网络安全捍卫者和倡导者呼吁制定一种网络战日内瓦公约,新的国际法将为任何入侵民用关键基础设施(如电网、银行和医院)的人规定明确的后果。现在,海牙国际刑事法院的首席检察官明确表示,海牙将调查和起诉任何违反现有国际法的黑客犯罪,就像调查和起诉在物理世界犯下的战争罪一样。
国际刑事法院首席检察官卡里姆-汗(Karim Khan)上个月在季刊《外交政策分析》(Foreign Policy Analytics)上发表了一篇鲜为人知的文章,阐述了这一新承诺: 他的办公室将调查可能违反《罗马规约》的网络犯罪。《罗马规约》是界定国际刑事法院起诉非法行为(包括战争罪、反人类罪和种族灭绝罪)权力的条约。
(资料图片仅供参考)
"网络战争不是抽象的。相反,它可以对人们的生活产生深远的影响,试图影响医疗设施或发电控制系统等关键基础设施的行为可能会给许多人,尤其是最弱势群体带来直接后果。因此,作为调查的一部分,我的办公室将收集和审查此类行为的证据。"
当 WIRED 联系到国际刑事法院时,检察官办公室的一位发言人证实,这是该办公室目前的官方立场。该发言人写道:"检察官办公室认为,在适当的情况下,网络空间中的行为有可能构成战争罪、反人类罪、种族灭绝罪和/或侵略罪,如果案件足够严重,这种行为有可能在法院受到起诉。"
汗的文章和他的办公室对《WIRED》的声明都没有提到俄罗斯或乌克兰。但国际刑事法院检察官调查和起诉黑客犯罪意图的新声明是在国际社会日益关注俄罗斯在2022年初全面入侵乌克兰之前和之后针对乌克兰的网络攻击之际发表的。去年 3 月,美国加州大学伯克利分校法学院人权中心(Human Rights Center at UC Berkeley"s School of Law)向国际刑事法院检察官办公室(ICC prosecutor"s Office)发出正式请求,敦促其考虑以战争罪起诉俄罗斯黑客在乌克兰实施的网络攻击--尽管检察官仍在继续收集俄罗斯在入侵过程中实施的更传统、更实际的战争罪的证据。
在伯克利人权中心的请求(正式称为"第15条文件")中,人权中心重点关注了一个名为"沙虫"的俄罗斯组织实施的网络攻击,该组织是俄罗斯 GRU 军事情报机构的一个部门。自 2014 年以来,GRU 和"沙虫"对乌克兰民用关键基础设施发动了一系列网络战攻击,其规模之大在互联网史上前所未有。他们肆无忌惮地进行黑客攻击,从瞄准乌克兰电力公司并引发有史以来仅有的两次网络攻击造成的停电,到发布破坏数据的 NotPetya 恶意软件,从乌克兰蔓延到世界其他地区,造成了超过 100 亿美元的损失,其中包括乌克兰和美国的医院网络。
尽管伯克利研究小组提交的论文最初侧重于沙虫在 2015 年和 2016 年对乌克兰电网的攻击,认为这是最明显的网络攻击实例,其实际影响堪比传统战争,但后来该小组又将其论点扩展到沙虫的 NotPetya 网络攻击,以及黑客破坏乌克兰电网的第三次尝试和对乌克兰军方使用的 Viasat 卫星调制解调器网络的另一次网络攻击,这次攻击导致整个欧洲的卫星调制解调器中断。
人权中心技术、法律和政策主任林赛-弗里曼(Lindsay Freeman)说,汗在文章中没有明确提到俄罗斯,实际上并不意味着他回避调查沙虫或其他参与乌克兰袭击的俄罗斯人所犯下的战争罪行。相反,她认为这篇文章是一个更广泛的声明,即违反国际法的黑客活动将被视为检察官开展的任何调查的一部分。弗里曼说:"他不仅仅是说要在乌克兰这样做,而是要在所有调查中都这样做,这一点非常重要,看到这是现在网络战争的现实,这是他们作为一个办公室必须调查的每一个案件--这超出了我们所推动的范围,这是一个非常重要和有力的举措。"
与此同时,乌克兰政府已经开始对俄罗斯通过网络攻击实施的战争罪行展开调查。除了在自己的法院系统中起诉任何俄罗斯黑客或他们的上司之外,这项调查的证据现在也可以提供给国际刑事法院的检察官,以帮助海牙检察官对俄罗斯提起诉讼。
沙虫组织的六名黑客已经在美国面临起诉,罪名与他们针对乌克兰以及 2018 年韩国平昌冬奥会网络攻击有关。但弗里曼指出,在海牙起诉俄罗斯黑客将产生更广泛的影响:123 个国家加入了《罗马规约》,因此同意帮助拘留和引渡被定罪的战犯。其中包括一些与美国没有引渡条约的国家,如瑞士和厄瓜多尔。弗里曼指出,海牙国际法庭的职权范围不仅包括亲自操作键盘的黑客本身,还包括这些黑客之上的指挥机构,这就为对俄罗斯军方高级军官甚至俄罗斯总统弗拉基米尔-普京本人提出新的指控提供了可能性。
得克萨斯大学法学院施特劳斯国际安全与法律中心主任鲍比-切斯尼(Bobby Chesney)说,就法律先例而言,汗表示海牙检察官办公室现在将把黑客行为视为潜在的违反国际法的行为,这"很新颖,但并不令人吃惊"。切斯尼说:"我认为,任何认真研究国际法的人都不会否认,至少在某些情况下,通过网络手段对平民造成的蓄意伤害可以被定性为攻击,从而违反《罗马规约》关于战斗人员区分平民和军事目标的原则。"
切斯尼说,他更感兴趣的是看到可汗文章的其他部分,其中提到虚假信息是一个单独的关注领域,以及"在战争与和平之间运作"的"灰色地带"战术。切斯尼指出,根据国际法对虚假信息来源提出指控的先例并不多见,比如1994年在卢旺达帮助煽动种族灭绝的电台记者被国际刑事法庭定罪。汗的文章似乎认为,调查或指控在战争背景之外发生的黑客行为违反了国际法,这将是一个全新的领域。
但人权中心的弗里曼(Freeman)认为,鉴于国际刑事法院检察官的资源和选择起诉案件的自由裁量权有限,任何审查并可能指控网络战争罪的承诺都是一个历史性时刻。她说:"只要看看网络是如何被用于战争的,[汗]就会发现这是他的职权范围,是值得在他的自由裁量权范围内优先调查的问题,我认为这非常重要。"
可汗显然认为这同样事关重大:他在文章的结尾引用了(或许是错误引用了)阿尔伯特-爱因斯坦的担忧:"技术将超越我们的人性"。
汗写道:"毫无疑问,我们将经受考验。但通过我们的共同努力--尤其是相信我们能够在这些新的前线调动法律来伸张正义--我们可以共同确保建立一个更加人道的世界。无论是现在还是未来,国际刑事法院都将发挥自己的作用"。