Αυτές τις μέρες, οι πλήρως ψηφιακοποιημένες κοινωνίες μας βασίζονται σε δεδομένα. Πράγματι, η έννοια των δεδομένων είναι ενσωματωμένη στην ίδια την έννοια της ψηφιοποίησης και καμία διαδικασία ή υπηρεσία που βασίζεται στην υπολογιστική ισχύ δεν είναι δυνατή χωρίς αυτήν. Επομένως, είναι φυσικό οι εμπειρογνώμονες του διεθνούς ανθρωπιστικού δικαίου (IHL) να έχουν σκεφτεί για λίγο το ζήτημα του τρόπου αντιμετώπισης δεδομένων βάσει των υφιστάμενων νομικών πλαισίων που ισχύουν για τις ένοπλες συγκρούσεις, ξεκινώντας από την υπόθεση ότι, με τα λόγια της Διεθνούς Επιτροπή του Ερυθρού Σταυρού, οι στρατιωτικές επιχειρήσεις που επηρεάζουν τα δεδομένα « θα μπορούσαν να προκαλέσουν περισσότερη βλάβη στους πολίτες παρά στην καταστροφή φυσικών αντικειμένων ». Ταυτόχρονα, η συζήτηση κατά καιρούς υπέφερε από ασάφειες και ανακρίβειες σχετικά με το θέμα.
Οι στρατιωτικές επιχειρήσεις στον κυβερνοχώρο μπορούν να επηρεάσουν πολιτικά δεδομένα με διαφορετικούς τρόπους, ανάλογα με τα μέσα συμπεριφοράς και τον στόχο της επιχείρησης. Για παράδειγμα, μια λειτουργία ransomware ενάντια σε ένα νοσοκομείο μπορεί να οδηγήσει στην κρυπτογράφηση κρίσιμων δεδομένων ασθενούς, αναγκάζοντας το νοσοκομείο να αναβάλει σημαντικές χειρουργικές επεμβάσεις ή ακόμη και να κλείσει εντελώς. Από την αρχή της πανδημίας Covid-19, η κακόβουλη δραστηριότητα στον κυβερνοχώρο εναντίον εγκαταστάσεων υγειονομικής περίθαλψης έχει αυξηθεί, όπως θα μπορούσε να φανεί σε νοσοκομείο του Ντίσελντορφ τον περασμένο Σεπτέμβριο, όπου το νοσοκομείο αναγκάστηκε να καταργηθεί από την παροχή επείγουσας περίθαλψης. Άλλα καταστροφικά σενάρια που αφορούν δεδομένα είναι εύκολα αντιληπτά. Οι παραβιάσεις διακομιστών σε ιδιωτικές εταιρείες ενδέχεται να θέσουν μεγάλα ποσά ευαίσθητων επιχειρηματικών δεδομένων στα χέρια του αντιπάλου, επιτρέποντάς του να τα εκμεταλλευτεί για εκβιασμό ή εκβιασμό – η ίδια η εταιρεία καθώς και μεμονωμένοι υπάλληλοι, ενδεχομένως αποκαλύπτοντας οικεία προσωπικά στοιχεία. Η διαρροή οικονομικά σχετικών δεδομένων θα μπορούσε να οδηγήσει στη συντριβή των χρηματιστηρίων και στην τεράστια οικονομική ζημία στις χώρες-στόχους.
Η συνεχιζόμενη συζήτηση σχετικά με το καθεστώς και την πιθανή προστασία μη στρατιωτικών δεδομένων σε ένοπλες συγκρούσεις χρειάζεται αυξημένη σαφήνεια και λεπτομέρεια. Υπάρχουν δύο πτυχές ειδικότερα που μπορεί να προωθήσουν τις συζητήσεις. Πρώτον, θα μπορούσε κανείς να ρωτήσει εάν υπάρχουν ορισμένοι τύποι μη στρατιωτικών δεδομένων που αξίζουν συγκεκριμένη νομική προστασία λόγω των κρίσιμων ιδιοτήτων τους. Δεύτερον, η ανάπτυξη του νόμου πρέπει να επικεντρώνεται σε μια πιθανή ρύθμιση του τι επιτρέπεται στα κράτη να κάνουν με πολιτικά δεδομένα που λαμβάνονται κατά τη διάρκεια ένοπλης σύγκρουσης.
Ορολογία και διακρίσεις
Τα δεδομένα μπορούν να κατηγοριοποιηθούν ως «δεδομένα επιπέδου περιεχομένου» ή «δεδομένα επιπέδου λειτουργίας» , με μόνο την προηγούμενη κατηγορία να αντιπροσωπεύει πληροφορίες κατανοητές από τον άνθρωπο. Ενώ ορισμένοι μελετητές θεωρούν τέτοια δεδομένα εκτός του πεδίου εφαρμογής του IHL, είναι αυτό που οι περισσότεροι ειδικοί αναφέρονται σιωπηρά όταν μιλούν για την προστασία των «δεδομένων» κατά τη διάρκεια ένοπλης σύγκρουσης. Μια περαιτέρω, κανονιστική διάκριση διαφορετικών τύπων δεδομένων σε επίπεδο περιεχομένου είναι μεταξύ προσωπικών και μη προσωπικών δεδομένων. Οι μελετητές του IHL που διερευνούν την προστασία των δεδομένων σε ένοπλες συγκρούσεις συνήθως δεν ασχολούνται με την «προστασία δεδομένων» – αναλύοντας τον τρόπο επεξεργασίας των προσωπικών δεδομένων από άτομα ή οντότητες που ελέγχουν τα δεδομένα – αλλά με την «ασφάλεια δεδομένων», που αφορά την εμπιστευτικότητα, την ακεραιότητα, και διαθεσιμότητα των συστημάτων πληροφορικής που επεξεργάζονται τα δεδομένα και έτσι τα ίδια τα δεδομένα.
Η προστασία των δεδομένων βάσει του IHL
Οι παρεμφερείς κυβερνοεπιχειρήσεις που στοχεύουν "δεδομένα επιχειρησιακού επιπέδου" δεν πρέπει να αναλύονται ως κατευθυνόμενες ενάντια σε δεδομένα. Αυτό οφείλεται στο γεγονός ότι από τεχνική άποψη, σχεδόν κάθε πιθανός τύπος λειτουργίας στον κυβερνοχώρο στοχεύει "δεδομένα" ακόμα κι αν το "αντικείμενο επίθεσης" είναι το σύστημα που τρέχει στα δεδομένα. Για παράδειγμα, το κακόβουλο λογισμικό "Crash Override" που χρησιμοποιείται για την κατάργηση του δικτύου τροφοδοσίας στο Κίεβο, τον Δεκέμβριο του 2016 , τέθηκε σε ισχύ με την αλλαγή των λειτουργικών δεδομένων που διέτρεχαν τα συστήματα ελέγχου του δικτύου. Επομένως, προκειμένου να εκτιμηθεί ποιοι κανόνες του υφιστάμενου IHL ενδέχεται να ισχύουν και κατά πόσον η επιχείρηση θα απαγορευόταν λόγω παραβίασης της αρχής της διάκρισης (άρθρο 48 παράγραφος 1 πρόσθετο πρωτόκολλο I (AP I)), η αρχή της αναλογικότητας (άρθρο 51 (5) (β) AP I), ή του καθήκοντος προφύλαξης κατά την επίθεση (άρθρο 57 AP I), πρέπει να εξετάσουμε τις συνέπειες της επιχείρησης.
Για αυτόν τον λόγο, το ζήτημα της «προστασίας δεδομένων» που είναι κατάλληλο κατά τη διάρκεια ένοπλης σύγκρουσης πρέπει να μεγεθύνει τις κυβερνοεπιχειρήσεις που στοχεύουν δεδομένα σε επίπεδο περιεχομένου. Ορισμένες πολιτικές υποδομές απολαμβάνουν ειδική προστασία βάσει του IHL, συμπεριλαμβανομένων, κυρίως, ιατρικών υπηρεσιών και υποδομών, οι οποίες «πρέπει να γίνονται σεβαστές και να προστατεύονται από τα μέρη της σύγκρουσης ανά πάσα στιγμή» . Υπάρχει γενική συμφωνία, συμπεριλαμβανομένης μεταξύ των κρατών, ότι αυτή η προστασία περιλαμβάνει προσωπικά ιατρικά δεδομένα, για παράδειγμα αρχεία ασθενών ή άλλες πληροφορίες που σχετίζονται με άτομα που βρίσκονται σε θεραπεία. Επιπλέον, καθώς απαγορεύονται οι επιχειρήσεις στον κυβερνοχώρο που στοχεύουν αντικείμενα απαραίτητα για την επιβίωση του άμαχου πληθυσμού, προστατεύονται επίσης τα δεδομένα που είναι απαραίτητα για τη λειτουργία αυτών των ιδιαίτερα προστατευμένων αντικειμένων και υπηρεσιών.
Αυτές οι περιπτώσεις ρυθμίζονται ρητώς, ωστόσο, η προστασία των δεδομένων σε επίπεδο περιεχομένου σε ένοπλες συγκρούσεις παρέμεινε ένα ανεπίλυτο και αμφιλεγόμενο ζήτημα. Πρώτον, δεν είναι σαφές πώς να υποβάλετε δεδομένα βάσει της υπάρχουσας ορολογίας του IHL. Ενώ το άρθρο 52 παράγραφος 2 ΑΡ Ι διατυπώνει τη θεμελιώδη αρχή της διάκρισης ορίζοντας ότι «[οι] επιθέσεις περιορίζονται αυστηρά στους στρατιωτικούς στόχους», αυτά ορίζονται ως «αντικείμενα τα οποία από τη φύση τους, τη θέση, τον σκοπό ή τη χρήση τους καθιστούν αποτελεσματικό συμβολή στη στρατιωτική δράση και της οποίας η ολική ή μερική καταστροφή, σύλληψη ή εξουδετέρωση, υπό τις συνθήκες που ίσχυαν τότε, προσφέρει ένα συγκεκριμένο στρατιωτικό πλεονέκτημα ». Καθώς οι στόχοι που δεν έχουν ποιότητα αντικειμένου δεν εμπίπτουν επομένως στο πεδίο εφαρμογής της αρχής της διάκρισης, τα δεδομένα προστατεύονται από την IHL μόνο εάν μπορούν να θεωρηθούν αντικείμενο υπό αυτήν την έννοια.
Η συζήτηση σχετικά με αυτό το ερώτημα καταλήγει σε δύο κύριες θέσεις. Οι υποστηρικτές της πρώτης άποψης υποστηρίζουν ότι η έννοια του «αντικειμένου», με τη συνηθισμένη της έννοια, υποδηλώνει ότι ο στόχος της στρατιωτικής επιχείρησης πρέπει να είναι μια οντότητα φυσικής ποιότητας, που είναι ορατή και απτή στον πραγματικό κόσμο, η οποία δεδομένα προφανώς δεν είναι. Όταν μια λειτουργία στον κυβερνοχώρο στοχεύει δεδομένα, το IHL καθίσταται σχετικό μόνο εάν αυτό οδηγεί σε φυσικές επιδράσεις σε ένα φυσικό αντικείμενο. Η αντίθετη θέση υποστηρίζει ότι τα δεδομένα μπορούν πράγματι να θεωρηθούν «αντικείμενο» μετά από μια τελεολογική ερμηνεία που αποκαλύπτει ότι, λαμβάνοντας υπόψη τον πρωταρχικό σκοπό του πρόσθετου πρωτοκόλλου Ι για τη βελτίωση της προστασίας των θυμάτων ένοπλων συγκρούσεων, μια υπερβολικά περιοριστική και κυριολεκτική κατανόηση των «δεδομένων» "Θα είχε ως αποτέλεσμα ένα κενό προστασίας του IHL. Όπως σημείωσε ο Kubo Mačák , «πολλοί στόχοι των οποίων τα φυσικά ισοδύναμα προστατεύονται σταθερά από την IHL από την εχθρική μαχητική δράση θα θεωρούνται δίκαιο παιχνίδι αρκεί τα αποτελέσματα της επίθεσης να περιορίζονται στον κυβερνοχώρο» εάν τα δεδομένα δεν έχουν ποιότητα αντικειμένου.
Οι εγγενείς περιορισμοί των υφιστάμενων IHL
Η συνεχιζόμενη συζήτηση μεταξύ εμπειρογνωμόνων και υπευθύνων χάραξης πολιτικής αποκάλυψε τους εγγενείς περιορισμούς του υφιστάμενου IHL, ο οποίος στον πυρήνα του ασχολείται με τις φυσικές επιπτώσεις των ένοπλων συγκρούσεων. Κατά συνέπεια, οι υπάρχουσες προστασίες περιλαμβάνουν το μεγαλύτερο μέρος τις κυβερνοεπιχειρήσεις ενάντια στη διαθεσιμότητα ή την ακεραιότητα των δεδομένων, αλλά μόνο εάν συνεπάγονται φυσικές ή αλλιώς απτές επιβλαβείς συνέπειες. Οι πράξεις κατά του απορρήτου των δεδομένων, για παράδειγμα στο πλαίσιο της παρακολούθησης ή της κατασκοπείας, αλλά και με σκοπό την κατάχρηση προσωπικών δεδομένων προκειμένου να εξαναγκαστούν ή να επηρεαστούν με άλλον τρόπο η συμπεριφορά των ατόμων σε καταστάσεις ένοπλων συγκρούσεων, δεν εμπίπτουν στο πεδίο εφαρμογής του υφιστάμενου IHL εκτός εάν εμπίπτουν σε μια ειδικά προστατευμένη κατηγορία δεδομένων.
Δεδομένης της σημασίας των δεδομένων για τις σύγχρονες ψηφιακές κοινωνίες, προτείνουμε μια μετατόπιση παραδείγματος: Μέχρι σήμερα, η επικρατούσα συζήτηση έχει λάβει τους κανόνες και τις αρχές του υπάρχοντος IHL και τους εφαρμόζει στα «δεδομένα». Μια νέα προσέγγιση θα ήταν να ληφθούν, ως αφετηρία, οι αρχές της υπάρχουσας προστασίας δεδομένων, της ασφάλειας δεδομένων και άλλων σχετικών νομικών πλαισίων και να επιχειρήσουμε να τις εφαρμόσουμε στις σύγχρονες ένοπλες συγκρούσεις. Μια τέτοια προσέγγιση μπορεί να ταιριάζει καλύτερα στην πραγματική σημασία των δεδομένων για την κοινωνία της πληροφορίας και στην αντιμετώπιση των αναγκών προστασίας κατά τη διάρκεια ένοπλης σύγκρουσης.
Αντιστρέφοντας την κατεύθυνση της σκέψης, το κύριο ερώτημα είναι τότε: Πρέπει ορισμένοι τύποι και χρήσεις δεδομένων να προστατεύονται από εχθρικές κυβερνοεπιχειρήσεις σε ένοπλες συγκρούσεις, ανεξάρτητα από το εάν τα δεδομένα χαρακτηρίζονται ως "αντικείμενο" ή όχι και ακόμη και αν δεν προκαλούν επιβλαβείς (φυσικές) συνέπειες;
Η διασφάλιση της εμπιστευτικότητας των προσωπικών δεδομένων – μία από τις βασικές αρχές των υπαρχόντων πλαισίων προστασίας δεδομένων, όπως ο GDPR – είναι συνήθως εκτός του πεδίου εφαρμογής αυτού που μέχρι στιγμής θεωρείται ότι απαιτεί ή αξίζει προστασία κατά τη διάρκεια ένοπλης σύγκρουσης. Ωστόσο, η βλάβη σε μεμονωμένους πολίτες θα μπορούσε ωστόσο να είναι σημαντική, ακόμη και απουσία φυσικών επιπτώσεων. Όπως επιβεβαιώνεται επανειλημμένα από εγχώρια δικαστήρια σε όλο τον κόσμο, το δικαίωμα στην ιδιωτική ζωή προέρχεται και χρησιμεύει ως προστασία της αξιοπρέπειας ενός ατόμου. Μια πλήρης κατάρρευση της ιδιωτικής ζωής του άμαχου πληθυσμού κατά τη διάρκεια ένοπλης σύγκρουσης ως συνέπεια των εχθρικών στρατιωτικών επιχειρήσεων στον κυβερνοχώρο θα ήταν μια αλλαγή παραδείγματος για το πώς γίνονται οι πόλεμοι και θα μπορούσε ενδεχομένως να οδηγήσει σε παράλυση της στοχευμένης πολιτικής κοινωνίας γενικότερα.
Προώθηση της συζήτησης
Ως σημείο εκκίνησης, η πιθανή προστασία του απορρήτου των (προσωπικών) πολιτικών δεδομένων θα μπορούσε να προσεγγίσει το ζήτημα σε σχέση με δύο ξεχωριστές πτυχές. Πρώτον, μπορεί κανείς να επικεντρωθεί στις ιδιότητες των ίδιων των δεδομένων και να ρωτήσει εάν υπάρχουν ορισμένοι τύποι μη στρατιωτικών δεδομένων που πρέπει να απολαμβάνουν αυξημένη προστασία από μόνα τους. Για παράδειγμα, ο GDPR αναγνωρίζει «ειδικές κατηγορίες προσωπικών δεδομένων» που είναι «από τη φύση τους, ιδιαίτερα ευαίσθητες σε σχέση με τα θεμελιώδη δικαιώματα και ελευθερίες» και ως εκ τούτου «αξίζουν ειδική προστασία καθώς το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα» δικαιώματα και ελευθερίες »(αιτιολογική σκέψη 51 του GDPR). Αυτές οι ιδιότητες περιλαμβάνουν "φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συνδικαλιστική ιδιότητα μέλους" καθώς και "γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό τη μοναδική ταυτοποίηση ενός φυσικού προσώπου, δεδομένα σχετικά με την υγεία ή δεδομένα σχετικά με ένα φυσικό άτομο σεξουαλική ζωή ή σεξουαλικός προσανατολισμός »(άρθρο 9 παράγραφος 1 του GDPR). Καμία από αυτές τις «ειδικές κατηγορίες δεδομένων» δεν χάνει καμία ευαισθησία κατά τη διάρκεια ένοπλης σύγκρουσης.
Δεύτερον, η συζήτηση θα πρέπει να μεγεθύνει μια πιθανή ρύθμιση των αντιπαραθέσεων που δηλώνουν ότι λαμβάνουν πολιτικά δεδομένα μέσω στρατιωτικών επιχειρήσεων στον κυβερνοχώρο κατά τη διάρκεια ένοπλης σύγκρουσης επιτρέπεται να κάνουν με αυτά τα δεδομένα. Για παράδειγμα, αν και είναι αδιανόητο να θεσπιστεί απαγόρευση δραστηριοτήτων επιτήρησης και κατασκοπείας κατά τη διάρκεια ένοπλης σύγκρουσης, μπορεί κανείς να εξετάσει έναν κανόνα κατά ορισμένων συγκεκριμένων χρήσεων των συλλεγόμενων δεδομένων, όπως δημοσίευση ή διαρροή ευαίσθητων προσωπικών δεδομένων ή / και κανόνας κατά της εκμετάλλευσης τέτοιων σύνολα δεδομένων για λόγους εξαναγκασμού, εκβιασμού ή χειραγώγησης.
Η τρέχουσα συζήτηση σχετικά με την έκταση της «προστασίας δεδομένων» σε καταστάσεις ένοπλων συγκρούσεων πρέπει να προχωρήσει πέρα από την αποκλειστική εστίαση στην ποιότητα των αντικειμένων των δεδομένων. Οι διαφορετικοί τρόποι με τους οποίους τα δεδομένα – και τα συνημμένα δικαιώματα και τα συμφέροντα των ατόμων και των κοινωνιών που ενσωματώνουν τα δεδομένα – μπορούν να επηρεαστούν από τις επιχειρήσεις στον κυβερνοχώρο απαιτούν από εμάς να σκεφτούμε τι είδους προσέγγιση θα είναι απαραίτητη για να κατανοήσουμε και να προστατεύσουμε επαρκώς τις διάφορες λειτουργίες των δεδομένων στις ψηφιακές μας κοινωνίες .
Αυτή είναι μια αυτόματη μετάφραση μιας ανάρτησης που δημοσιεύτηκε στο Verfassungsblog στη διεύθυνση URL https://verfassungsblog.de/data-protection-in-armed-conflict/ στις Mon, 15 Feb 2021 11:11:49 +0000.