International humanitarian law and the protection of the civilian population in cyberspace: towards a human dignity-oriented interpretation of the notion of cyber attack under Article 49 of Additional Protocol I

Abstract

The use of cyber-technologies in times of armed conflict poses serious interpretive challenges, such as what type of cyber operations amount to an ‘attack’ for the purposes of Article 49 of Additional Protocol I. The notion of attack is the cornerstone of the law of targeting, a set of rules that includes the principles of distinction, proportionality and precaution, aimed at limiting the amount of violence that belligerents can lawfully employ on the battlefield. The rationale of these rules is that of increasing the protection of the dignity of the civilian population, which constitutes the main objective of modern international humanitarian law (IHL). In light of these considerations, my article argues that the prevailing interpretation of the notion of attack in the cyber context is too restrictive and cannot adequately protect the civilian population from cyber operations taking place in armed conflict. Consequently, it argues for a human-dignity based interpretation of the notion of ‘violence’ that underlies the notion of attack in the cyber context, going beyond the mere causation of physical violence to include serious psychological violence and serious economic violence as necessary prerequisites to qualify a cyber operation as an ‘attack’.\n\nL’utilisation des cybertechnologies en période de conflit armé soulève d’importantes questions d’interprétation, notamment sur le type de cyberopération qui peut être considérée comme une ‘attaque’ au sens de l’article 49 du protocole additionnel I. La notion d’attaque est la pierre angulaire du droit du ciblage, un ensemble de règles comprenant les principes de distinction, de proportionnalité et de précaution, visant à limiter le degré de violence que des belligérants peuvent légalement utiliser sur le champ de bataille. La raison d’être de ces règles est de renforcer la protection de la dignité de la population civile, qui constitue l’objectif principal du DIH moderne. À la lumière de ces considérations, l’article avance que l’interprétation dominante de la notion d’attaque dans le contexte cybernétique est trop restrictive et ne peut pas protéger efficacement la population civile des cyberopérations lors de conflits armés. Par conséquent, l’article plaide pour une interprétation de la notion de ‘violence’, sous-jacente à la notion d’attaque dans le contexte cybernétique, basée sur la dignité humaine, allant au-delà de la seule violence physique pour inclure la violence psychologique grave et la violence économique grave dans les conditions pour qu’une cyberopération puisse être qualifiée d’ ‘attaque’. \n\nHet gebruik van cybertechnologieën in tijden van gewapend conflict stelt ons voor serieuze interpretatieve uitdagingen, zoals de vraag welk type cyberoperaties neerkomen op een aanval in de zin van Art. 49 van het Aanvullend Protocol I. Het begrip aanval is de hoeksteen van het recht van doelbestrijding, een geheel van regels dat de beginselen van onderscheid, evenredigheid en voorzorg omvat, en dat tot doel heeft de hoeveelheid geweld te beperken die oorlogvoerende partijen rechtmatig op het slagveld kunnen aanwenden. De grondgedachte achter deze regels is de bescherming van de waardigheid van de burgerbevolking te vergroten, hetgeen de voornaamste doelstelling van het moderne IHR is. In het licht van deze overwegingen betoogt mijn artikel dat de gangbare interpretatie van het begrip aanval in de cybercontext te restrictief is en de burgerbevolking niet adequaat kan beschermen tegen cyberoperaties die plaatsvinden in een gewapend conflict. Bijgevolg wordt gepleit voor een op menselijke waardigheid gebaseerde interpretatie van het begrip ‘geweld’ dat ten grondslag ligt aan het begrip aanval in de cybercontext, waarbij verder wordt gegaan dan het louter veroorzaken van fysiek geweld en ook ernstig psychologisch geweld en ernstig economisch geweld worden beschouwd als noodzakelijke voorwaarden om een cyberoperatie als een ‘aanval’ te kunnen aanduiden.\n\nEl uso de tecnologías cibernéticas en tiempos de conflicto armado plantea serios desafíos interpretativos, tales como qué tipo de operaciones cibernéticas equivalen a un ‘ataque’ a los efectos del art. 49 del Protocolo Adicional I. El concepto de ataque es la piedra angular de la ley de selección de objetivos, un conjunto de reglas que incluye los principios de distinción, proporcionalidad y precaución, destinados a limitar la medida de violencia que los beligerantes pueden emplear legalmente en el campo de batalla. La razón fundamental de estas normas es aumentar la protección de la dignidad de la población civil, que constituye el principal objetivo del DIH moderno. A la luz de estas consideraciones, este artículo sostiene que la interpretación predominante del concepto de ataque en el contexto cibernético es demasiado restrictiva y no puede proteger adecuadamente a la población civil frente a las operaciones cibernéticas que tienen lugar en un conflicto armado. En consecuencia, aboga por una interpretación centrada en la dignidad humana del concepto de ‘violencia’ que subyace a la noción de ataque en el contexto cibernético, yendo más allá de la mera causalidad de la violencia física para incluir la violencia psicológica grave y la violencia económica grave como requisitos previos necesarios para calificar una operación cibernética como un ‘ataque’.\n\nL uso di tecnologie informatiche in tempi di conflitto armato pone gravi sfide interpretative, come ad esempio quale tipo di operazioni informatiche equivalgono ad un attacco ai fini dell Art. 49 del Protocollo Addizionale I. La nozione di attacco è la base della legge di targeting, un insieme di regole che include i principi di distinzione, proporzionalità e precauzione, volte a limitare la quantità di violenza che i belligeranti possono legittimamente impiegare sul campo di battaglia. La logica di queste regole è quella di aumentare la protezione della dignità della popolazione civile, che costituisce l obiettivo principale del moderno IHL. Alla luce di queste considerazioni, l articolo sostiene che l interpretazione prevalente della nozione di attacco nel contesto informatico sia troppo restrittiva e non possa proteggere adeguatamente la popolazione civile dalle operazioni informatiche che si svolgono in conflitti armati. Di conseguenza, sostiene un interpretazione basata sulla dignità umana della nozione di violenza che sta alla base della nozione di attacco nel contesto informatico, andando oltre l’essere la mera causa di violenza fisica per includere la violenza psicologica grave e la violenza economica grave come prerequisiti necessari per qualificare un operazione cibernetica come un ‘attacco’. \n\nDie Verwendung von Cybertechnologien in Zeiten eines bewaffneten Konflikts stellt uns vor schwere interpretative Herausforderungen, wie die Frage, welche Art von Cyberoperationen einen ‘Angriff’ im Sinne von Art. 49 des Zusatzprotokolls I darstellen. Der Begriff ‘Angriff’ ist der Eckstein der Zielgesetze, einer Sammlung von Regeln, die die Grundsätze der Unterscheidung, Verhältnismäßigkeit und Vorsorge umfassen, welche zum Ziel haben, das Maß von Gewalt, das Krieg führende Staaten rechtmäßig auf dem Schlachtfeld verwenden können, zu beschränken. Der Grundgedanke dieser Regeln besteht darin, den Schutz der Würde der Zivilbevölkerung, der das Hauptziel des modernen internationalen humanitären Rechts ausmacht, zu erhöhen. Angesichts dieser Betrachtungen, argumentiert mein Artikel, dass die gängige Interpretation des Begriffs ‘Angriff’ im Cyber-Kontext zu restriktiv ist und die Zivilbevölkerung nicht adäquat vor der Durchführung von Cyberangriffen in bewaffneten Konflikten schützen kann. Folglich befürwortet der Artikel eine auf Menschenwürde basierte Interpretation des dem Begriff ‘Angriff’ im Cyber-Kontext zugrunde liegenden Begriffs ‘Gewalt’, die über die reine Verursachung physischer Gewalt hinausgeht und auch schwere psychische und wirtschaftliche Gewalt als notwendige Bedingungen umfasst, um eine Cyberoperation als einen ‘Angriff’ zu bezeichnen.