Índia
--
Arranjos Internacionais: Regime de Wassenaar;
Modelos Regulatórios: Licenças; Limitação do Tamanho de Chaves; Obrigação de Assistência Específica;
Introdução
A Índia não possui, atualmente, uma lei que regule criptografia especificamente. Há, no entanto, algumas leis em vigor que podem influenciar indiretamente a implementação e diretamente a utilização da criptografia por usuários. Em 2015, o Ministro das Tecnologias da Informação da Índia publicou um projeto de política nacional de criptografia, que impunha uma regulação restritiva ao desenvolvimento e implementação de criptografia em sistemas de segurança. O projeto foi retirado pelo próprio ministério após recepção negativa por parte do público. Em 2020, a propagação de desinformação em aplicativos de mensageria criptografados levou o governo a ameaçar impor regulações que restringiriam o uso dessa tecnologia.
Regulação
Ainda que o país não possua regulação específica, alguns diplomas normativos indianos podem afetar indiretamente o desenvolvimento, implementação e utilização de criptografia no país. Em primeiro lugar, vale ressaltar que a Constituição Indiana não prevê explicitamente o direito à privacidade como direito fundamental. Apesar disto, a partir de uma interpretação do artigo 21 dentro do contexto da Parte 3 da Constituição, uma decisão da Suprema Corte da Índia afirmou que haveria sim proteção constitucional à privacidade. A decisão reverteu o posicionamento anterior da Corte (Karak Singh v. The State of U.P [1962]), que indicava que o direito à privacidade não era constitucionalmente garantido.
O Telegraph Act de 1885 garante ao Departamento de Telecomunicações o poder de conceder licenças a provedores de telecomunicações (ISP inclusos) para que possam funcionar na Índia. Estas licenças concedidas a empresas pelo Depto. de Telecomunicações impõem que as chaves criptográficas devem ser limitadas a 40 bits. É necessária a obtenção de uma autorização específica do Departamento para utilização de chaves criptográficas maiores do que isto.
Curiosamente, o limite de chaves de até 40 bits contradiz outras regulações setoriais específicas da Índia com relação à segurança da informação. A título exemplificativo, a Securities and Exchange Board of India Guidelines on Internet Based Trading and Services recomenda a utilização de uma chave criptográfica de no mínimo 64 bits para serviços que envolvem transações realizadas via celular ou aplicação wireless.
O Information Technology Act de 2000 trata de comércio eletrônico, governo eletrônico e cibercrimes. A lei foi baseada na United Nations Model Law on Electronic Commerce 1996 (lei modelo na ONU em comércio eletrônico), e seus artigos 66, 66 A-F; 67, 67 A-C prescrevem uma lista de crimes eletrônicos e suas respectivas penas. Em 2008 houve uma alteração relevante no texto da lei, acrescentando à seção 69 o poder do Estado em solicitar assistência na decriptação de informações criptografadas em determinados casos. Esta obrigação pode ser imposta a tanto provedores de aplicação, como desenvolvedores e usuários finais. Descumprimento desta imposição pode acarretar pena de multa ou reclusão. Não há, no entanto, nenhum dispositivo que preveja a necessidade, por exemplo, de alteração do sistema de segurança para que esta obrigação seja viabilizada.
Vale dizer, ainda, que a Seção 84-A garante ao governo o poder de prescrever modos e métodos de criptografia a serem adotados pela própria Administração Pública.
Há ainda o Prevention of Terrorism Act de 2002, que garante à polícia a possibilidade de obter mandados para interceptação de comunicações (o mandado não é necessariamente expedido por um juiz, mas sim por Autoridade competente). Se o conteúdo da conversa for criptografado, é necessário que a empresa forneça as chaves para decriptação.
Posicionamento
Em setembro de 2015, o Ministro das Tecnologias da Informação da Índia publicou um projeto de política nacional de criptografia, o Draft National Encryption Policy. O projeto previa maior controle do governo sobre os provedores de aplicação com relação a adoção de mecanismos de cripto em seus sistemas. Previa punições também para empresas fora da índia que não cumprissem com as regulações do governo indiano.
Eram pontos principais do projeto:
1. Os algoritmos de criptografia e tamanhos das chaves serão prescritos pelo governo através de notificações periódicas. (Isso pode significar padrões mínimos, mas é mais provável que trate-se o nível máximo de criptografia permitida)
2. Na demanda, o usuário deve ser capaz de reproduzir o mesmo plaintext e texto criptografado usando o software/hardware que foi usado para produzir o texto criptografado a partir do texto simples fornecido.
3. Tais informações que possibilitem acesso ao plaintext devem ser armazenadas pelo usuário/organização/empresa por 90 dias a partir da data da transação e disponibilizadas às agências de fiscalização, quando exigidas de acordo com as disposições das leis do país.
O projeto foi descartado pouco depois de sua divulgação pelo próprio Ministério, após recepção negativa por parte de diversos setores da sociedade.
Entre 2018 e 2020, o uso de aplicativos que implementam criptografia ponta-a-ponta para difusão de desinformação e rumores (que resultaram, inclusive, em atos de linchamento) levou o governo indiano a propor regulação que afeta o uso dessa tecnologia. A preocupação principal era a dificuldade de se identificar e responsabilizar o publicador original das mensagens que eram compartilhadas pelos aplicativos, que gerou conflitos no judiciário do país.
Para lidar com a questão, o Ministério da Tecnologia de Informação e Eletrônicos propôs regulamentação que forçaria plataformas a cooperarem continuamente com demandas governamentais sem a necessidade de uma ordem judicial, mesmo que para isso tivessem que restringir a implementação de criptografia forte. Plataformas com mais de 5 milhões de usuários, como o Whatsapp, teriam que identificar a origem de uma publicação em até 72 horas após demanda governamental, além de preservar registros por ao menos 180 dias após sua coleta. Até o fim do recorte temporal dessa pesquisa (final de 2020), a regulamentação ainda não havia sido colocada em prática.
Encontrou algum erro ou quer colaborar com alguma informação?
Entre em contato pelo e-mail: cripto.fgvcepi@gmail.com
Quer conferir outras pílulas? Clique aqui!
Siga o CEPI da FGV Direito SP nas redes sociais!
Você pode também receber por e-mail novidades sobre eventos, pesquisas e produtos do CEPI! Cadastre-se em nosso mailing aqui.
Para saber mais sobre o CEPI, acesse o nosso site.
