França
--
Arranjos Internacionais: Regime de Wassenaar; Convenção de Budapeste sobre o Cibercrime
Modelos Regulatórios: Obrigação de Assistência Específica; Mecanismos Alternativos de Regulação.
Introdução
A regulamentação francesa da criptografia é em boa parte ligada à regulamentação do setor de telecomunicações. Os debates sobre terrorismo e cibersegurança, a partir de 2014, levaram a discussões sobre a regulamentação da criptografia e, especialmente, sobre a necessidade de criação de meios de acesso excepcional. Entretanto, até o recorte temporal estabelecido para essa pesquisa (fim de 2020) não ocorreram grandes alterações na legislação.
Regulação
O artigo 60–1 do Code de procédure pénale estabelece o poder de juízes requererem informações de interesse, ressaltando “informações de forma digital, sem que seja possível se opor, sem motivos legítimos de segredos profissionais”. O artigo 60–2, por sua vez, permite que a polícia judiciária demande ao judiciário a interceptação e guarda de dados (por um ano) a pessoas jurídicas privadas ou a órgãos públicos.
As disposições supracitadas não versam diretamente sobre criptografia, mas abrem questões sobre a liberdade de uso de meios criptográficos para inviabilizar a interceptação e sobre a possibilidade de entrega de chaves (por indivíduos e empresas). A pesquisa não encontrou casos judiciais ou comentários da literatura que esclareçam tais questões.
O artigo 230–1, também do Code de Procédure Pénale permite que juízes designem pessoas (físicas ou jurídicas) para “efetuar as operações técnicas que permitam a obtenção de acesso às informações, em sua versão clara, no caso de que um meio de criptologia tenha sido utilizado, a convenção secreta de decifragem, caso pareça necessário”.
A Loi n° 2004–575 du 21 juin 2004 pour la confiance dans l’économie numérique estabelece alguns contornos para a regulamentação da criptografia. A lei não coloca restrições quanto à utilização de tecnologias criptográficas. Entretanto, a exportação e transferência intracomunitária demandam uma licença, expedida pelo Service des Biens à Double Usage (SBDU — Direction Générale des Entreprises). Cabe ressaltar que essa obrigação não é aplicável para meios de autenticação (art. 30, II). A importação e fornecimento de criptografia demandam uma declaração à Agence nationale des systèmes d’information (ANSSI). Não fica claro se a obrigação de declaração dos fornecedores de criptografia inclui aqueles que fazem uso da criptografia como mecanismo de segurança para execução de outra(s) função(ões) primária(s). As sanções (administrativas e criminais) estão presentes no art. 34 e 35 da referida lei.
Em 2015, foi aprovada uma lei de segurança nacional que obriga a cooperação, por parte das empresas, na desencriptação de dados de tráfego internacional. Na mesma linha de “anti-terrorismo”, a lei n° 2016–731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale modificou o código penal para endurecer a pena do crime (existente desde 1992) de falhar em entregar a chave de dados criptografados que foram utilizados para preparar, facilitar ou cometer um crime ou delito. Não fica claro, entretanto, se existe uma obrigação geral de entrega chaves nos casos em que a solução tecnológica utilizada não permite que a empresa (ou indivíduo) gerenciador do software tenha acesso às chaves ― tais como nos casos de criptografia ponta a ponta, como empregada pelo whatsapp. Tampouco foram encontrados casos notórios que tenham questionado tal ponto no judiciário francês.
A França também possui diplomas normativos que tratam explicitamente dos poderes de government hacking: a já mencionada Lei 2016–731 alterou alguns dispositivos do Código de Processo Penal francês para viabilizar duas formas distintas deste meio de investigação: (i) acesso remoto iniciado pela instalação física de software-espião no computador alvo da investigação; e (ii) acesso a dados informatizados realizado totalmente de forma remota.
Por fim, existem também regulamentações que versam sobre a invasão de sistemas informacionais para fins de inteligência. Em especial, a loi 2015–912 du 24 juin de 2015 (Lei de Inteligência) regula o uso de hacking nestes contextos (art. L. 853–2).
Posicionamento
Durante o debate parlamentar para a aprovação da Loi n° 2016–1321 pour une République numérique houve a tentativa de inclusão de uma emenda que, se aprovada, obrigaria empresas a inserirem backdoors em seus produtos que utilizassem criptografia forte. Na ocasião, o ministro de assuntos digitais se posicionou contra o dispositivo, denominando-a de “vulnérabilité by design” (vulnerabilidade por design) e fazendo referência ao caso dos países baixos, que consideram a criptografia como um direito humano. O diploma aprovado reconhece a criptografia como protetora do “direito à vida privada” (art. 59, §2, f). Tal legislação, pareceu ir na contramão de outras declarações do governo francês, que defendiam o uso de meios excepcionais de acesso.
O governo atual de Macron, enquanto na campanha presidencial, declarou que desejava que empresas de tecnologia cooperassem com investigações sem demora, ressaltando a “obrigação absoluta de resultado sem poder opor impossibilidades técnicas ao princípio da liberdade ou neutralidade”.
Encontrou algum erro ou quer colaborar com alguma informação?
Entre em contato pelo e-mail: cripto.fgvcepi@gmail.com
Quer conferir outras pílulas? Clique aqui!
Siga o CEPI da FGV Direito SP nas redes sociais!
Você pode também receber por e-mail novidades sobre eventos, pesquisas e produtos do CEPI! Cadastre-se em nosso mailing aqui.
Para saber mais sobre o CEPI, acesse o nosso site.
