תקיפות סייבר כהפרה של זכויות אדם
הקדמה
ייחוס אחריות במשפט הבינלאומי בגין תקיפות סייבר היא משימה מורכבת, הן בשל הקושי להוכיח באופן משכנע וקביל מבחינה משפטית כי מאחורי התקיפה עומדת מדינה זרה והן בשל הוויכוח המתמשך בזירה הבינלאומית סביב הכללים החלים במישור הסייבר. כך למשל, קיימת אי-ודאות רבה לגבי רף החומרה הנחוץ לשם ״הפעלת״ דיני השימוש בכוח של המשפט הבינלאומי במקרים המערבים תקיפות סייבר, ולגבי השאלה אם המשפט הבינלאומי בכלל אוסר על תקיפות סייבר בשטח מדינה זרה שאינן מלוות בנזק פיסי משמעותי או בשיבוש של תשתיות חיוניות.
ברמה המעשית, תקיפות סייבר יכולות להתרחש במגוון תצורות, ולגרום לנזק ממשי דוגמת נזק כלכלי כבד או פגיעה בתשתיות קריטיות (כגון רשתות חשמל, מחשבי בנקים ומערכות ניטור וטיפול בבתי חולים). הקושי לייחס אחריות משפטית מייצר ואקום משפטי, אשר מחמיר את המצב ומעודד גורמים זדוניים להמשיך ולפעול. דיני זכויות האדם של המשפט הבינלאומי מספקים פתרון אפשרי לחלק מהבעיות המשפטיות הללו, באותם מקרים בהם התקפת הסייבר גורמת לפגיעה בזכויות אדם מסוימות של פרטים. חלק מהמקרים האלו קלים לזיהוי – למשל, תקיפת סייבר על מערכות ניטור וטיפול בבית חולים פוגעת בזכותם של המטופלים לחיים, לבריאות ולביטחון אישי. בחלק אחר של המקרים הקשר לדיני זכויות האדם ברור פחות, למשל כשמדובר בהפצת מידע כוזב ברשת, או בפעולות המיועדות לאיתור בעיות אבטחה באתרים או תכנות (zero day vulnerabilities) מתוך כוונה לנצל אותן לרעה בעתיד. עם זאת, כפי שיוסבר למטה, גם מקרים אלה עשויים להקים למדינות חובות פוזיטיביות להגן על זכויות אדם מפני הפרות עתידיות.
אחד היתרונות הברורים של רתימת דיני זכויות האדם למאבק בתקיפות סייבר – מעבר לבעיות חוסר הודאות לגבי תוכניהם של דיני הסייבר ולגבי אופן ההוכחה של הפרתם – מצוי בכך שדיני זכויות האדם מיושמים באמצעות מנגנוני אכיפה קיימים. מנגנונים אלה כוללים בתי דין, ועדות זכויות אדם, נציבי זכויות ועוד. הם פועלים ברמה הבינלאומית, ברמה האזורית וברמה הפנים-מדינתית, וחלקם יכולים להעניק לנפגעים סעד משפטי כגון פיצוי כספי. אשר על כן, שיקולים דומים לאלו המובילים יותר ויותר סכסוכים משפטיים סביב האחריות למצב האקלים לגופי זכויות אדם, צפויים להוביל אליהם גם סכסוכים סביב תקיפות סייבר.
למעשה, ניתן לטעון שמבחינת השרשרת הסיבתית, מקרים המערבים תקיפות סייבר מתאימים יותר להתדיינות בגופים משפטיים להגנה על זכויות אדם מאשר מקרים הקשורים למשבר האקלים. אלו האחרונים מערבים גורמים רבים התורמים כולם תרומה מסוימת להיווצרות נזקים. לעומת זאת, הקשר הסיבתי בין פעולה לתוצאה הנו מובהק יותר במקרה של תקיפות סייבר. ההתדיינות המשפטית בגופי זכויות האדם צפויה להגביר את הוודאות בתחום הסייבר, שכן היא עתידה לייצר תקדימים רלוונטיים בנושאים כגון רף ונטל ההוכחה של המעורבות בתקיפות סייבר, ייחוס אחריות למדינות בגין תקיפות סייבר לרבות ייחוס אחריות משותפת למספר גורמים, ועוד.
ברשימה זו אבחן כיצד התפתחות מסוימת בדיני זכויות האדם של המשפט הבינלאומי – אימוץ הערה פרשנית בנושא הזכות לחיים בשנת 2018 – סללה בעקיפין את הדרך גם להתמודדות עם תקיפות סייבר במסגרת עבודתה של הועדה לזכויות אדם של האו"ם, הפועלת מכוח האמנה לזכויות אזרחיות ומדיניות. ההערה הפרשנית, אשר נוסחה על-ידי הועדה לזכויות אדם, מפרשת מחדש את היקף התחולה האקסטריטוריאלית של הזכות לחיים הקבועה באמנה, מגדירה בצורה רחבה את חובות המדינות למנוע הפרות עתידיות של הזכות לחיים, מדגישה את הקשר בין הזכות לחיים במשפט הבינלאומי לבין זכויות אחרות וענפים אחרים של משפט בינלאומי, ומעלה את האפשרות של אחריות משותפת של מספר מדינות להפרות של הזכות לחיים. כל התפתחויות הדוקטרינריות האלה רלוונטיות מאד גם לתקיפות סייבר.
הערה פרשנית מס׳ 36
הערות פרשניות (general comments or recommendations) לאמנות זכויות אדם מנוסחות על-ידי ועדות המומחים המופקדות על יישום תשע האמנות הבינלאומיות המרכזיות בתחום זכויות האדם. מטרתן הנה לספק למדינות החברות באמנה, כמו גם לבעלי עניין אחרים, הכוונה באשר לאופן בו יש ליישם בצורה נאמנה ו מיטבית את ההתחייבויות המנויות באמנה. חלק מסעיפי ההערות הפרשניות כוללת פירוט של חובות משפטיות המוטלות על המדינות, בעוד חלק מהסעיפים מתייחסים לצעדים שהנם בגדר פרקטיקות מומלצות (best practices).
הערה פרשנית מס׳ 36 של הוועדה לזכויות אדם בנושא הזכות לחיים משנת 2018 כוללת הגדרה רחבה של הזכות לחיים, המכילה בתוכה גם את הזכות לחיים בכבוד, ופירוט של החובות הנגטיביות והפוזיטיביות המוטלות על המדינות בקשר לכיבוד ולהגנה על הזכות לחיים. חלקה המסכם מפרט את היחס בין הזכות לחיים לבין זכויות אדם אחרות ולהתחייבויות אחרות שהמשפט הבינלאומי מטיל על המדינות החברות באמנה.
ארבעה מהלכים פרשניים המצויים בהערה פרשנית מס׳ 36 הנם רלוונטיים במיוחד לתחולת דיני זכויות האדם ביחס לתקיפות סייבר. מהלכים אלה הושפעו בעצמם מהתפתחויות הקשורות לשימוש ההולך וגובר בטכנולוגיות דיגיטליות בזירה הבינלאומית, ומכוחם הגדל והולך של תאגידים בינלאומיים, לרבות חברות טכנולוגיה. מכאן, שמתקיים היזון חוזר בין התפתחויות טכנולוגיות, הכוללות עליה בתקיפות סייבר בתצורות שונות ומשונות, לבין התפתחויות נורמטיביות בעולם הפרשני של דיני זכויות האדם.
ראשית, ההערה מטפלת בתחולה האקסטריטוריאלית של הזכות לחיים. זהו נושא מורכב המעסיק רבות את גופי זכויות האדם השונים במיוחד בשלושים השנים האחרונות, עם התגברות תהליכי הגלובליזציה ועל רקע ״המלחמה העולמית בטרור״ שארצות הברית ניהלה לאחר פיגועי ה-11 בספטמבר 2001. הנוסחה שהוועדה אימצה קבעה הנה שלמדינות יש אחריות הן בגין הפרות המתרחשות בשטחים בשליטתן, הן כלפי אנשים המצויים בחזקתה והן – וזהו החידוש העיקרי של ההערה הפרשנית – בגין אמצעים אשר תוצאתם הישירה והצפויה באופן סביר הנה פגיעה ביכולת של פרטים הנמצאים מחוץ לשטח המדינה ליהנות מזכותם לחיים. סטנדרט זה הושפע מהדיון שהוועדה קיימה בשנת 2014 במדיניות השימוש של ארצות הברית בכלי טיס בלתי מאיושים במהלך מבצעים צבאיים באזור גבול אפגניסטן-פקיסטן, ובאחריותה של ארצות הברית להפרה של זכות אדם אחרת – הזכות לפרטיות – כתוצאה ממדיניות המעקבים המקוונים על אזרחים זרים, עליה דיווח אדוארד סנודן. הוועדה יישמה את מבחן התחולה הזה ביחס לחובה הפוזיטיבית של מדינות חברות לפעול בחריצות ראויה לממש את התחייבויותיהן בים הפתוח מכוח דיני הים (ראו כאן).
גופי זכויות אדם אחרים אמצו פרשנות דומה לגבי להגנה על זכויות אדם מפני נזקי פגיעה באיכות הסביבה מחוץ לשטחן של מדינות המייצרות נזקים סביבתיים (ראו כאן וכאן), ולגבי החובה להחזיר לשטח מדינת צרפת קטינים (בנים ובנות להורים נתיני צרפת) אשר נולדו בסוריה בזמן מלחמת האזרחים שם ומצאו את עצמם לאחר סיום הלחימה במחנות פליטים בצפון סוריה (ראו כאן). אפילו בית הדין האירופי לזכויות אדם, שבעבר פירש את היקף התחולה של האמנה האירופית לזכויות אדם בצמצום, קיבל לאחרונה מספר החלטות המחילות את האמנה על בסיס פונקציונלי מחוץ לשטחן של המדינות החברות: למשל, כי רוסיה אחראית להתנקשות שסוכניה ביצעו בשטח בריטניה (ראו כאן).
המשמעות של התפתחות זו עבור תקיפות סייבר היא כי מדינה העומדת מאחורי התקפה שתוצאתה הישירה והצפויה הנה פגיעה בזכות אדם מוגנת עשויה לשאת באחריות משפטית בגין ההתקפה, מכוח דיני זכויות האדם של המשפט הבינלאומי. תוצאה זו ברורה יותר מקום בו מדובר בזכות לחיים – בה עוסקת הערה פרשנית מס׳ 36 – ומקום בו יש פעולה המתמקדת בפגיעה באנשים מסוימים או במתקנים מסוימים. התחולה של דיני זכויות האדם ברורה פחות ביחס למקרים המערבים התקפות נרחבות על תשתיות אינטרנט (כגון ההתקפה באמצעות נוזקת Not Petya), הגוררים נזקים ״מתגלגלים״ ובלתי צפויים. יתכן שהניסיון שהצטבר בתחום ההגנה על הסביבה – ובמיוחד, התפתחות עקרון ״משנה הזהירות״ (the precautionary principle) – יוכל לסייע בהטלת אחריות משפטית מכוח דיני זכויות האדם על מדינות המייצרות סיכוני סייבר בינלאומיים רחבים.
שנית, ההערה הפרשנית עוסקת גם בהגדרת החובות הפוזיטיביות המוטלות על מדינות מכוח האמנה לזכויות אזרחיות ומדיניות, וקובעת כי אלה כוללות את החובה לטפל בתנאי הרקע המובילים להפרות של הזכות לחיים, קרי:
“the general conditions in society that may give rise to direct threats to life or prevent individuals from enjoying their right to life with dignity”
גישה זו של הוועדה מבוססת בין היתר על הערות פרשניות של הוועדה לזכויות כלכליות, חברתיות ותרבותיות, בדבר היקפן של החובות המשפטיות לכבד זכויות, להגן על זכויות ולהגשים זכויות – לרבות החובה ליצור תנאים למימושן (to facilitate) (ראו למשל כאן). הערה פרשנית מס׳ 36 קוראת בהקשר זה את החובה ״להבטיח״ (to ensure) זכויות אדם המצויה בסעיף 2(1) של האמנה ככוללת את חובת ההגנה על התשתית שמאפשרת את ההנאה האפקטיבית מהזכויות הקבועות באמנה. הפרה של החובות "התשתיתיות" המוטלות על המדינות לא מצמיחה בהכרח זכות תביעה אינדיבידואלית לפרט, זכות המותנית בקיומה של פגיעה בפועל בזכות אדם או פגיעה ממשמשת ובאה, קרובה בזמן. המחויבות של המדינות במישור זה היא בראש ובראשונה כלפי המדינות האחרות החברות באמנה, ואמצעי האכיפה המרכזי של החובות "התשתיתיות" הנו הבחינה התקופתית של ועדת זכויות האדם של הדוחות השנתיים של מדינות בדבר יישום האמנה (ולא מנגנון התלונות הפרטניות מכוח הפרוטוקול האופציונלי לאמנה).
יישום התפתחות זו בקשר לתקיפות סייבר יוביל לכך שמדינות תחויבנה לנקוט אמצעים תשתיתיים כדי למנוע תקיפות סייבר בשטחן, כמו גם בשטחן של מדינות אחרות. בין אמצעים אלה ניתן כנראה למנות פעולה ב״חריצות ראויה״ כדי לקדם סטנדרטים של ביטחון סייבר, לרבות הגנה על תשתיות קריטיות, הגברת מודעות לצורך לאמץ אמצעי הגנה נגד תקיפות סייבר, גיוס והכשרת מומחים להגנת סייבר, יצירת מסגרת רגולטורית מתאימה, הקמת מרכזי תגובה למקרי חירום (CERTs) וכדומה. מנגד, על המדינות שמשטחן יוצאות תקיפות סייבר של גורמים לא מדינתיים לפעול כדי להפליל פעילות שכזו, ולהגביר את האכיפה כנגד עברייני רשת הפועלים משטחן באופן הפוגע בזכויות האדם של פרטים, לרבות פרטים המצויים מחוץ לשטחה של המדינה. מחויבויות אחרונות אלה דומות בקווי המתאר שלהן למחויבות ״החריצות הראויה״ המוטלות על מדינות ביחס לתאגידים המאוגדים בשטחן והגורמים לפגיעה בזכויות האדם של הפרטים החיים במדינות אחרות (למשל כריית מינרלים המסכנת את בריאות העובדים והתושבים המתגוררים בסמוך אליה, בשטח מדינות מתפתחות).
שלישית, ההערה הפרשנית מציגה את מרכזיות עקרון האינטגרציה המערכתית (systemic integration) בפרשנות האמנה לזכויות אזרחיות ומדיניות. לפי עקרון זה, המופיע גם בסעיף 31(3)(ג) לאמנת וינה בדבר דיני אמנות, יש לפרש את התחייבויותיהן של המדינות מכוח דיני זכויות האדם לאור התחייבויותיהן מכוח ענפי משפט בינלאומי אחרים, כגון דיני הפליטים, דיני השימוש בכוח ודיני איכות הסביבה. למערכות דינים אלה חשיבות מיוחדת כאשר בוחנים אם המדינה פעלה באופן בלתי שרירותי ו/או אם הפעילה ״חריצות ראויה״.
במישור תקיפות הסייבר, המהלך הפרשני האמור יאפשר לבחון אם הופרו זכויות האדם של פרטים ספציפיים – למשל, זכותם לחיים, לרמת חיים נאותה או לפרטיות – דרך השאלה אם המדינה הרלוונטית הפרה את חובותיה מתחומים אחרים של המשפט הבינלאומי לגבי פעילות הסייבר. חובות אלה כוללות נורמות מתחום דיני השימוש בכוח, המשפט הבינלאומי ההומניטרי, איסור אי-ההתערבות בענייניה הפנימיים של המדינה – לרבות החובה לפעול ב״חריצות ראויה״ נגד גורמים לא מדינתיים, כגון ארגוני פשיעה, המפרים נורמות אלה. בנוסף יש לשקול בעת פרשנות דיני זכויות האדם גם את חובותיהן של המדינות מכוח המשפט הפלילי הבינלאומי, לרבות לפי אמנת בודפשט העוסקת בפשיעת סייבר (ובעתיד, אמנת פשיעת הסייבר החדשה שנמצאת בשלבי גיבוש), ואפילו לפי חוקת רומא שמכוחה פועל בית הדין הפלילי הבינלאומי. בכל המקרים הללו, דיני זכויות האדם של המשפט הבינלאומי מספקים מסגרת נורמטיבית ומוסדית אליה ניתן לצקת נורמות השאובים ממקורות משפט בינלאומי אחרים.
רביעית, היבט רלוונטי נוסף של הערה פרשנית מס׳ 36 מצוי בפסקה 63 של ההערה, המתייחסת לאחריות מדינות המסייעות להפרות של מדינות אחרות:
“States also have obligations under international law not to aid or assist activities undertaken by other States and non-State actors that violate the right to life”
הערות השוליים של הפסקה מתייחסות לעקרון האחריות המדינה המסייעת המופיע בכללים הבינלאומיים בדבר אחריות מדינות משנת 2001 ולפסק דינו של בית הדין הבינלאומי בהאג בפרשת בוסניה נ׳ סרביה (2007) בו נקבע כי סרביה נושא באחריות עקיפה לפעילות המליציות הסרביות בבוסניה. מסגרות משפטיות אלו משמעותיות במיוחד בהקשר של היחסים המורכבים בין מדינות לארגונים לא מדינתיים של האקרים. מערכות יחסים אלה אינן בהכרח מאפשרות לייחס למדינה את פעילותם של הארגונים, אך במקרים מסוימים אפשר לראות את המדינה כמי שמסייעת להם ואחראית בגין כך להפרות זכויות האדם הנגרמות על-ידם.
ההערה הפרשנית לא מסבירה אם ניתן לפרש את האמנה בדבר זכויות אזרחיות ומדיניות כמטילה איסור על מדינות חברות לסייע למדינות אחרות להפר את האמנה (כפי שהפרשנות של אמנות ג׳נבה מציעה ביחס לחובה להבטיח את כיבוד האמנות). עם זאת, הפרקטיקה של הוועדה ביחס להתנהלות מדינות מול תאגידים רב-לאומיים מצביעה על כך שהיא נוטה לדון עם המדינות בנושא המעורבות שלהן בפעילות תאגידים הפועלים משטחן גם כאשר הן אינן שולטות בהם (ראו למשל כאן). כך, לפחות במישור הפרקטיקה הרצויה, הוועדה צפויה לתבוע ממדינות לא לשתף פעולה עם הפרות של דיני זכויות אדם מצד גורמים אחרים – מדינתיים ולא מדינתיים – לרבות בפעולות במרחב הסייבר.
הערות לסיכום
ההתפתחויות בדיני זכויות האדם של המשפט הבינלאומי המשתקפים בהערה פרשנית מס׳ 36 של הוועדה לזכויות אדם – הרחבת התחולה האקסטריטוריאלית של האמנה לזכויות אזרחיות ומדיניות, הרחבת החובות הפוזיטיביות המוטלות על המדינות החברות, התחזקות הנטייה לפרש את האמנה לאור כללי משפט בינלאומי אחרים, והרחבת הדיון לגבי יישום האמנה כך שיחול גם על סיוע להפרות שמבצעים גורמים אחרים – רלוונטיות מאד עבור האפשרות שדיני זכויות האדם יטפלו גם בתקיפות סייבר. ראשית, גישה פונקציונלית לתחולה האקסטריטוריאלית תאפשר להטיל אחריות על אותן מדינות שהתקיפות אשר מבוצעות מטעמן צפויות באופן סביר וישיר לגרום לפגיעה בזכויות אדם בשטח מדינה אחרת. שנית, על המדינות תוטל חובה לייצר תשתית משפטית וטכנולוגית שתפחית את הסיכויים לתקיפות סייבר. שלישית, יש לפרש את חובות המדינות בתחום זכויות האדם לפי הדינים האחרים החלים במרחב הסייבר. רביעית ולבסוף, מדינות עשויות לשאת באחריות משפטית בגין תקיפות סייבר של גופים מדינתיים ולא מדינתיים אחרים. שהן מסייעות להם במעשה או במחדל.
עם זאת, יש מקום לתהות אם ניתן לגזור מהערה פרשנית מס׳ 36 העוסקת בזכות לחיים גזירה שווה ליתר הזכויות הקבועות באמנה. יש לציין בהקשר זה, כי לגופים המופקדים על היישום של אמנות זכויות האדם יש נטייה חזקה במיוחד להחיל דוקטרינות המרחיבות את אופי והיקף החובות שבאמנות ביחס לזכויות הבסיסיות ביותר. כך למשל, האיסור על גירוש או הסגרה משטח מדינה אחת למדינה אחרת (non-refoulement) הוחל על-ידי הוועדה לזכויות האדם רק באותם מצבים בהם נשקפה במדינה האחרת סכנה לחייו של האדם המועבר או סכנה כי יופעלו כלפיו עינויים אסורים (ראו כאן). ניתן לטעון אפוא כי רק תקיפות סייבר הגורמות לתוצאות קשות במיוחד מתאימות להחלה מלאה של הדוקטרינות המרחיבות המצויות בהערה פרשנית מס׳ 36.
פרופ׳ יובל שני הנו בעל הקתדרה למשפט בינלאומי ע״ש הרש לאוטרפכט בפקולטה למשפטים של האוניברסיטה העברית וראש התוכנית למשפט וסייבר במרכז פדרמן לחקר הגנת הסייבר באוניברסיטה העברית. שני שימש בין השנים 2013-2020 כחבר ועדת זכויות האדם של האו״ם והשתתף בניסוח הערה פרשנית מס׳ 36.
רשימה זו מבוססת על הרצאה שפרופ׳ שני נשא בחודש אוקטובר 2022 בכנס בנושא תחולת המשפט הבינלאומי במרחב הסייבר שהתקיים באוניברסיטת אוקספורד בבריטניה ועל מחקר המתבצע בתמיכת מענק ERC מספר 101054745 בנושא שלושת הדורות של זכויות האדם הדיגיטליות (DigitalHRGeneration3), https://3gdr.huji.ac.il/.