Zákony o šifrování: Které vlády kladou nejpřísnější omezení na šifrování?
Šifrování hraje nedílnou roli v naší svobodě projevu a soukromí, od soukromých konverzací přes WhatsApp až po důvěrné historie prohlížení prostřednictvím VPN.
S pokračujícími vládními pokusy vytvořit „zadní vrátka“ do šifrovacích služeb/produktů však mnoho zemí čelí přísným omezením, pokud jde o používání aplikací a nástrojů, které využívají kryptografii.
Abychom zjistili, kde jsou nejpřísnější omezení, náš tým výzkumníků analyzoval legislativu více než 200 zemí, aby viděli:
- Které země vyžadují, aby výrobci/prodejci získali licenci před výrobou nebo prodejem kryptografických produktů/služeb
- Které země mají omezení importu a/nebo exportu kryptografických produktů/služeb
- Které země nemají výjimku pro osobní použití při cestování se šifrovanými notebooky
- Které země ukládají poskytovatelům povinnost předat šifrovací klíče pro účely vymáhání práva (s přihlédnutím k tomu, zda je k tomu vyžadován soudní příkaz)
- Které země ukládají koncovým uživatelům povinnost předat šifrovací klíče pro účely vymáhání práva (s přihlédnutím k tomu, zda je k tomu vyžadován soudní příkaz)
co jsme našli?
Naprostá většina zemí má nějaký druh omezení na šifrovací technologie, ať už jde o zákony o importu/exportu nebo o přístup k zašifrovaným datům pro vymáhání práva. Přísnější omezení jsou zaznamenána v místech, kde by se to dalo očekávat, tj. v Rusku a Číně, ale tvrdá omezení platí také v mnoha dalších zemích. A s tím, jak se zavádí stále více právních předpisů a vyšetřovacích pravomocí, se omezení v nadcházejících měsících a letech budou jen zvyšovat.
Třebaže Brazílie patří díky své současné legislativě mezi „svobodnější“ země, je tomu tak i přes pokusy zavést další omezení. Nedávné soudní příkazy se pokusily zablokovat WhatsApp a také Facebook čelil právní bitvě se zemí kvůli její nedostatečné spolupráci při vyšetřování trestných činů (což dokonce vedlo k zatčení viceprezidenta Facebooku).
Stručně řečeno, mnoho zemí může poskytnout občanům právo na svobodu projevu a soukromí, ale maří to, pokud jde o šifrování, a jako důvod uvádějí národní bezpečnost a závažné zločiny.
Které země vyžadují, aby poskytovatelé šifrování dešifrovali data pro účely vymáhání práva?
Jednou z největších obav, pokud jde o šifrování, je přístup udělený orgánům činným v trestním řízení, ať už jde o dešifrovací klíč nebo požadavek na poskytovatele, aby za ně dešifrovali data.
Jak ukazuje níže uvedená mapa, velký počet zemí má alespoň nějaký potenciální přístup k šifrovacím klíčům poskytovatelů.
Hrstka zemí, včetně Číny a Ruska, má bezprecedentní přístup k dešifrovaným datům. Například v Rusku Sistema Operativno-Rozysknykh Meropriyatii (SORM — Systém pro operativně-vyšetřovací činnosti) poskytuje ruské federální bezpečnostní službě, FSB, přístup k elektronickým zprávám a klíče k jejich dešifrování bez soudního povolení.
Mnoho evropských, asijských a afrických zemí, stejně jako Spojené státy, má zákony, které umožňují vymáhání práva požadovat od poskytovatelů předání šifrovacích klíčů a/nebo dešifrování dat.
Ve Spojeném království řada zákonů uděluje vymáhání práva právo požadovat odstranění šifrovacích technologií z různých komunikací. Oddíl 49 zákona o nařízeních o vyšetřovacích pravomocích z roku 2000 uvádí, že pokud jsou chráněné informace v držení orgánů činných v trestním řízení, mohou tyto orgány s písemným souhlasem soudce uložit požadavek na zveřejnění, aby údaje byly předkládány ve srozumitelné formě. Vymáhání práva musí mít rozumné důvody, že někdo vlastní klíč k chráněným informacím, že zveřejnění je nezbytné pro národní bezpečnost, odhalování/zabránění zločinu nebo že je v zájmu ekonomického blahobytu Spojeného království, že zveřejnění je přiměřené čeho se má dosáhnout, a toto zveřejnění není možné bez uložení příkazu.
Ve Spojených státech § 103(a) zákona Communications Assistance for Law Enforcement Act z roku 1994 uvádí, že poskytovatelé komunikací musí zajistit schopnost odposlechu, pokud jsou vydány soudní příkazy nebo jiné takové zákonné oprávnění. „Telekomunikační operátor však nebude odpovědný za dešifrování nebo zajištění schopnosti vlády dešifrovat jakoukoli komunikaci zašifrovanou předplatitelem nebo zákazníkem, pokud šifrování nebylo poskytnuto operátorem a dopravce nemá informace nezbytné k dešifrování komunikace. “
Většina zákonů má stejnou pravomoc jako zákon Spojených států a klade na poskytovatele požadavky, aby dešifrovali veškerá data, která sami zašifrovali, ale ne data, která jsou šifrována jinými poskytovateli nebo samotnými uživateli.
Řada dalších zemí ukládá nejednoznačné zákony, které poskytují orgánům činným v trestním řízení možnost požádat o zpřístupnění zašifrovaných informací – nebo zákony byly takto vykládány. Například v Evropské unii nabízí usnesení Rady ze dne 17. ledna 1995 o zákonném odposlechu telekomunikací určité vodítko k zákonům, které by měly být implementovány v zemích EU.
Usnesení uvádí, že „Pokud síťoví operátoři/poskytovatelé služeb zahájí kódování, kompresi nebo šifrování telekomunikačního provozu, orgány činné v trestním řízení vyžadují, aby provozovatelé sítí/poskytovatelé služeb poskytovali zachycenou komunikaci en clair.“ En clair znamená „srozumitelným jazykem“ a lze jej tedy vyložit jako dešifrovaný.
Které země vyžadují, aby uživatelé šifrování dešifrovali data pro účely vymáhání práva?
Je to podobný obrázek, když se podíváme na pravomoci donucovacích orgánů požadovat dešifrovací klíče nebo dešifrovaná data od uživatelů šifrovaných služeb/produktů.
Zákony mají tendenci pokrývat komunikaci nebo přístup k počítačům a vyžadují, aby ti, kdo vlastní klíč, jej na požádání předali orgánům činným v trestním řízení nebo jim pomohli v procesu dešifrování.
Opět platí, že některé země nemají konkrétní zákony, ale mají nejednoznačné zákony. V jiných případech mohou země více spoléhat na poskytovatele služeb při předání dat, tj. ve Spojených státech, kde žádný zákon výslovně nestanoví donucovací orgány pravomoc požadovat od uživatelů předání dešifrovaných dat/klíčů.
Získání přístupu „zadními vrátky“ k datům poskytovatelů šifrování je nakonec nejsnazší způsob, jak získat přístup k šifrovaným datům, a proto se znepokojující počet zemí pokouší zavést taková opatření. To zahrnuje:
- Pokračující boj Indie s WhatsApp
- Nedávné soudní příkazy Brazílie pokusit se zablokovat WhatsApp a proud Faktura za falešné zprávy který se pokouší prolomit end-to-end šifrování
- účet Spojených států backdoor přístup k šifrovaným datům (předloženo Kongresu v červnu 2020).
Které země vyžadují licence pro výrobu nebo výrobu šifrovacích služeb/produktů?
Velké množství afrických, blízkovýchodních a asijských zemí má rozsáhlé licenční požadavky. To znamená, že většina prodejců nebo výrobců kryptografických produktů musí před distribucí získat licenci. Francie má také takový požadavek, přičemž každá osoba, která chce poskytovat kryptografické služby, to musí prohlásit předsedovi vlády.
Některé země, např. Turecko, Etiopie, Tunisko a Mali mají určité licenční požadavky, ale nevyžadují, aby všichni poskytovatelé kryptografických služeb získali licenci. Například v Tunisku žádná firma dovážející kryptografické produkty pro vlastní osobní potřebu (nebo dočasné použití) nevyžaduje licenci.
Řada zemí také přijala zákony, které příslušným ministerstvům umožňují vytvářet licenční požadavky na kryptografické služby, ale zdá se, že dosud nic nezavedly. Patří sem Bahamy a Barbados.
Které země mají omezení importu/exportu pro kryptografické služby/produkty?
Mnohem větší počet zemí má nějaké limity, pokud jde o import a/nebo export kryptografických produktů (nebo produktů, které obsahují kryptografii, ale neslouží výhradně k šifrovacím účelům). Ve většině případů to vyžaduje, aby firma zaregistrovala svou společnost a produkt u určené agentury v zemi, do které dováží nebo z níž vyváží. To může také zahrnovat některé technické specifikace.
Poměrně málo zemí s rozsáhlými požadavky na kryptografické licence také klade přísná omezení na dovoz a vývoz těchto produktů.
Například pro země v rámci Euroasijské hospodářské unie (EAEU) – Arménie, Bělorusko, Kazachstán, Kyrgyzstán a Rusko – je vyžadována dovozní/vývozní licence, povolení a registrace oznámení a jsou také analyzovány různé věci, včetně seznamu kryptografické algoritmy, maximální délka klíče, seznam implementačních protokolů, jak se používá šifrování, jaký typ dat je šifrován a jak jsou data šifrována.
Naprostá většina zemí s celními zákony omezuje vývozy kryptografických produktů a/nebo omezuje dovoz z určených zemí. Velká část z nich je součástí Wassenaarské dohody (úplný seznam viz část metodiky) a/nebo se řídí právem EU. Ti, kteří se přihlásili do Wassenaarská dohoda :
- Souhlasili se zachováním vnitrostátních kontrol vývozu určitých položek, tj. kryptografických služeb
- Souhlasili s podáváním zpráv o převodech a zamítnutích specifikovaných kontrolovaných položek do míst určení mimo Ujednání
- Výměna informací o citlivém zboží a technologiích dvojího užití
Opět platí, že řada zemí má zavedené zákony, které jim umožní vytvořit požadavky na dovoz/vývoz kryptografických produktů, ale zdá se, že dosud nic nezavedly.
Které země nemají „výjimku pro osobní použití“ pro cestující se šifrovanými notebooky?
Kromě zavedení omezení dovozu/vývozu podnikům nabízejícím šifrovací služby mají některé země také jasná omezení pro ty, kteří cestují se šifrovanými notebooky. Naproti tomu některé země, které jsou součástí Wassenaarské dohody, nabízejí cestujícím „výjimku pro osobní použití“.
Upozornění: I když jsou ve výše uvedených zemích nabízena jasná omezení/výjimky, cestování do jiných zemí může, ale nemusí být omezeno. Vždy je nejlepší se předem informovat v zemi, do které cestujete, bez ohledu na to, zda je nebo není součástí dohody.
Metodologie
Abychom určili zákony platné pro každou kategorii, analyzovali jsme různé části legislativy v každé zemi. To zahrnuje trestní řády, zákony o počítačové kriminalitě, komunikační/telekomunikační zákony, zákony o odposlechu/sledování a jakékoli další relevantní vyhlášky, zákony, zákony nebo usnesení.
Zaměřili jsme se výhradně na legislativní pravomoci/příkazy a ty, které se týkají především poskytovatelů komunikací, poskytovatelů internetových služeb nebo dat uložených na počítačích nebo k nim přistupovaných prostřednictvím počítačů.
Země nemusí mít takovou legislativu nebo se může zdát, že má zavedenou ochranu, ale v praxi může být situace odlišná. Abychom se však vyhnuli subjektivním výsledkům, použili jsme pouze to, co je v každé zemi „legálně“ povoleno. Jak již bylo zmíněno, podívali jsme se také na legislativu, kterou lze interpretovat tak, aby pokrývala šifrování, i když to konkrétně nezmiňuje. V těchto případech jsme hledali nejednoznačné formulace, jako jsou požadavky na „srozumitelnost“ dat, nebo jsme našli příklady poskytovatelů telekomunikačních služeb, tj. Vodafone, kteří vykládají zákon tak, že se domnívají, že orgány činné v trestním řízení by mohly požádat o dešifrování dat v rámci země.
Tam, kde nebylo nic nalezeno, jsme zemi z výsledků vynechali. Nedostatek právních předpisů by mohl naznačovat, že neexistují žádná omezení/pravomoci k vymáhání práva, ale pro přesnost jsme tyto země nezahrnuli.
Prameny
Úplný seznam zdrojů naleznete v naší tabulce: https://docs.google.com/spreadsheets/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing