Staters folkeretlige forpligtelse til at udvise ”due diligence” i cyberspace

Denne rapport omhandler det folkeretlige ”due diligence”-princips relevans og anvendelse i cyberspace. ”Due diligence”-princippet går kort fortalt ud på, at stater ved rettidig omhu skal sikre, at deres territorium ikke benyttes til at krænke andre staters folkeretlige rettigheder og forvolde alvorlig skade. En række folkeretlige regler, herunder inden for særdiscipliner såsom international menneskeret og humanitær folkeret, forpligter på forskellig vis og i forskellige sammenhænge stater til at udvise rettidig omhu. Men det generelle sædvaneretlige ”due diligence”-princip, som er emnet for denne rapport, finder sit klareste udtryk i Den Internationale Domstols første afgørelse i Corfu Channel-sagen fra 1949.

Det er i de senere år blevet diskuteret, om det generelle ”due diligence”-princip er anvendeligt i cyberspace. Med udgangspunkt i denne debat gennemgår rapporten princippets oprindelse og grundlag – og vurderer styrken af argumenterne for og imod princippets anvendelse i cyberspace. Det konkluderes, at der er overbevisende juridiske holdepunkter for at betragte ”due diligence”-princippet som både generelt formuleret og domæneneutralt. Derfor må princippet anerkendes som bindende i relation til konflikter i cyberspace. Denne konklusion er i overensstemmelse med den dominerende tilgang blandt såvel eksperter som stater.

En af de primære årsager til, at den folkeretlige debat har fokuseret på ”due diligence”-princippets rolle i cyberspace, er, at princippet kan være nyttigt til at løse den særlige udfordring, som af folkeretsjurister betegnes som ”henregnelsesproblematikken”. Problematikken handler kort sagt om at afklare, hvilke aktører der bærer det folkeretlige ansvar for et specifikt angreb. Placeringen af ansvaret for et cyberangreb har afgørende betydning for, hvem man – i overensstemmelse med folkeretten – kan rette skytset mod ved et eventuelt modsvar. Derfor skaber det en særlig udfordring, at det digitale domæne giver rig mulighed for at sløre sin identitet. ”Due diligence”-princippet fremhæves ofte som en potentiel løsning på denne udfordring, fordi det er noget nemmere at bevise, at en stat ikke har levet op til sin ”due diligence”-forpligtelse, end det er at bevise, at staten selv stod bag et specifikt angreb. I forlængelse heraf er det centralt at afklare, hvordan ”due diligence”-princippet mere konkret bør forstås i kontekst af cyberspace. Navnlig er det vigtigt at få slået fast, om ”due diligence”-princippet alene aktiveres i tilfælde, hvor Stat A kan påvise, at Stat B har været positivt vidende om krænkelser, der er udgået fra Stat B territorium, eller om det er tilstrækkeligt, at Stat B burde have været vidende herom.

På baggrund af rapportens retlige analyser og strategiske overvejelser konkluderes det, at Danmarks interesser er bedst tjent gennem en generel styrkelse af den folkeretlige regulering af cyberspace. Det omfatter navnlig en anerkendelse af, at generelle folkeretlige normer såsom ”due diligence”-princippet finder anvendelse i cyberspace. Rapportens analyser fører til følgende konkrete anbefalinger:

  • Danmark bør fortsat støtte op om de internationale processer, der fremmer cementeringen og udviklingen af folkerettens rolle i cyberspace.
  • Danmark bør eksplicit støtte det flertal af stater og eksperter, der indtil videre har udtalt støtte til ”due diligence”-princippets generelle anvendelighed på tværs af domæner, herunder i cyberspace.
  • Danmark kan med fordel bidrage til den igangværende præcisering af staternes ”due diligence”-forpligtelser i kontekst af cyberspace.