O Observatório da Criptografia (ObCrypto) entrevistou a organização indiana The Dialogue para entender as nuances das novas regras que obrigam provedores de aplicação de mensageria a prever formas de rastrear o encaminhamento de mensagens, sob risco de responsabilidade. Questões sobre o panorama local político e social foram tratadas, as demandas das forças de aplicação da lei, bem como a viabilidade técnica da medida tendo vista os riscos à cibersegurança e ao ecossistema de direitos dependentes, atualmente, da criptografia forte. A entrevista foi concedida por Kazim Rizvi, empreendedor em políticas públicas e fundador da The Dialogue.
Pergunta: Gostaríamos de entender a mudança legal no cenário regulatório na Índia com relação à criptografia. Por exemplo, antes das modificações nas regras das “Intermediary Guidelines”, como a criptografia era regulamentada (se o era)? E, depois das novas regras, o que mudou para os intermediários em termos de obrigações e responsabilização?
Resposta: A interceptação legal faz parte de políticas que datam de 1998, especificamente no Indian Telegraph Act, de 1885. A Seção 5 do Telegraph Act e a Regra 419A das Indian Telegraph Rules, de 1951, autorizavam o governo a interceptar e monitorar legalmente as comunicações. A validade da Seção 5 da Lei foi contestada perante a Suprema Corte no caso PUCL v. União da Índia [(1997) 1 SCC 301]. O Tribunal se recusou a derrubar a Seção e em vez disso listou as diretrizes a serem seguidas para verificar a arbitrariedade nas ordens de interceptação. Além disso, a Seção 84A da Information Technology Act, de 2000 foi introduzida por meio de uma emenda em 2008. Ela permitiu ao governo prescrever modos e métodos de criptografia para garantir o uso seguro do meio eletrônico e promover a governança e o comércio eletrônicos. Seguindo uma ordem de regulamentação mais prescritiva, a Seção 69 da Information Technology Act, de 2000, permitiu que os governos central e estadual monitorassem e coletassem informações por meio de qualquer recurso de computador para a cibersegurança. A Regra 9 das Information Technology (Procedure and Safeguards for Interception, Monitoring and Decryption of Information) Rules, de 2009, previa que um pedido de decriptação poderia se referir a qualquer informação enviada para ou de uma “pessoa ou classe de pessoas” ou se relacionar a “qualquer assunto”.
Foi nessa atmosfera que a National Encryption Policy foi formulada em 2015. No entanto, ela não se manifestou como uma lei propriamente dita em razão das críticas que recebeu. Os críticos opinaram que se tratava mais de uma política de “decriptação”, porque só permitia que as plataformas funcionassem se cumprissem o mecanismo regulatório obrigatório. Dizia-se que a política simplesmente protegia o acesso do governo aos dados criptografados, em vez de proteger os dados do usuário. O Draft Intermediary Guidelines, de 2018, que deveria ter um impacto significativo nas políticas de criptografia devido à ordem de rastreabilidade, também recebeu comentários de todas as partes interessadas relacionadas ao oneroso requisito de rastreabilidade introduzido. Mais recentemente, esse argumento foi ampliado para incluir a ameaça à ordem pública devido à proliferação de notícias falsas em plataformas criptografadas, o que às vezes levava a linchamentos e aos desafios relativos ao CSAM (child sexual abuse material) na internet.
A notificação das Information Technology (Intermediary Guidelines and Digital Media Ethics Code) Rules, de 2021, sacudiu o ecossistema de criptografia indiano. A regra 4 (2) das IT Rules, de 2021, determinou a rastreabilidade do originador para todos os Intermediários de Mídia Social Significativos (Significant Social Media Intermediaries – SSMIs) que fornecem serviços de mensagens. O não cumprimento da ordem de rastreabilidade do originador levaria à retirada automática da “Safe Harbor Protection”* conferida pela Seção 79 da Information Technology Act. Isso implica que, se os SSMIs que fornecem serviços de mensagens não forem capazes de implementar a previsão de rastreabilidade, eles perderão sua imunidade para proteção contra qualquer ilegalidade cometida por terceiros em sua plataforma. Se, por um lado, temos as soluções oferecidas pelo Prof. Kamakoti e a proposta de “Hashing Alfanumérico” para introduzir a rastreabilidade, por outro lado temos especialistas e organizações que explicam os desafios técnicos, políticos e jurídicos associados à sua implementação. Enquanto as soluções do Kamakoti dependiam do modelo de “depósito de chave” rejeitado anos atrás, o hashing alfanumérico equipará a plataforma com a capacidade de vigiar o usuário, o que é contra a ideia fundamental por trás da criptografia ponta-a-ponta, ou seja, nenhum terceiro – seja a plataforma ou o Estado – deve ter acesso às trocas entre o remetente e o(s) destinatário(s).
P: Podem ser destacados os principais motivos que levaram o governo indiano a propor as novas regras? Qual é o contexto político e a narrativa do governo por trás disso? Ela procede, na opinião da The Dialogue?
R: O Estado tem um interesse legítimo em acessar dados para a aplicação da lei, bem como em identificar o que causou um ato criminoso ou ilegal. Com a maior parte das comunicações ocorrendo em dispositivos criptografados, é natural que o Estado deseje entender o rastro de um crime. Além disso, qualquer material pornográfico infantil compartilhado em tais dispositivos é uma causa legítima de preocupação. Não seria prudente presumir que as demandas de segurança nacional não existem ou que não devem ser atendidas; além disso, na Índia, a privacidade também não é um direito absoluto.
A intenção subjacente de buscar rastreabilidade é lidar com notícias falsas e proliferação de material de abuso sexual infantil em plataformas criptografadas.
Dito isso, deve-se avaliar a necessidade e a proporcionalidade dos meios para atingir esse fim. Para o Estado, o problema surge quando não é possível acessar informações completas sobre uma investigação criminal. O argumento é que eles precisam ver as conversas dos suspeitos ou entender quem as compartilhou primeiro. De toda forma, com avançadas técnicas de análise de metadados e tecnologias forenses, nós entendemos que agências de investigação podem, na realidade, alcançar bons resultados sem ter que acessar, necessariamente, o conteúdo de conversas e, assim, concluir investigações. É igualmente importante aproveitar os metadados para assistência em investigações criminais, enquanto as plataformas devem auxiliar o Estado na construção de seus recursos de análise de metadados. Todos os principais interessados, incluindo a academia, a indústria, as grandes empresas de tecnologia e o Estado, devem trabalhar para encontrar soluções que respeitem a privacidade e que não enfraqueçam a criptografia.
Não se pode arriscar a segurança de 99% dos cidadãos para pegar o 1%. Além disso, os criminosos experientes em tecnologia simplesmente mudarão para plataformas criptografadas não regulamentadas e continuarão com suas atividades ilegais.
Se uma vulnerabilidade ou backdoor forem criados em uma plataforma criptografada popular para as agências de aplicação da lei rastrearem os criminosos, aqueles com experiência em tecnologia simplesmente mudarão para outra plataforma, possivelmente uma das suas, que seja criptografada com segurança. Essas intervenções permitem uma melhor proteção da privacidade dos criminosos, que mudam para plataformas criptografadas não regulamentadas. Por outro lado, os cidadãos cumpridores da lei acabam sujeitos a vigilância reforçada, em total violação de seu direito à privacidade. Uma vez que os criminosos mudem para outras plataformas, a polícia perderá até mesmo os metadados que as plataformas regulamentadas compartilhavam com eles para auxiliar nas investigações criminais.
Além disso, os aplicativos criptografados de ponta a ponta coletam, por sua natureza, poucos dados. Coletar mais dados do que o necessário para serviços de qualidade viola o princípio de minimização de dados previsto no Projeto de Lei de Proteção de Dados Pessoais, de 2019. A lei também prevê o uso de criptografia para proteger melhor os dados do usuário.
O Estado pode acabar abrindo uma Caixa de Pandora ao enfraquecer a criptografia, criando vários problemas não previstos na tentativa de resolver um.
P: Na opinião da The Dialogue, como as disposições técnicas necessárias ao cumprimento das regras afetam a segurança da informação na cadeia de interconectividade entre usuários e serviços? Além disso, será possível manter uma expectativa razoável de privacidade e liberdade de expressão em aplicativos de mensagens, por exemplo?
R: Hashes alfanuméricos são, em termos simples, uma espécie de assinatura que explica quem enviou uma mensagem para quem e também pode conter informações adicionais, como a data e hora da mensagem e os dados de localização. A solução proposta é antiga e foi apresentada no contexto indiano pelo Dr. Kamakoti perante o Supremo Tribunal de Madras. Nesse ponto também, a solução foi amplamente criticada porque é uma solução regressiva, que leva a tecnologia de volta ao início de 2000, e é proposta sem entender a própria natureza do protocolo de criptografia de ponta a ponta usado pelo Signal e WhatsApp.
A fim de garantir privacidade perfeita, o protocolo Signal consolida o princípio de “negação criptográfica”. Isso significa que “B“ terá 100% de certeza de que foi de fato “A” quem lhe enviou uma mensagem, mas nunca poderá provar isso a ninguém. “A” pode sempre negar ter dito qualquer coisa para “B” neste ecossistema de privacidade perfeita.
É por essas razões que a Autoridade Reguladora de Telecomunicações da Índia, após anos de consulta e revisão das melhores práticas internacionais, em suas recomendações ao Departamento de Telecomunicações, opinou que a arquitetura de segurança de plataformas criptografadas ponta-a-ponta não deve ser modificada, pois pode tornar a privacidade, a segurança e a proteção dos usuários suscetíveis a ataques de atores hostis.
Resumindo, os hashes alfanuméricos visam derrotar a criptografia ponta a ponta. É pertinente observar aqui que a criptografia é atualmente recomendada como um componente chave de privacidade por padrão e por desenho na União Europeia, Estados Unidos e várias outras jurisdições. O Projeto de Lei de Proteção de Dados Pessoais da Índia também recomenda o uso de criptografia para salvaguardar a privacidade.
P: Há poucas semanas, o WhatsApp recorreu à justiça para processar o governo indiano porque as novas regras afetarão os protocolos de criptografia ponta-a-ponta em seu serviço. Você pode comentar sobre isso? E como os desenvolvedores e serviços locais estão respondendo às regras? As mudanças afetarão, por exemplo, o potencial de inovação para novas tecnologias na Índia?
R: O WhatsApp em sua petição ao Tribunal Superior de Delhi argumenta que a Regra 4 (2) das Information Technology Rules viola os artigos 14, 19 e 21, ou seja, direito à igualdade, liberdade de expressão e privacidade. Muitos interessados também opinam que o Ministério de Eletrônica e Tecnologia da Informação excedeu sua competência na medida em que Technology Information Rules não o autoriza a fazer cumprir uma ordem de rastreabilidade.
A regra 4 (2) afeta apenas intermediários de mídia social significativos que fornecem serviços de mensagens. Uma plataforma precisa ter 50 lakh** em usuários para ser considerada significativa. Portanto, ele não afeta os pequenos participantes diretamente, mas muitos se opõem fortemente a ele, devido aos seus direitos humanos e implicações comerciais, tornando os produtos e serviços fracos em termos de segurança cibernética e, portanto, inaceitáveis no mercado global.
P: E para todos os setores que se opõem à nova regulamentação, inclusive as organizações da sociedade civil, há oportunidades de revertê-la? Como você vê os riscos de “efeito cascata” das novas regras para outras regiões do mundo?
R: Embora as Regras já estejam em vigor, elas não prescrevem os meios técnicos para implementar o mandato de rastreabilidade. Esperamos que o Ministério consulte especialistas técnicos para discutir soluções implementáveis, pois a proposta de hashing pode levar a mais desafios do que pretende resolver.
Se a Regra 4 (2) das Information Technology Rules, de 2021 for implementada, intermediários de mídia social significativos que fornecem serviços de mensagens terão que armazenar os valores de hash de cada mensagem enviada em sua plataforma. Essa lei interna indiana, que tem graves implicações no direito fundamental à liberdade de expressão e à privacidade, terá impacto sobre o regime global, pois os valores hash das mensagens trocadas entre os usuários na Índia e qualquer outro país estrangeiro, como a Inglaterra, também terão que ser armazenados. Isso levará a uma obstrução das obrigações internacionais relativas aos direitos humanos.
*Garantia de que o intermediário não será responsabilizado
**Cinco milhões