Leis de criptografia: quais governos impõem as restrições mais pesadas à criptografia?
Desde conversas privadas através do WhatsApp até históricos de navegação confidenciais através de VPNs, a criptografia desempenha um papel fundamental na nossa liberdade de expressão e privacidade.
No entanto, com as contínuas tentativas governamentais de criar “backdoors” em serviços/produtos de criptografia, muitos países enfrentam severas restrições quando se trata de usar aplicativos e ferramentas que utilizam criptografia.
Para descobrir onde estão as restrições mais pesadas, a nossa equipa de investigadores analisou a legislação de mais de 200 países para ver:
- Quais países exigem que os fabricantes/vendedores obtenham uma licença antes de produzir ou vender produtos/serviços de criptografia
- Quais países têm restrições de importação e/ou exportação de produtos/serviços de criptografia
- Quais países não têm isenção de uso pessoal em viagens com laptops criptografados
- Quais países impõem obrigações aos provedores de entregar chaves de criptografia para fins de aplicação da lei (considerando se um mandado é necessário para isso)
- Quais países impõem obrigações aos usuários finais de entregar chaves de criptografia para fins de aplicação da lei (considerando se um mandado é necessário para isso)
O que encontramos?
A grande maioria dos países tem algum tipo de restrição às tecnologias de criptografia, seja nas leis de importação/exportação ou no acesso das autoridades a dados criptografados. Restrições mais severas são observadas em lugares que seriam de esperar, ou seja, Rússia e China, mas restrições pesadas também estão em vigor em muitos outros países. E com a introdução cada vez maior de legislação e poderes de investigação, as restrições só deverão aumentar nos próximos meses e anos.
Por exemplo, embora o Brasil seja classificado como um dos países “mais livres” devido à sua legislação atual, isto ocorre apesar das tentativas de impor novas restrições. Ordens judiciais recentes tentaram bloquear o WhatsApp e o Facebook também enfrentou uma batalha legal com o país devido à sua falta de cooperação numa investigação criminal (que resultou até na prisão do vice-presidente do Facebook).
Em suma, muitos países podem conceder aos cidadãos o direito à liberdade de expressão e à privacidade, mas frustram-no quando se trata de encriptação, citando a segurança nacional e crimes graves como a razão.
Quais países exigem que os provedores de criptografia descriptografem dados para fins de aplicação da lei?
Uma das maiores preocupações quando se trata de criptografia é o acesso concedido às agências de aplicação da lei, seja por meio de uma chave de descriptografia ou pela exigência de que os provedores descriptografem os dados para eles.
Como mostra o mapa abaixo, um grande número de países tem pelo menos algum acesso potencial às chaves de encriptação dos fornecedores.
Alguns países, incluindo a China e a Rússia, têm acesso sem precedentes a dados desencriptados. Na Rússia, por exemplo, o Sistema Operativno-Rozysknykh Meropriyatii (SORM — o Sistema para Atividades Operacionais-Investigativas) dá ao serviço de segurança federal russo, o FSB, acesso a mensagens eletrónicas e às chaves para as desencriptar sem autorização judicial.
Muitos países europeus, asiáticos e africanos, bem como os Estados Unidos, têm leis que permitem às autoridades solicitar aos fornecedores a entrega de chaves de encriptação e/ou desencriptação de dados.
No Reino Unido, uma série de leis concedem às autoridades o direito de solicitar a remoção de tecnologias de encriptação em diversas comunicações. A Secção 49 da Lei de Regulamentação dos Poderes de Investigação de 2000 estabelece que quando informações protegidas estão na posse das autoridades policiais, estas podem, com permissão por escrito de um juiz, impor um requisito de divulgação para que os dados sejam produzidos de forma inteligível. A aplicação da lei deve ter motivos razoáveis de que alguém possui a chave das informações protegidas, que a divulgação é necessária para a segurança nacional, para detectar/prevenir um crime, ou que é do interesse do bem-estar económico do Reino Unido, que a divulgação é proporcional à o que se pretende alcançar, e essa divulgação não é possível sem a imposição da ordem.
Nos Estados Unidos, a Seção 103(a) da Lei de Assistência às Comunicações para a Aplicação da Lei de 1994 sugere que os provedores de comunicações devem garantir capacidades de interceptação quando emitidos com ordens judiciais ou outra autorização legal. No entanto, “Uma operadora de telecomunicações não será responsável por descriptografar, ou garantir a capacidade do governo de descriptografar, qualquer comunicação criptografada por um assinante ou cliente, a menos que a criptografia tenha sido fornecida pela operadora e a operadora possua as informações necessárias para descriptografar a comunicação. ”
A maioria das leis tem o mesmo poder que a dos Estados Unidos, exigindo que os provedores descriptografem quaisquer dados que eles próprios tenham criptografado, mas não dados que sejam criptografados por outros provedores ou pelos próprios usuários.
Vários outros países impõem leis ambíguas que proporcionam às autoridades a possibilidade de solicitar a divulgação de informações encriptadas – ou as leis foram interpretadas dessa forma. Por exemplo, na União Europeia, a Resolução do Conselho de 17 de Janeiro de 1995 sobre a Intercepção Legal de Telecomunicações oferece algumas orientações sobre as leis que deveriam ter sido implementadas nos países da UE.
A resolução afirma que “se os operadores de rede/provedores de serviços iniciarem a codificação, compressão ou criptografia do tráfego de telecomunicações, as agências de aplicação da lei exigem que os operadores de rede/provedores de serviços forneçam comunicações interceptadas en clair”. En clair significa “em linguagem simples” e pode, portanto, ser interpretado como significando descriptografado.
Quais países exigem que os usuários de criptografia descriptografem dados para fins de aplicação da lei?
O cenário é semelhante quando analisamos os poderes de aplicação da lei para solicitar chaves de descriptografia ou dados descriptografados de usuários de serviços/produtos criptografados.
As leis tendem a abranger comunicações ou acesso a computadores, exigindo que aqueles que possuem uma chave a entreguem às autoridades, mediante solicitação, ou que os ajudem no processo de descriptografia.
Novamente, alguns países não possuem leis específicas, mas possuem leis ambíguas em vigor. Noutros casos, os países podem depender mais fortemente dos prestadores de serviços para entregar os dados, ou seja, nos Estados Unidos, onde nenhuma lei concede explicitamente às autoridades o poder de solicitar aos utilizadores a entrega de dados/chaves desencriptados.
Em última análise, obter acesso “backdoor” aos dados dos fornecedores de encriptação é a forma mais fácil de aceder a dados encriptados, razão pela qual um número preocupante de países está a tentar implementar tais medidas. Isso inclui:
- A batalha contínua da Índia com o WhatsApp
- As recentes ordens judiciais do Brasil para tentar bloquear o WhatsApp e os atuais Projeto de lei de notícias falsas que está tentando quebrar a criptografia de ponta a ponta
- projeto de lei dos Estados Unidos para acesso backdoor a dados criptografados (apresentado ao Congresso em junho de 2020).
Quais países exigem licenças para produzir ou fabricar serviços/produtos de criptografia?
Um grande número de países africanos, do Médio Oriente e da Ásia têm requisitos de licenciamento abrangentes. Isso significa que a maioria dos vendedores ou fabricantes de produtos criptográficos deve obter uma licença antes de distribuí-los. A França também impõe esse requisito, sendo que qualquer pessoa que pretenda fornecer serviços de criptografia deverá declará-lo ao Primeiro-Ministro.
Alguns países, por ex. A Turquia, a Etiópia, a Tunísia e o Mali têm alguns requisitos de licenciamento, mas não exigem que todos os fornecedores de serviços de criptografia obtenham uma licença. Por exemplo, na Tunísia, qualquer empresa que importe produtos de criptografia para uso pessoal (ou uso temporário) não exige licença.
Vários países também promulgaram leis que permitem aos ministérios relevantes criar requisitos de licenciamento para serviços de criptografia, mas não parecem ter implementado nada ainda. Isto inclui as Bahamas e Barbados.
Quais países têm limitações de importação/exportação para serviços/produtos de criptografia?
Um número muito maior de países tem algum tipo de limite quando se trata de importar e/ou exportar produtos criptográficos (ou produtos que contenham criptografia, mas não sejam apenas para fins de criptografia). Na maioria dos casos, isso exige que uma empresa registre sua empresa e produto junto à agência designada no país para o qual está importando ou exportando. Isso também pode incluir algumas especificações técnicas.
Vários países com requisitos em grande escala para licenças de criptografia também impõem restrições severas à importação e exportação destes produtos.
Por exemplo, para países da União Económica Eurasiática (EAEU) — Arménia, Bielorrússia, Cazaquistão, Quirguizistão e Rússia — é necessária uma licença de importação/exportação, licença e registo de notificação e vários itens também são analisados, incluindo uma lista de algoritmos criptográficos, o comprimento máximo da chave, uma lista de protocolos de implementação, como a criptografia é empregada, que tipo de dados são criptografados e como os dados são criptografados.
A grande maioria dos países com leis aduaneiras restringe as exportações de produtos criptográficos e/ou limita as importações de países designados. Um grande número faz parte do Acordo de Wassenaar (para uma lista completa, consulte a secção de metodologia) e/ou são regidos pela legislação da UE. Aqueles que se inscreveram no Acordo de Wassenaar :
- Concordaram em manter controles nacionais de exportação sobre determinados itens, ou seja, serviços de criptografia
- Concordaram em relatar transferências e recusas de itens controlados específicos para destinos fora do Acordo
- Trocar informações sobre bens e tecnologias sensíveis de dupla utilização
Mais uma vez, vários países têm leis em vigor que lhes permitirão criar requisitos de importação/exportação para produtos de criptografia, mas não parecem ter implementado nada ainda.
Quais países não têm “isenção de uso pessoal” para quem viaja com laptops criptografados?
Além de impor restrições de importação/exportação às empresas que oferecem serviços de criptografia, alguns países também têm restrições claras para quem viaja com laptops criptografados. Em contraste, alguns dos países que fazem parte do Acordo de Wassenaar oferecem aos viajantes uma “isenção para uso pessoal”.
Observação: embora sejam oferecidas restrições/isenções claras nos países acima, as viagens para outros países podem ou não ser restritas. É sempre melhor verificar com antecedência o país para o qual você está viajando, independentemente de fazerem ou não parte de um acordo.
Metodologia
Para determinar as leis em vigor em cada categoria, analisamos vários atos legislativos em cada país. Isso inclui Códigos de Processo Penal, leis sobre crimes cibernéticos, leis de comunicação/telecomunicações, leis de interceptação/vigilância e quaisquer outros decretos, atos, leis ou resoluções relevantes.
Concentrámo-nos apenas nos poderes/ordens legislativas e naqueles que afectam principalmente os fornecedores de comunicações, os fornecedores de serviços de Internet ou os dados armazenados/acedidos através de computadores.
Um país pode não ter essa legislação ou pode parecer ter proteções em vigor, mas o quadro pode ser diferente na prática. No entanto, para evitar ser subjetivo nos nossos resultados, utilizámos apenas o que é “legalmente” permitido em cada país. Conforme mencionado, também analisamos a legislação que pode ser interpretada para abranger a criptografia, mesmo que não a mencione especificamente. Nestes casos, procurámos formulações ambíguas, tais como requisitos para tornar os dados “inteligíveis”, ou encontrámos exemplos de fornecedores de telecomunicações, ou seja, a Vodafone, que interpretam a lei para sugerir que acreditam que as autoridades policiais poderiam solicitar a desencriptação de dados dentro do país.
Onde nada foi encontrado, omitimos o país dos resultados. A falta de legislação pode sugerir que não existem restrições/poderes de aplicação da lei, mas para maior precisão, não incluímos estes países.
Fontes
Para obter uma lista completa de fontes, visite nossa planilha: https://docs.google.com/spreadsheets/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing