针对医院和新冠肺炎大流行的网络攻击:国际法的保护力度有多强?
英文文章原载于法律与政策博客
编者按:本文仅代表作者观点,并不必然反映红十字国际委员会的观点。
3月13日,位于捷克共和国第二大城市布尔诺的一家大医院遭到网络攻击。医院管理层表示,这次网络攻击迫使医务人员不得不推迟紧急的外科救助,重新安排新到的急症患者,并减少其他医疗活动。
这家医院负责管理全市的新冠病毒检测工作,这次网络攻击导致检测工作推迟数日。据报道,此后,法国、西班牙、泰国、美国等多个国家均出现针对本国医疗部门的网络攻击事件。
在绝大多数人(甚至所有人)都是潜在患者的情形下,基本上没有比有效提供医疗服务更为重要的政府服务了。世界各地医院面临的压力正在迅速增加。对此,各国通过动员军事医疗队,将民营医疗设施国有化,以及建立应急医院等方式进行应对。
随着危机不断蔓延,确保所有医疗设施能持续运作,并在扩大运作规模时具备足够资源至关重要。
然而,正如红十字国际委员会(ICRC)于2019年发布的一篇关于网络行动的潜在人类代价的报告所指出,由于数字依赖性的增加和"攻击面"问题,医疗部门即使是在平常时期也特别容易受到网络攻击(见报告第6页)。
所有这些强调了,当下亟需探究法律针对此类网络攻击提供了何种保护。本文探讨了现行国际法所提供的保护。就探讨规范国家行为的相关规则而言,我们应当注意这些规则仅适用于某个特定行动可归因于一国的情形(例如,该行为是由一国国家机构实施或在一国的指示、指挥或控制下进行的)。
已有专家警告说,一些"以新冠病毒疫情为主题的网络攻击活动"可能是由国家开展的。不过,现阶段对于布尔诺网络攻击事件尚未出现此类指控。
保护医疗部门免受网络攻击的现有规则
个人刑事责任
在个人层面,相关法律通过将相关行为犯罪化的方式保护医院——或更为广泛的医疗部门——免受网络攻击。
这主要实施于一国国内刑法制度内,它通常将危害公共卫生与安全的行为确定为刑事犯罪,而不论其采用何种手段。
不过国际法在规制此类行为时也具有一定的作用。特别是,2001年《布达佩斯网络犯罪公约》(以下简称《公约》)对其65个缔约国具有国际法约束力,这些国家必须将特定网络行为定为刑事犯罪,例如非法访问(第2条)、数据干扰(第4条)和系统干扰(第5条)。
缔约国还有义务开展合作,对《公约》定为犯罪的行为进行调查和起诉(见第23-35条)。重要的是,《公约》缔约国于2013年明确同意,《公约》现行条款适用于针对维护公共卫生与安全所必需的计算机系统实施的网络攻击行为。
此外,某些针对医疗设施实施的严重网络攻击行为,如达到这些罪名的入罪标准,可被认定为国际犯罪,例如战争罪(见下文)或危害人类罪(见链接,第141-142页)。
国际人道法
在国家层面,可适用的法律框架取决于恶意网络攻击行动发生的背景。
在武装冲突期间,国际人道法(IHL)为医疗服务和设施提供强有力的保护。这是因为国际人道法的基本要务之一是"尽可能减轻战争所造成的不可避免的痛苦"。战争中,战斗人员和平民可能会受伤、患病,他们必须得到照顾。国际人道法为减少他们的不幸提供保护框架。
当武装冲突和疫情大流行交织在一起时,这些保护比以往任何时候都更为重要:因冲突导致房屋被毁或流离失所的民众,被迫生活在拥挤的避难所里,卫生设施匮乏,致使病毒迅速广泛蔓延。但如果医院无法继续运转,人们就无法获得挽救生命的医疗救治服务。
因此,国际人道法要求冲突各方在任何时候都必须尊重和保护医疗队、医务运输工具和医务人员(见红十字国际委员会《习惯国际人道法》规则25、28及29)。
红十字国际委员会国际法与政策部主任海伦·德拉姆(Helen Durham)上周解释到,此类国际人道法基本规则"适用于网络空间,且必须得到尊重"。因此,交战方不得通过网络行动损害医疗基础设施,且必须谨慎行事以避免造成附带损害。
红十字国际委员会认为,这一法律保护也适用于归属于医疗队及其人员的数据(见第8页)。法国(见链接,第15页)和国际法专家(见《塔林手册2.0》,第515页)也表达了类似的观点。因此,国际人道法禁止在武装冲突期间开展可能妨碍医疗设施运作的恶意网络行为。
最后,如上所述,只要满足某些特定条件,网络攻击行为可以被认定为战争罪(见链接,第121-137页)。例如,《国际刑事法院罗马规约》第8条第2款第2项第24目和第5项第2目规定的指令攻击医疗设施的战争罪,就可能通过网络手段实施。
禁止使用武力、不干涉和主权原则
对于武装冲突外的其他情形,可适用的法律保护机制则没有这么明确。目前还没有一个单独的国际法律规则可以对医疗设施进行全面保护,从而只能探究国际法一般规则和原则的适用性。对于一国或其代理人攻击另一国卫生基础设施的行为,国际法的三个领域可以对其加以规制:关于使用武力的法律、不干涉原则和主权原则。
第一,在国际法中,《联合国宪章》第2条第4款规定了普遍禁止使用武力的条款。学术评论界一致同意,该条款也适用于由国家支持的直接导致境外人员死亡的网络行为。(例如,见《塔林手册2.0版》,第333页,澳大利亚和爱沙尼亚等国表示这种网络行动可构成武力使用行为)。
上述解释显然包括远程关闭医院呼吸机和其他生命维持系统,从而导致患者死亡的行为。虽然禁止使用武力原则并非适用于所有针对医疗设施的网络攻击行为,但该原则仍至关重要,因为它明确禁止可能导致严重危害后果的攻击行为。
第二,国际法禁止所有国家干涉他国内政。例如,英国明确表示,禁止干涉他国内政原则也可适用于"针对重要医疗服务"的攻击行为。仍有待解决的问题是,何种医疗服务是"重要"的——虽然在当前新冠肺炎大流行的背景下,病毒检测设施无疑属于重要医疗服务。
然而,根据胁迫因素,干涉他国内政的行为,只有旨在迫使目标国在原本可自主决定的事项上改变其行为,才被法律禁止。(见国际法院尼加拉瓜案判决,第205段;《塔林手册2.0版》,第317页)。因此,如攻击医疗设施的网络行动不具备胁迫性,则不属于禁止干涉他国内政原则进行规制的范畴。
第三,攻击一国医疗部门的网络行为可能构成对该国主权的侵犯。主权在传统上被理解为包括一国在其领土范围内享有的行使国家职能的排他的权力(见帕尔马斯岛仲裁裁决,第838页)。破坏他国领土管辖范围内医疗服务供应的网络行动似乎涉及侵犯一国主权。
然而,这一观点目前还存在很多争议,争论的焦点在于是否存在尊重他国网络空间主权的一项独立的国际法律义务——或者主权是否"仅"是一项指导国家交往的原则,但其本身不可能被侵犯。
根据前一种观点(法国、德国或荷兰等国持有此种观点),扰乱他国公立医院正常运转的网络行动确实构成违反国际法的行为。但根据后一种观点(英国持有此种观点,美国也可能持有此种观点),结论并非如此。然而,如上所述,英国至少认可,针对重要医疗服务的网络攻击可能违反禁止干预他国内政原则。
国际人权法
此外,另一个问题是,由国家支持的针对他国医疗部门的网络行动是否可能违反了国际人权法(IHRL)。
由于"人们在线下享有的权利也必须在网上得到保护",各国普遍受相关义务的约束——例如源于《经济、社会及文化权利国际公约》(ICESCR)第12条规定的健康权或《公民权利和政治权利国际公约》(ICCPR)第6条规定的生命权的义务。
关于域外行动,联合国人权事务委员会第31号一般性意见规定,各国对其"权力或有效控制"范围内的所有人员负有相关义务。然而,对于在他国领土管辖范围内受该国网络行动影响的人员是否处于该国权力或有效控制范围内,目前还存在争议。
一方面,根据大多数人权法理对人权法的理解,只有当一国对实施网络行动的领土行使有效控制,或对受害者进行实际控制时,才负有相关义务。(见《塔林手册2.0》第185页,第9段)。
另一方面,虽未具体提及网络行动,但人权条约机构已经开始对这一观点进行扩大解释。就生命权而言,人权事务委员会最近表示,一国尊重和确保生命权的义务延伸到"处于该国有效控制领土外、但生命权受该国军事活动或其他活动直接且合理可预见之影响的人员"。
例如,如果网络行动破坏了重症监护病房呼吸机的运行,就可能出现这种情况。联合国经济、社会及文化权利委员会认为,"缔约国必须尊重在其他国家享有健康权"。
换言之,对于国际人权法的适用范围以及保护医疗设施免受网络行动攻击的程度,目前还存在着不同的观点。
规制攻击医疗设施和服务的网络行动的新规范提议
上述分析表明,国际法的不同分支对医疗设施提供了强有力的保护,使其免受网络行动的影响。根据对国际法解释方式的不同,可以认为国际法禁止任何针对医疗服务的恶意网络攻击——尽管某些解释可能会留下一些漏洞。鉴于医疗服务关乎所有人,这一问题令人关切。
就此,红十字国际委员会最近提请参加联合国不限成员名额工作组会议的各国审议一项有关网络空间负责任国家行为的新规范。该会议即联合国从国际安全的角度探讨信息和电信领域发展的不限成员名额工作组会议。
这项新规范要求"各国不得实施或故意支持会损害医疗服务或医疗设施的(网络)活动,并应采取措施保护医疗服务不受损害。"这项新规范将重申国际法下适用于武装冲突时期以及和平时期的禁止性规定——或者,根据对平时法的不同看法,加强这些禁止性规定。
常言道,每一次危机中都蕴藏着机会。这次也不例外。当前的新冠肺炎大流行凸显出确保公共卫生部门良好运作至关重要。我们希望,这场危机将有力推动国际社会一致重申国际法不仅是在战争时期,而是在任何时候都全面禁止针对医疗服务的网络行动。
本文首次发表于Just Security。