[GTER] [Fwd: Re: [Blogosfera] LEITURA IMPORTANTE! - Projeto de lei]

[Andre Uratsuka Manoel]

Veja, eu li os dois projeto, e isso não ajudou a tirar dúvidas que eu tenho,
muito pelo contrário. Acho que o que vale é o que está escrito e não
aquilo que o autor do projeto diz. Pelo que está escrito há praticamente
todos os problemas discutidos. O primeiro projeto de lei não falava 
exatamente aquilo que se dizia na imprensa, mas a imprensa estava mais 
certa do que o que o autor afirmava em entrevistas.

O segundo projeto está bem melhor, na minha opinião de leigo (IANAL),
mas ainda tem defeitos perigosos.

Na minha opinião, o maior problema de ambos os projetos é a confusão de 
conceitos. Eles ordenam que os provedores guardassem os dados de acesso, 
mas era ambiguo quanto a o que era um provedor. O anterior ainda tornava 
crime caso o acesso fornecido fosse utilizado para crime. Ela também fazia 
isso, se não me engano, independente de dolo. O atual melhorou um pouco,
mas também não define o que eles querem dizer por "conexão". Eu lido com
a Internet há 14 anos e acho que levaria 5 minutos para enumerar todos
os sentidos que eu conheço que se dá para a palavra "conexão", mas eles 
usam como se fosse a coisa mais clara do mundo.

Ele também não levava em conta a insegurança jurídica do provedor, e
como todo mundo podia acabar fornecendo acesso a alguém a uma rede
(pense no bittorrent, eu não estou fornecendo a quem se liga a
mim acesso à rede bittorrent?)

O resultado é que, no medo de passar uma lei que se torna obsoleta por
causa do avanço da tecnologia, o projeto acabou ficando abrangente
demais. Não sei qual a intenção, mas no papel assusta, e o que vai
acabar valendo vai ser aquilo que os policiais, delegados, promotores,
juízes e advogados lerem nela.

Quer exemplos?

"Art. 154-C Para os efeitos penais considera-se:

 I - dispositivo de comunicação: o computador, o telefone celular, o
 processador de dados, os instrumentos de armazenamento de dados,
 eletrônicos ou digitais ou similares, os instrumentos de captura de
 dados, os receptores e os conversores de sinais de rádio ou televisão
 digital ou qualquer outro meio capaz de processar, armazenar, capturar
 ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou
 qualquer outra tecnologia ou digital ou similar;

 II - sistema informatizado: o equipamento ativo da rede de comunicação
 de dados cou ou sem fio, a rede de telefonia fixa ou móvel, a rede de
 televisão, a base de dados, o programa de computador ou qualquer outro
 sistema capaz de processar, capturar, armazenar ou transmitir dados
 eletrônica ou digitalmente ou de forma equivalente;

 III - rede de computadores: os instrumentos físicos e lógicos através
 dos quais é possível trocar dados e informações, compartilhar
 recursos,(sic) entre máquinas, representada pelo conjunto de
 computadores, dispositivos de comunicação e sistemas informatizados,
 que obedecem de comum acordo a um conjunto de regras, parâmetros,
 códigos, formatos e outras informações agrupadas em protocolos, em
 nível lógico local, regional, nacional ou mundial"

Exemplos de dispositivo de comunicação:
 - computador
 - telefone celular
 - calculadora
 - gameboy
 - telefone comum
 - gravador analógico
 - câmera digital
 - filmadora VHS
 - gramofone
 - leitor de código de barra
 - joystick
 - controle remoto
 - o fone de ouvido

Exemplos de sistema informatizado:
 - roteador
 - switch
 - acesspoint
 - telefone analógico
 - mine sweeper
 - gravador analógico
 - mouse
 - chaveador de teclado
 - rede bittorrent
 - fita cassette
 - qualquer programa, incluindo programas enviados remotamente
 - o controle remoto da televisão
 - a antena

Exemplos de rede de comptadores:
 - sua LAN
 - a rede do seu provedor de acesso
 - a rede dos dispositivos USB do seu computador
 - uma SAN
 - o cabeamento SCSI
 - o cabo da impressora
 - a rede telefônica
 - o telefone sem fio e a base

É proibido acessar qualquer um desses sem autorização do titular quando
exigido, sob pena de 2 a 4 anos de reclusão. (Art 154-A). 

Também:

"Parágrafo 1o. Nas mesmas penas incorre quem, (sic) permite, facilita ou
fornece a terceiro meio não autorizado de acesso a rede de computadores,
dispositivos de comunicação ou sistema informatizado".

Levando em conta como esses itens podem ser definidos de forma genérica,
você consegue entender a minha preocupação? Isso me parece ter o potencial 
para servir como uma DMCA na nossa legislação, além de acabar
indiretamente proibindo o uso de proxies ou de NATs para
compartilhamento de rede.

Também:

"Art. 154-B. Obter dado ou informação disponível em rede de
computadores, dispositivo de comunicação ou sistema informatizado, sem
autorização do legítimo titular, quando exigida:

  Pena - Detenção, de 2(dois) a 4(quatro) anos, e multa.
  
Parágrafo. 1o. Nas mesmas penas incorre quem mantém consigo, transporta
ou fornece dados ou informações obtidas nas mesmas circunstâncias do
caput, ou dessas se utiliza além do prazo definido e autorizado".

Me parece que isso pode ser facilmente interpretado como extensão da lei de
sigilo comercial. Ao mesmo tempo, pode ser utilizada para impedir
denúncias de corrupção (veja, nos EUA, o caso do uso da DMCA pela
Diebold para evitar a disseminação de informações que demonstravam que
as urnas eletrônicas da Diebold eram ineptas). Isso sem falar na
facilidade de incriminar alguém e no poder que isso dá para o "legítimo
titular". Quem é o "legítimo titular"? Se eu comprei uma licença de um
software, essa licença é minha, eu sou o legítimo titular, mas se a
interpretação for de que é a gravadora, eu não posso mais ouvir meus MP3
através da minha rede interna, ou, já que a definição é tão ampla,
através dos meus fones de ouvido.

Também:

"Interrupção ou perturbação de serviço telegráfico, telefônico,
informático, telemático, dispositivo de comunicação, rede de
computadores ou sistema informatizado

Art. 266. Interromper ou perturbar serviço telegráfico,
radiotelegráfico, telefônico, telemático, informático, de dispositivo de
comunicação, e rede de computadores, de sistema informatizado ou de
telecomunicação, assim como impedir ou dificultar-lhe o
restabelecimento:
...."

Não é por nada não, mas a regra não devia falar sobre a rede de
outras pessoas? Não deve ser crime eu tirar do ar a minha própria
rede...

Um péssimo:

"Art. 10. O código penal passa a vigorar acrescido do seguinte artigo
298-A:
 Falsificação de telefone celular ou meio de acesso a rede de
 computadores, dispositivo de comunicação ou sistema informatizado
 
 Art. 298-A. Criar ou copiar, indevidamente, ou falsificar código,
 sequência alfanumérica, cartão inteligente, transmissor ou receptor de
 rádio frequencia ou telefonia celular, ou qualquer instrumento que
 permita o acesso a rede de computadores, dispositivo de comunicação ou
 sistema informatizado"

O problema com a forma como este artigo foi redigido é que a meu ver,
ele torna crime você instalar seu próprio modem ADSL se a sua operadora
não permite, ou desbloquear um celular comprado de uma operadora, ou
utilizar um celular desbloqueado.


Eu também ainda não entendi também a equiparação do dado à coisa, cujas consequencias 
não estão claras, uma vez que o dado é diferente da coisa, porque é imaterial. 
Se uma pessoa faz uma cópia de um dado, isso é equiparado a furto mesmo que a 
pessoa continue com os dados originais? 

Finalmente, levando em conta que quem provê acesso à rede de
computadores (que foi definida, como acima, como sendo qualquer coisa que 
liga qualquer coisa a qualquer coisa contanto que permita a troca de dados
ou informações de forma organizada de protocolos), tem a obrigação de
guardar dados de acesso de cada pessoa para permitir a identificação de
cada conexão (que obviamente não foi definida e parece exigir o log de
cada conexão HTTP). Portanto, pela lei, pelas definições feitas, é
necessário identificar todo mundo que usa o controle remoto, ou que usa
o telefone na sua casa, ou, para falar a verdade, o interfone também.

Está vendo? O problema não é apenas a intenção, mas principalmente a
execução da lei. Isso sem falar, claro, na defesa digital. O único
exemplo que eu já vi usado (transporte de código de virus) poderia ser 
facilmente evitado se o artigo sobre difusão de virus exigisse o dolo.
Mas não é a intenção da lei, já que difusão sem intenção nem se assumir
o risco do resultado tem pena de reclusão de 3 a 5 anos. Ou seja, 3 a 5
anos por rodar o programa errado que seu amigo mandou em attachment,
mesmo sem a intenção, e mesmo sem o coitado saber do risco que corria.

Quer saber o que essa defesa digital permite? Permite que a Sony instale 
o rootkit deles, que é um código claramente malicioso com o objetivo de 
evitar a cópia de um CD. Contanto que envolva um agente técnico ou
profissional habilitado. Permite que se invada a máquina de alguém que
se supõe malicioso. Me permite tentar invadir as bases de dados do
provedor do atacante para descobrir a identidade de quem rodou um portscan na 
minha máquina. (Art. 339-A Par. 3o. Não há crime quando o agenda acessa
a título de defesa digital, excetuado o desvio de finalidade e o
excesso).

Não é a intenção da Defesa Digital o problema. Ela parece ter a intenção
de permitir às pessoas se defenderem, mas a execução foi, como o resto, 
ampla e genérica demais. Colocando isso em outros termos. Eu não quero
que o governo tenha o poder de atacar as minhas máquinas ou obter dados
sem autorização judicial. Por que eu aceitaria que entidades privadas
tivessem esse poder, e ainda o poder de tentar invadir as minhas
máquinas?


André