目标法
除了帮助确定敌对行动何时爆发外,国际人道法敌对行为规则通常以“攻击”的形式来表达。因此,假设俄罗斯发起了 NotPetya,大多数有关目标的国际人道法规则均不适用。但是,必须记住,如果网络行动可以预见会造成必要影响,但尚未启动(如延时恶意软件的情况)、被成功拦截或偶然没有造成可预见的合格后果,,也仍然属于攻击。例如,在 NotPetya 行动中,目标包括电网、基辅机场、乌克兰医疗网络和切尔诺贝利的监控系统。如果可以预见该行动可能会造成伤害或损害(具体案件具体判定),则 NotPetya 属于适用以下规则的攻击。尽管事实太有限,无法做出明确的评估,但为了进行说明性分析,我们将假设该行动上升到袭击的级别。
根据区分原则
网络攻击不得针对平民或民用物体,后者被负面定义为非军事目标。军事目标是指“其性质、位置、目的或用途对军事行动有有效贡献,且在当时情况下,其全部或部分摧毁、捕获或中和可带来明确军事优势的物体”。
虽然 NotPetya 影响的某些类型的网络基础设施有时被视为双重用途目标,因为它们部分用于军事目的(特别是 哈萨克斯坦电报号码 电网和机场),但没有证据表明在这种情况下针对它们的目标会带来任何军事优势。受到攻击的其他实体,如银行、媒体组织和民用医疗保健网络,只有在极少数情况下才会被视为军事目标。既然如此,并且为了分析起见,假设该行动被视为攻击,NotPetya 违反了禁止攻击民用物体的规定,事实上,这构成了战争罪。
还禁止以不分青红皂白的方式进行网络攻击,即不顾合法目标和受保护对象之间的区别。即使 NotPetya 恶意软件没有针对特定的民用目标,它也被不分青红皂白地使用,其对民用基础设施的广泛影响以及上述损害并非由对合法军事目标的攻击所造成这一事实就是明证。
值得注意的是,即使 NotPetya 行动不构成攻击
国际人道法也要求冲突各方在军事行动(包括网络行动)中“持续谨慎”地“保护”平民。如果 NotPetya 与冲突有关联,它就违反了这一义务。此外,对乌克兰医疗网络的影响(该要求不适用于中立国家的医疗网络)意味着需要“尊重和保护”冲突一方的医疗单位。破坏医疗网络并因此干扰 发现阻碍您实现销售目标的主要障碍 患者护理的网络行动违反了这一保护。
在 IAC 期间,影响中立国的网络行动将进一步受到中立法的约束。当交战网络行动的影响蔓延到中立领土、可预见且超过最低限度时,该行动可 越南推廣 被视为侵犯中立国的权利。鉴于对非乌克兰网络基础设施的广泛和重大影响,NotPetya 行动可能违反了中立法。
最后,无论使用方式如何,武装冲突期间使用的武器本身必须是合法的。《塔林手册 2.0》将网络武器定义为“用于、设计或意图用于造成人员伤害或死亡或物体损坏或毁坏的网络战争手段,即导致网络行动被认定为攻击所需的后果”。不能针对特定军事目标或易于不加区分地打击军事目标和民用物体的网络武器被禁止用于无差别攻击。我们认为,假设 NotPetya 恶意软件可预见且可能在攻击层面造成后果,它似乎已经越界,其对乌克兰境外网络基础设施以及乌克兰境内可能未针对的基础设施的影响就是明证。