July 2020

Towards a lowest common denominator? Settling for a better protection of ‘life-sustaining’ critical infrastructures

By: Thibault Moulin

Read More

 

The failure of the fifth session of the United Nations Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security (UN GGE) in 2017 put an abrupt halt to the definition of detailed rules for applying existing international law in cyberspace. If Cuba, China and Russia disagreed with the potential application of international humanitarian law or self-defence in cyberspace at the time,[i] the number of states that refuse to define rules might have grown since, as illustrated by the lack of support from the USA to the Paris Call for Trust and Security in Cyberspace. If states still aim at achieving a consensual agreement on what is acceptable – and what is not – in cyberspace, focusing on ‘lowest common denominators’ might appear as a potential solution.

 

As a matter of fact, most states agree that protecting critical infrastructures is essential. Measures were adopted at the regional scale, such as the EU Council directive 2008/114/EC, and several steps were also taken on the domestic sphere to protect them. Decrees and orders were for instance implemented by France[ii] and the USA,[iii] strategies in Germany,[iv] and laws in Belgium,[v] Spain etc.[vi] In the report of the UN GGE in 2015, a consensus revealed that ‘[a] State should not conduct or knowingly support ICT activity contrary to its obligations under international law that intentionally damages critical infrastructure or otherwise impairs the use and operation of critical infrastructure to provide services to the public’.[vii] A majority of states then supported a similar statement in the Paris Call, and pledged to ‘[p]revent and recover from malicious cyber activities that threaten or cause significant, indiscriminate or systemic harm to individuals and critical infrastructure’.

 

States do not only agree that critical infrastructures should benefit from a better protection, they also tend to agree on what is a critical infrastructure. According to the EU, ‘critical infrastructure’ means ‘an asset, system or part thereof located in Member States which is essential for the maintenance of vital societal functions, health, safety, security, economic or social well-being of people, and the disruption or destruction of which would have a significant impact in a Member State as a result of the failure to maintain those functions’.[viii] Belgian definition is only slightly different.[ix] Germany defines ‘critical infrastructures’ as ‘organizational and physical structures and facilities of such vital importance to a nation's society and economy that their failure or degradation would result in sustained supply shortages, significant disruption of public safety and security, or other dramatic consequences’.[x] The American definition is the following: ‘the term critical infrastructure means systems and assets, whether physical or virtual, so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters’.[xi] They include, in Australia, ‘those physical facilities, supply chains, information technologies and communication networks which, if destroyed, degraded or rendered unavailable for an extended period, would significantly impact the social or economic wellbeing of the nation or affect Australia’s ability to conduct national defence and ensure national security’.[xii] In Chile, a critical information infrastructure ‘includes the installation, networks, services and physical and information technology equipment whose impairment, degradation, rejection, interruption or destruction may have an important impact on the security, health and wellbeing of people and on the effective operation of the State and the private sector’.[xiii] Even China is looking for a better protection of these critical infrastructures.[xiv]

 

Jack Goldsmith wrote in 2011, though, that this ‘supposed alliance of interests is misleading’.[xv] For instance, he argued that ‘China is committed to the deployment of malicious agents inside our critical infrastructure (including banking systems) to make up for its relative weakness in traditional military capabilities in the event of a hot war. Combining this consideration with its relatively powerful control over its own critical infrastructures, China might think itself relatively better off, vis a vis the United States, by not giving up cyber threats against civilian infrastructures, including banking’. He adds that, ‘[s]imilarly, Iran or North Korea might want to maintain the threat of shutting down our electricity grid—even if doing so heightened the vulnerability of its own grid’. Even the refusal of the USA to join Paris Call might be linked to critical infrastructures at some point, as Washington apparently ‘worries about commitments to avoid using cyberattacks as a prelude to military action’ and ‘had a secret program, code-named “Nitro Zeus,” which called for turning off the power grid in much of Iran if the two countries had found themselves in a conflict over Iran’s nuclear program’.[xvi] Even in peacetime, states might admittedly not be ready to give up any interference with critical infrastructures – as illustrated by the series of counter-attacks between Iran and Saudi Arabia, and carried out on energy networks –[xvii] but the lack of direct casualties in the wake of such strikes is instructive. Even if discussions on the application of use of force or international humanitarian law are put off, it could be interesting for states to contemplate an agreement on a lowest common denominator: the prohibition of cyber-activities that target critical infrastructures, when they are likely to cause dramatic effects for life.

 


[i] Stefan Soesanto and Fosca D'Incau, ‘The UN GGE is dead: Time to fall forward’(ECFR, 15 August 2017) https://www.ecfr.eu/article/commentary_time_to_fall_forward_on_cyber_gov...

[ii] Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale et pris pour l'application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense.

[iii] Executive Order -- Improving Critical Infrastructure Cybersecurity (12 February 2013); National Institute of Standards and Technology, Framework for Improving Critical Infrastructure Cybersecurity (12 February 2014) www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.pdf

[iv] Federal Ministry of the Interior, ‘National Strategy for Critical Infrastructure Protection (CIP Strategy)’ (17 June 2009) https://www.bmi.bund.de/SharedDocs/downloads/EN/publikationen/2009/kritis_englisch.pdf?__blob=publicationFile&v=1

[v] Loi relative à la sécurité et la protection des infrastructures critiques (1 July 2011).

[vi] Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

[vii] ‘Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security – Note by the Secretary General’, A/70/174 (22 July 2015), p. 8.

[viii] Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection.

[ix] Loi relative à la sécurité et la protection des infrastructures critiques, art. 3(4). ‘[I]nfrastructure critique : installation, système ou partie de celui- ci, d’intérêt fédéral, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l’interruption du fonctionnement ou la destruction aurait une incidence significative du fait de la défaillance de ces fonctions’.

[x] Federal Ministry of the Interior, ‘National Strategy for Critical Infrastructure Protection (CIP Strategy)’, p. 4.

[xi] Executive Order -- Improving Critical Infrastructure Cybersecurity, s. 2.

[xii] Commonwealth of Australia, 'National Guidelines for Protecting Critical Infrastructure from Terrorism' (2015), p. 3 https://www.nationalsecurity.gov.au/Media-and-publications/Publications/Documents/national-guidelines-protection-critical-infrastructure-from-terrorism.pdf

[xiii] Chilean Government, ‘National Cybersecurity Policy’ (2017) p. 16 https://www.ciberseguridad.gob.cl/media/2017/04/NCSP-ENG.pdf

[xiv] China, ‘National Cyberspace Security Strategy’ (2016) https://chinacopyrightandmedia.wordpress.com/2016/12/27/national-cybersp...

National critical information infrastructure refers to information infrastructure that affects national security, the national economy and the people’s livelihood, where whenever data is leaked, it is destroyed or loses its functionality, national security and the public interest may be gravely harmed, including but not limited to basic information networks providing public telecommunications, radio and television transmission, and other such services, as well as important information systems in areas and State bodies such as energy, finance, transportation, education, scientific research, hydropower, industry and manufacturing, healthcare and medicine, social security, public undertakings, etc., important Internet application systems, etc. Adopt all necessary measures to protect critical information infrastructure and its important data from attack and destruction. Persist in laying equal stress on technology and management, simultaneously developing protection and deterrence, focus on identification, prevention, monitoring, early warning, response, handling and other such segments, in establishing and implementing a critical information infrastructure protection system, expand input in areas such as management, technology, talent and finance, synthesize measures and policies according to the law, and realistically strengthen security protection of critical information infrastructure.

[xv] Jack Goldsmith, ‘cybersecurity treaties: a skeptical View’ (2011), Future Challenges in National Security and Law.

[xvi] David Sanger, ‘U.S. Declines to Sign Declaration Discouraging Use of Cyberattacks’, New York Times (12 November 2018) https://www.nytimes.com/2018/11/12/us/politics/us-cyberattacks-declarati...

[xvii] Dan Efrony and Yuval Shany, ‘A Rule Book on The Shelf? Tallinn Manual 2.0 on Cyber Operations and Subsequent State Practice’ (2018) 112(4) AJIL. 583, p. 603.

 

 

Read Less

לסדוק את תיבת התהודה אמפתיה והרחבת גבולות במדיה החברתית

מאת: כנרת רוזנבלום

Read More
להיות בנעליו של האחר; בגופו

לפני כמה שנים התמזל מזלי להשתתף בפרפורמנס של קבוצת אמנים ומדענים בשםBeAnotherLab  שפיתחה מכשיר חדשני: The Machine to Be Another. באמצעים פשוטים יחסית, של משקפי מציאות וירטואלית וסדרת פעולות יומיומיות כמו החזקת אבוקדו למשל, הם הזמינו כל שני משתתפים להכנס לנעליו של האחר, ולמעשה – הרבה יותר מזה.

בעודנו ממתינות לתורנו, ראינו זוגות בהרכבים שונים יושבים זה אל מול זה, מרכיבים משקפיים של מציאות וירטואלית, שמאפשרים להם לראות את מה שרואה האחר. בין שני המשתתפים מוצבת מחיצה, ושניים מהאמנים מכוונים את המשתתפים לבצע פעולות יומיומיות, קטנות, כמו להחזיק אבוקדו, לקום, לשבת, להרים יד ימין ואז את יד שמאל. האמנים, שעמדו בגבם זה לזה, הקפידו על תיאום בתנועותיהם, ובהתאמה גם המשתתפים שמרו על סימולטניות: כל אחד מהם מרגיש את משקלו של האבוקדו שלו בשתי כפות ידיו, קם, מתיישב, מסתובב. בסופה של ההתנסות הוסט המסך המפריד בין המשתתפים, ומאחוריו התגלתה מראה. מבחוץ יכולנו רק לדמיין את החוויה של התבוננות במראה, כשבעצם, בהתנסות הנוכחית, עם משקפי ה-VR, היא התבוננות בבבואתו של האחר המתבונן בעצמו במראה. האיטיות שבתנועות של המשתתפים, פליאה שהובעה בקול או בהבעת הפנים, בחלק הפנים שנותר גלוי ולא כוסה על ידי המשקפיים השחורים הגדולים - כל אלה היו מפעימים גם במבט מבחוץ. בסוף, וסליחה על הספוילר, מזיזים האמנים המפעילים גם את המסך המפריד בין שני המשתתפים, ובעדינות מכוונים אותם להתחבק זה עם זה. זה היה מרגש מאוד גם במבט מבחוץ, אבל עדיין לא הבנתי למה.

ההתבוננות כשלעצמה היתה חוויה חידתית ומפעילה, אבל לא הכינה אותנו למה שנחווה כשיגיע תורנו. באתי עם הילדות שלי, ובהתחלה נתתי להן להתנסות. הן היו נרגשות: הגדולה החזיקה אבוקדו, אלא שהיא החזיקה אותו בידיים של הקטנה, זה מה שסיפרו לה עיניה. כששתיהן הרימו רגליים, לפי הנחיות המפעילים, הגדולה התפלאה לגלות שרגליה קצרות מכרגיל, הקטנה חשבה שרגליה התארכו, וכן הלאה. למרות שהפעולות היו מתוזמרות, הרי שכל אחת מהן זזה קצת אחרת, בקצב אחר, במידה אחרת של רכות או נחרצות.

כשהגיע תורי, חוויתי חוויה בלתי נשכחת. מהתבוננות כבר הכרתי את כל הריטואל - אבוקדו, הרמות ידיים, מראה, חיבוק. אבל לא היה לי מושג איך זה להיות למשך חמש דקות בגופה של הבת שלי. זאת היתה חוויה משונה ומרתקת, של הזרה ובו בזמן של קרבה עצומה. אבל כשהזיזו את המסך ואחריו את המראות, והתחבקתי עם בתי, זרועותיי חיבקו את גופה הקטן והמוכר, בעוד עיניי, שהביטו אל מרכז גופי מלמטה, סיפרו לי איך היא, מבחינתה, מחבקת אישה ענקית ועצומה בגודלה. האשה העצומה שממתניה ומעלה התבוננתי, היתה אני, כך הבנתי, בפליאה, בזעזוע מסוים.

רק אז הבנתי כמה אני גדולה יחסית לבת שלי; מה קורה כשאשה גדולה כל כך כועסת, למשל. אז יכולתי לדמיין, בדמיוני המוגבל, איך הרגישו בני זוג שהתחלפו בגופם, לכאורה, אחד עם השני, ולהבין שמץ מההתרגשות של האשה בעלת הרגליים הבריאות והגבר בכסא הגלגלים שהיו לפנינו בתור. היכולת להיות לרגע בגופו של אדם אחר היא חוויה נדירה ועמוקה ומאירת עיניים.

האחר הוא האחר

לפני כמה חודשים טיילנו בווייטנאם. וייטנאם היא עדיין מדינה קומוניסטית ולפי האופן שבו הגישה את עצמה לתיירים, נדמה שהיא עדיין לא מעוניינת שהם יכירו אותה לעומקה. המקומיים שאיתם נפגשנו היו מדריכי תיירים, שלמרות בקשתנו, הובילו אותנו במסלול התיירותי השחוק והמוכר. יפהפה, אבל בנאלי. טעים מאוד, חייכני, אבל נטול חוויית גילוי של ממש.

בשיחות איתם, לעתים רחוקות המדריכים הרשו לי לקלף מעט את השיריון ההסברתי. הם סיפרו לנו על עצמם, על חייהם, על האופן שבו המשטר במדינה הוא בו זמנית קפיטליסטי מבחינה עסקית אבל קומוניסטי מבחינה פוליטית. כשטיילנו בסאפה, אחד המקומות היפהפיים בעולם, הופתענו לגלות את הפער בין מקום מסורתי מאוד, שבו אשה שבנה קשור עליה בצעיף מכבסת את בגדיה בנהר על קרש גיהוץ, אבל כשהיא נחה רגע מעבודתה, היא נשענת על סלע, צופה לעמק, ומדפדפת ברשתות החברתיות בסמארטפון עם כרטיס Pre paid.

צ'ו, המדריך שלנו, סיפר שאצלם בשבט, נהוג לחטוף אישה לשלושה ימים למשפחת הבעל המיועד לה, ובסופם של שלושת הימים היא מחליטה בעצמה האם להתחתן איתו או לא. אלא שצ'ו כשלעצמו הכיר את אשתו בפייסבוק. במשך כל הטיול תשובותיו היו שילוב של כנות ופולקלור שהוכן מראש בקורס מדריכי הטיולים שעשה. כל הנסיעה חככתי ביני לביני אם לבקש ממנו לראות את חשבון האינסטגרם שלו – ידעתי שכך אלמד על חייו הרבה יותר מכל אגדה מקומית שיבחר לספר לי. אבל התביישתי. חששתי שזה יפגע בפרטיותו, זכרתי שהטיול שלנו הוא העבודה שלו, ועד שאזרתי אומץ לשאול אותו, אם הוא מוכן להחליף טלפונים, אנחנו נראה לו את שלנו והוא יראה לנו את שלו, נגמר לו כרטיס החיוג והטלפון שלו מת ממילא.

האדם – תבנית נוף הפיד שלו

לא צריך להרחיק עד לסאפה, וייטנאם, כדי לראות את האופן שבו תיבת התהודה של הרשתות החברתיות מעצבת את מצב הרוח שלנו והשקפת העולם שלנו, כמו גם את הבחירות שלנו; שלא לדבר על האופן שבו היא מקצינה את דעותינו והלך הרוח שלנו, בלית קולות שונים מאלה הדומיננטיים.

מדי פעם, כשהמחשב נשאר פתוח על החשבון שלי, בן הזוג שלי מדפדף ונדהם כמה הפידים שלנו שונים זה מזה. אנחנו בני אותו גיל, אותו מצב כלכלי, במקצועות דומים ודעותנו הפוליטיות סמוכות זו לזו. ובכל זאת - הפיד שלי מלא בפמיניזם, אקטיביות חברתיות, עניינים של עיצוב ולייף סטייל, תזונה, ספרות ואמנות, ושלו - סוגיות של כלכלה וקצת פוליטיקה. שלי הרבה יותר מעניין, מספרים שנינו לזכותי. ובכל פעם שאני לא מבינה מה הוא לא מבין בנושאי תזונה, הרי למדתי על זה כל כך הרבה בשנים האחרונות, למידה דיפוזית, לא רצונית, פשוט כי כל הפיד שלי עסוק בזה כל הזמן, אני נזכרת שבעוד אני מוצפת בפוסטים ופרסומות ושאלות על אתגר ללא סוכר, ודיאטות קטו, וללא גלוטן וגמילה מחלב וקבוצות ריצה, ופילאטיס ויוגה, הוא מקבל עוד גרף על השפעת גודל הכיתות על איכות ההשכלה.

אנחנו יודעים לעשות חיפוש על חבר או מועסק פוטנציאלי, על שכן מסקרן, על דמות ציבורית, דרך העמודים שלהם. זאת דרך ללמוד על האופן שבו הם מבקשים להציג את עצמם. זאת הצגה עצמית מודעת יחסית, מתוחכמת על פי רוב, מגלה טפח ומכסה טפחיים. אבל אם הייתי יודעת איך נראה הפיד שלהם? הדברים שאותם הם קוראים כל היום, אליהם הם מתייחסים כטבעיים, כמובנים מאליהם, כשקופים? החומרים שמהם הם ניזונים? כמה הייתי יודעת עליהם?

תבנית נוף מולדתו של האדם הדיגיטלי הוא היום הפיד שלו ברשתות החברתיות.

הקטנה שלי גדלה מאוד מאז ההתנסות ב-machine to be another. אם נתחבק עכשיו לא הבדלי הגובה הם מה שיבלטו בינינו. הוסיפה את חשבון האינסטגרם שלה לאייפד שלי, וככה - היא עוד לא יודעת את זה - אני מחוברת חזק לפיד שלה, למה שקורה בחוג החברתי שלה, הקרוב והרחוק, לתחומי העניין ולמה שהאלגוריתם מעריך שיעניין אותה. זה חלון חשוב לחייה, כך למדתי לחבב סליים ו-ASMR ואת בילי אייליש. חלון ההזדמנויות הזה עוד ייסגר בפניי, לא רחוק היום. אחותה הגדולה כבר פתחה קבוצת closed friends בסטורי, וראו זה פלא - ההורים שלה לא בחבריה הקרובים.

לסדוק את תיבת התהודה: לשחות בזרם של האחר

התופעה ידועה ומחיריה החברתיים והפוליטיים כבדים: כולנו סגורים בתיבת התהודה שהיא הפיד שלנו. אנחנו נעים במעגלים סגורים של דעות, העדפות ועובדות נוחות לעיכול, ולא מסוגלים או רוצים לשבור אותם. האלגוריתם יודע להגיש לנו את האוכל שאליו אנחנו רגילים, אבל זה לאו דווקא האוכל שמזין אותנו, שמעניין אותנו, לא מזון למחשבה ובטח לא לניעור תפיסות והרחבת גבולות.

ומה אם הפיד שלנו לא היה נע במעגלים הקבועים? מה אם בדומה לכפתור "I'm Feeling Lucky" של גוגל, היה בצד שמאל של הפיד הפייסבוקי שלי כפתור "change feed" שמזמין אותי להוריד את המשקפיים המסוימים שדרכם אני רואה את המציאות ולהחליף אותם עם משקפיים של מישהו אחר? של גבר בן גילי, של אשה צעירה ממני. של אשה בת גילי עם מספר הילדים שלי, בעיר גדולה אחרת בארץ? או במקום אחר בעולם? מה אם האלגוריתם החתרני היה מציע לי להרכיב את המשקפיים של ההופכי שלי? ומהו ההופכי שלי, על איזה ציר בדיוק? של גיל? של מעמד כלכלי? של דעה פוליטית? של גאוגרפיה? של טעם מוזיקלי? מה אם הייתי מבינה עכשיו מה קורה בלבנון דרך הפיד של בת דמותי הביירותית? מה אם הייתי יכולה להציע חברות למישהו בפיד שלה, שמפרסם תכנים שמעניינים אותי?

שחרור מהשחייה במעגלים הידועים: טכנולוגיה ותמריצים

קל לסדוק את דופנות תיבת התהודה. פייסבוק יכולה לעשות את זה בעצמה, אם תחליט שזה חשוב מספיק, מועיל לעולם או משרת אותה. ואם לא היא – יתכבדו נא האקרים וישחררו אותנו מהמעגלים שבהם אנחנו שוחים ברשתות. שני דגמים של פרויקט סדיקת תיבת התהודה: הטיפוסית והספציפית.

בדרך הטיפוסית יוצגו טיפוסים שונים, מאה, נניח, בדיוניים, שהפידים שלהם הם סינתזה של פרופילים קיימים. מאה הטיפוסים האלה ייצגו את כלל משתתפי פייסבוק, ואוכל לבחור לראות את הפיד דרך עיניהם, בכל פעם משקפיים אחרים.

הדרך הספציפית תזמין לפרויקט אנשים של ממש, בעלי חשבונות ובעלי בשר ודם, שיסכימו לשתף את חוויית הפיד שלהם עם משתתפים אחרים בפרויקט. וכך, אם אסכים להשתתף בפרויקט אוכל לשחות בפידים של המשתתפים האחרים בפרויקט, להבין את הפילטר שדרכו הם צורכים את העולם ואת הרשתות החברתיות.

כמו בטיול לחו"ל, גם בטיול בפידים של משתתפי הפרויקט, אוכל לעשות קניות, ולייבא משם, באמצעות Like או Follow, פוסטים שיעניינו אותי ולהחליט לצרף אותם לפיד שלי. כך אפשר יהיה לא רק להכנס לעורו של האחר, אלא גם להסיר את סכי העיניים שלי, להרחיב את האופק שהפלטפורמה ייעדה לי.  

סבילות לחומרים זרים

הפיד של צ'ו הוייטנאמי מעניין, אקזוטי בוודאי, אך לא באמת מאתגר. לעומת זאת, כמה זמן ארצה או אסכים לשהות בפיד הפייסבוק של בת גילי מהקצה השני של הקשת הפוליטית הישראלית? האם חשיפה לתכנים שאליהם היא נחשפת תלמד אותי משהו על הצד האחר או על עצמי? האם החשיפה הממושכת, העשירה, המורכבת, תדרבן אותי להעז לפתוח בדיאלוג מסוג חדש? לבחון את דעותיי? להיות פתוחה לעובדות שכרגע אני לא נפגשת בהן כלל ובטח לא כשהן מוצגות כאמת צרופה, מובנת מאליה? אולי זה יגרום לי להתבצר בדעותיי? האם התסכול מהפערים בינינו יניע אותי לפעולה או יגרום לי לסגת למים החמימים של הפיד המוכר שלי?

אם לזמן מה ארכיב את המשקפיים שהאחרים מרכיבים, אצליח להרגיש לזמן מה בנעליהם, גם אם לא בגופם, של אנשים מקצוות שונים של החברה או של העולם.

*

פרויקט האמפתיה האינטרגלקטי הראשון הוא הזדמנות לרתום את הפלטפורמה המשמעותית בעולם לניסוי חברתי בתקשורת ובתקשורת בינאישית. זה יכול להיות כר רחב ועמוק למחקר וללמידה, אבל בו זמנית, גם קריאה לפעולה: הזמנה לראות, להתבונן ולהקשיב מעבר לקו האופק הפרטי של כל אחד מאיתנו. אולי אפילו לשוחח.

פרויקט האמפתיה יכול להיות פעולה, ממסדית או חתרנית, נגד רידוד השיח ובעד פריצת התאים הקטנים שבהם מתקיים השיח החברתי. שינוי קטן, לכאורה במדיום (כפתור: Change my Feed למשל) יכול לגרור שינוי עצום במסר, בהוויה החברתית-פוליטית-דיגיטלית שלנו ואולי בהמשך גם בשיח בעולם.

*

כנרת רוזנבלום היא סופרת ויועצת ארגונית, בעברי עיתונאית ובהשכלתי סוציולוגית. מייסדת הבלוגים "פריזאית" ו::רווחים::.

Read Less

Privacy and Data Protection in Times of Armed Conflict

By: Asaf Lubin

Read More

On 16 June 2020 the International Committee of the Red Cross (ICRC) released its much-anticipated updated Commentary on the Third Geneva Convention relative to treatment of prisoners of war. To celebrate this launch, the ICRC brought together renowned experts and practitioners to discuss the process of renewing the Commentary, which original version dates back to the 1950s. The speakers seemed to all agree on one thing––that emerging technologies play a huge role in reorienting our interpretations of the Geneva Conventions and their Additional Protocols. As Dr. Jean-Marie Henckaerts, the Head of the Project to update the ICRC Commentaries, further explains:

 

“...developments relating to privacy and data protection […] were not present in the original Commentary because they have been developed over the past decades… There have also been technological developments in areas of communications and medicine. So, I can just give the example of contacts of prisoners with the outside world and with their families, correspondence, and the censoring of their correspondence, these areas have developed greatly over the past decades thanks to developments in technology. Whereas the Third Convention puts the emphasis on telegrams today there are faster measn of communication.” (see minute 14:20-15:20).

 

Consider the specific issue of “special surveillance” of POWs, as just one anecdotal example. Under Article 92 of the Third Geneva Convention, POWs who had attempted to escape and are recaptured may be subject to special surveillance. Such surveillance “must not affect the state of their health, must be undergone in a prisoner of war camp, and must not entail the suppression of any of the safeguards granted them by the present Convention.” As you can see, the Convention’s text offers very limited information as to the specific surveillance tools that may or may not be utilized, the safeguards and restrictions that should be imposed on surveilling authorities, general principles of legality, necessity and proportionality that must be adhered to during the surveillance, or the procedures for ensuring access to justice and remedies for the POW in the case of abuse.

 

To address some of these concerns, the new Commentary now states that certain of these safeguards “can be found in international human rights law.” The ICRC experts, however, stop short of actually defining the scope and nature of the rights to privacy and data protection or their particular application in times of war. This approach is not unique. The International Court of Justice (ICJ) for example in the 2004 Palestinian Wall Advisory Opinion, acknowledged that Article 17 of the International Covenant on Civil and Political Rights (ICCPR), on the right to privacy, applied in the Occupied Palestinian Territories. The Court did not, however, go any further in clarifying why it applied, or in what fashion, or what specific consequences such application had on the issues at hand.

 

This is quite troubling considering that the rights to privacy and data protection did not find any explicit mention, let alone specific protection, in either the Hague Regulations of 1899 and 1907, the Geneva Conventions of 1949, or the Additional Protocols of 1977. Unsurprisingly, the International Committee of the Red Cross (ICRC) Customary IHL database also excludes any real mention of privacy or data protection within the 161 rules it identifies as constituting the common core of humanitarian law binding on all parties to all armed conflicts today. A review of the roles that the rights to privacy and data protection play in regulating wartime military operations is long overdue, especially as they relate to the use of what the ICRC calls “digital technology during armed conflict for purposes other than as means and methods of warfare.” There is a rising increase in the use of new technologies by militaries and non-state armed groups for the purposes of surveillance of civilian populations, of conducting disinformation campaigns, and of launching below-the-threshold cyber intrusions. To keep IHL relevant in the face of developments in the fields of artificial intelligence, quantum computing, and encryption, requires us to have new conversations.

Take the obligation of Hospitals Ships during armed conflict to “afford a reasonable level of security” to the communication of personal health data, as is mandated under Article 34 of the Second Geneva Convention. If the Captain of the USNS Mercy hospital ship of the US Navy is concerned about the data protection obligations they are bound by in communicating sensitive health data during armed conflict, the Captain could not find an answer to this question by flipping through the pages of the Geneva Conventions and Additional Protocols. Nor could the Captain rely on existing IHL commentaries or interpretations to reach a conclusive answer. In this scenario, the Captain might turn to human rights law to try and fill the lacuna, but IHL literature as it currently stands offers very little by way of the proper interpretive models and techniques to be adopted.

In my new paper titled: The Rights to Privacy and Data Protection Under International Humanitarian Law and Human Rights Law (a draft of which is available on SSRN) I explore these questions and others. This paper is to be published as the closing chapter of the upcoming Research Handbook on Human Rights and Humanitarian Law: Further Reflections and Perspectives (edited by Robert Kolb, Gloria Gaggioli and Pavle Kilibarda). In my paper I examine three case studies: (1) data protection obligations triggered by the monitoring of the civilian population in the occupied territories; (2) the restrictions imposed on wartime SIGINT collection for launching military operations; and (3) the obligations imposed on international organizations and criminal courts in the collection of digital evidence for jus post bellum investigations and fact-finding missions. These three cases were selected as they target three different obligation holders: a belligerent occupier, a targeting commander, and post factum investigator or prosecutor.

In reviewing these case studies, the chapter explores the normative foundation and scope of application of the rights to privacy and data protection in IHL. The chapter proceeds in the following order. Section II discusses the nature and scope of the rights to informational privacy and data protection under HRL. Section III examines the application of these rights during armed conflict, under the existing theoretical doctrines surrounding the concurrent application of HRL. This section argues that regardless of which specific doctrine one adopts, the rights to privacy and data protection must be read into our contemporary understanding of IHL. Section IV then moves to discuss the specific application of these rights in each of the three case studies. Section V concludes.

The real goal of this chapter and of this broader research project, is to invite other scholars to explore at greater length the intersection of privacy, data protection, and the laws of IHL. As I write in the conclusion of the piece:

“A whole set of fascinating and thought-provoking questions await those who are willing to jump into the fray. Beyond the questions I discussed in the piece one may additionally seek to dig deeper into the following: what is the scope of the rights of POWs, detainees, refugees, and those internally displaced over their electronic devices and data stored in the cloud? Should the “right to be forgotten” be extended to those who have committed war crimes or crimes against humanity? Can operations of cyber rummaging and theft in another’s private computer network ever be subjected to the prohibition on pillaging? What is the nature and scope of application of the rights to privacy and data protection in the context of non-state armed and insurgency groups? What obligations might IHL be said to impose on internet platforms and tech giants whose services are being augmented not only to abuse privacy but also to limit freedom of expression or assembly or to incite to violence?”

By introducing these questions I hope this chapter will serve as a prompt for a growing body of scholarship that couldn’t be more timely and necessary.

Read Less