[GTER] Íntegra do projeto substitutivo aprovado pelo Plenário do Senado

Tukso Antartiko tukso.antartiko at gmail.com
Wed Jul 16 22:16:09 -03 2008


On Fri, Jul 11, 2008 at 1:29 AM, Omar Kaminski <omar at kaminski.com> wrote:

> Íntegra do substitutivo:
>
> http://www.senado.gov.br/comunica/agencia/pags/01.html
>
>
Antes de tudo, não sou advogado e isto não é conselho legal, apenas estamos
discutindo um assunto de maneira informal, não tome nenhuma decisão baseada
nesta discussão sem antes consultar um advogado.

Começo pela definição dos termos:

"I – dispositivo de comunicação: qualquer meio capaz de processar,
armazenar, capturar ou transmitir dados utilizando-se de tecnologias
magnéticas, óticas ou qualquer outra tecnologia;"

Ou seja, não só qualquer coisa capaz de processar (hoje quase tudo tem um
processador) como também qualquer coisa capaz de armazenar dados. Um CD é
considerado "dispositivo de comunicação", assim como um livro, uma folha de
papel, uma parede de banheiro de botequim, enfim qualquer coisa capaz de
armazenar algum "dado" usando "qualquer outra tecnologia".

"II – sistema informatizado: qualquer sistema capaz de processar, capturar,
armazenar ou transmitir dados eletrônica ou digitalmente ou de forma
equivalente;"

É igualmente amplo, igual ao item anterior mas acrescentando o termo
genérico "sistema", que pode ser de hardware, de software, "ou de forma
equivalente" geológico (dados históricos de clima), biológico (DNA),
mecânico (contador mecânico).

"III – rede de computadores: o conjunto de computadores, dispositivos de
comunicação e sistemas informatizados, que obedecem a um conjunto de regras,
parâmetros, códigos, formatos e outras informações agrupadas em protocolos,
em nível topológico local, regional, nacional ou mundial através dos quais é
possível trocar dados e informações;"

Enfim, seu controle remoto da TV é uma rede de computadores, uma placa pci
qualquer ligada ao seu PC, seu mouse, seu telefone sem fio, sua tv por
assinatura, seu pendrive ligado ao PC, ...

"IV – código malicioso: o conjunto de instruções e tabelas de informações ou
qualquer outro sistema desenvolvido para executar ações danosas ou obter
dados ou informações de forma indevida;"

O conjunto de instruções pode ser uma receita de bomba caseira. Tabela de
informações? De onde tiraram isso?

"OU obter dados ou informações de forma indevida" O que é forma devida e
indevida? Se determinado programa ou sistema, obtém os dados da máquina ou
da instalação e os envia para a matriz silenciosamente ele comete um crime?
Sob esta análise a maioria dos programas que precisa de ativação via
Internet ou verifica updates automaticamente deve ser código malicioso.

Ações danosas a quem? Um anti-vírus é danoso aos vírus, um bloqueador de
pop-up é danoso ao anunciante de determinado site, um filtro de spam é
danoso ao spammer (que jura se tratar de publicidade legítima).

"V – dados informáticos: qualquer representação de fatos, de informações ou
de conceitos sob forma suscetível de processamento numa rede de computadores
ou dispositivo de comunicação ou sistema informatizado;
VI – dados de tráfego: todos os dados informáticos..."

Criaram uma definição de dado informático, que prefiro não comentar, mas
como a lei foi escrita e reescrita, ela só é usada no item VI, no restante
usa-se apenas "dado" no seu conceito amplo.

"Dados de tráfego" também é um termo que nunca é usado, pelo menos até que
surja, inofensivo, como um simples termo, em outra lei votada na pressa, de
madrugada (para não "ter que trabalhar amanhã") e todos "... permaneçam como
se encontram. Aprovada!."

Voltando ao início:
"Art. 285-A. Acessar, mediante violação de segurança, rede de computadores,
dispositivo de comunicação ou sistema informatizado, protegidos por expressa
restrição de acesso.
Pena - reclusão, de 1 (um) a 3 (três) anos, e multa."

Aqui não há nenhuma diferenciação de quem imprime esta restrição de acesso,
o equipamento pode ser seu e ser aceita uma restrição do fabricante ou de
alguém que presta um serviço. Se você remover o lacre "de segurança" de um
aparelho que é seu (lembro que o termo dispositivo é genérico) você cometeu
um crime. Se alguém violou o DRM de um DVD para poder converter um filme
para tocar no iPod este cometeu um crime. Se atualizou o firmware de
determinado hardware bugado e o fabricante proibia atualizações de software,
idem.

Crime este com cadeia mínima de um ano não há diferença da gravidade, como
usar lan-house por mais tempo sem pagar porque mudou o horário do PC ou usar
a internet do laboratório da faculdade que devia estar bloqueada no horário
da aula porque mudou o IP ou ligou o cabo de rede no laptop. Tudo isso pode
render no mínimo um ano de cana ou um processo se topar com algum chato, ou
alguém  nem tão chato, mas um pouco preocupado, que, com receio, "conte para
o provedor de acesso" e este obrigatoriamente te denuncie para a polícia,
sob pena de também estar cometendo crime. O que é acesso indevido? Um
equipamento wi-fi, como iPhone, que se intromete em qualquer access point
aberto, sem intervenção do usuário, comete um crime?

A lei também não fala nada sobre tentativa, o script kiddie pode ficar o mês
inteiro tentando descobrir um modo de violar um site de banco ou comércio
eletrônico, mas desde que ele não consiga de fato fazer o "acesso, mediante
violação de segurança" está tudo bem. Um milhão de tentativas frustradas
pode ser igual a não fazer nenhuma.

"Art. 285-B. Obter ou transferir, sem autorização ou em desconformidade com
autorização do legítimo titular da rede de computadores, dispositivo de
comunicação ou sistema informatizado, protegidos por expressa restrição de
acesso, dado ou informação neles disponível:"

Agora qualquer titular dos inúmeros equipamentos e meios utilizados para se
conectar à outro equipamento pode limitar o acesso dos usuários. A Internet
deixou de ser uma rede onde uma pessoa se conectava a outra dependendo
apenas do interesse das duas, para se tornar uma rede com milhares de donos.
Agora seu provedor pode, com proteção da lei aplicar o que estava escrito em
letras miúdas no contrato, como (exemplos reais) proibir "rede privativa
virtual (...) servidores de rede ponto-a-ponto" ou "práticas que
desrespeitem (...) a
moral e os bons costumes, tais como (...) prejudicar outros membros da
comunidade" (basta alguém se sentir prejudicado)", enviar mensagens
*individuais*  e coletivas de e-mail (spam mails) de qualquer tipo de
conteúdo."(observe o individuais)  E não demora muito para, usando do
monopólio, incluírem também novos itens como: "VOIP, uso excessivo da rede
(quanto é excessivo?)". Tudo isso com um porrete de "um a três anos de
detenção" nas mãos que se pode lavar com o "dever de informar".

O provedor de acesso também pode decidir cobrar do provedor de conteúdo uma
taxa para que este envie ou venda conteúdo para seus usuários, a lei dá
direito a isso visto que a autorização deve ser concedida pelo titular da
rede, independente do desejo do titular do dado ou informação.

Da mesma forma posso armazenar algum dado em servidor ou sistema de outro,
pagando ou não por este serviço, e este pode autorizar que um terceiro tenha
acesso à estas informações sem meu consentimento, já que é o titular do
equipamento ou sistema que concede a autorização de acesso às informações ou
dado.

Se o hacker for o titular do "sistema informatizado", ou se o titular não
puder aplicar a lei brasileira, o hacker pode obter o dado que quiser em seu
site de phishing, pois novamente quem é dono do dado não importa.

Além disso a lei não informa quando esta autorização deve ser concedida ou
solicitada, qualquer um pode reclamar depois que "o acesso não foi
autorizado", ou informar a necessidade de autorização no próprio dado,
depois que o acesso deixou evidências, como em letrinhas miúdas no final da
página. Por outro lado outros podem entender que tudo já pede autorização e
basta um ACK para autorizar.

"Art. 285-C. Nos crimes definidos neste Capítulo somente se procede mediante
representação, salvo se o crime é cometido ..."

Representação de quem? Do vizinho, de algum defensor da moral e bons
costumes, da TFP, dos fiéis da igreja tal, do empregado/patrão/(insira o
nome aqui) rancoroso? Então pode ser ou não ser crime, depende se alguém vai
ficar sabendo ou se você será incriminado por alguém em relação a algo
socialmente aceitável. Então sorria para todos tenha medo sem saber do quê e
de quem. É a incerteza que deveria ser restrita aos criminosos compartilhada
para a sociedade.

"154-A. Divulgar, utilizar, comercializar ou disponibilizar dados e
informações pessoais contidas em sistema informatizado com finalidade
distinta da que motivou seu registro"

Registro onde? Motivou quem? O mal-feitor registra as informações em seu
site de phishing motivado justamente pela intenção de roubar. Ou o
mal-feitor pode criar uma promoção fajuta pedindo que todos escrevam seus
dados pessoais "em fichas de papel" mas se for o mal-feitor que "registrar"
no sistema "motivado por finalidade" de "utilizar, comercializar ou
disponibilizar" e depois usar com esta mesma finalidade pode-se dizer que
não há crime.

Saber que fulano é cliente frequente da minha loja me proíbe de avisá-lo
quando um produto que sempre compra está em promoção, já que os dados de
compra são motivados especificamente por aquela única compra? Quem dará
emprego aos mineradores de dado desempregados? O Google poderá vender
anúncios baseado no histórico das buscas de determinada pessoa? O que é
"dado e informação pessoal"? Só o que tiver meu nome? meu email? meu login
de usuário? meu cookie? O que for baseado em minhas preferências e histórico
pessoal?

"Art. 163. Destruir, inutilizar ou deteriorar coisa alheia ou dado
eletrônico alheio:"

Quem é dono do dado? E se destruir for parte do processo? Se alguém manda um
email válido e, entre os milhares que recebe, o servidor rejeita
silenciosamente achando que é spam? O "dono do dado" vai reclamar que ele se
perdeu no caminho? Se o provedor limita a velocidade do usuário ou anda com
o backbone no talo e isto faz com que ocorra drop de pacotes "de dados", o
provedor é criminoso?

"Art. 163-A. Inserir ou difundir código malicioso em dispositivo de
comunicação, rede de computadores, ou sistema informatizado."

Qual "sistema informatizado"? Se o sistema informatizado for meu e usar o
"código malicioso" para fazer testes ou auditoria? Serei criminoso? E se o
hacker usar um tool kit para criar o código malicioso mas ao invés de
"inserir ou difundir", que é o que a lei prevê, executar o código malicioso
usando-se desse para atacar outro, remotamente e de forma automática? Ele
não será?

Ou se o site de phising não difunde código nenhum, mas apenas envia e recebe
dados ele não comete crime?

O provedor também comete crime por difusão?

"Estelionato Eletrônico
VII – difunde, por qualquer meio, código malicioso com intuito de facilitar
ou permitir acesso indevido à rede de computadores, dispositivo de
comunicação ou sistema informatizado:"

Repetição do item 163-A, será que quem escreveu não leu?

"Interrupção ou perturbação de serviço telegráfico, telefônico, informático,
telemático, dispositivo de comunicação, rede de computadores ou sistema
informatizado"

Se apesar dos inúmeros usuários que tiver e julgam meu site importante,
tiver que cessar determinado serviço sem aviso porque não tenho como manter,
poderei ser processado? Ou se na situação inversa, se não pagar meu provedor
e ele me tirar do ar, causando danos, poderei processá-lo? Ele só pode agir
amparado por ordem judicial? Teremos tantos advogados quanto caloteiros?

Quem iria preso no recente caso da fonica? Qualquer um que peque seja por
imperícia, incompetência e imprudência?

"Art. 298. Falsificar, no todo ou em parte, dado eletrônico ou documento
particular ou alterar documento particular verdadeiro:"

Dado eletrônico ganha o mesmo caráter que documento. Então falsificar o
registro do Windows pirata para habilitar a cópia é crime igual falsificar
contrato de compra e venda? Então agora existem duas leis de proteção de
direito autoral. E o que dirá de alterar a data do PC para usar o trial por
mais alguns dias? Enviar um email com a data errada? Preciso andar com
melhores companhias, estou rodeado de criminosos. Se alguém te perguntar na
cadeia por qual artigo do código penal foi em cana lembre bem destes
números.

"Art. 22. O responsável pelo provimento de acesso a rede de computadores
mundial, comercial ou do setor público é obrigado a:

I – manter em ambiente controlado e de segurança, pelo prazo de três anos,
com o objetivo de provimento de investigação pública formalizada, os dados
de endereçamento eletrônico da origem, hora, data e a referência GMT da
conexão efetuada por meio de rede de computadores e fornecê-los
exclusivamente à autoridade investigatória mediante prévia requisição
judicial;"

Para começar não é obrigatório gerar ou coletar dado algum, só é obrigatório
"manter em ambiente controlado e de segurança, pelo prazo". Portanto a
geração ou coleta parece ser opcional, só sendo obrigatória a manutenção de
dado que existir.

"com o objetivo de provimento de investigação pública formalizada," Ou seja,
os dados armazenados, não podem ser usados para mais nada, você não poderá
reaproveitá-los para gerar indicadores de acesso ou fazer auditorias por
conta própria.


"dados de endereçamento eletrônico da origem, hora, data e a referência GMT
da conexão" Ou seja, não é preciso armazenar o destino, e a hora não é
horário, então bastaria armazenar, dos logs gerados, algo do tipo:

21 horas -0300
123.123.123.123
...
123.123.123.111

22 horas -0300
234.234.234.234
...
234.234.234.235

"II – preservar imediatamente, após requisição judicial, outras informações
requisitadas em curso de investigação, respondendo civil e penalmente pela
sua absoluta confidencialidade e inviolabilidade;"

"outras informações requisitadas em curso de investigação" sempre há um
parênteses escondendo algo. Espera-se que  o juiz saiba o suficiente de
informática e telecomunicações para não ser enganado por um investigador
experiente, que não seja do tipo que fechou o YouTube sem ter a intenção no
caso do vídeo da Cicarelli, e que os policiais não venham com toda sua
gentileza "pé na porta" pedir tudo que quiserem em cima de uma ordem
judicial genérica que faz juz a esta lei igualmente genérica.

"1º Os dados de que cuida o inciso I deste artigo (...) serão definidos nos
termos de regulamento." Outro parênteses no meio da lei, já não foram
especificados? "dados de endereçamento eletrônico da origem, hora, data e a
referência GMT da conexão efetuada por meio de rede de computadores". O que
o legislador tem a esconder para precisar criar outra lei em separado?
Incompetência? Este artigo é muito pequeno para mencionar os dados e por
isso precisa de uma lei separada? Para aprovar o que só será definido depois
com menor atenção? Para deixar uma brecha na lei?

"Os senhores senadores que concordam com a aprovação permaneçam como se
encontram. Aprovada!"



More information about the gter mailing list