As emocionantes aventuras de um sysadmin linux na procura pelo uptime perfeito!

Mal entendidos sobre a Lei de Crimes Eletrônicos PL 84/99

Posted: novembro 12th, 2008 | Author: coredump | Filed under: Cybermundo | Tags: , ,

Ahem.

Para efeito deste post eu vou tirar o boné Cypherpunk “EFF R0X” e colocar o meu boné de Analista de Segurança.

Amanhã vai haver uma consulta pública sobre o Projeto de Lei 84 de 1999 que trata da criação de crimes de internet e “toma as devidas providências”. Existe muito barulho na internet falando que o projeto é ruim, que as leis são dracônicas, que o projeto é mal feito.

Bom, eu tive palestras com bons advogados da área como a Dra Patrícia Peck e alguns advogados do escritório Opice Blum Advogados Associados. Tanto a Dra. Peck  e o escritório do Dr. Blum são respeitadíssimos na área de direito eletrônico, pioneiros, e também foram consultores no PL 84/99.

Eu vou começar com algumas coisas que o César levantou no twitter:

a obrigação do provedor de comunicar sigilosamente à Justiça caso alguém denuncie que algum usuário cometeu crime

e também:

ah sim, 3 anos para guardar todos os dados de logs. Sarbanes-Oxley mandou avisar que isso é overkill.

Esse é um dos pontos mais levantados. A idéia era muito ruim nas primeiras redações da lei, mas melhorou bastante. O texto exato do Artigo 22 é:

Art. 22. O responsável pelo provimento de acesso a rede de computadores
mundial, comercial ou do setor público é obrigado a:
I – manter em ambiente controlado e de segurança, pelo prazo de 3 (três)
anos, com o objetivo de provimento de investigação pública formalizada, os dados de
endereçamento eletrônico da origem, hora, data e a referência GMT da conexão
efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade
investigatória mediante prévia requisição judicial;
II – preservar imediatamente, após requisição judicial, outras informações
requisitadas em curso de investigação, respondendo civil e penalmente pela sua
absoluta confidencialidade e inviolabilidade;
III – informar, de maneira sigilosa, à autoridade competente, denúncia que
tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal
público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de
computadores sob sua responsabilidade.

Três anos de armazenamento de logs por 3 anos, isso não está tão fora do que é sugerido em outras regras. A própria Sarbanes-Oxley que o César citou tem retenção de 7 anos para dados financeiros que podem incluir logs. Outros exemplos:

  • Basiléia II, acordo mundial para bancos, 3 a 7 anos dos registros de atividade;
  • A Diretiva 2006/24 do Conselho Europeu indica de 6 meses a 2 anos, dependendo do tipo de log, mesmo assim a Irlanda demanda 3 anos.

Além disso, a redação diz apenas que dados de origem, destino e data/hora/GMT devem ser logados, isso é um log bem pequeno pra se guardar, ainda mais com espaço sendo cada vez mais barato.

Sobre o lance de informar de maneira sigilosa, putz César, você disse de uma forma parecendo que o provedor tinha de abrir um processo contra o dito cujo :P . Veja bem, imagine que você está num bar, chega um meliante e te rouba a carteira, o dono do bar vê mas você não. O dono do bar chama a polícia. Na sua cabeça isso parece errado também? Porque o que a Lei pede é tão somente que quando um usuário denuncie ser vítima de um crime virtual o provedor passe isso a frente. Sobre esse assunto o César continua:

ou seja, eu quero te ferrar, denuncio ao seu provedor que você está cometendo crime, você vai ser processado sem saber.

Bom, isso é um exagero, até porque as coisas não são automáticas. Ninguém no Brasil é preso do dia para a noite, existem garantias na Constituição e tal. FFS, nem quem TEM de ser preso no Brasil continua preso, mas isso não vem ao caso. O que você descreveu acima seria Falsa Denúncia,

Comunicação Falsa de Crime ou de Contravenção

Art. 340 – Provocar a ação de autoridade, comunicando-lhe a ocorrência de crime ou de contravenção que sabe não se ter verificado:

Pena – detenção, de 1 (um) a 6 (seis) meses, ou multa.

E também cabe processo de difamação, danos morais e etc como no Código Civil:

Art 159 – “aquele que por ação ou omissão voluntária, negligência ou imprudência violar direito ou causar prejuízo a outrem, fica obrigado a reparar o dano”.

O meu ponto é, você conhece muita gente que costuma ligar para a polícia para dizer que seu vizinho abusa das crianças? Porque então denunciar para provedores sobre crimes eletrônicos viraria uma coisa comum? Tipo, a partir dessa lei, isso vai ser tipificado como crime.

Outro ponto é sobre alguns artigos serem vagos. Como o 163-A que ganha nova redação:

“Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado:
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.”

Tudo bem, até pode ser que “código malicioso” seja “vago”, mas nem tanto né? Lembre-se que durante o processo legal são chamados peritos e que o ônus da prova é da acusação. Além disso, a Patrícia Peck diz uma coisa interessante que é quem tem de ser justo é o juiz e não a lei. Ou seja, a lei diz código malicioso, cabe aos acusados e acusadores lidarem com qual embasamento técnico eles vão ter de dar para o Juiz. Outra coisa, essas leis tem de durar, não pode se engessar: se existisse uma lista de código malicioso, teriam de mudar a lista toda vez que um novo tipo de código malicioso existisse.

Botton line, o Projeto não é perfeito, mas não é o bicho de sete cabeças que muita gente anda falando. Por exemplo, existem várias pessoas que dizem que o projeto viola a LIBERDADE. Erm… Quando você sai de casa você tem policiais que policiam, você passa por blitzes do DETRAN/PRF, chegando no trabalho existem várias normas que devem ser seguidas… E por mais que isso possa ser considerado ‘violação da liberdade’, é o preço que se paga pela civilidade. A mesma coisa na internet. O projeto acaba com problemas toscos como por exemplo roubo de informações e estelionato via internet (roubo de senha de home banking por exemplo). Atualmente é um inferno para advogados tratarem esses casos, o PL cria e tipifica crimes e dita algumas obrigações. O último artigo inclusive inclui o crime de transmissão de pornografia infantil, existe um artigo tipificando como crime o envio de trojans para roubar dados pessoais, outro tratanto de DOS e ataques similares… Por mais que possam existir pontos que não agradem, o PL é mais positivo do que negativo.

De qual liberdade estamos falando afinal? Do anonimato? Anonimato é proibido pela própria Constituição, porque seria permitida na internet? Ou seja, ainda impera o sentimento de que a Internet é um ambiente diferente do mundo real, mas não é. As leis que valem para sua vida diária também tem de valer na Internet. É necessário que isso aconteça para que crimes eletrônicos comecem a ter um bom tratamento, ao invés de depender muitas vezes de julgamentos baseados em leis existentes que parecem com o crime que aconteceu (e aí sim, gerando subjetividade).

Outra, como toda lei sobre crimes, os únicos preocupados deviam ser os que vão ser condenados por elas :P

Amanhã tem consulta pública sobre o projeto de lei, se você é contra ou (como eu) a favor, pode ligar no 0800619619 (disque câmara) e pedir a aprovação ou a não aprovação do PL-84/99. Para os brasilienses, a consulta pública vai ser no Plenário 13 da Câmara, as 9:30 da manhã.

Update 1: O César deixou comentário:

Bom, vamos lá… só uma porque meu cérebro entrou em shutdown cedo.

“De qual liberdade estamos falando afinal? Do anonimato? Anonimato é proibido pela própria Constituição, porque seria permitida na internet?”

Mas a não ser que você proteja ativamente seu anonimato (Tor, Chorome e Firefox com pr0n mode etc) não tem como ser anônimo na internet. Você tem meu IP, p.ex, guardado no seu log. Daí basta saber quem aloca aquele IP, pedir judicialmente ao provedor pra dizer quem é e pronto. Não precisa de nada além da lei atual.

O fato é que não tem lei atual para isso César. Quando precisamos de logs dos provedores, eles não dão, tem de se entrar na justiça e convencer o Juiz a autorizar com um mandato. Muitas vezes isso pode demorar absurdos, e sem a lei ou norma para regulamentar a guarda de logs acontece de as vezes o mandato sair depois dos dados terem sido apagados (tem gente que apaga log de proxy com uma semana, um mês…). Eu tenho seu IP e seu horário, claro, mas se for um provedor Wireless, dial-up ou qualquer alocação dinâmica com lease pequeno? Sem log não tem como saber quem estava usando aquele IP em determinado horário. Existe essa visão de que tudo é simples, mas quando passa para o terreno jurídico tudo se complica, se não existe lei, tem de ser tudo explicado e fundamentado com base em leis parecidas mas não-exatamente-para-aquele-fim e depende do julgamento do Juiz e etc… Com uma lei que explicita o due process com relação a logs e obtenção de informações junto a provedores, tudo fica mais rápido e seguro.

Update 2: Recebendo comments e respondendo a todos no geral. O Glaydson disse uma coisa interessante, os crimes dessa lei só possuem punição para quando a pessoa agiu intencionalmente, e não por omissão (como no caso de alguem que pega virus e retransmite sem saber), leia esse post para saber mais sobre culpa e dolo no direito brasileiro e lembre-se que o tratamento muda caso a pessoa teve intenção ou não (alguns crimes nem são crimes na modalidade culposa).

Outra observação: o Guismo diz que empresa privada não faz papel de polícia, mas esquece que empresas privadas tem de avisar sobre crimes ocorridos em suas dependências. Imagine um clube recreativo, um sócio rouba o outro, o roubado reclama com a administração do clube e o que ela faz? Obviamente chama a polícia.

Denúncia Anônima pede averiguação das autoridades, mas não desencadeia processo jurídico por si só, quem disse isso foi o STF. A Constituição deixa bem claro que a liberdade de expressão no pais tem seu preço: você pode emitir sua opinião desde que você se identifique, para que possíveis mentiras e difamações possam ser responsabilizadas.

intel

PS: O César disse algo sobre cópia de CD, mas eu não achei nada disso. Pode ser só lerdeza, claro.

Compartilhe:
  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • LinkedIn
  • Slashdot
  • StumbleUpon
  • Technorati
  • TwitThis
  • Identi.ca
  • Twitter

Posts relacionados:

  1. Quando usamos as armas do inimigo Eu tenho ficado longe de assuntos de software livre atualmente,...
  2. Não existe mundo virtual, infelizmente. Na verdade essa barafunda toda com relação o PL 84/99...
  3. Ainda o PL 84/99 To lendo aqui na Convergência Digital sobre a audiência pública...
  4. Quanto vale a Privacidade Imagine, por um momento, que você vive em uma cidade...
  5. Troca de Arquivos e MP3 no Brasil Eis que leio nos meus RSS: Indústria fonográfica processará piratas...

22 Comments »

22 Comments on “Mal entendidos sobre a Lei de Crimes Eletrônicos PL 84/99”

  1. 1 Cesar Cardoso said at 20:44 on novembro 12th, 2008:

    Bom, vamos lá… só uma porque meu cérebro entrou em shutdown cedo.

    “De qual liberdade estamos falando afinal? Do anonimato? Anonimato é proibido pela própria Constituição, porque seria permitida na internet?”

    Mas a não ser que você proteja ativamente seu anonimato (Tor, Chorome e Firefox com pr0n mode etc) não tem como ser anônimo na internet. Você tem meu IP, p.ex, guardado no seu log. Daí basta saber quem aloca aquele IP, pedir judicialmente ao provedor pra dizer quem é e pronto. Não precisa de nada além da lei atual.

  2. 2 Yves Junqueira said at 22:21 on novembro 12th, 2008:

    Boa, coredump. Finalmente alguém com bom senso nas Internetz..

  3. 3 Gabriel said at 16:24 on novembro 13th, 2008:

    Que venham os comunistas, show man’s, anti PSDB, anti PT, anti governos, anti capitalismo, anti leis, teóricos da conspiração etc …

    LOL

  4. 4 Gabriel said at 16:31 on novembro 13th, 2008:

    Falar nisso desde quando porn mode esconde IP ou é feito para anonimizar de alguma forma alguma conexão ? ?

  5. 5 Augusto Campos said at 22:28 on novembro 13th, 2008:

    Creio que não há uma similaridade tão direta entre a situação do dono do bar que, por sua própria vontade, tomar a iniciativa de denunciar um crime do qual foi testemunha, e a do provedor, mandatoriamente e com obrigação de guardar segredo, ter de encaminhar delação que recebeu, com base em indícios possivelmente percebidos por quem delatou.

    A situação do provedor wireless pequeno, eventualmente gratuito ou comunitário, tendo de guardar registros de acesso (ainda que em volume reduzido) por 3 anos também não me parece tão isenta de complicações assim.

  6. 6 Socrates said at 23:24 on novembro 13th, 2008:

    Augusto se você não ve similaridade explique a sua visão então.

    Provedor comunitario gratuito nada mais é que um AP compartilhando conexão de provedor “grande”, o que costuma infringir contratos de internet residencial.

  7. 7 Uma opinião menos comum sobre o Projeto de Lei de crimes eletrônicos said at 8:03 on novembro 14th, 2008:

    [...] por José de Paula E. Júnior (coredump) (jose·juniorΘgmail·com) – referência [...]

  8. 8 Leonardo S. R. said at 9:43 on novembro 14th, 2008:

    Acho a ideia de oficializar a guarda dos logs interessante, mas ela tem que ser bem explicita e explicada.
    Já o caso “Quando precisamos de logs dos provedores, eles não dão, tem de se entrar na justiça e convencer o Juiz a autorizar com um mandato”, é assim mesmo que tem que ser ninguém pode dar esta informações so porque você quer, tem que ter tratamento igual a registro telefonico. E diga se de passagem a lei que rege o tratamento dos registros telefonicos é totalmente estenssivel aos registro de internet, e contempla em grande parte o que este projeto quer. Fazendo dele algo quase que desnecessário, pois ter lei apenas por ter é gastar neuronio e tempo atoa.

  9. 9 Augusto Campos said at 10:00 on novembro 14th, 2008:

    Eu vejo diferença muito clara entre o comportamento descrito do dono do bar, que ocorre por vontade dele (sem obrigação) a partir de um fato em que ele mesmo é testemunha, e o comportamento proposto para os provedores, que passam a ter de encaminhar (por obrigação) denúncias que eles recebem, a partir de indícios que não necessariamente eles mesmos apuraram ou confirmaram, nem testemunharam.

  10. 10 Augusto Campos said at 10:01 on novembro 14th, 2008:

    Ah, e existem provedores comunitários gratuitos que são bem mais do que o Sócrates descreveu, e não infringem contrato algum.

  11. 11 Monge said at 10:03 on novembro 14th, 2008:

    Concordo que estão fazendo uma tempestade em copo d’água com esse PL.

    Os chamados crimes virtuais precisam ser tipificados. Isso é fato indiscutível.

    Entretanto, discordo do autor desse post apenas em um ponto, relativo ao Art. 22, que obriga “o responsável pelo provimento de acesso a rede de computadores mundial, comercial ou do setor público” a “manter em ambiente controlado e de segurança, pelo prazo de 3 (três) anos, (…) os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores(…)”

    O autor do post compara essa obrigação ao registro das transações bancárias, mas essa comparação não é justa, porque os bancos possuem grande infra-estrutura de TI, enquando pequenos provedores de acesso (lan-houses, cyber-cafes, escolas, ou mesmo a casa do seu vizinho) não possuem!

    Isso seria o mesmo que obrigar os donos de bar a manter um registro de cada cliente que tomou alguma bebida alcoólica. Absolutamente inviável.

  12. 12 Glaydson said at 10:51 on novembro 14th, 2008:

    Boas colocações,

    Não vejo o projeto de todo ruim, existe muito alarmismo na internet. Criticam os políticos por não entenderam na internet, e criticam a lei sem entender Direito. Tem gente dizendo que se ver acidentalmente um foto com pedofilia o cara vai preso quando a lei não prevê o modo culposo.

    O que me preocupa é o artigo 22. O custo/benefício dele. Vai impossibilitar vários projetos de acesso a internet e não terá eficácia tão grande para pegar criminosos. Vai pegar o mané que escreveu uma frase tipificada com calúnia por impulso, mas o criminoso mesmo vai se usar do anonimato que a internet permite e que, não adianta chorar pelo texto da nossa constituição que não impedirá este acesso sem identificação. O que é “provedor” para o artigo 22? Aquelas empresas que possuem concessão de comunicação? Ou o dono do restaurante, do hotel, do projeto de inclusão digital? A multa para este últimos inviabiliza totalmente a liberação do acesso.

  13. 13 Túlio Magno Quites Machado Filho said at 12:17 on novembro 14th, 2008:

    Eu sou a favor dessa lei, mas não da forma como a qual ela está escrita e acho que vc está fazendo alguns pequenos deslizes ao analisar o texto:
    - Movimentação financeira é diferente de pacotes de rede. Acredito que o segundo seja muito maior em quantidade (até pq as movimentações financeiras utilizam a internet), além do que bancos costumam ter uma estrutura já formada para isto, por diversos outros motivos.
    - Já que vc citou a diretiva 32006L0024, pq vc não comenta também o fato dela determinar muito bem o significado dos diversos termos, identificar os dados que devem ser armazenados e a nossa lei não. Aproveite tb para comentar que, em 15/09/2010, será feita uma análise dos dados obtidos sobre a qnt de empresas que o executaram e a quantidade de dados realmente utilizados para redefinir, se necessário, o tempo de armazenamento. Sem dúvidas, ela é muito mais bem formulada que a nossa…
    - Vc, como um cidadão de bem deve ter o direito de fazer uma denúncia anônima (se esse anonimato for ilegal, processe a PM-MG, eles fazem isso diariamente), mas vc não deve ser obrigado a “futricar” coisas dos outros e enviá-los a justiça quando encontrar algo ilegal. No entanto, como um cidadão de bem, vc deve fornecer a justiça os dados que tiver, sem saber do que tratam, quando assim forem exigidos judicialmente.

    Aproveito para mostrá-lo uma análise irônica de alguns dos problemas que encontrei no projeto: http://tuliom.blogspot.com/2008/07/atirando-no-outro-p.html

    Pense um pouquinho mais e vc verá que ainda é necessário alterar muita coisa no projeto. A intenção dele é boa, mas da forma como está, vai nos trazer mais problemas…

  14. 14 Guismo said at 12:46 on novembro 14th, 2008:

    Não é papel de um empresa privada fazer papel de policia, é como dizer que o responsável pela morte de atropelamento é o dono da rua. a internet é a rua, o que tu faz nela não interessam ao provedor, e no caso de denuncia é papel da polícia, e não do provedor tomar as medidas cabíveis.
    E no caso de código malicioso é muito relativo, daqui a pouco se o cidadão pegar um virus de MSN que se espalhar para a sua lista o provedor terá que denuncia-lo.

    Quando a lei é muito complicada e ambiguá só pode ocorrer duas coisas: ou prende-se to mundo, ou libera geral

  15. 15 coredump said at 15:13 on novembro 14th, 2008:

    Povo, sobre o lance do Dolo e Culpa o amigo levantou uma questão ainda mais válida. A maioria dos crimes da lei só existe na versão dolosa. Para entender mais:
    http://paraentenderdireito.blogspot.com/2007/05/culpa-e-dolo.html

  16. 16 Lewis said at 1:39 on novembro 15th, 2008:

    Eu acho que essa lei não vai pegar pros pequenos, e sim apenas os grandes provedores que vão seguir a lei, e vamos ver alguns pequenos paganado multas por nao guardarem os logs e os criminosos se aproveitando disso usando esses provedores sem log e a grande maioria podendo ser rastreada.

    Apesar da boa vontade, eu acredito que em leis e outras coisas apenas boa vontade nao conta.

  17. 17 Erick said at 3:12 on novembro 15th, 2008:

    Também sou a favor do projeto. A Internet não pode se transformar em um território sem lei, só quem defende isso såo os libertårios (BR-Linux e seus usuários, por exemplo) e/ou criminosos que se envolvem com pedofilia, pirataria e vårios outros crimes online.

  18. 18 anon said at 16:46 on novembro 15th, 2008:

    Erick, libertårios? É que gravar logs desse tipo, só gera custo. Ou somente é util pra pegar criminosos “pequenos” que poderiam ser pegos facilmente sem tal log. Começam com o bla-bla-bla de que internet tem que ser igual ao resto(como se houvesse separação..) mas logo em seguida começa a retirar direitos e dar poder a provedor e mais poderes à policia.

    1. Denuncia tem que ser feita à policia e não ao provedor
    2. Pegar informação pessoal de alguem, tem que ser só sob mandado. O log(por mais inutil que seja nos casos mais dificeis) é informação pessoal.
    // a lei é tão abstrata que já não entendo se é assim ou não.

    “Da proxima vez basta o dono do bar comunicar o furto da carteira à brasiltelecom”

    Mas sou a favor de provedores logarem conexões.
    Expemplo:
    Cliente João da silva | 200.0.3.0 | dia/hr até dia/hr

    Logar envio de pacotes é absurdo, não se usa dinamite pra matar formiga. E teria praticamente o mesmo efeito.

    Além é claro de investir na profissionalisação desses investigadores pra não fazerem a lambança que fizeram no caso do banqueiro lá, que estão pedindo ajuda pra destriptografar o disk que foi apreendido. Como se isso fosse tão possivel… Nesse tipo de caso deveria ter sido instalado(com autorização judicial) loggers no computador dele, seja invadindo fisicamente, explorando falhas ou enganando/spoofing updaters…

  19. 19 kite0101 said at 21:41 on novembro 17th, 2008:

    Ola eu sou aluno de graduação do ICMC (Instituto de Ciencias Matematicas e Computação) da USP.
    Eu realmente achei as novas melhorias da lei muito interessantes, principalmento com relação ao armazenamento de conteudo,a proposta original era inviavel tecnincamente, mais mesmo assim eu acho que o registro de logs e uma coisa errada primeiro pq este registro não impede vc de navegar sigilosamente, existem varias maneiras de burlar isto, e todas são legais. Segundo que todos tem direito a privacidade, se eu gosto do São Paulo ninguem tem que saber né. O armazenamento de logs pode aumentar o numero de chantargens, pq quem garente que as pessoas que terão acesso a eles são pessoas com boas intenções, no Brasil a milhares de policiais corruptos não. Então uma pessoa publica como ronaldinho(ele não mora brasil mais e so um exemplo) acessa um site porno sobre transex, uma pessoa pode usar isto para chantargea-lo, então sou contra o armazenamento mesmo que de logs.

  20. 20 Dexter said at 19:34 on fevereiro 12th, 2009:

    Acredito q esse projeto de lei tera de ser muito bem debatido antes de ser aprovado,pelo simples fato de q a justiça é falha, qualquer pessoa q entenda bem de sistemas computacionais pode burlar um log.
    isso estaria gerando uma nova industria (assim como a pirataria) estariamos falando de falsificadores q utilizam seu conhecimento para fraudar esses log´s é como uma faca de dois gumes
    então cairiamos no bom e venho ditado(o famoso vista grossa).para compensar essas falhas da lei (olha ai a industria de novo).
    tipo assim se droga faz mal não pode ser vendida .
    então o alcool e o cigarro tb não poderia mas o dinheiro fala + alto nesses casos. je je je…..
    a unica justiça real seria a de Deus q é onipresente oniciente e onipotente.
    essa sim faz log.

  21. 21 Quando usamos as armas do inimigo | the brain is a machine said at 21:22 on maio 14th, 2009:

    [...] provedores e telecentros vão ser afetados pela guarda de logs” Como eu ja disse em um post anterior, o gasto para se manter um tamanho razoável de registros de acesso em redes [...]

  22. 22 O outro lado do Projeto de Lei de crimes eletrônicos » AKINFORMÁTICA said at 5:19 on agosto 29th, 2009:

    [...] http://core.eti.br/2008/11/12/mal-entendidos-sobre-a-lei-de-crimes-eletronicos-pl-8499/ [...]


Leave a Reply