國際刑事法院將將調查和起訴任何違反現有國際法的黑客犯罪
網絡安全捍衛者和倡導者呼籲制定一種網絡戰日內瓦公約,新的國際法將為任何入侵民用關鍵基礎設施(如電網、銀行和醫院)的人規定明確的後果。現在,海牙國際刑事法院的首席檢察官明確表示,海牙將調查和起訴任何違反現有國際法的黑客犯罪,就像調查和起訴在物理世界犯下的戰爭罪一樣。
國際刑事法院首席檢察官卡里姆-汗(Karim Khan)上個月在季刊《外交政策分析》(Foreign Policy Analytics)上發表了一篇鮮為人知的文章,闡述了這一新承諾: 他的辦公室將調查可能違反《羅馬規約》的網絡犯罪。《羅馬規約》是界定國際刑事法院起訴非法行為(包括戰爭罪、反人類罪和種族滅絕罪)權力的條約。
“網絡戰爭不是抽象的。相反,它可以對人們的生活產生深遠的影響,試圖影響醫療設施或發電控制系統等關鍵基礎設施的行為可能會給許多人,尤其是最弱勢群體帶來直接後果。因此,作為調查的一部分,我的辦公室將收集和審查此類行為的證據。”
當WIRED 聯繫到國際刑事法院時,檢察官辦公室的一位發言人證實,這是該辦公室目前的官方立場。該發言人寫道:”檢察官辦公室認為,在適當的情況下,網絡空間中的行為有可能構成戰爭罪、反人類罪、種族滅絕罪和/或侵略罪,如果案件足夠嚴重,這種行為有可能在法院受到起訴。”
汗的文章和他的辦公室對《WIRED》的聲明都沒有提到俄羅斯或烏克蘭。但國際刑事法院檢察官調查和起訴黑客犯罪意圖的新聲明是在國際社會日益關注俄羅斯在2022年初全面入侵烏克蘭之前和之後針對烏克蘭的網絡攻擊之際發表的。去年3 月,美國加州大學伯克利分校法學院人權中心(Human Rights Center at UC Berkeley’s School of Law)向國際刑事法院檢察官辦公室(ICC prosecutor’s Office )發出正式請求,敦促其考慮以戰爭罪起訴俄羅斯黑客在烏克蘭實施的網絡攻擊–儘管檢察官仍在繼續收集俄羅斯在入侵過程中實施的更傳統、更實際的戰爭罪的證據。
在伯克利人權中心的請求(正式稱為”第15條文件”)中,人權中心重點關注了一個名為”沙蟲”的俄羅斯組織實施的網絡攻擊,該組織是俄羅斯GRU 軍事情報機構的一個部門。自2014 年以來,GRU 和”沙蟲”對烏克蘭民用關鍵基礎設施發動了一系列網絡戰攻擊,其規模之大在互聯網史上前所未有。他們肆無忌憚地進行黑客攻擊,從瞄準烏克蘭電力公司並引發有史以來僅有的兩次網絡攻擊造成的停電,到發布破壞數據的NotPetya 惡意軟件,從烏克蘭蔓延到世界其他地區,造成了超過100 億美元的損失,其中包括烏克蘭和美國的醫院網絡。
儘管伯克利研究小組提交的論文最初側重於沙蟲在2015 年和2016 年對烏克蘭電網的攻擊,認為這是最明顯的網絡攻擊實例,其實際影響堪比傳統戰爭,但後來該小組又將其論點擴展到沙蟲的NotPetya 網絡攻擊,以及黑客破壞烏克蘭電網的第三次嘗試和對烏克蘭軍方使用的Viasat 衛星調製解調器網絡的另一次網絡攻擊,這次攻擊導致整個歐洲的衛星調製解調器中斷。
人權中心技術、法律和政策主任林賽-弗里曼(Lindsay Freeman)說,汗在文章中沒有明確提到俄羅斯,實際上並不意味著他迴避調查沙蟲或其他參與烏克蘭襲擊的俄羅斯人所犯下的戰爭罪行。相反,她認為這篇文章是一個更廣泛的聲明,即違反國際法的黑客活動將被視為檢察官開展的任何調查的一部分。弗里曼說:”他不僅僅是說要在烏克蘭這樣做,而是要在所有調查中都這樣做,這一點非常重要,看到這是現在網絡戰爭的現實,這是他們作為一個辦公室必須調查的每一個案件–這超出了我們所推動的範圍,這是一個非常重要和有力的舉措。”
與此同時,烏克蘭政府已經開始對俄羅斯通過網絡攻擊實施的戰爭罪行展開調查。除了在自己的法院系統中起訴任何俄羅斯黑客或他們的上司之外,這項調查的證據現在也可以提供給國際刑事法院的檢察官,以幫助海牙檢察官對俄羅斯提起訴訟。
沙蟲組織的六名黑客已經在美國面臨起訴,罪名與他們針對烏克蘭以及2018 年韓國平昌冬奧會網絡攻擊有關。但弗里曼指出,在海牙起訴俄羅斯黑客將產生更廣泛的影響:123 個國家加入了《羅馬規約》,因此同意幫助拘留和引渡被定罪的戰犯。其中包括一些與美國沒有引渡條約的國家,如瑞士和厄瓜多爾。弗里曼指出,海牙國際法庭的職權範圍不僅包括親自操作鍵盤的黑客本身,還包括這些黑客之上的指揮機構,這就為對俄羅斯軍方高級軍官甚至俄羅斯總統弗拉基米爾-普京本人提出新的指控提供了可能性。
得克薩斯大學法學院施特勞斯國際安全與法律中心主任鮑比-切斯尼(Bobby Chesney)說,就法律先例而言,汗表示海牙檢察官辦公室現在將把黑客行為視為潛在的違反國際法的行為,這”很新穎,但並不令人吃驚”。切斯尼說:”我認為,任何認真研究國際法的人都不會否認,至少在某些情況下,通過網絡手段對平民造成的蓄意傷害可以被定性為攻擊,從而違反《羅馬規約》關於戰鬥人員區分平民和軍事目標的原則。”
切斯尼說,他更感興趣的是看到可汗文章的其他部分,其中提到虛假信息是一個單獨的關注領域,以及”在戰爭與和平之間運作”的”灰色地帶”戰術。切斯尼指出,根據國際法對虛假信息來源提出指控的先例並不多見,比如1994年在盧旺達幫助煽動種族滅絕的電台記者被國際刑事法庭定罪。汗的文章似乎認為,調查或指控在戰爭背景之外發生的黑客行為違反了國際法,這將是一個全新的領域。
但人權中心的弗里曼(Freeman)認為,鑑於國際刑事法院檢察官的資源和選擇起訴案件的自由裁量權有限,任何審查並可能指控網絡戰爭罪的承諾都是一個歷史性時刻。她說:”只要看看網絡是如何被用於戰爭的,[汗]就會發現這是他的職權範圍,是值得在他的自由裁量權範圍內優先調查的問題,我認為這非常重要。 “
可汗顯然認為這同樣事關重大:他在文章的結尾引用了(或許是錯誤引用了)阿爾伯特-愛因斯坦的擔憂:”技術將超越我們的人性”。
汗寫道:”毫無疑問,我們將經受考驗。但通過我們的共同努力–尤其是相信我們能夠在這些新的前線調動法律來伸張正義–我們可以共同確保建立一個更加人道的世界。無論是現在還是未來,國際刑事法院都將發揮自己的作用”。