最近的“NotPetya”网络攻击表明,将国际法应用于事实模糊的网络场景非常复杂。6 月 27 日,一家大型乌克兰银行报告其网络遭到持续攻击,NotPetya 的表现由此开始浮出水面。乌克兰基础设施部长很快宣布“各地正在发生持续的大规模攻击”。第二天,NotPetya 的影响已经蔓延至全球,影响到政府机构、航运公司、电力供应商和医疗保健供应商等。但是,尚无关于 NotPetya 造成人员伤亡的报道。
网络安全专家得出结论,尽管 NotPetya 最初被定性为类似于WannaCry和Petya 的勒索软件攻击,但它针对的是特定系统,目的是“造成经济损失、制造混乱,或者可能是为了测试攻击能力或展示自己的实力”。此外,大多数人都认为乌克兰是此次行动的目标,而且行动还蔓延到了其他国家。然而,关键问题是攻击者的身份。北约合作网络防御卓越中心的专家认为, “NotPetya 可能是由国家行为者或非国家行为者在国家支持或批准下发起的。”
尽管事实尚未得到明确证实,但 EJIL:Talk!编辑们要求我们分析该事件,假设它在事实上和法律上可归咎于一个国家。我们从和平 约旦电报号码 时期的国际法调查开始,最后进行国际人道主义法 (IHL) 分析。我们的方法遵循了最近在一篇旨在实施《塔林手册 2.0》的文章 中提出的方法。
和平时期法
仅出于讨论目的,我们假设不存在国际武装冲突,问题是 NotPetya 背后的任何国家是否犯下了国际不法行为,国际法委员会的国家责任条款(ASR) 将其定义为可归咎于一国的行为或不作为,违反了对另一国承担的国际法义务。第 4 条和第 8 条分别规定了 NotPetya 最有可能的归因依据,即一国的机构(例如武装部队或情报机构)或受一国“指示或指挥或控制”的非国家行为者实施了该行动。
既然我们被要求认定责任,那么问题的关键就在于必须有义务被违反。这里有三点相关:尊重主权、不干涉原则和禁止使用武力。
主权:违反尊重一国主权的义务主要表现为两种方式
侵犯领土完整和干涉政府固有职能。当使用远程网络手段对另一国 并学习可行的策略来克服这些障 的公共或私人网络基础设施造成物理损坏(或造成人员伤害)时,即侵犯了领土完整。我们认为,越来越多地,严重影响网络基础设施功能的操作(例如,需要维修或更换硬件或重新创建定制系统运行所必需的数据)也被定性为侵犯主权,这是正确的。关于 NotPetya 造成的各种功能丧失的持续时间和可逆性,现有的事实有限,因此对这个问题做出判断为时尚早。
法律对于影响较小的后果尚无定论,例如永久拒绝数据访问或导致网络基础设施以非预期方式运行。我们认为,这些后 越南推廣 果确实违反了尊重主权的义务。由于 NotPetya 严重削弱或阻碍了网络基础设施的能力,其方式超过了暂时拒绝服务的方式,因此该行动侵犯了该基础设施所在国家的主权。
网络行动干扰或篡夺另一个国家固有的政府职能时,也侵犯了主权,无论是否造成损害或伤害,也无论在何处造成损害或伤害。大多数 NotPetya 的影响不符合这一标准。例如,对乌克兰银行系统的影响不符合这一标准,因为银行通常是私营的,因此其职能不是政府固有的。但是,对政府部门的影响可能符合这一标准,这取决于所干扰的服务是否属于国家的专属权限。