“Applicability of the Jus in Bello to Cyber Operations Against Civilian Data: A Legal Grey Zone in the Protection of Data”
Daniela Wildi
GSI Working Paper BA LAW 2023/04
N° ISSN: ISSN 2624-8360
Discipline : Law
Date: 2023
Keywords
International humanitarian law Military cyber operations Civilian data protection Cyberspace Cyber attacks
Abstract
Starting from the premise that cyber operations affecting civilian data ‘could cause more harm to civilians than the destruction of physical objects’, the research sets out to identify the legal grey zone arising from the applicability of the jus in bello and its susceptibility (or potential) to exploitation when conducting cyber operations against civilian data.
Two central concepts have proven to be challenging to apply. First, determining the meaning of the term ‘attack’ under IHL remains unsettled when applied to cyber operations. In particular, regarding the key threshold of ‘attack’, consideration should be given as to how below-threshold cyber operations are to be addressed. Second, a related debate centers around the question of whether data can be considered an ‘object’ under IHL. It follows that various rules of IHL which provide protections to ‘objects’ – particularly those relating to distinction, proportionality, and precautions in attack – do not protect data if it does not fall within the definition of ‘object’. While targeting law provides minimal protection of civilian data beyond those limited operations that would produce physical effects, certain categories of targets enjoy special protections that do not rely on qualifications such as ‘attacks or ‘objects’.
By emphasizing the relevance of the protection of civilian data in armed conflict, the research illustrates that the law remains unsettled in a way that either places civilians at risk or fails to address currently lawful cyber operations against civilian data that could nevertheless prove highly detrimental to the civilian population. Consequently, a significant coverage gap exists within IHL for the protection of civilian data in modern society. The research proposes expanding perspectives beyond the limited scope of existing IHL, encouraging future research to reflect and engage in detail with the intersection of existing principles of data protection, data security, and other relevant legal frameworks and attempt to apply them to modern armed conflict.
Partant de l'hypothèse que les opérations cybernétiques affectant les données civiles « pourraient causer plus de dommages aux civils que la destruction d'objets physiques », la recherche vise à identifier la zone grise juridique résultant de l'applicabilité du jus in bello et de sa susceptibilité (ou potentiel) à l'exploitation lors de la conduite de cyberopérations contre des données civiles.
Deux concepts centraux se sont révélés difficiles à appliquer. Premièrement, déterminer la signification du terme « attaque » en DIH demeure non résolu lorsqu'il est appliqué aux opérations cybernétiques. En particulier, en ce qui concerne le seuil clé de « l'attaque », il convient de se pencher sur la manière de traiter les opérations cybernétiques en deçà du seuil. Deuxièmement, un débat connexe porte sur la question de savoir si les données peuvent être considérées comme un « objet » en vertu du DIH. Il s'ensuit que diverses règles du DIH qui protègent les « objets » – en particulier celles relatives à la distinction, à la proportionnalité et à la prise de précautions dans l’attaque – ne protègent pas les données si elles ne rentrent pas dans la définition d'un « objet ». Alors que le droit de ciblage offre une protection minimale des données civiles au-delà de ces opérations limitées qui produiraient des effets physiques, certaines catégories de cibles bénéficient de protections spéciales qui ne reposent pas sur des qualifications telles que « attaques » ou « objets ».
En soulignant l’importance de la protection des données civiles en temps de conflit armé, la recherche montre que le droit demeure non résolu d'une manière qui place soit les civils en danger, soit ne parvient pas à aborder les opérations cybernétiques actuellement légales contre les données civiles qui pourraient néanmoins s'avérer très préjudiciables pour la population civile. Par conséquent, le DIH présente une lacune importante en ce qui concerne la protection des données civiles dans la société moderne. La recherche propose d'élargir les perspectives au-delà de la portée limitée du DIH existant, en encourageant la recherche future à réfléchir et à s'engager en détail avec l'intersection des principes existants de protection des données, de sécurité des données et d'autres cadres juridiques pertinents, et à tenter de les appliquer aux conflits armés modernes.