Kis Kelemen Bence[1]: Személyes adatok védelme fegyveres konfliktusokban* (JK, 2022/10., 395-402. o.)

A személyes adatok védelme napjainkban kiváltképpen fontossá vált, különösen az Általános Adatvédelmi Rendelet, a GDPR elfogadása óta. A fegyveres konfliktusok joga azonban látszólag nem védi a polgári lakosság személyes adatait, amelyek törlése vagy megváltoztatása igen súlyos következményeket válthat ki. A releváns nemzetközi szerződések és a nemzetközi szokásjog kialakulása idején az elektronikus formában létező személyes adatokat nem védte a humanitárius nemzetközi jog és bár a jogtudomány álláspontja szerint ez jelenleg kívánatos lenne, az állami gyakorlat ma is megosztott a kérdésben. Mindez viszont a fegyveres konfliktusok jogának generális védelmi funkciójából mit sem von el, sőt a személyes adatok védelme potenciálisan hátrányosabb lehetne a védett személyek számára.

Summary - Protection of Personal Data in Armed Conflicts

Nowadays, the protection of personal data has gained significant attention, especially after the adoption of the General Data Protection Regulation. However, the law of armed conflict seemingly does not protect the personal data of the civilian population, the deletion or manipulation of which can cause significant harmful effects. At the time of the adoption of the relevant international treaties and the evolution of customary international law, international humanitarian law did not protect personal data stored electronically, and even though commentators tend to accept the object status of electronic data, state practice remains inconclusive. This does not take away anything from the general protective nature of international humanitarian law, moreover the protection of personal data could potentially be harmful for the protected persons such as civilians.

Tárgyszavak: személyes adatok, GDPR, Európai Unió, nemzetközi jog, kiberműveletek

I.

Bevezető gondolatok

Napjainkban egyre nagyobb szerepet kap a személyes adatok védelme. Elég, ha csak arra gondolunk, hogy az Európai Unió rendeleti formában szabályozta a kérdést, amikor megalkotta az általános adatvédelmi rendeletet (a továbbiakban: GDPR).[1] A dolog természetéből adódóan ez és az ehhez hasonló jogi normák nem alkalmazandók fegyveres összeütközések során. Ezt a GDPR külön ki is emeli, amikor azt mondja, hogy a rendelet nem alkalmazandó az uniós jog hatályán kívül eső tevékenységek során, valamint a Közös Kül- és Biztonságpolitika területén.[2]

Ennek ellenére a személyes adatok védelme nem csak "békeidőben" fontos, ugyanis életünk egyre nagyobb szeletét hálózza be az internet és egyre jobban függünk a különböző számítógépes rendszerektől, amelyek pedig óhatatlanul tartalmaznak rólunk személyes adatokat. E személyes adatok alapvetően számítógépes formában, elektronikus adatként léteznek. A számítógépes adat legegyszerűbben úgy határozható meg, mint olyan információ, amelyet számítógépen keresztül kezelnek vagy tárolnak.[3] A fentiek fényében nem meglepő a Vöröskereszt Nemzetközi Bizottságának (a továbbiakban: ICRC) az a következtetése, hogy a kibertámadások drámai humanitárius következményekhez vezethetnek és még a közvetlenül halált vagy sérülést nem okozó műveleteknek, mint például a bankrendszer kiiktatása, is súlyos hatásai lehetnek.[4]

Ilyen esetben természetesen kérdéses, hogy milyen joganyag szabályozza a fenti műveleteket és így a személyes adatok védelmét fegyveres összeütközések során. Elsőként kiemelést érdemel, hogy a nemzetközi közösségben konszenzus van abban a tekintetben, hogy a nemzetközi jog alkalmazandó a kibertérben,[5] a humanitárius nemzetközi jog alkalmazásának kérdésében azonban már nem minden állam ért egyet.[6] Tekintve azonban, hogy más államok - ahogyan arra részletesen is kitérek - elfogadják a fegyveres konfliktusok jogának alkalmazását az információs térre, a tanulmányban a személyes adatok védelmét a humanitárius nemzetközi jog lencséjén keresztül vizsgálom. Ez természetesen nem jelenti azt, hogy kizárólag e joganyag tartalmaz(hat) védelmi rendelkezéseket a fegyveres konfliktusban érintett személyek személyes adatai tekintetében. Bár az emberi jogok nemzetközi rendszere tekinthető lex generalisnak a fegyveres konfliktusok jogával szemben,[7] a magánélethez való jog korlátozott keretek között[8] mégis érvényesülhet.[9]

- 395/396 -

A fentieket figyelembe véve a tanulmányban elsőként azt vizsgálom, hogy a személyes adatok minősülhetnek-e tárgynak a fegyveres konfliktusok joga alapján és az ellenük indított katonai műveletekre tekinthetünk-e támadásként (II. rész). Ezt követően arra mutatunk rá, hogy a jelenlegi állami gyakorlat bár kétségtelenül egy eltolódást mutat a polgári adatok és így a személyes adatok "jószág" státusza irányába, kellő gyakorlat még nem áll rendelkezésre az eredeti értelmezéstől való eltérésre (III. rész). Végül levonom a fentiekből származó következtetéseket, amelynek részeként felvetem, hogy a személyes adatok védelme érdekében született egy szupranacionális jogszabályban, a GDPR-ban meglévő elvek, úgy, mint például azok integritása, bizalmas jellege, alkalmazása miért nem lehetséges és nem is kívánatos a hatályos humanitárius nemzetközi jogban (IV. rész).

II.

Tárgy-e a személyes adat?

Ahhoz, hogy megállapítsuk, a személyes adatok, és azon belül is az elektronikus személyes adatok tárgyaknak minősülnek-e a fegyveres konfliktusok jogában, elsőként célszerű áttekinteni ezeket a fogalmat. A személyes adatok fogalmát a humanitárius nemzetközi jog értelemszerűen nem adja meg, így a GDPR megfogalmazását vehetjük figyelembe. Eszerint személyes adat az "azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható."[10] Mindez elektronikus, számítógépes formában természetesen csak annyit jelent, hogy ezek tárolása és kezelése számítógépen keresztül történik.

A tárgyak tekintetében ugyanakkor találunk szerződéses igazodási pontot a humanitárius nemzetközi jogban, amely különbséget tesz katonai célpontok és polgári javak között, mégpedig úgy, hogy katonai célpontnak azok a tárgyak minősülnek, "amelyek jellegüknél, elhelyezkedésüknél, céljuknál, vagy rendeltetésüknél fogva hatékonyan elősegítik a katonai műveletet és amelyek teljes, vagy részleges megsemmisítése, elfoglalása, vagy semlegesítése az akkori körülmények között meghatározott katonai előnyt jelent."[11] Polgári javak ezzel szemben azok a tárgyak lesznek, amelyek nem minősülnek a fentiek szerint katonai célpontnak.[12] Ezek a fogalmak a nemzetközi szokásjogban is azonos tartalommal szerepelnek.[13]

Ennek alapján tehát a személyes adatok akkor minősülhetnek katonai célpontnak vagy polgári javaknak, ha azokat tárgyaknak tekintjük. Az 1949-es genfi egyezményekhez fűzött I. Kiegészítő Jegyzőkönyv 1987-ben készült kommentárja ezzel a kérdéssel kapcsolatban azt mondja ki, hogy egy tárgy valami látható, tapintható dolog kell, hogy legyen, amelyet kiterjeszt a "célpont" fogalmára is.[14] A fentiekből adódóan azt a logikus következtetést vonhatjuk le, hogy a szerződés elfogadásának idején tárgyként a hagyományos értelemben vett, kézzelfogható, látható dolgokat tartották számon, tekintve pedig, hogy az elektronikus adatok - és így az ilyen formában tárolt személyes adatok - nem ilyenek, így ezek nem minősültek tárgynak.

A technika jelenlegi állása és a fogalom megalkotása óta eltelt idő fényében nem meglepő, hogy a jogtudomány megosztott abban a kérdésben, hogy a számítógépes adatok tárgyaknak minősülhetnek-e, avagy sem. A jogtudomány álláspontjának megismeréséhez kiindulási pontot jelent a magánkodifikációként elfogadott Tallinni Kézikönyv 2.0 (a továbbiakban: Tallinni Kézikönyv), amely a megalkotásában részt vevő szakértők szakmai álláspontját tartalmazza a kibertérre alkalmazandó hatályos nemzetközi jogi normák tekintetében.[15]

A Tallinni Kézikönyv 100. szabályában rendelkezik a polgári javakról és a katonai célpontokról, gyakorlatilag az I. Kiegészítő Jegyzőkönyvvel azonos módon, azzal, hogy kiemeli, a kiberinfrastruktúra - például kommunikációs, számoló- és tárolóeszközök, amelyekre információtechnológiai rendszereket lehet építeni és működtet-

- 396/397 -

ni[16] - katonai célpontként szolgálhat.[17] A Tallinni Kézikönyv ezek után példákat szolgáltat a kiberhadviselésben előforduló tárgyakról, úgy mint egy számítógép vagy azok hálózata és a kiberinfrastruktúra egyes kézzelfogható elemei; az üzenetek azonban - bár ezek lehetnek katonai műveletek céljai - nem minősülnek tárgyaknak.[18]

A Tallinni Kézikönyv ezenfelül részletesen foglalkozott az elektronikus adatok tárgy státuszával is. A magánkodifikációs folyamatban részt vevő szakértők többsége akként foglalt állást, hogy az adatok nem tekinthetők tárgyaknak, hiszen azok nem kézzelfogható, látható dolgok.[19] A szakértők egy kisebb csoportja ezzel szemben azon az állásponton volt, hogy a polgári lakosság jólétéhez szükséges adatok - egyfajta minimumként - mindenképpen polgári javaknak minősülnek, úgy, mint a társadalombiztosításhoz kapcsolódó adatok, adózási információk, banki adatok[20] stb. Láthatjuk tehát, hogy ezek mindegyike alapvetően egybeesik a GDPR által meghatározott személyes adat kategóriával.

A Tallinni Kézikönyvön túl a kiberhadviselés humanitárius nemzetközi jogi kérdéseivel foglalkozó munkák gyakorta nem járulnak hozzá érdemben a fenti vita feloldásához, ugyanis arra szorítkoznak, hogy megismétlik az előbbiben foglaltakat vagy egyáltalán nem említik a kérdést.[21] Más szerzők azonban egyértelműbben állást foglalnak a vitában. Terry D. Gill a támadás kérdéskörén keresztül közelíti meg a problémát, és úgy érvel, hogy a hatályos nemzetközi jog szerint az adatok elleni kiberműveletek nem minősülnek támadásnak[22] - ahogy azt alább bemutatom, támadás kizárólag tárgyak ellen irányulhat. Ezzel szemben mások úgy foglalnak állást, hogy bizonyos személyes adatok speciális védelmet élveznek, így az orvosi, egészségügyi adatokat ilyennek tekinti Laurent Gisel, Tilman Rodenhäuser és Knut Dörmann.[23] Tim McCormack és Kubo Mačák azonban ezen is túllépve úgy érvelnek, hogy a humanitárius nemzetközi jog védelmi funkciója miatt nem értelmezhető másként a hatályos jog, mint amely kiterjeszti a "tárgy" státuszt az elektronikus adatokra.[24] Noam Lubell szerint pedig amellett is szólnak érvek, hogy az adatok tárgyként való értelmezése közelebb áll a humanitárius nemzetközi jog megalkotóinak szándékához.[25] Hasonlóan érvel Kubo Mačák e tekintetben is, aki szerint a "tárgy" kifejezés megszokott jelentése az elmúlt években változott, mégpedig úgy, hogy az kiterjed az elektronikus adatokra is.[26]

A fentiekből az a következtetés vonható le, hogy bár a nemzetközi jogászok között kétségtelenül vitatott, hogy a számítógépes adatok tárgynak tekinthetők-e, az utóbbi években jelentősen növekedett azoknak a szakértőknek a száma, akik az igenlő válasz mellett foglalnak állást.

E rész zárásaként utalni kell a fentebb több alkalommal említett támadás és a tárgyak kapcsolatára. Az I. Kiegészítő Jegyzőkönyv 49. cikkének 1. bekezdése határozza meg a "támadás" fogalmát, eszerint ez "alatt az ellenség ellen irányuló erőszakos cselekmények értendők, akár a támadó, akár védelmi jellegűek."[27] A nemzetközi szokásjog azonban nem határozta meg a támadás fogamát a katonai célpontoknál és polgári javaknál említetthez hasonló módon. Az I. Kiegészítő Jegyzőkönyv kommentárja a támadás kapcsán megjegyzi, hogy annak valamilyen harci cselekménynek (combat action) kell lennie.[28] A Tallinni Kézikönyv elsőként rögzíti, hogy a kibertámadások - amelyek nem keverendők össze a hétköznapi nyelvben használt hackertámadásokkal, vagy a jus ad bellum keretében használt fegyveres támadással - olyan kiberműveletek, amelyek személyeknek sérülést vagy halált, tárgyakban pedig kárt vagy azok megsemmisítését okozzák.[29] A Tallinni Kézikönyvet készítő szakértői gárda kiemelte, hogy az I. Kiegészítő Jegyzőkönyv által jelzett

- 397/398 -

erőszakos cselekmény nem kizárólag kinetikus értelemben alkalmazandó - elég itt utalni a kémiai vagy biológiai fegyverekkel való támadásra -, hanem sokkal inkább az azok következményeként bekövetkező kár a meghatározó.[30] Az elektronikus adatok tekintetében egyetértés mutatkozott a szakértők között abban a tekintetben, hogy az adatok elleni műveletek csak akkor minősülhetnek támadásnak, ha ezek előreláthatólag a fenti módon értelmezett eredményeket (sérülés, halál stb.) okozzák, vagy egy fizikai tárgy funkcionalitását károsítják. Ilyen esetben a szakértők szerint a célpont a hatással érintett személy vagy dolog lesz.[31]

A magánkodifikációban részt vevő szakértők többsége amellett érvelt, hogy a fenti funkcionalitás károsítása csak akkor állja meg a helyét, ha az egy fizikai komponens kicserélését teszi szükségessé. Ezzel szemben a kisebbségben maradt szakértők egy része szerint adatok törlése vagy azok manipulálása is megalapozza a támadást, hiszen ilyenkor egy szoftver újratelepítése vagy az eredeti adatok újbóli beszerzése válik szükségessé.[32] Mások pedig akként foglaltak állást, hogy lényegtelen, miként szűnik meg a funkcionalitás, amennyiben ez megtörténik, támadásról beszélünk.[33]

A szakértők egyetértettek továbbá abban, hogy nem minden kiberművelet tekinthető támadásnak, így például a kiberkémkedés, vagy az olyan akciók, amelyek csupán kényelmetlenségeket okoznak a polgári lakosságnak.[34]

A fentiekből egyértelműen kitűnik, hogy a nemzetközi jogászok megosztottak abban a kérdésben is, hogy az adatok elleni műveletek támadásként jellemezhetők-e. Abban az esetben ugyanis, ha valaki elfogadja az elektronikus adatok tárgy státuszát, akkor gyakorlatilag minden az abban keletkezett kár (törlés, módosítás) támadásnak fog minősülni. Azonban azok a szakértők sem zárják ki teljesen az adatok elleni támadás lehetőségét, akik az előbbi nézettel nem értenek egyet; e szerzők viszont megosztottak egy fizikai tárgy funkcionalitását érintő támadás kategorizálása tekintetében. Marco Roscini szerint azok a kiberműveletek, amelyek adatok törlésén vagy megváltoztatásán alapulnak, nem tekinthetők támadásnak, de amennyiben ezt katonai célok elérése érdekében végzik, azok már katonai műveletnek tekinthetők.[35] A szerző arra is rámutat, hogy a Tallinni Kézikönyv álláspontja nem biztos, hogy helyálló a funkcionalitás helyreállítása vonatkozásában, ugyanis a támadó nem tudhatja előre, hogy az általa okozott kár milyen formában lesz elhárítható.[36] Álláspontja szerint továbbá az sem szerencsés, hogy a fenti értelmezés alapján egy állam teljes bankrendszerének felszámolása ne minősülne támadásnak, egyetlen szerver megsemmisítése viszont igen.[37] Karine Bannelier úgy érvel, hogy a támadásnak nem kötelező kelléke a fizikai kár, ugyanis akár katonai célpontok semlegesítése is támadásnak minősülhet.[38] Ezzel szemben Terry D. Gill szerint az anyakönyvezés vagy az ingatlan-nyilvántartás elleni műveletek nem minősülnek támadásnak.[39]

Általánosan elfogadott azonban az a nézet, hogy az adatok elérhetőségét érintő műveletek nem minősülnek támadásnak, legfeljebb egy nagyon szűk körben, inkább következményalapon.[40] Christopher S. Yoo szerint egy elosztott szolgáltatásmegtagadással járó támadás (DDoS) nem minősülne a humanitárius nemzetközi jog értelmében támadásnak. Az adatok bizalmas jellegét sértő kiberkémkedés mint megfigyelési program szintén nem tekinthető támadásnak.[41] Sőt ezen túlmenően az információgyűjtés a humanitárius nemzetközi jog szabályai alapján nem is tekinthető jogellenesnek, bár általában az államok a kémkedést saját belső jogukban kriminalizálták.[42]

Az adatok elleni műveletek humanitárius nemzetközi jogi megítélése következésképpen jelentősen függ az elektronikus adatok jogi státuszától, azonban részben annál tágabb keretek között működik. A támadás minősítés jelentősége egyebekben abban áll, hogy az ilyen műveletekre alkalmazandók a humanitárius nemzetközi jog alapvető elvei, úgy, mint a megkülönböztetés vagy különbségtétel, illetve az arányosság.[43]

III.

Az állami gyakorlat

A dolog természetéből adódóan egy nemzetközi joggal foglalkozó tudományos munka nem lehet teljes az állami gyakorlat körültekintő elemzése nélkül, aminek két okból van jelentősége. Egyfelől a szerződések értelmezése tekintetében fontos a szerződés alkalmazása során kialakult

- 398/399 -

utólagos gyakorlat, mivel a szerződések jogáról szóló 1969. évi bécsi egyezmény kimondja, hogy "[a] szerződést jóhiszeműen, kifejezéseinek szövegösszefüggésükben szokásos értelme szerint valamint tárgya és célja figyelembevételével kell értelmezni".[44] Az egyezmény ezen túl azt is előírja, hogy a szövegösszefüggés mellett figyelembe veendő szempont többek között a fentebb említett, a szerződés alkalmazása során kialakult utólagos gyakorlat, amely a részes felek megegyezését jelenti.[45] Mindez értelemszerűen az I. Kiegészítő Jegyzőkönyv rendelkezéseinek a részes felek által történő olyan értelmezését teszi lehetővé, amely eltérhet az 1977-es állapottól.

Másfelől az állami gyakorlat a nemzetközi szokásjog konstitutív elemének is tekinthető, amelyet a Nemzetközi Bíróság az Északi-tengeri kontinentális talapzat ügyben mondott ki.[46] A nemzetközi jog e forrása az I. Kiegészítő Jegyzőkönyvben nem részes államokra - például az Amerikai Egyesült Államokra és Izraelre - is kötelező normákat állapít meg, amelyek közel azonosak a szerződéses szabályokkal.[47]

A szerződés alkalmazásának utólagos gyakorlata, illetve a szokásjog állami gyakorlatának elemzéséhez elengedhetetlen annak meghatározása, hogy mely kiindulóponttól mérjük a változást. Kitűnő példa ennek szükségességére a jus ad bellum területén előkerülő önvédelmi jog megítélése, ugyanis az eltérő kiindulópont azonos elemzési szempontok és módszerek mentén is drasztikusan eltérő eredményre vezethet.[48] E konkrét helyzetben fentebb, az I. Kiegészítő Jegyzőkönyv, illetve az ahhoz fűzött kommentár alapján azt a következtetést vonhattuk le, hogy a szerződés elfogadásának idején - és a szokásjogi elemzés kiinduló helyzete alapján - tárgyak alatt kézzelfogható, látható dolgokat értettek, amelybe nem tartozott bele az elektronikus adat.[49] A továbbiakban tehát a szerződés alkalmazásának, illetve a nemzetközi szokásjognak a változását ebből a kiindulópontból elemzem.

Az állami gyakorlat elemzése során minden olyan államot vizsgáltam, amelyek a kibertérben alkalmazandó nemzetközi jogi normák kapcsán nyilvánosan állást foglaltak. Az állami gyakorlat elemzése során valamennyi állam álláspontja besorolható az öt alábbi kategória valamelyikébe: 1. az elektronikus adat tárgy, 2. az elektronikus adat nem tárgy, 3. bizonytalan, 4. a kibertér nemzetközi jogi megítélésről nyilatkozó, de a konkrét kérdésben állást nem foglaló államok és 5. a nem nyilatkozó államok.

Izrael például 2020-as állásfoglalásában a számítógépes adatokat expressis verbis kizárta a tárgyak kategóriából, utalva arra, hogy a hatályos nemzetközi jog szerint kizárólag kézzelfogható dolgok tekinthetők ilyennek.[50] Dánia hasonlóan kategorikusan elutasítja a digitális adatok tárgy státuszát.[51] Új-Zéland, bár ennyire nem egyértelműen, mégis inkább az adatok tárgy státusza ellenében nyilatkozott, amikor úgy foglalt állást, hogy támadásként az olyan kiberműveletek érékelhetők, amelyek fizikai kárt okoznak.[52] Tekintve pedig, hogy a humanitárius nemzetközi jog alapján katonai célpontok ellen lehet csak támadást indítani, a fizikai kár kizárólag fizikai tárgy vagy személy esetében érvényesülhet. Az Egyesült Királyság azokat az akciókat tekinti támadásnak, amelyek azonos vagy hasonló hatásokkal járnak, mint egy kinetikus akció,[53] így az elektronikus adatok mint "tárgyak" elleni támadások ilyen tekintetben nem relevánsak az állam számára. Ausztrália azonos módon foglalt állást.[54]

Ezzel szemben Franciaország már 2019-ben támadásként értékelte a digitális adatok megváltoztatását, törlését vagy elérhetősége ellen intézett műveleteket, így közvetve tárgyként ismerte el ezeket az adatokat.[55] Franciaország expressis verbis kiemelte, hogy az adatok védett javak lehetnek a humanitárius nemzetközi jogban, amellyel ellentétes nézet a jelenlegi digitális világban a fegyveres konfliktusok jogának céljával és tárgyával lenne ellentétes.[56] Ugyanakkor van némi ellentmondás is a francia álláspontban, ugyanis a DDoS-jellegű akciókat és az in-

- 399/400 -

formációgyűjtést nem tekintették támadásnak, noha a DDoS-akciók pontosan bizonyos adatok időleges elérését teszik lehetetlenné, ami viszont beleesik az állásfoglalás végén található támadás fogalomba.[57] Franciaországhoz hasonlóan Németország is támadásnak tekinti az információt érintő káros hatásokat generáló akciókat,[58] Románia pedig úgy foglalt állást, hogy az adatok elleni kiberműveletekre alkalmazandó a humanitárius nemzetközi jog és csak olyan adatok támadhatók, amelyek katonai célpontnak tekinthetők.[59] Finnország érdekes megoldást alkalmazva, de szintén expressis verbis tárgyaknak tekinti az adatokat, egészen pontosan a polgári adatokat polgári javaknak.[60]

Ezenfelül jelentős számban találkozhatunk olyan államokkal is, amelyek bizonytalan álláspontot foglaltak el a kérdéskörben. Olaszország 2021-ben például úgy nyilatkozott, hogy a kritikus infrastruktúrák elleni támadások, amennyiben azok a funkcionalitást befolyásolják, támadásnak minősülnek.[61] Ez potenciálisan jelentheti azt is, hogy a kritikus infrastruktúrák műveleti jellegű adatainak törlése folytán az elektronikus adatok tárgyak, ugyanakkor azt is, hogy a funkcionalitás visszaállításához valamely fizikai komponens cseréjére van szükség. Svájc saját állásfoglalásában kifejezte, hogy kihívást jelent az adatok kategorizálása, ugyanakkor megjegyezte, hogy egy felelős szereplőnek képesnek kell lennie arra, hogy magatartása potenciális hatását és bármely abból eredő kárt értékelni tudjon.[62] Az Egyesült Államok jogi álláspontját is a bizonytalan államok közé kell sorolni, annak ellenére, hogy 2016-ban bizonyos adatokat egyértelműen katonai célpontnak minősített.[63] Ennek ellenére ez 2021-ben már nem szerepelt ilyen formában állásfoglalásában, azonban ennek ellenkezőjére sem lehet következtetni.[64] Kiemelést érdemel az is, hogy az ICRC 2021. november 9-11. között regionális konzultációt folytatott latin-amerikai államok között a humanitárius nemzetközi jog kibertérben való alkalmazásának kérdéseiről, amelyben ugyan konkrét egyedi álláspontot nem fogadtak el az államok, ugyanakkor az ICRC által készített jelentésből kiolvasható, hogy a résztvevők ugyancsak bizonytalanok a polgári adatok tárgy státuszát illetően. Ugyanakkor az államok egyetértettek abban, hogy e fogalmat a változó körülmények függvényében kell értelmezni, illetve azt is kiemelték, hogy Latin-Amerika több nemzeti jogrendszerében is dologként tekintenek az elektronikus adatokra, ugyanakkor egyértelmű álláspontot nem foglaltak el.[65] Bár ezek alapján akár a támogatók közé is sorolhatnánk a konzultációban részt vevő államokat, ugyanakkor fontos rámutatni arra, hogy az államok így sem teljesen konkrét jogi meggyőződését árnyalhatta az a tény, hogy a kérdéssel foglalkozó panel moderátora az a Kubo Mačák volt,[66] aki egyértelműen a számítógépes adatok tárgy státusza mellett foglalt állást. Ez véleményem szerint befolyásolhatta a részt vevő államok szakértőinek álláspontját.

Végül, de nem utolsósorban számos állam, bár kifejezte meggyőződéseit a kibertérre alkalmazandó nemzetközi jog normák tekintetében, a számítógépes adatok jogi természetéről nem fejtette ki álláspontját. Kanada 2022-es állásfoglalásában például a támadásokat a Tallinni Kézikönyv hagyományosnak mondható értelmezése alapján határozta meg, az adatok tárgy státuszáról azonban nem nyilatkozott.[67] Japán ehhez hasonlóan foglalt állást, kihagyva az elektronikus adatok jogi természetének megítélését.[68]

Megjegyzendő, hogy Magyarország eddig a pontig nem fejezte ki álláspontját a kérdéssel kapcsolatban, azonban ez a fenti eltérő nézőpontok miatt mindenképpen indokolt lenne.

Az állami gyakorlat megoszlását az alábbi táblázat szemlélteti:

- 400/401 -

1. táblázat

Állami gyakorlat az elektronikus adatok jogi megítélését illetően

Forrás: a szerző szerkesztése[69]

Az állami gyakorlat földrajzi megoszlását az alábbi ábra szemlélteti:

1. ábra

Az állami gyakorlat földrajzi megoszlása az elektronikus adatok jogi megítélését illetően

Forrás: a szerző szerkesztése[70]

Bár szigorúan véve az állami gyakorlat elemzése itt zárul, mindenképpen szükséges megemlíteni a humanitárius nemzetközi jog alkalmazása szempontjából egy megkerülhetetlen szereplő, az ICRC álláspontját. A szervezet állásfoglalásban kiemelte, hogy polgári - és egyben személyes adatok, mint a társadalombiztosítási, adózással kapcsolatos vagy banki - adatok törlése vagy módosítása több kárt is képes okozni, mint egy fizikai tárgy megsemmisítése.[71] Ennek alapján az ICRC szerint ellentétes a humanitárius

- 401/402 -

nemzetközi jog céljával és tárgyával a számítógépes adatok tárgyként való kategorizálásának mellőzése.[72]

IV.

Következtetések

A fentiekből számos következtetés levonható. Egyfelől megállapítható, hogy a katonai célpontok és polgári javak fogalmának meghatározásakor alapvetően nem gondoltak az elektronikus adatokra. Ebből adódik az, hogy az I. Kiegészítő Jegyzőkönyv is ezt az értelmezést követte és a nemzetközi szokásjog is ilyen formában alakult ki.

A nemzetközi jogtudomány képviselői megosztottak abban a kérdésben, hogy a számítógépes adatok tárgynak tekinthetők-e és így a polgári adatok, így bizonyos személyes adatok lehetnek-e katonai műveletek célpontjai. Ettől eltérően általánosan elfogadottnak tűnik, hogy bizonyos adatokra, és így személyes adatokra is kiterjed a humanitárius nemzetközi jog speciális védelme, ilyenek például az orvosi vagy egészségügyi adatok. A jogtudomány képviselőinek hivatkozott álláspontjai azonban egy olyan trendet vázolnak fel, amely szerint egyre többen tartják tárgyként számon az elektronikus adatokat.

Az állami gyakorlat vizsgálata azt mutatja, hogy az államok szintén rendkívül megosztottak a kérdésben. A vizsgált 36 államból álló mintában csupán négy állam foglalt úgy állást, hogy a számítógépes adatok tárgynak tekinthetők, míg öt kifejezetten ellenezte ennek megállapítását. Számottevő, hogy 15 állam volt bizonytalan a kérdésben és 12 nem foglalt állást annak ellenére, hogy a kibertérről valamilyen mértékig kifejtették nézőpontjukat.

Tekintettel arra, hogy a szerződés alkalmazásának utólagosan kialakult gyakorlatához és a nemzetközi szokásjog megváltozásához is egy legalább jelentős részben egységes állami gyakorlatra lenne szükség, a hatályos nemzetközi jog alapján nem állapítható meg változás az 1977-es állapothoz képest. Mindez azt jelenti, hogy az elektronikus adatok és így az elektronikusan kezelt személyes adatok nem tekinthetők tárgyaknak, így a polgári adatok sem részesülnek a humanitárius nemzetközi jog védelmében. Ennek ellenére az állami gyakorlat földrajzi megoszlása arra is rámutat, hogy amennyiben a bizonytalan államok, így Latin-Amerika országai az ICRC által lefektetett elvek mentén alakítják ki gyakorlatukat, az elvezethet akár regionális szokásjog kialakulásához is, ily módon hozzájárulva a nemzetközi jog fragmentációjához.

Végezetül röviden célszerű utalni arra, hogy a személyes adatok kezelésének alapelvei, mint például azok, amelyek a GDPR-ban megjelennek, a fentiek alapján miként érvényesülnek - és egyáltalán kell-e, hogy érvényesüljenek.

Elsőként azonban indokolni szükséges, hogy miért a GDPR képezi az összehasonlítás alapját, amikor köztudott, hogy az Európai Unió adatvédelmi rendszere a világ egyik, ha nem a legszigorúbb adatvédelmi rezsimjét alkotja. Ahogyan arra fentebb is utaltam, a személyes adatok védelmének kötelezettségére egyfajta alapjogként tekinthetünk, amelynek érvényesüléséhez kifinomult szabályrendszer szükséges. Ez azonban nem minden államban van meg, illetve nem minden állam tekint az adatvédelemre prioritásként. Az Európai Unió a GDPR-on keresztül a középpontba helyezte a személyes adatok védelmének problémakörét és ezáltal ideális alapot nyújt arra, hogy az elérhető legmagasabb védelem mércéje legyen egy olyan helyzetben, amikor a polgári (személyes) adatok védelmének figyelmen kívül hagyása nem csupán gazdasági vagy pszichikai károkat képes okozni, hanem emberéletekben lehet mérhető.

A GDPR 5. cikk (1) és (2) bekezdésében rendezi a személyes adatok kezelésének alapelveit úgy, mint a jogszerűség, tisztességes eljárás és átláthatóság, célhoz kötöttség, pontosság, korlátozott tárolhatóság, az integritás és bizalmas jelleg, valamint az elszámoltathatóság. A dolog természetéből adódik, hogy ezek többsége értelmezhetetlen egy fegyveres konfliktus során, azonban azt is láthattuk, hogy a személyes adatok pontossága vagy integritása elleni "támadások" a hatályos humanitárius nemzetközi jog alapján nem tiltott cselekmények. Így van ez a kiberkémkedés esetén érintett adatok bizalmas jellegének elvével is.

Álláspontom szerint ugyanakkor ezeknek az elveknek a beépítése nem is jelentene védelmi előnyt a polgári lakosság számára. Fegyveres konfliktusokban a támadhatóság gyakorta óriási adattömegen - akár személyes adatokon - is nyugszik, elég csak a célzott likvidlásokra utalni. Ezek megismerésének tiltása így akár az élethez való jogtól való jogellenes megfosztáshoz is vezethet. Ennek alapján úgy vélem, hogy a magánélet védelméhez való jog meg kell, hogy hajoljon a humanitárius nemzetközi jog általános védelmi funkciói előtt, így a személyes adatok védelmének alapelvei nem ültethetőek át hatékonyan a fegyveres konfliktusok jogába. ■

JEGYZETEK

* Az innovációs és technológiai minisztérium ÚNKP-21-4-i kódszámú új nemzeti kiválóság programjának a nemzeti kutatási, fejlesztési és innovációs alapból finanszírozott szakmai támogatásával készült.

[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről. HL L 119., 2016.5.4., 1-88.

[2] GDPR 2. cikk (2) bek a)-b) pontok.

[3] Geiß, Robin - Lahmann, Henning: Protection of Data in Armed Conflict. International Law Studies. 2021/97. sz. 559.

[4] International humanitarian law and the challenges of contemporary armed conflicts report. International Committee of the Red Cross, 2015. 32IC/15/11. 39.

[5] UN General Assembly. Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security. A/68/98. 2013. június 24. 19. bek.

[6] Mačák, Kubo: This is Cyber: 1 + 3 Challenges for the Application of International Humanitarian Law in Cyberspace. Exeter Centre for International Law Working Paper Series. 2019/2. sz. 3.

[7] Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, I.C.J. Reports 1996, 226. 25. bek.

[8] Lásd pl. Marks, Stephen P.: Principles and Norms of Human Rights Applicable in Emergency Situations: Underdevelopment, Catastrophes and Armed Conflict. In Vasak, Karel (ed): The International Dimensions of Human Rights. Paris, 1982. 193. és 200-201.

[9] Lásd pl. az emberi jogok és az alapvető szabadságok védelméről szóló, Rómában, 1950. november 4-én kelt Egyezmény és az ahhoz tartozó nyolc kiegészítő jegyzőkönyv kihirdetéséről szóló 1993. évi XXXI. törvény 8. cikk. A nemzetközi jog a személyes adatok védelmét alapvetően emberi jogi kérdésnek tartja, amelynek egy modern standardjaként tekinthetünk a GDPR-ra. Ez adja a humanitárius nemzetközi joggal való összehasonlítása alapját. Lásd Az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény.

[10] GDPR 4. cikk 1. pont.

[11] A háború áldozatainak védelmére vonatkozóan Genfben 1949. augusztus 12-én kötött Egyezmények I. és II. Kiegészítő Jegyzőkönyvének kihirdetéséről szóló 1989. évi 20. törvényerejű rendelet (a továbbiakban: I. Kiegészítő Jegyzőkönyv) 52. cikk 2. bek.

[12] I. Kiegészítő Jegyzőkönyv 52. cikk 1. bek. A katonai célpontok és ezen keresztül a tárgyak ilyetén történő meghatározása a német nemzetiségű Friedrich August Freiherr von der Heydte báró nevéhez fűződik, aki a Nemzetközi Jogi Intézet rapportőreként alkotta meg ezt a fogalmat, amelyet 1969-ben fogadtak el a hatályos jog leírásaként. Lásd Benvenisti, Eyal: The Birth and Life of the Definition of Military Objectives. Legal Studies Research Paper Series. 2022/4. sz. 1; 11; 16. 19.

[13] Henckaerts, Jean-Marie - Doswald-Beck, Louise: Customary International Humanitarian Law - Volume I: Rules. ICRC-CUP, 2005. 29. és 34.

[14] Sandoz, Yves - Swinarski, Christophe - Zimmermann, Bruno (eds.): Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949. ICRC, 1987. 633-634. o. 2007-2008. és 2010. bek.

[15] Schmitt, Michael: Tallin Manual 2.0 on the International Law Applicable to Cyber Operations. CUP, 2017. 2.

[16] Uo. 564.

[17] Uo. 435-436.

[18] Uo. 436-437.

[19] Uo. 437.

[20] Uo.

[21] Lásd. pl. Shany, Yuval - Mimran, Tal: International Regulation of Cyber Operations. Hebrew University of Jerusalem Legal Studies Research Paper Series 2021/5. sz. 16.; Roscini, Marco: Cyber Operations and the Use of Force in International Law. CUP, 2014. 183-184.; A szerző szerint a kérdést nem szükséges túldimenzionálni, ugyanis az általa támadásra alkalmazott fogalomból adódóan az adatot érintő akció csak valamely fizikai következmény esetén minősül támadásnak, így az adatok tárgy státuszának nincs jelentősége. Yoo, Christopher S.: Cyber Espionage or Cyberwar?: International Law, Domestic Law, and Self-Protective Measures. In: Ohlin, Jens David - Govern, Kevin - Finkelstein, Claire (eds.): Cyberwar. Law and Ethics for Virtual Conflicts. Oxford, OUP, 2015. 186.; A szerző kizárólag az adatra irányuló támadást említi a Tallinni Kézikönyv alapján. Kittichaisaree, Kriangsak: Public International Law of Cyberspace. Springer, 2017. 205-207. és 211. A szerző a Tallinni Kézikönyv és az ICRC álláspontját ismerteti az adatok elleni támadások kapcsán, valamint az ICRC álláspontját ismerteti az orvosi adatok vonatkozásában. Boothby, William H.: Cyber Capabilities. In: Boothby, William H. (ed.): New Technologies and the Law in War and Peace. Cambridge, CUP, 2019. 95. A szerző nem említi a kérdést, legfeljebb érintőlegesen a fizikai károkat okozó kiberkémkedés kapcsán.

[22] Gill, Terry D.: International humanitarian law applied to cyber-warfare: precautions, proportionality and the notion of 'attack' under the humanitarian law of armed conflict. In: Tsagourias, Nicholas - Buchan, Russel (eds.): Research Handbook on International Law and Cyberspace. Cheltenham, Edward Elgar Publishing, 2021. 466.

[23] Gisel, Laurent - Rodenhäuser, Tilman - Dörmann, Knut: Twenty years on: International humanitarian law and the protection of civilians against effects of cyber operations during armed conflicts. International Review of the Red Cross. 2020/102. sz. 328-329.

[24] McCormack, Tim: International Humanitarian Law and the Targeting of Data. International Law Studies. 2018/94. sz. 240.; Mačák: i. m. (2019) 11.

[25] Lubell, Noam: Lawful Targets in Cyber Operations: Does the Principle of Distinction Apply? International Law Studies.2013/89. sz. 268.

[26] Mačák, Kubo: Military Objective 2.0: The Case for Interpreting Computer Data as Objects under International Humanitarian Law. Israeli Law Review. 2015/1. sz. 67-77.

[27] I. Kiegészítő Jegyzőkönyv 49. cikk 1. bek.

[28] Sandoz-Swinarski-Zimmermann: i. m. (1987) 603. o. 1880. bek.

[29] Schmitt: i. m. (2017): 415.

[30] Uo.

[31] Uo. 416.

[32] Uo. 417-418.

[33] Uo. 418.

[34] Uo.

[35] Marco: i. m. (2014) 178-189.

[36] Uo. 180.

[37] Uo.

[38] Bannelier, Karine: Is the principle of distinction still relevant in cyberwarfare? From doctrinal discource to State's practice. In: Tsagourias - Buchan: i. m. 441.; I. Kiegészítő Jegyzőkönyv 52. cikk 2. bek.

[39] Gill: i. m. (2021) 467.

[40] Geiß-Lahmann: i. m. (2021).

[41] Yoo: i. m. (2015) 186.

[42] Čengić, Amir: Spies. In: Djukić, Dražan - Pons, Niccolò (eds.): The Companion to International Humanitarian Law. Brill-Nijhoff, 2018. 656.

[43] Uo. 185. Ezekről a kérdésekről ld. részletesen Bannelier: i. m. (2021) 427-456.; Gill: i. m. (2021) 457-470.

[44] A szerződések jogáról szóló, Bécsben az 1969. évi május hó 23. napján kelt szerződés kihirdetéséről szóló 1987. évi 12. törvényerejű rendelet 31. cikk (1) bek.

[45] Uo. (3) bek b) pont.

[46] North Sea Continental Shelf, Judgment, I.C.J. Reports 1969, 3. 77. bek. A szokásjog kialakulásának másik kötelező kelléke az államok jogi meggyőződése, vagyis az opinio juris sive necessitatis.

[47] Bruhács János: Nemzetközi jog I. Általános rész. Budapest-Pécs, Dialóg Campus Kiadó, 2011. 147.

[48] Kis Kelemen Bence: Célzott likvidálás a nemzetközi jogban, különös tekintettel a fegyveres, pilóta nélküli repülőgépek alkalmazására. Doktori Értekezés, PTE ÁJK, 2021. 83.

[49] Lásd II. rész.

[50] Schöndorf, Roy: Israel's pespective on Key Legal and Practical Issues Concerning the Application of International Law to Cyber Operations. EJIL:Talk! 2022. december 9. https://www.ejiltalk.org/israels-perspective-on-key-legal-and-practical-issues-concerning-the-application-of-international-law-to-cyber-operations/ (2022.07.05.).

[51] Danish Ministry of Defence - Defence Command Denmark. Military Manual on International Law Relevant to the Danish Armed Forces in International Operations. 2016. 292.

[52] New Zealand Foreign Affairs & Trade. The Application of International Law to State Actitivity in Cyberspace. 2020. december 1. https://dpmc.govt.nz/sites/default/files/2020-12/The%20Application%20of%20International%20Law%20to%20State%20Activity%20in%20Cyberspace.pdf (2022.07.05.) 25. bek.

[53] Government of United Kingdom. Foreign Commonwealth & Development Office. Policy Paper. Application of international law to states' conduct in cyberspace: UK statement. 2021. június 3. https://www.gov.uk/government/publications/application-of-international-law-to-states-conduct-in-cyberspace-uk-statement/application-of-international-law-to-states-conduct-in-cyberspace-uk-statement#international-humanitarian-law-ihl (2022.07.05.) 24. bek.

[54] Australian Government. Annex B: Australia's position on how international law applies to State conduct in cyberspace. 2020. https://www.internationalcybertech.gov.au/our-work/annexes/annex-b (2022.07.05.) 2. pont.

[55] Ministè re des Armées. Droit International Appliqué aux Opérations dans le Cyberspace. 13-14. és 18.

[56] Uo. 79. jegyzet.

[57] Uo. 13. Vö. uo. 18.

[58] The Federal Government of Germany. On the Application of International Law in Cyberspace. Position Paper. 2021. március. https://www.auswaertiges-amt.de/blob/2446304/32e7b2498e10b74fb17204c54665bdf0/on-the-application-of-international-law-in-cyberspace-data.pdf (2022.07.05.) 8.

[59] UNGA. Offical compedium of voluntary national contributions ont he subject of how international law applies tot he use of information and communication technologies by States submitted by participating governmental experts in the Group of Governemntal Experts on Advancing Responsible State Behaviour in Cyberpsace in the Context of International Security established pursuant to General Assembly resolution 73/266. 2021. július 13. A/76/136* 78.

[60] Finland. International law and cyberspace. Finland's national positions. https://um.fi/documents/35732/0/KyberkannatPDF_EN.pdf/12bbbbde-623b-9f86-b254-07d5af3c6d85?t=1603097522727 (2022.07.05.) 7.

[61] Italy. Italian Position Paper on 'International Law and Cyberspace' 2021. https://www.esteri.it/mae/resource/doc/2021/11/italian_position_paper_on_international_law_and_cyberspace.pdf (2022.07.05.) 9-10.

[62] Schweizerische Eidgenossenschaft. Federal Department of Foreign Affaris. Switzerland's position paper ont he application of international law in cyberspace. Annex UN GGE 2019/2021. 2021. május. https://www.eda.admin.ch/dam/eda/en/documents/aussenpolitik/voelkerrecht/20210527-Schweiz-Annex-UN-GGE-Cybersecurity-2019-2021_EN.pdf (2022.07.05.) 10.

[63] Egan, Brian J.: International Law and Stability in Cyperspace. Berkeley Law. 2016. november 10. https://www.justsecurity.org/wp-content/uploads/2016/11/Brian-J.-Egan-International-Law-and-Stability-in-Cyberspace-Berkeley-Nov-2016.pdf (2022.07.25.) 9.

[64] A/76/136* 136-142.

[65] ICRC. Regional Consultation of Latin American States, 9-10 November 2021. International Humanitarian Law and Cyber Operations During Armed Conflicts. ICRC, Geneva, June 2022. 8.

[66] Uo. 7.

[67] Government of Canada. International Law applicable in cyberspace. 2022. https://www.international.gc.ca/world-monde/issues_development-enjeux_developpement/peace_security-paix_securite/cyberspace_law-cyberespace_droit.aspx?lang=eng#a14 (2022.07.05.) 49. bek.

[68] Ministry of Foreign Affairs of Japan. Basic Position of the Government of Japan on International Law Applicable to Cyber Operations. 2021. május 28. https://www.mofa.go.jp/files/100200935.pdf (2022.07.05.) 7.

[69] Saját összeállítás. A kategorizálásban a fenti elsődleges források, valamint az ICRC jelentése mellett segítségemre volt az International Cyber Law in Practice Interactive Toolkit. National Positions. https://cyberlaw.ccdcoe.org/wiki/Category:National_position (2022.07.05.) Az állást nem foglaló államok megjelenítése a táblázatban nem szükséges, azok számossága enélkül is belátható.

[70] Az ábra elkészítéséhez azonos adatok alapján a MapChart weboldalát használtam. Lásd https://www.mapchart.net/world.html (2022.07.06.) Az állást nem foglaló államok szürkével jelöltek.

[71] 32IC/15/11. 43.

[72] International humanitarian law and cyber operations during armed conflicts. ICRC position paper submitted tot he Open-Ended Working Group on Developments in the Field of Information and Telecommunications in the Contecxt of International Security and the Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security, November 2019. International Review of the Red Cross. 2022/102. sz. 490.