Open in app

Sign in

Write

Sign in

Metodologia — Criptografia e Direito: uma perspectiva comparada

CEPI - FGV DIREITO SP
CryptoMap FGV CEPI

--

O CryptoMap é um produto resultante da pesquisa “Criptografia e Direito: Uma perspectiva comparada”, conduzida pelo Centro de Ensino e Pesquisa em Inovação (CEPI) da FGV Direito SP entre os anos de 2017 e 2018, com atualização em 2021.

Nosso objetivo principal foi mapear e monitorar o debate internacional sobre regulação da criptografia, especificamente em relação ao acesso a dados criptografados por autoridades governamentais. Com isto, desenvolvemos breves estudos sobre cada um dos países selecionados, com estrutura e tamanho semelhante a artigos de enciclopédia, que podem ser utilizados para informar decisões no nosso país.

Nossa intenção foi identificar tendências e modelos regulatórios de criptografia ao redor do mundo e oferecer um conjunto inicial de fontes para interessados e interessadas em desenvolver pesquisas mais específicas sobre o tema.

Nesta seção, você encontrará uma descrição detalhada do processo de elaboração da pesquisa!

1. Introdução

O objetivo da pesquisa foi mapear o debate contemporâneo acerca da regulação da criptografia ao redor do mundo. Especificamente, adotamos uma postura descritiva sobre o tema “acesso governamental à dados criptografados”, não abrangendo, portanto, a regulação relacionada a outros tipos de aplicações da criptografia, como as criptomoedas e a assinatura digital. Por não se tratar de um trabalho prescritivo, o projeto absteve, ao menos em um primeiro momento, de realizar observações de cunho normativo ― ou seja, recomendações de políticas públicas, comentários sobre a eficácia de propostas normativas ou outras considerações de natureza opinativas.

Tratando-se do debate contemporâneo sobre a regulação da criptografia, há dois marcos temporais de extrema relevância. O primeiro deles consiste no caso Edward Snowden, ocorrido em 2013, em que o ex-empregado da National Security Agency dos Estados Unidos divulgou diversos documentos e informações acerca da capacidade tecnológica e poder de vigilância do Governo Americano com relação aos seus próprios cidadãos e com relação a cidadãos e governos de outros países. À época, evidenciou-se a importância de garantir a privacidade e proteção de dados dos usuários, e a segurança fornecida pela criptografia tornou-se um grande atrativo para o usuário comum.

O segundo momento relevante ocorre em 2015 e é consequência direta do caso Snowden. As preocupações com o resguardo de dados, fraudes, invasão de sistemas, privacidade dos usuários, dentre outras, tornaram-se um diferencial positivo para diversos provedores de aplicação no Brasil e no mundo, que passaram a adotar a criptografia by default em seus serviços — isto significa que tornou-se padrão a adoção da criptografia no oferecimento do serviço. Isto gerou consequências diretas com relação à dificuldade de acesso governamental a dados de usuários, no contexto de investigações criminais.

Neste cenário, em dezembro de 2015, dois indivíduos mataram 14 pessoas na cidade de San Bernardino, Califórnia. Por causa da criptografia presente em seus celulares, dois iPhones, a polícia estadunidense não conseguiu, em um primeiro momento, acessar os dados lá armazenados, o que ensejou o FBI a solicitar que a Apple desenvolvesse um sistema operacional que pudesse ser acessado no contexto de investigações — por meio de backdoors. A Apple recusou, alegando que o mecanismo fragilizaria a segurança de seus aparelhos e comprometeria a privacidade de seus usuários e o debate acabou tomando proporções judiciais e globais, com o caso Apple v. FBI (2016). O debate sobre a necessidade de regulação jurídica da criptografia prolifera-se internacionalmente.

Ao menos parte das discussões passa pela ideia do controle do uso e venda de sistemas criptográficos fortes ou “criptografia forte”. Este termo tem um sentido específico na bibliografia técnica e se refere a impossibilidade de quebra de uma cifra dado recursos computacionais atuais. Entretanto, o debate sobre a regulamentação da criptografia tende a utilizá-lo para se referir a sistemas de segurança informacional criados sem meios de acesso excepcionais intencionais.

Desta maneira, buscamos:

(1) realizar um mapeamento parcial da regulação normativa da criptografia ao redor do mundo, de modo a oferecer um panorama geral das medidas normativas vigentes e em debate em diferentes países;

(2) Categorizar os países analisados de acordo com o modelo regulatório relacionado a criptografia adotado por países que já possuem em seu ordenamento jurídico normas relacionadas a criptografia e acesso governamental a dados;

1.1. Problema de pesquisa

A pesquisa se debruçou sobre a relação entre criptografia e direito, buscando mapear fontes de normas jurídicas (leis, regulamentos, projetos de lei e jurisprudência) relativas a acesso governamental a dados criptografados ao redor do mundo.

As problemáticas apresentam uma série de desafios:

  • Estabelecimento da amostra de pesquisa (países a serem estudados);
  • Identificação das normas, casos e pronunciamentos oficiais sobre o tema em cada país estudado;
  • Descrição e comparação de sistemas e culturas jurídicas diversas;
  • Coleta de dados em diferentes idiomas;
  • Análise dos dados coletados, dado peculiaridades dos diversos países;

1.2. Universo de pesquisa

Uma vez que a pesquisa propôs a oferecer um panorama da regulamentação global, as unidades estudadas foram países. Limitamo-nos a estudar (i) normas positivas, (ii) propostas legislativas, (iii) declarações de autoridades públicas e (iv) casos judiciais, quando existissem e fossem relevante para a ilustração da aplicação da norma no caso concreto.

2. Estrutura da pesquisa

A pesquisa foi estruturada em quatro fases:

(i) Seleção dos Países analisados: Esta primeira fase consistiu na definição da amostra de pesquisa analisada, contanto com o estabelecimento do recorte temporal e da seleção de países para análise;

(ii) Levantamento de fontes: Esta fase incluiu a busca por materiais bibliográficos de diversos gêneros (normas, artigos científicos, relatórios, pronunciamentos oficiais, decisões judiciais, etc) e a organização do material encontrado.

(iii) Elaboração das “pílulas descritivas”. Esta fase corresponde ao objetivo específico de mapear o debate internacional sobre o tema, na forma de breves textos descritivos. Convencionamos chamar estes breves relatos de “pílulas descritivas”.

(iv) Categorização dos modelos regulatórios relacionados à criptografia. Após a elaboração das pílulas descritivas, realizamos um esforço de categorização de modelos regulatórios de países que já possuem normas jurídicas relacionadas à criptografia e acesso a dados (ver seção 5 para uma descrição mais detalhada destas categorias).

3. Seleção dos Países Analisados

3.1. Extensão temporal

Para definir os países que seriam analisados ao longo da presente pesquisa, foi antes necessário estabelecer o recorte para a busca dos materiais que seriam utilizados para a definição da amostra.

Como mencionado anteriormente, dois marcos temporais foram identificados para o recorte do que convencionamos chamar de debate recente sobre regulação da criptografia, o ano de 2013, após as revelações do escândalo Snowden e 2015, após o atentado em San Bernardino que ensejou o caso Apple v. FBI.

Neste sentido, em uma primeira fase, foi realizada uma pesquisa exploratória, com extensão temporal estabelecida, inicialmente, no período que compreende janeiro de 2013 até agosto de 2017. O objetivo inicial desta pesquisa consistia na identificação de países que manifestaram-se publicamente sobre a regulação da criptografia — seja por meio de veículos da imprensa, declarações oficiais, participação em pesquisas do tema, etc. A extensão temporal foi então ampliada para o período 2010–2017, de modo a abranger momentos anteriores aos casos com relativa folga. Em 2021, a pesquisa foi atualizada para abrangir acontecimentos até o fim de 2020.

3.2. Definição da amostra

A partir da definição do marco temporal, foi realizada uma pesquisa em fontes já existentes sobre o tema:

(i) Cripto law Survey

Site elaborado pelo professor da Universidade de Tilburg, Bert Jaap Koops, e sua equipe que compila legislações relativas à criptografia ao redor do mundo. O site funcionou como um ponto de partida para a coleta de nossos materiais referentes às legislações de cada país. Vale notar que a última atualização do site foi realizada no ano de 2013.

A coleta de dados parece ter sido realizada por meio de entrevistas e correspondências e fontes bibliográficas. Ressalta-se que em grande parte das entradas, não existe indicação direta de fontes.

(ii) Library of Congress — Government Access to Encrypted Communications

Relatório de 2015 da Library of Congress dos EUA sobre acesso do governo a comunicações criptografadas dos seguintes países: Austrália; Bélgica; Brasil; Canadá; França; Alemanha; Israel; Japão; África do Sul; Suécia; Taiwan e Reino Unido. O documento, no entanto, não versa sobre acesso a dados armazenados em dispositivos criptografados (e. g. discos rígidos com mecanismos de proteção de acesso) e contém algumas informações incorretas (como no caso do Brasil). Foi útil, entretanto, como ponto de coleta de fontes primárias e de outras fontes secundárias.

(iii) Report on encryption, anonymity, and the human rights framework

Contribuições de países para a consulta pública e relatório do Relator Especial para Liberdade de Informação e Expressão da ONU, David Kaye, que tratou especificamente de regulações nacionais acerca do uso de criptografia em comunicações e seu impacto nos direitos humanos. A consulta pública foi realizada em 2015 e gerou um relatório sobre o papel da criptografia na liberdade de expressão e opinião, que também foi utilizado como fonte para a seleção dos países analisados.

(iv) Periódicos de notícia, portais de busca e sites de organizações não- governamentais

A busca neste gênero de mídia foi realizada pelos sistemas de busca oferecidos pelos sites ou por meio do sistema de buscas Google, fazendo uso da opção de especificação do site buscado (“encryption” site:www.nomedosite.com). Este grupo de fontes foi utilizado para identificar países que se manifestaram acerca do tema, mas não foram mapeados nas fontes 1, 2 e 3, além de para identificar eventos relevantes para a atualização de 2021.

Notícias gerais:

Notícias voltadas à tecnologia e ciências:

Organizações não governamentais:

Portais de busca

Após um mapeamento inicial de países, aplicamos os seguintes critérios de preferência e exclusão para a definição final da amostra analisada, que consistiu em 40 países no total.

3.2.1. Critérios de preferência

  • Representatividade geográfica: a representatividade geográfica corresponde à necessidade de colher uma amostra que consiga representar a diversidade países ao redor do globo. Neste sentido, procuramos priorizar a seleção de países de forma equilibrada, ainda que as informações sejam mais escassas em países de determinados continentes (eg. África, América do Sul), em contraposição a ampla exposição de outros (eg. América do Norte, Europa).

3.2.2. Critérios de exclusão

  • Disponibilidade de informações em línguas dominadas pelos pesquisadores: o acesso às fontes depende, entre outros fatores, da possibilidade de leitura das informações em línguas dominadas pelos pesquisadores (Português, Inglês, Francês, Alemão e espanhol), incluindo fontes traduzidas, ainda que não oficiais. As fontes primárias e secundárias encontradas em outras línguas foram descartadas do estudo, ainda que figurem enquanto referência.

Entende-se por “fontes oficiais”, neste contexto, traduções realizadas por órgãos públicos do país para fins oficiais, como no caso países multilinguísticos, traduções para fins judiciais ou no contexto de organizações internacionais (tais como a ONU ou União Europeia).

  • Duração da pesquisa: o último fator que interferiu tanto para a limitação do recorte temporal quanto para a limitação do número de países analisados foi o prazo de duração da pesquisa, que consistiu no período de 12 meses. Neste sentido, optamos por limitar a amostra final ao número máximo de 40 países, como já mencionado, e deixamos de analisar países que eventualmente se manifestaram sobre a regulação da criptografia a partir de 2018.

4. Fontes de pesquisa

Para cada um dos países selecionados, foi realizada uma pesquisa nas próprias fontes utilizadas para seleção, como indicado na seção anterior. Acrescendo-se a isto, buscamos artigos acadêmicos em repositórios de artigos científicos e informações sobre leis, projetos de leis e decisões judiciais em portais oficiais de cada um dos países analisados, quando disponível em uma das línguas compreendidas pelos pesquisadores.

De forma organizada, as fontes de pesquisa foram:

(i) Cripto law Survey

(ii) Library of Congress — Government Access to Encrypted Communications

(iii) Report on encryption, anonymity, and the human rights framework

(iv) Periódicos de notícia, portais de busca e sites de organizações não- governamentais

(v) Repositórios de artigos científicos

Este bloco de fontes foi incluído para abranger artigo científicos de natureza técnica e acadêmica, análises de decisões e normas jurídicas e exposições de debates.

(vi) Portais oficiais de órgãos de governo de cada um dos países: o objetivo da busca nessas fontes foi a obtenção de leis, projetos de leis e informações judiciais que tratam da regulação jurídica da criptografia. Importante ressaltar que, caso inglês/ francês/ alemão/ espanhol/ português não sejam línguas oficiais do país analisado, mas exista uma tradução da legislação em alguma destas línguas, indicamos em cada pílula (i) a utilização da legislação traduzida; e (ii) se a tradução utilizada é oficial ou não oficial.

5. Pílulas Descritivas

O mapeamento das diferentes regulações locais de criptografia se deu na forma de pílulas descritivas. Estes documentos não tiveram o intuito de exaurir todo o debate sobre a temática em cada um dos países, mas de prover um panorama geral da regulação existente, casos judiciais relevantes, projetos legislativos em debate e, quando havia, manifestações de oficiais/órgãos do governo com relação ao tema.

As pílulas consistem em breves documentos (1 a 4 páginas) que buscam responder ao questionário apontado na próxima subseção. É importante mencionar, no entanto, que na grande maioria dos casos não foram encontradas informações suficientes para responder o questionário em sua totalidade, portanto em alguns restringimos as respostas às fontes disponíveis.

5.1. Questões que buscamos responder

  1. Existência de Regulação: Existe algum tipo de legislação ou regulamentação setorial relativa à regulamentação da criptografia no país estudado?
  2. Regulação específica: Há uma lei específica que trata da regulação da criptografia ou ela está pulverizada em outros diplomas normativos?
  3. Escopo da Regulação: O que a regulação preexistente pode afetar (desenvolvimento, implementação em sistemas ou utilização de criptografia por usuários finais)?
  4. Afetados pela Regulação: A quem a regulação é direcionada (desenvolvedores, provedores de aplicação, provedores de telecomunicação, usuários finais)?
  5. Casos Judiciais: Há algum caso relevante judicializado?
  6. Projetos de Lei: Há algum projeto de lei tramitando internamente que trate de regulação da criptografia?
  7. Manifestações Oficiais: Algum órgão governamental já se manifestou com relação a uma possível regulação?

As perguntas i a v consistem em questionamentos acerca da existência de regulações sobre o tema. As perguntas vi e vii dizem respeito a discussões, posicionamentos oficiais e processos legislativos e normativos. Vale reiterar que o objetivo do questionário foi funcionar como um guia para a condução da pesquisa; busca-se responder o maior número de perguntas possível, mas pressupusemos que nem todas as perguntas seriam respondidas.

5.2. Procedimento de elaboração

Após a realização desta pesquisa inicial, o projeto seguiu para a segunda fase: a elaboração de pílulas descritivas. O procedimento utilizado para a construção das pílulas consistiu em duas etapas:

(i) Revisão das pesquisas já realizadas: Nesta fase, as pesquisas realizadas foram revisadas de modo que:

a. Todas as menções a normas estejam acompanhadas de links para acesso ao texto normativo e/ou acompanhadas de citações diretas do dispositivo normativo (quando o texto completo não esteja disponível ou quando necessário para a compreensão da pílula). No caso de traduções de normas, foi necessário indicar, em nota de rodapé, a origem da tradução (oficial/não oficial) e a fonte de obtenção;

b. Quando possível, casos judiciais sejam obtidos por meio dos mecanismos de busca dos sites oficiais dos países. Nos outros casos, foi necessário indicar links para as fontes das informações sobre os casos e, preferencialmente, para as peças referidas;

c. Informações obtidas somente por meio de fontes secundárias estejam indicadas como tal em nota de rodapé ou no corpo do texto;

d. Observações e comentários de cunho interpretativo estejam indicados como tal, em nota de rodapé ou no corpo do texto.

(ii) Estruturação das pílulas descritivas: Cada pílula consistiu em um documento de 1 a 4 páginas e seguiu a seguinte estrutura, de forma flexível de acordo com cada país:

  1. Introdução: Resumo, em poucas frases, do restante do conteúdo da pílula. Quando couber, breve descrição do histórico normativo, político ou social relevantes para a compreensão da situação atual da regulação sobre o tema no país.
  2. Regulação: Normas existentes e vigentes sobre o tema, assim como casos judiciais que versem sobre tema, quando houver.
  3. Posicionamento: Pronunciamentos de oficiais do governo, projetos de lei em debate e considerações adicionais.

Após o término da redação das pílulas, foi realizada uma revisão detalhada de cada documento, com o intuito de (i) padronização de linguagem e termos técnicos; e (ii) verificação das fontes utilizadas em cada pílula.

(iii) Atualização: durante o primeiro semestre de 2021, a pesquisa foi realizada novamente como forma de identificar alterações no debate regulatório entre 2017 e 2020. As atualizações foram inseridas nas pílulas.

6. Modelos Regulatórios de Criptografia

Ao longo da elaboração das pílulas descritivas, buscou-se identificar padrões nas abordagens regulatórias adotadas pelos países em relação ao acesso governamental a dados criptografados. A partir da análise dos países que já possuem algum tipo de mecanismo regulatório acerca do tema, chegou-se a sete modelos regulatórios distintos. Os países podem adotar um ou mais modelos de forma concomitante. A adoção dos modelos regulatórios pelos países está discriminada em cada uma das pílulas.

A descrição dos modelos regulatórios a seguir foi realizada de forma geral, buscando identificar apenas os elementos básicos de cada modelo. Para compreender como cada um deles foi internalizado, basta consultar a pílula do respectivo país. Os modelos estão descritos [aqui].

7. Outras Informações Importantes

7.1. Como citar a pesquisa (Mapa e Países)

CENTRO DE ENSINO E PESQUISA EM INOVAÇÃO. [nome do país]. In Cryptomap. Relatório de Pesquisa. FGV Direito SP, 2021. Disponível em: <http://www.fgv.br/direitosp/cryptomap/>

7.2. Pontos importantes sobre a utilização da pesquisa

O CryptoMap e demais produtos da pesquisa não devem ser utilizados para fins de assistência jurídica e não capturam de forma exaustiva todas as leis relevantes de cada um dos países analisados. As análises foram elaboradas por nossa equipe ao longo de um tempo delimitado e com recorte temporal definido, portanto elas podem conter algum tipo de erro. Se você precisar de assistência jurídica, consulte um profissional habilitado na jurisdição de interesse.

--

--

CEPI - FGV DIREITO SP
CryptoMap FGV CEPI

Written by CEPI - FGV DIREITO SP

112 Followers
Editor for

O Centro de Ensino e Pesquisa em Inovação da Escola de Direito da FGV SP visa debater temas jurídicos que envolvem tecnologia, sociedade e educação. @fgvcepi