A Convenção proposta para Crime Cibernético da ONU é um extenso pacto de vigilância que impõe medidas intrusivas de vigilância doméstica e exige a cooperação dos estados em vigilância e compartilhamento de dados. Exige que os estados ajudem um ao outro em investigações e processos de crimes cibernéticos, permitindo a coleta, preservação e compartilhamento de provas eletrônicas para qualquer crime considerado grave pelo direito interno de um país, com o mínimo de salvaguardas de direitos humanos. Essa cooperação se estende até países com histórico de violações dos direitos humanos. As negociações para este tratado começaram em 2022, iniciadas por uma proposta controversa da Federação Russa. Se adotado, reescreverá as leis de vigilância em todo o mundo. Milhões de pessoas, incluindo defensores dos direitos humanos, jornalistas, pesquisadores de segurança e que fazem oposição aos que estejam no poder, serão afetados. Sem salvaguardas claras e aplicáveis, o tratado corre o risco de se tornar uma ferramenta para abuso estatal e repressão transnacional, em vez de proteger os direitos humanos. Abaixo estão nossas principais preocupações. Para uma lista abrangente, consulte nossas alertas vermelhas e apelo feito aos delegados da UE.
As principais preocupações da EFF
O título do projeto de convenção é enganoso e problemático: o cibercrime é um problema real, mas equivaler a qualquer crime envolvendo TICs é conceitual e praticamente prejudicial. Esforços recentes em nível doméstico para ampliar sua definição levaram à criminalização de atividades legítimas, como críticas online, expressão religiosa ou apoio a LGBTQ. No tratado proposto, são incentivadas interpretações expansivas que podem levar a abusos dos direitos humanos e repressão transnacional. Recomendação: restrinja a definição a "crimes cibernéticos", como ataques técnicos em computadores, dispositivos, dados e sistemas de comunicação. Exclua atividades protegidas por direitos humanos do escopo do Tratado para evitar o uso indevido e garantir que esses direitos não sejam injustamente atacados devido à equitação do crime cibernético com qualquer crime usando TIC.
Escopo expansivo e riscos de excesso de criminalização: o capítulo de criminalização da Convenção Projeto amplia perigosamente seu escopo, incluindo crimes como "preparação" e MASI (Material de Abuso Sexual Infantil, ou CSAM em inglês), não apenas crimes cibernéticos. Sua definição de MASI corre o risco de criminalizar a conduta consensual entre menores. Pior ainda, um protocolo proposto poderia adicionar mais duas sessões ad hoc para discutir ainda mais crimes, expandindo ainda mais seu amplo escopo. Recomendação: A criminalização deve estar limitada aos artigos 7 a 11. restringindo o escopo do artigo do MASI para atingir apenas ações intencionais e maliciosas, excluindo a atividade consensual entre menores da criminalização, deve fazer isenções obrigatórias para conteúdo autogerado por menores, e garantir que as disposições de financiamento alcançam apenas aqueles conscientemente envolvidos em atividades ilegais e excluem o uso do interesse público de tais materiais, como evidências em investigações de crimes e materiais científicos ou artísticos.
O Escopo Excessivo dos Poderes de Coleta de Provas Permitirá a Espionagem Doméstica e Transfronteiriça sobre Atos de Expressão: o escopo aberto dos capítulos IV & V corre riscos de prejudicar a cooperação de agentes de segurança publica sobre crimes cibernéticos reais, diluindo os seus recursos. Permite que os governos espionem as pessoas para coletar provas em potencial para qualquer crime, se tiverem sido cometidos usando as TIC. Também permite que um estado ajude outro em vigilância para qualquer crime grave. Essas expansões transformam o tratado em um extenso pacto de vigilância. Artigo 23 (2) (c) abre a possibilidade de medidas invasoras para delitos menores e expressões protegidas a serem criminalizadas de forma abusiva em alguns países. O artigo 35 (1) (c) dispõe sobre cooperação para crimes graves, definidos como crimes puníveis por quatro anos ou mais, o que pode incluir atos de expressão considerados crimes graves no direito nacional. Esse amplo escopo corre o risco de abuso maciço de poder. Recomendação: Limite os artigos 23 (2) (c) e 35 (1) (c) aos artigos 7 a 11 e excluem o artigo 23 (2) (b). Apoiar a recomendação do Escritório do Comissário da ONU sobre Direitos Humanos de revisar a definição de crimes graves como apenas "aqueles que envolvem morte, lesão ou outros danos graves". Embora a sugestão de respeito pelos direitos humanos em um escopo tão amplo é importante, é insuficiente, porque não possui proteções aplicáveis contra o uso indevido e abuso. Garantir que a cooperação seja limitada a situações em que há suspeita razoável de que a assistência legal produzirá provas de uma ofensa criminal.
Salvaguardas insuficientes dos direitos humanos: o artigo 24, que aborda condições e salvaguardas e inclui o princípio da proporcionalidade, não inclui explicitamente outros princípios cruciais, como legalidade, necessidade e não discriminação. Proteções eficazes de direitos humanos exigem aprovação judicial antes de realizar vigilância, transparência sobre ações tomadas e notificação aos usuários quando seus dados são acessados, a menos que possa comprometer a investigação. O novo projeto de tratado omite essas salvaguardas, ainda pior, ele remete as poucas salvaguardas existentes para as leis nacionais que podem variar muito e nem sempre podem fornecer as proteções necessárias. Ele também não possui salvaguardas para evitar coleta de informações protegidos por lei, não evita a autoincriminação coagida e omite proteções para advogados de defesa criminal. Essas lacunas levantam preocupações sobre a erosão dos direitos humanos: o tratado diminua a possibilidade de vigilância invasiva, mas justifica até as mínimas proteções, potencialmente minando padrões robustos existentes.
Poderes de espionagem secreta altamente intrusiva sem salvaguardas robustas: o projeto permite extensa vigilância secreta com salvaguardas mínimas, representando riscos significativos, tanto nacional quanto internacionalmente. Internamente, permite a interceptação em tempo real dos dados de tráfego associado com qualquer crime, enquanto a interceptação de conteúdo é limitada a crimes graves-aqueles puníveis por quatro anos ou mais em leis domésticas. Os prestadores de serviços são obrigados a ajudar nessas atividades de vigilância, geralmente sob ordens perpétuas de silencio, impedindo a notificação mesmo quando nem mais prejudica as investigações. Internacionalmente, o projeto permite que um estado ajude outro a realizar essa vigilância por crimes graves, forçando empresas a cumprirem os pedidos de vigilância estrangeira, também em sigilo perpétuo. Essa falta de transparência e prestação de contas é uma receita para abusos sem controle do poder e prejudica a confiança nos serviços digitais. Recomendação: Excluir artigos 29, 30, 45, 46.
Assistência técnica compelida: o projeto exige que os países tenham leis que permitam às autoridades obrigar a qualquer pessoa com conhecimento de um sistema de computador específico a fornecer as informações necessárias para facilitar o acesso. Isso pode envolver pedir a um especialista em tecnologia ou engenheiro para ajudar a desbloquear um dispositivo ou explicar seus recursos de segurança, o que pode comprometer a segurança ou revelar informações confidenciais. (ou seja, um engenheiro pode ser arbitrariamente obrigado a divulgar uma brecha de segurança não resolvida ou fornecer chaves de criptografia assinadas que protegem os dados). Recomendação: Exclua o artigo 28 (4).
A cooperação ilegal de agentes da lei gera risco de erosão dos direitos humanos: a redação atual do artigo 47 põe em risco apoiar a cooperação entre agentes da lei sem detalhamento das limitações e salvaguardas necessárias exigidas pela lei internacional de direitos humanos. Os Estados não devem usar esta convenção para autorizar ou exigir compartilhamento de dados pessoais além do escopo dos tratados de assistência jurídica mútuos existentes, as salvaguardas estabelecidas nos MLA (Acordos de Assistência Jurídica, MLA em inglês) e o mecanismo de verificação do MLA. A falta de tais salvaguardas sem fornecer proteções e limitações comparáveis convida o uso indevido da estrutura de assistência jurídica mútua para abuso e/ou repressão. Recomendação: Limite o Artigo 47 (1) aos artigos 7-11, Excluir artigos 47 (1) (b), (c) e (f) e fazer referência aos artigos 24 e 36 no artigo 47 (2).
Proteção insuficiente para pesquisadores de segurança e outros trabalhos de interesse público: o projeto de convenção não isenta da criminalização a pesquisa de segurança, o jornalismo e a denúncia, representando riscos significativos para a segurança cibernética e a liberdade de imprensa globalmente. Isso inclui os envolvidos em testes autorizados ou proteção de sistemas de TIC. No entanto, as disposições do projeto sobre acesso ilegal, interceptação e interferência carecem de requisitos obrigatórios para intenções e danos criminais, ameaçando penalizar os esforços de pesquisa de segurança. Lista completa de recomendações disponíveis aqui.
Riscos para gênero e LGBTQ: o amplo escopo da Convenção continua a representar riscos significativos para os direitos de LGBTQ+ e gênero. O capítulo de cooperação nacional e internacional poderia ser explorado para atingir indivíduos com base em seu gênero ou orientação sexual, especialmente se as leis domésticas criminalizarem essas expressões como crimes graves. Isso é particularmente preocupante, dada a história das leis de crimes cibernéticos sendo mal utilizados para perseguir grupos marginalizados. Recomendação: restrinja o escopo da coleta de provas aos principais crimes cibernéticos. Revise a definição de crime grave, de acordo com a recomendação de OHCHR.
