Open in app

Sign in

Write

Sign in

Pílulas e Modelos Regulatórios

CEPI - FGV DIREITO SP
CryptoMap FGV CEPI

--

Os seguintes países tiveram sua regulação mapeada e sintetizada na forma de pílulas descritivas:

[África do Sul]; [Albania]; [Alemanha]; [Argentina]; [Austrália]; [Áustria]; [Brasil]; [Canadá]; [Cazaquistão]; [Chile]; [China]; [Colômbia]; [Coréia do Sul]; [Cuba]; [Dinamarca]; [Egito]; [Eslováquia]; [Estados Unidos da América]; [Filipinas]; [França]; [Grécia]; [Guatemala]; [Holanda]; [Índia]; [Irã]; [Irlanda]; [Israel]; [Japão]; [Líbano]; [México]; [Moldávia]; [Nova Zelândia]; [Paquistão]; [Portugal]; [Reino Unido]; [Rússia]; [Suécia]; [Suíça]; [Tunísia]; [Turquia].

Ao longo da elaboração das pílulas descritivas, identificamos padrões nas abordagens regulatórias adotadas pelos países em relação ao acesso governamental a dados criptografados. A partir da análise dos países que já possuem algum tipo de mecanismo regulatório acerca do tema, identificamos sete modelos regulatórios distintos. Os países podem adotar um ou mais modelos de forma concomitante. A adoção dos modelos regulatórios pelos países está discriminada em cada uma das pílulas.

A descrição dos modelos regulatórios a seguir será realizada de forma geral, buscando identificar apenas os elementos básicos de cada modelo. Para compreender como cada um deles foi internalizado, basta consultar a pílula do respectivo país, que consta logo após a descrição.

1. Proibição/ Criminalização

Em vermelho, países que proíbem ou criminalizam a criptografia ou algum de seus usos.

Abordagem adotada por países que proíbem e/ou criminalizam a utilização de criptografia de forma explícita em seu ordenamento jurídico. Optou-se, aqui, por incluir apenas os países que, em seu ordenamento, abordam esta proibição de forma (i) geral (há uma proibição do uso de criptografia no país); (ii) clara (a proibição não é consequência de outro tipo de regulação e nem advém de lacuna relativa a outra norma); e (iii) explícita (a proibição trata explicitamente de alguma forma de implementação de criptografia — seja utilizando o termo ou similares).

Neste sentido, países que, por exemplo, somente restringem o tamanho das chaves criptográficas que podem ser utilizadas não se encaixam neste modelo, ainda que a consequência da regulação possa ser a restrição do uso de determinados tipos de criptografia. Por outro lado, países que proíbem aplicações por elas utilizarem criptografia são considerados parte deste grupo.

São países que adotam essa postura:

[Irã]; [Paquistão]; [Rússia]; [Tunísia]

2. Limitação do Tamanho de Chaves Criptográficas

Em vermelho, países que limitam o tamanho de chaves criptográficas.

Umas das formas de limitar a utilização de determinados tipos de criptografia é a restrição do tamanho das chaves criptográficas que são implementadas nos sistemas de segurança que circulam em determinado país — quanto menor é o tamanho da chave, mais inseguro é o sistema. Atualmente, costuma-se adotar chaves de no mínimo 128 bits. Países que adotam este modelo regulatório estabelecem limites para tamanhos de chave — alguns chegam a permitir somente o uso de chaves de até 40 bits.

O único país estudado que limita o tamanho de chaves criptográficas é a:

[Índia]

3. Obrigação de Assistência (Genérica)

Em vermelho, países que adotam obrigações de assistência genéricas.

Trata-se de uma obrigação, presente no ordenamento jurídico de determinado país, que pode ser invocada para solicitar que determinada pessoa (física ou jurídica) forneça informações criptografadas na forma legível ou auxilie neste processo de desencriptação no contexto de investigações criminais.

Encaixam-se na vertente genérica deste tipo de obrigação aqueles países que possuem mecanismos jurídicos que, por sua abrangência ao estabelecer obrigações de auxílio às autoridades de investigação, podem ser entendidos como suficientes para impelir o solicitado a providenciar essa assistência. Não há menção explícita a criptografia ou a seus elementos neste tipo de modelo regulatório.

São países que adotam essa abordagem:

[Argentina]; [Áustria]; [Canadá]; [Chile]; [Dinamarca]; [Estados Unidos]; [México]

4. Obrigação de Assistência (Específica)

Em vermelho, países que adotam obrigações de assistência específicas.

Trata-se de uma obrigação, presente no ordenamento jurídico de determinado país, que pode ser invocada para solicitar que determinada pessoa (física ou jurídica) forneça informações criptografadas na forma legível ou auxilie neste processo de desencriptação no contexto de investigações criminais. Encaixam-se na vertente específica países que tratam explicitamente de criptografia e de seus elementos nas normas que tratam deste tipo de obrigação.

Ordenamentos que possuam normas que obriguem a entrega de chaves criptográficas ou que solicitem o fornecimento de informações em linguagem legível encaixam-se neste modelo regulatório.

São países que adotam essa abordagem:

[África do Sul]; [Austrália]; [China]; [França]; [Holanda]; [Índia]; [Irã]; [Irlanda]; [Japão]; [Nova Zelândia]; [Paquistão]; [Portugal]; [Reino Unido]; [Rússia]

5. Licença/Autorização Governamental para Criptografia

Em vermelho, países que exigem licença ou autorização governamental.

Encaixam-se nesta categoria todos os países que solicitam a obtenção de uma licença ou de uma autorização do Governo para o desenvolvimento e/ou implementação e/ou utilização de sistemas criptográficos no território do país. Vale dizer que a mera necessidade de obtenção da licença já enseja o pertencimento a este modelo regulatório — não é necessariamente um mecanismo que restringe a criptografia.

É necessário consultar a pílula específica dos países desta modalidade para verificar as condições para obtenção da licença, que podem variar desde meros requisitos documentais formais até a divulgação total do funcionamento do mecanismo e de chaves para desencriptar o conteúdo por ele criptografado.

São países que exigem licença ou alguma forma de autorização governamental:

[África do Sul]; [Cazaquistão]; [China]; [Cuba]; [Egito]; [Índia]; [Irã]; [Israel]; [Rússia]; [Tunísia]; [Turquia]

6. Estímulo

Em vermelho, países que estimulam o uso, desenvolvimento ou comercialização de criptografia.

Modelos de estímulo à utilização de criptografia estão menos relacionados a normas jurídicas e mais relacionados a políticas públicas. Neste sentido, encaixam-se neste modelo países que explicitamente reconhecem a importância da criptografia e ativamente recusam-se a interferir de maneira restritiva no desenvolvimento e utilização de criptografia no país. Ademais, alguns países vão além e desenvolvem políticas públicas específicas para fomentar a pesquisa e desenvolvimento de criptografia e sistemas de segurança em seu território.

São países que se inserem nesse grupo:

[Alemanha]; [Filipinas]; [Grécia]; [Holanda]; [Líbano]; [Moldávia]

7. Mecanismos Alternativos de Investigação

Em vermelho, países que regulam mecanismos alternativos de investigação.

Ao longo da condução da pesquisa, identificou-se que diversos países que se manifestaram sobre acesso governamental a dados e regulação da criptografia trataram também de mecanismos alternativos de investigação. Dentre estes mecanismos, identificou-se uma tendência em relação ao chamado government hacking (ou lawful hacking): a exploração de vulnerabilidades de sistemas criptográficos realizada ou autorizada por governos no contexto de investigações criminais.

Alguns países já incorporaram em seu ordenamento jurídico marcos regulatórios para tratar especificamente deste tipo de investigação. Vale dizer que alguns países adotaram esta abordagem em conjunto com a regulação da criptografia, enquanto outros adotaram-na no lugar de outros tipos de regulação.

São países que se inserem nesse grupo:

[Alemanha]; [Austrália]; [Dinamarca]; [França]; [Reino Unido]; [Suíça]

--

--

CEPI - FGV DIREITO SP
CryptoMap FGV CEPI

Written by CEPI - FGV DIREITO SP

112 Followers
Editor for

O Centro de Ensino e Pesquisa em Inovação da Escola de Direito da FGV SP visa debater temas jurídicos que envolvem tecnologia, sociedade e educação. @fgvcepi