A importância das novas declarações sobre a soberania no ciberespaço pela Áustria, República Checa e EUA

Um recente evento das Nações Unidas deu aos Estados uma nova oportunidade de anunciarem as suas posições sobre como o direito internacional se aplica ao ciberespaço, e destacaram-se as da Áustria e da República Checa. O United Nations Open-Ended Working Group (OEWG, de Grupo de Trabalho Aberto das Nações Unidas) sobre o desenvolvimentos no campo da informação e telecomunicações no contexto da segurança internacional (OEWG) realizou a sua segunda sessão substantiva entre 10 e 14 de Fevereiro. Nas suas declarações, os dois Estados assumiram posições firmes no debate em andamento sobre se a soberania é apenas um princípio ou também uma regra do direito internacional, apoiando a segunda visão ao reconhecer a existência de uma obrigação independente de respeitar a soberania no ciberespaço.

O representante austríaco declarou (aos 2:40:10 neste webcast, reafirmado aqui, p. 3):

A Áustria foi recentemente alvo de uma ciberoperação severa. Nesse contexto, gostaríamos de nos referir ao princípio da soberania do Estado. A violação desta regra constitui um acto internacionalmente ilegal – se for atribuível a um Estado – pelo qual um Estado-alvo pode procurar ter uma reparação à lei da responsabilidade do Estado. Um Estado-alvo também pode reagir através de contramedidas proporcionais. É claro, no entanto, que as referências à soberania do Estado não devem ser abusadas para justificar violações dos direitos humanos dentro das fronteiras de um Estado. Por outras palavras, a soberania do Estado não deve servir de pretexto para reforçar o controlo sobre os cidadãos de um Estado que comprometa os seus direitos humanos básicos, como o direito à privacidade e liberdade de expressão.

Da mesma forma, o representante checo declarou:

A República Checa concorda com aqueles que consideram o princípio da soberania como um direito independente e o respeito à soberania como uma obrigação independente.

A República Checa acredita firmemente que, sob esse princípio, os Estados podem exercer livremente, sem qualquer interferência de qualquer forma por outro Estado, ambos os aspectos da soberania no ciberespaço, seja ele interno, com jurisdição exclusiva sobre as TICs [Tecnologias de Informação e Comunicação] localizadas no seu território ou externo, incluindo a determinação da sua política externa, sujeita apenas a obrigações decorrentes do direito internacional.

Estas declarações são contributos importantes para a discussão em curso sobre o status do princípio da soberania no ciberespaço (para uma visão geral de diferentes pontos de vista, ver trabalhos anteriores de Michael Schmitt, Harriet Moynihan e de eu próprio, mas também do coronel (aposentado) Gary Corn e Corn com Robert Taylor e Corn com Eric Jensen). Alguns Estados, principalmente o Reino Unido (e possivelmente os Estados Unidos, que será abordado mais adiante), consideram que a soberania é apenas um princípio do direito internacional e não cria obrigações legais autónomas e separadas, mas é protegida por outras leis estabelecidas como a proibição do uso da força ou o princípio da não intervenção. Outros Estados, como a França, Alemanha e Holanda, apoiaram a posição de soberania como regra e argumentaram que uma ciberoperação pode, sob certas condições, também violar a soberania de um Estado-alvo.

É neste último campo de soberania como regra que a Áustria e a República Checa agora se juntam. É importante realçar que ambas as declarações não deixam dúvidas quanto ao caráter legal da soberania no ciberespaço, sublinhando que a soberania “é um direito independente” e o respeito à soberania “é uma obrigação independente” (República Checa) e “uma violação desta regra constitui um acto ilegal internacional” (Áustria). Esta clarificação é muito bem-vinda, pois elimina a possibilidade de (mal)interpretar as declarações para sustentar que as referências a “violações da soberania” podem, no entanto, apenas apontar para o “princípio da soberania”, e não para uma obrigação legal vinculativa.

O limiar das violações da soberania no ciberespaço
Entre os proponentes da posição de soberania como regra, existem duas visões diferentes sobre quando uma violação da soberania pode ocorrer (uma análise mais detalhada dessas diferenças pode ser encontrada num “policy brief” que escrevi e num relatório da Chatham House). Sob a abordagem francesa baseada na “penetração”, “qualquer penetração não autorizada por um Estado dos sistemas franceses ou qualquer produção de efeitos no território francês através de um vector digital pode constituir, no mínimo, uma quebra de soberania”.

Resulta desta abordagem que a violação da confidencialidade, integridade ou disponibilidade de um sistema de TIC já pode ser considerada pela França como uma violação da soberania.

Sob a abordagem oposta “de minimis”, preconizada, por exemplo, pelo Manual de Tallinn 2.0 e pela Holanda, nem todas as violações da cibersegurança constituíam automaticamente uma violação da soberania, mas apenas as violações que o fazem com um certo grau de infracção à lei para com a integridade territorial do Estado-alvo, ou através da interferência ou usurpação de funções inerentemente governamentais. Embora a Áustria não tenha declarado a sua opinião sobre o limiar preciso de uma violação de soberania, a República Checa aprova a abordagem “de minimis”, como fica claro nos exemplos de ciberoperações que considerariam uma violação da soberania de um Estado. A República Checa listou as seguintes:

A. uma ciberoperação que cause morte ou ferimento a pessoas ou dano físico significativo;

B. uma ciberoperação que cause danos ou quebras de uma infra-estrutura ciber ou outra com impacto significativo na segurança nacional, economia, saúde pública ou meio ambiente;

C. uma ciberoperação que interfira com quaisquer dados ou serviços essenciais para o exercício de funções inerentemente governamentais e, desse modo, dificulte significativamente o exercício dessas funções; por exemplo, distribuir ransomware que cifra os computadores usados ​​por um governo e, assim, atrasar significativamente o pagamento de reformas;

D. ciberoperação contra um Estado ou entidades ou pessoas localizadas nele, incluindo organizações internacionais, conduzida por um orgão fisicamente presente de outro Estado.

Os exemplos A, B e D reflectem a primeira alternativa formulada pelo Manual 2.0 de Tallinn e também na posição holandesa, enquanto o exemplo C fala pela segunda alternativa.

No que se refere ao exemplo A, parece provável que uma ciberoperação que cause morte ou ferimento a pessoas ou dano físico significativo também possa ser considerada um uso da força, especialmente se a República Checa apoiar o teste de “escala e efeitos” para a comparabilidade dos ciberataques com usos “tradicionais” da força, actualmente favorecidos pela maioria dos Estados que apresentaram pontos de vista sobre esse assunto (para uma análise comparativa, ver o meu “policy brief“).

O exemplo D reflecte a posição em que a soberania protege o direito de um Estado de controlar o acesso dos agentes de outro Estado ao seu território físico ou espaço aéreo. Infelizmente, a posição checa não explica porque o factor definidor deve ser a presença física do agente de outro Estado no território do Estado visado quando a ciberoperação é realizada, em vez dos efeitos da ciberoperação na infraestrutura de TIC do Estado visado. Não está claro por que uma ciberoperação de acesso próximo que resulta na instalação de malware num computador no Estado de destino deve ser considerada uma violação da soberania desse Estado, enquanto uma ciberoperação de acesso remoto que produz exactamente o mesmo resultado não deve. Para ser justo, porém, nem o Manual de Tallinn nem a declaração holandesa são muito mais específicos sobre este assunto.

Outra peculiaridade no exemplo D é que a República Checa vê apenas ciberoperações de acesso próximo conduzidas por “um órgão fisicamente presente de outro Estado” como uma violação da soberania, aparentemente excluindo operações conduzidas por actores não estatais sob instrução, direcção ou controlo de outro Estado (por exemplo, orgãos de um Estado são cobertos pelo artigo 4 dos Artigos da Responsabilidade do Estado, enquanto os actores não estatais sob o controlo de um Estado são cobertos separadamente pelo artigo 8). Por outro lado, o Manual de Tallinn usa quase exactamente a mesma linguagem que D, mas refere-se a acções de “um órgão de um Estado, ou de outros cuja conduta possa ser atribuída ao Estado”. É preciso esperar que esse ponto seja abordado (ou corrigido) numa declaração detalhada a seguir sobre a aplicabilidade do direito internacional às ciberoperações.

Declaração do Conselho Geral do DoD sobre soberania no ciberespaço
Três semanas após a Áustria e a República Checa terem feito as suas declarações na sessão do OEWG, o assessor jurídico do Departamento de Defesa (DoD) dos EUA, Paul Ney, discursou na U.S. Cyber Command Legal Conference, na qual abordou, entre outras questões, a questão da soberania no ciberespaço (a declaração completa pode ser encontrada aqui, ver também comentários e análises sobre a declaração de Ney por Robert Chesney, Michael Schmitt e Russell Buchan). Relativamente à soberania, diz Ney:

Para ciberoperações que não constituiriam uma intervenção proibida ou uso da força, o Departamento acredita que não há uma prática estatal suficientemente ampla e consistente resultante de um sentido de obrigação legal de concluir que o direito internacional consuetudinário geralmente proíbe tais ciberoperações não consensuais no território de outro Estado. (…)

A visão do Office of the General Counsel (OGC) do DoD, que aplicamos em revisões legais de ciberoperações militares até ao momento, partilha semelhanças com a visão expressa pelo governo do Reino Unido em 2018. Reconhecemos que existem diferenças de opinião entre os Estados, o que sugere que actualmente a prática e a opinião do Estado não estão resolvidas sobre esse assunto. De facto, o silêncio público de muitos Estados diante de inúmeras ciberinvasões conhecidas publicamente em redes estrangeiras impede a conclusão de que os Estados se uniram em torno de uma visão comum de que existe uma proibição internacional contra todas essas operações (independentemente de quaisquer penalidades que possam ser impostas pela lei doméstica).

Numa leitura clara, o OGC parece apoiar a abordagem da soberania britânica como princípio, embora cautelosamente, como sugere a referência a “semelhanças partilhadas”. No entanto (como observado por Schmitt e Buchan), o OGC do DoD parece deixar em aberto uma “backdoor” para uma análise de soberania, refletida ainda em Ney quando afirma que:

Como questão limiar, ao analisar as operações cibernéticas propostas, os advogados do Departamento de Defesa levam em consideração o princípio da soberania do Estado. Os Estados têm soberania sobre a infraestrutura de tecnologia da informação e comunicação em seu território. As implicações da soberania para o ciberespaço são complexas, e continuamos a estudar essa questão e como a prática do Estado evolui nessa área, mesmo que não pareça existir uma regra de que todas as violações à soberania no ciberespaço envolvam necessariamente violações do direito internacional.

A referência a todas as violações da soberania parece rejeitar a abordagem francesa baseada na penetração, deixando em aberto a possibilidade de aceitar que algumas violações da soberania possam constituir violações do direito internacional, se certos factores adicionais (e não especificados) forem atendidos. No entanto, a posição actual do DoD é a seguinte:

Para ciberoperações que não constituiriam uma intervenção proibida ou uso da força, o Departamento acredita que não há uma prática estatal suficientemente ampla e consistente resultante de um senso de obrigação legal de concluir que o direito internacional consuetudinário geralmente proíbe tais ciberoperações não consensuais no território de outro Estado.

A principal razão para essa visão é a ausência percebida de uma prática estatal suficientemente ampla e consistente, acompanhada com a “opinio juris” que estabeleceria uma regra tão comum. Ney apresenta dois argumentos de apoio a essa conclusão. O primeiro argumento é “o silêncio público de muitos Estados diante de inúmeras ciberinvasões conhecidas publicamente em redes estrangeiras”, que Ney interpreta como sugerindo que esses Estados não apoiam a existência de uma obrigação de respeitar a soberania no ciberespaço. O segundo argumento é a ausência de uma norma consuetudinária de direito internacional que proíba a espionagem em si, “mesmo quando envolve algum grau de intrusão física ou virtual em território estrangeiro”. Neste último caso, a semelhança entre certas operações de ciberespionagem e outras ciberoperações que constituem intrusões virtuais em sistemas de TIC estrangeiros falaria contra a existência de uma regra de soberania.
Vejo três problemas principais com os argumentos do advogado-geral Ney.

Primeiro, quanto ao suposto silêncio de outros Estados sobre este assunto, deve-se notar que, desde Julho de 2019, quatro Estados (Holanda, França e, mais recentemente, Áustria e República Checa) apareceram a favorecer a abordagem da soberania como regra. Essas declarações fazem parte de uma tendência emergente dos Estados adoptarem posições claras sobre questões de ciberoperações cibernéticas e soberania, com esperançosamente ainda mais Estados abordando essa questão num futuro próximo (por exemplo, a Finlândia anunciou que está a trabalhar numa posição no direito internacional no ciberespaço). Mais importante, porém, o silêncio sobre uma questão específica nem sempre significa aceitação da existência ou não de uma regra específica do direito internacional. Como a International Law Commission observou (pp. 141-142) no seu trabalho sobre a identificação do direito internacional consuetudinário, dois requisitos devem ser atendidos para que a falta de objecção seja considerada prova de aceitação de uma certa prática como lei:

Primeiro, é essencial que uma reacção à prática em questão tenha sido solicitada: esse pode ser o caso, por exemplo, onde a prática é aquela que afecta – geralmente desfavoravelmente – os interesses ou direitos do Estado que falham ou se recusam a agir. Segundo, a referência a um Estado estar ‘em posição de reagir’ significa que o Estado em questão deve ter conhecimento da prática (o que inclui circunstâncias em que, devido à publicidade dada à prática, deve-se supor que o Estado tem esse conhecimento) e que deve ter tido tempo e capacidade suficientes para agir.

Consequentemente, o silêncio sobre a questão de saber se existe uma obrigação de respeitar a soberania de outro Estado no ciberespaço pode ser considerado como “opinio juris” em apoio à inexistência de tal regra apenas em relação aos Estados cuja soberania teria sido afetada por uma ciberoperação e apenas desde que eles estivessem em posição de reagir. Essa “proviso” é especialmente importante no cibercontexto, dadas as dificuldades em atribuir uma ciberoperação de maneira fiável a um Estado e as trocas que os Estados devem fazer ao revelar o que sabem sobre as ciberactividades de outros Estados, que geralmente são informações altamente sensíveis. Além disso, deve notar-se que, na sua declaração, a Áustria se referia especificamente a ser alvo de uma ciberoperação grave. Da mesma forma, a Geórgia, que sofreu um ciberataque em larga escala pelas mãos do Main Intelligence Directorate (GRU) da Rússia em Outubro de 2019, condenou tal ataque como sendo “contra normas e princípios internacionais, mais uma vez violando a soberania da Geórgia”. Assim, os Estados afectados opinam sobre este assunto quando é apropriado.

Segundo, o argumento de ciberespionagem do advogado-geral Ney está igualmente aberto a objecções. Embora muitos de facto argumentem que as operações de espionagem em tempo de paz não violam o direito internacional, o Manual de Tallinn aponta (na Regra 32) que “o método pelo qual é realizada pode fazê-lo”. Assim, a falta de uma proibição geral de espionagem no direito internacional em tempos de paz não indica, por analogia, que os Estados aceitem operações de ciberespionagem não consensuais que violem a cibersegurança dos sistemas de TIC sob a sua jurisdição. Dado que o silêncio pode indicar “opinio juris” apenas nos casos em que um Estado tem conhecimento activo de um facto, a natureza clandestina das operações de ciberespionagem, na minha opinião, impedem a leitura excessiva de um silêncio geral dos Estados sobre este assunto. Além disso, os investigadores apontam que há evidências de Estados a protestar e a invocar a sua soberania quando descobrem que foram alvo de uma operação de ciberespionagem. Por exemplo, alguns membros do bloco comercial sul-americano MERCOSUR emitiram uma nota verbal para o então secretário-geral da ONU Ban Ki-moon, em Julho de 2013, protestando contra as atividades de espionagem dos EUA que, segundo eles, “constituem um comportamento inaceitável que viola [a sua] soberania” (para mais referências, consulte o livro de Russel Buchan a partir da p. 54).

Terceiro, de maneira mais geral, o argumento do advogado-geral Ney parece basear-se no pressuposto de que a existência de uma obrigação de respeitar a soberania territorial de outro Estado no ciberespaço deve ser provada indutivamente por práticas e opiniões estatais suficientemente difundidas e uniformes, em vez de ser deduzida da aplicabilidade geral das regras existentes do direito internacional no ciberespaço. No entanto, os U.N. Group of Governmental Experts Reports de 2013 e 2015 afirmam que “o direito internacional” – e não apenas um conjunto específico de regras – é aplicável à conduta do Estado no ciberespaço. Assim, não é necessário provar a aplicabilidade de todas as regras pré-existentes do direito internacional – como a obrigação de respeitar a soberania territorial de outro Estado – por meio de novas práticas e opiniões jurídicas extensas e consistentes do Estado. A declaração da República Checa deixa esse ponto claro:

Por razões históricas óbvias, nenhum dos instrumentos de direito internacional existentes se refere explicitamente a ciberquestões. No entanto, isso não significa que esses instrumentos de alguma forma não possam ser aplicados ao ciberespaço. Pelo contrário, no seu parecer consultivo de 1971, o Tribunal Internacional de Justiça considerou que um instrumento internacional deve ser interpretado e aplicado no âmbito de todo o sistema jurídico vigente no momento da interpretação. Este conceito de interpretação dinâmica ou evolutiva também está implícito no artigo 31(3)b da Vienna Convention on the Law of Treaties (“Convenção de Viena sobre o Direito dos Tratados”).

A República Checa elaborou ainda mais nesse ponto nos seus comentários ao relatório inicial “pre-draft” do OEWG, onde afirmou:

Em particular, o OEWG poderia destacar os seguintes princípios, que devem orientar a aplicabilidade do direito internacional no contexto das TIC:

(i) abordagem tecnologicamente neutra para regular as TIC, que fornece uma salvaguarda contra a natureza em rápida evolução das tecnologias de TIC;

(ii) interpretação e aplicação dos instrumentos internacionais existentes às TIC, em conformidade com o artigo 31(3)b da Convenção de Viena sobre o Direito dos Tratados (e a chamada interpretação dinâmica ou evolutiva do direito internacional);

(iii) interpretação e aplicação dos instrumentos internacionais existentes às TICs “no âmbito de todo o sistema jurídico vigente no momento de tal interpretação” (consultar a ICJ Advisory Opinion on the Legal Consequences for States of the Continued Presence of South Africa in Namibia de 1970).

Este raciocínio também se aplica ao direito internacional consuetudinário. Não fosse esse o caso, a aplicabilidade das regras consuetudinárias de responsabilidade do Estado ou do direito internacional humanitário no ciberespaço (que os Estados Unidos apoiam fortemente) poderia ser igualmente posta em causa. Portanto, a questão não deve ser se existe uma obrigação de respeitar a soberania de outro Estado no ciberespaço, mas exactamente como se aplica essa obrigação no contexto técnico das ciberoperações.

Conclusão: são necessárias declarações mais claras
As observações da Áustria e da República Checa são vozes importantes no actual debate sobre o estado da soberania no ciberespaço e expandem a prática do Estado e a opinião jurídica nesse campo. Além disso, mostram que não apenas os “grandes jogadores” com cibercapacidades avançadas podem contribuir para o debate, e esperamos que os exemplos austríacos e checos sejam seguidos em breve por outros membros da comunidade internacional. Ao mesmo tempo, as observações do advogado-geral Ney trazem a necessária clareza para a actual posição dos EUA e oferecem uma base legal para as doutrinas de “defesa avançada” e de “envolvimento permanente” que os Estados Unidos adoptaram nas suas ciberoperações. Com agora cinco Estados a apoiar abertamente a posição de soberania como regra, o Reino Unido e os Estados Unidos (ou pelo menos o DoD dos EUA) encontra-se em minoria, e o peso da opinião internacional pode estar lentamente a voltar-se para a visão oposta. É claro que ainda é muito cedo para dizer como o debate se desenvolverá e, certamente, a questão da soberania permanecerá controversa durante algum tempo. Mas é importante no interesse da paz e da segurança internacionais que os Estados apresentem os seus pontos de vista e discutam esta questão, mesmo que o consenso não seja possível a curto prazo.

* Artigo de Przemysław Roguski originalmente publicado na Just Security. Reproduzido com autorização do autor. Fotos de Christiaan Colen (CC BY-SA 2.0).

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.