- O Bill C-22 do Canadá corrigiu alguns problemas do Bill C-2, mas a principal preocupação — o enfraquecimento dos direitos digitais — permanece em grande parte
- O Bill C-22 pode obrigar serviços digitais, como operadoras de telecomunicações e apps de mensagens, a registrar e armazenar metadados por um ano
- O Ministro da Segurança Pública pode exigir que empresas criem backdoors de vigilância para acesso por autoridades policiais, e as empresas não podem divulgar sequer a existência da ordem
- As definições de “vulnerabilidade sistêmica” e criptografia são ambíguas, o que pode fazer com que exigências para contornar a criptografia atinjam não só apps, mas também sistemas operacionais
- A retirada do Apple Advanced Data Protection no Reino Unido e o hack Salt Typhoon de 2024 mostram que o risco dos backdoors é real
Principais mudanças e preocupações do Bill C-22
- No ano passado, o governo do Canadá tentou avançar com o Bill C-2, que poderia enfraquecer direitos digitais em nome da “segurança de fronteiras”, mas a reação da comunidade de privacidade impediu que ele sequer chegasse à fase de comissão
- O novo projeto, Bill C-22, ou The Lawful Access Act, ajusta alguns elementos problemáticos, mas em grande parte mantém as mesmas preocupações do Bill C-2
- O Bill C-22 pode obrigar serviços digitais, como operadoras de telecomunicações e apps de mensagens, a registrar e armazenar metadados por um ano
- O Bill C-22 também amplia o compartilhamento de informações com governos estrangeiros, incluindo os Estados Unidos
- Metadados podem revelar com quem você se comunica, para onde vai e quando faz isso
- A ampliação da coleta de metadados fará com que empresas armazenem mais informações de usuários do que hoje e também aumentará o incentivo para agentes maliciosos tentarem acessá-las
Risco de backdoors e enfraquecimento da criptografia
- O principal problema do Bill C-22 é que ele cria um mecanismo pelo qual o Ministro da Segurança Pública pode exigir que empresas criem backdoors em seus serviços
- Essa exigência serve para permitir que autoridades policiais acessem dados, com a condição de que não introduza uma “vulnerabilidade sistêmica (systemic vulnerability)”
- Backdoors de vigilância tão amplos têm grande potencial de ampliar ainda mais as violações de dados que já ocorrem
- O Bill C-22 também proíbe que empresas divulguem a própria existência dessas ordens
- No C-22, as definições de “vulnerabilidade sistêmica” e “criptografia (encryption)” não são suficientemente claras
- Se as definições são ambíguas, abre-se espaço para que o governo exija que empresas contornem a criptografia
- A definição excessivamente ampla do projeto pode abranger não apenas apps, mas também sistemas operacionais
- Autoridades canadenses afirmaram que seria possível adicionar funções de vigilância sem criar vulnerabilidades sistêmicas, mas vigiar comunicações criptografadas é, por natureza, uma vulnerabilidade sistêmica
Caso da Apple no Reino Unido e oposição de empresas e do Congresso dos EUA
- A estrutura do Bill C-22 se parece com a situação do ano passado, em que o governo do Reino Unido exigiu que a Apple implementasse um backdoor no recurso opcional Advanced Data Protection
- O governo britânico exigiu que a Apple implementasse esse tipo de backdoor, e a Apple, em vez de cumprir a exigência, retirou o recurso para usuários do Reino Unido
- Usuários britânicos ainda não têm acesso a esse recurso de privacidade que oferece proteção mais forte aos dados armazenados no iCloud
- Meta e Apple alertam que o C-22 pode dar poderes semelhantes ao governo canadense, e ambas se opõem ao projeto
- O Comitê Judiciário e o Comitê de Relações Exteriores da Câmara dos EUA também enviaram uma carta conjunta ao Ministro da Segurança Pública do Canadá expressando preocupação com backdoors em sistemas de criptografia
O risco dos backdoors não é teórico
- O risco desses backdoors não é apenas uma possibilidade abstrata
- O hack Salt Typhoon de 2024 explorou sistemas criados por provedores de internet para dar às autoridades policiais acesso a dados de usuários
- Quando esses sistemas são criados, hackers acabam aparecendo
Conclusão e materiais adicionais
- Os canadenses precisam de proteção forte à privacidade, transparência sobre como empresas tratam dados de usuários e salvaguardas claras para dados criptografados
- O Bill C-22 não oferece essas proteções e tenta se aprofundar ainda mais no espaço digital das empresas de tecnologia para criar um amplo mecanismo de acesso legal
- Full text of C-22: texto completo do C-22
- Canadian Civil Liberties Association statement and letter: declaração e carta da Canadian Civil Liberties Association
- Open Media blog on C-22: blog da Open Media sobre o C-22
- EFF’s blog on bill C-2: blog da EFF sobre o Bill C-2
1 comentários
Comentários do Hacker News
Exigências de retenção obrigatória de dados e de backdoors de criptografia fariam com que serviços de mensagens criptografadas como Signal, WhatsApp, iMessage e Matrix bloqueassem canadenses e empresas canadenses do serviço
Se você mora no Canadá ou será afetado por esse projeto de lei, deve exigir que seu deputado federal local e o ministro da Segurança Pública do Canadá rejeitem esse projeto
A CCLA publicou informações sobre o Bill C-22 aqui há pouco mais de uma semana: https://ccla.org/privacy/coalition-to-mps-scrap-unprecedente...
As exigências abrangentes do Bill C-22 de retenção de metadados e backdoors de criptografia são ilegais na União Europeia
Também existem ferramentas para enviar facilmente e-mails ao seu deputado local e a outras autoridades do governo pedindo que rejeitem esse projeto de lei terrível em sua forma atual: ferramenta da Internet Society https://www.internetsociety.org/our-work/internet-policy/kee..., ferramenta da OpenMedia https://action.openmedia.org/page/188754/action/1, ferramenta da ICLM https://iclmg.ca/stop-c-22/
Também recomendo enviar e-mail ao ministro da Segurança Pública do Canadá, Gary Anandasangaree (gary.anand@parl.gc.ca), e ao ministro da Justiça, Sean Fraser (sean.fraser@parl.gc.ca)
Talvez seja uma opinião impopular, mas quando o governo mostra seu lado totalitário, em certo sentido eu até vejo algo de positivo nisso
Porque isso serve de alerta para quem negava a realidade e incentiva o tipo de inovação de que gosto, ou seja, tecnologias para contornar a censura
Não serão muitas pessoas, mas surgirão dissidências se afastando das grandes plataformas centralizadas e, embora em geral não seja algo enorme, também não é totalmente sem importância, então para mim isso já vale alguma coisa
No passado, algo parecido aconteceu nos EUA no começo dos anos 2000, quando o procurador-geral John Ashcroft explorava o medo pós-11 de Setembro, e naquela época surgiram muitos protocolos e aplicações novos
Parece que todo mundo dentro do governo acaba aceitando esses mecanismos, provavelmente por causa dos gastos e dos interesses de prestadores contratados pelo governo, ligados a amigos e familiares
Isso é brincar com fogo, e o resultado de brincar com fogo não é só queimar a poeira no canto ou um brinquedo quebrado de que você não gosta, mas transformar em cinzas até as coisas de que você gosta
Se continuarem reapresentando o projeto, uma hora ele passa
Eles só precisam aprová-lo uma vez; nós temos que barrá-lo repetidamente, toda vez
Vota-se até aprovar e, depois que aprova uma vez, nunca mais dá para voltar atrás
Infelizmente, destruir direitos básicos não parece bastar; para o eleitor reagir, aparentemente é preciso fazer algo realmente absurdo, como aumentar o imposto sobre a propriedade dos idosos
Nas últimas semanas, o HN mostrou muita coisa ruim para os direitos digitais
A pressão por verificação de idade está aumentando, há ataques contra a criptografia de ponta a ponta, e agora surgiu isso também
Fico curioso se há alguma razão de timing. Talvez estejam apostando que as pessoas ficarão distraídas com a aproximação da Copa do Mundo
Isso não é cortina de fumaça, é a justificativa oficial
https://www.pivotlegal.org/city_of_vancouver_s_new_fifa_byla...
Se alguém da EFF estiver vendo isso, seria ótimo disponibilizar uma tradução em francês daquele texto
Quero enviar ao meu deputado e compartilhar com amigos e familiares
Será preciso um movimento em larga escala para barrar isso
[0]: https://ccla.org/fr/intimite/coalition-to-mps-scrap-unpreced...
Não entendo por que isso não é uma notícia maior
Em especial, tem dificuldade em criticar o governo atual sob Mark Carney, e isso já foi apontado dentro do próprio setor de mídia e também na CBC
Como esse projeto é indefensável, preferem não cobri-lo muito
No momento, preferem falar mais da oposição do que do partido no poder
Esse tipo de coisa vai continuar aparecendo até que a carreira dos políticos e funcionários públicos que a promovem seja destruída
Para isso parar, é preciso se organizar e agir
Fico me perguntando qual é a motivação do governo canadense para tentar aprovar uma lei assim
Não é como se o Canadá estivesse tentando virar um Estado policial e, na maior parte do tempo, o governo canadense parece bem relaxado
Embora, durante a pandemia, tenha de fato ficado obcecado demais com a aplicação das políticas de covid
Ou talvez seja uma mentalidade mais europeia do tipo “isso é para o seu bem e o Estado sabe cuidar de você”
Se a sequência de projetos de lei de censura e vigilância online dos últimos 6 anos, junto com o C-22, tivesse sido promovida por um governo conservador, a reação pública teria sido muito maior
Mas como é o Partido Liberal que está fazendo isso, a grande mídia, bem remunerada com subsídios em troca de cumplicidade, deixa passar
Se você acredita que o objetivo real dessa lei autoritária é proteger crianças, combater o crime organizado e promover a segurança pública, está sendo enganado
Este governo aboliu penas mínimas obrigatórias para crimes graves, trata pedofilia como delito leve, continua soltando reincidentes violentos sob fiança, evita condenar imigrantes quando isso pode afetar a obtenção de cidadania, deixou entrar milhares de terroristas com revisão mínima e tolerou abertamente a interferência chinesa nas eleições
A segurança pública está muito abaixo na lista de prioridades, e há uma enorme sede de silenciar críticos online
Não entendo por que são tão obstinados em praticar o mal
E o eleitorado que insiste em manter esse estado de coisas está obcecado demais em importar para cá os piores aspectos da Commonwealth, então isso não vai mudar tão cedo
Essa Commonwealth geralmente usa o antiamericanismo como desculpa para importar, com uns 5 anos de atraso, o modo de pensar cultural das regiões costeiras dos EUA, sacrificando a cultura local
É isso que acontece quando se importa a política americana sem importar as instituições americanas que amortecem o ruído da política nos EUA
Primeiro, a comunidade canadense de formulação de políticas públicas tende a ser fortemente influenciada pelas correntes legislativas do Reino Unido, Austrália e Nova Zelândia, e neste caso eles praticamente copiaram o desastroso Online Safety Act britânico, sendo em alguns aspectos ainda pior
Segundo, por causa de precedentes da Suprema Corte do Canadá, especialmente a decisão Bykovets de 2024, as agências canadenses de segurança e inteligência sentem que ficaram totalmente impedidas de coletar dados
Essas duas forças empurraram o governo para um caminho sombrio, e eles acham que estão fazendo o bem
Toda essa verificação de idade e vigilância está sendo intensificada em uma velocidade enorme
Ao mesmo tempo, a computação pessoal está sendo destruída de forma brutal, e os caminhos de acesso do consumidor à memória e ao armazenamento estão desaparecendo
É péssimo. Essas pessoas deveriam ser punidas
As forças que querem infiltrar o Estado em todos os sistemas digitais e construir vigilância universal avançaram longe demais nos últimos anos
Há quantias enormes em jogo na criação de um novo feudo digital
Como a maior parte da tecnologia digital cotidiana está nas mãos de algumas empresas monopolistas poderosas, elas sentem que realmente têm a oportunidade de concretizar isso