государства, будь то с молчаливого согласия правительства этого государства или противодействуя ему.

Таким образом, даже те действия на чужой территории, которые не нарушают суверенитет иностранного государства, могут быть запрещены, поскольку нарушают права человека.

Заключение

При обсуждении кибератак с точки зрения международного права много внимания было уделено порогу использования силы. Кибератаки или вторжения, которые не признаются использованием силы, часто признаются беспроблемными. Однако, как было показано в настоящем докладе, такие вторжения часто представляют собой незаконное нарушение суверенитета другого государства или представляют собой нарушение прав человека.

Однако не совсем ясно, как применительно к этому пространству следует понимать обычные нормы международного права. Как уже было сказано, государства не способствуют уточнению этих вопросов.

Конечно, старые принципы и нормы международного права применяются и к киберпространству. Таким образом, отсутствие новой конвенции, не может служить оправданием того, чтобы не пытаться следовать этим правилам. Однако существует насущная потребность в уточнении этих правил международными органами в виде новых конвенций или менее формальных документов. Мы должны знать, что в киберпространстве означают такие термины как «применение силы», «юрисдикция» или «вмешательство». И мы должны знать, имеют ли правительства право вторгаться в нашу частную жизнь. Толкователи международного права должны играть важную роль в этом процессе.

Убеждённость в правомерности.
С учётом необходимых изменений.
Убежденность в правомерности.

Материал подготовлен на основе доклада, представленного на Девятой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 21-24 апреля 2014 года г.Гармиш-Партенкирхен, Германия.