JCA-NETは下記のグローバル暗号化連合の公開書簡に署名しました。ブラジルで審議中の刑訴法改正の動きは、日本も含む世界各国においても検討されている暗号の国家管理の流れのなかにあります。日本のおける同様の傾向への警戒を怠らないようにしなければなりません。



ブラジル刑事訴訟法改革は、暗号化を弱めるものであってはならない

2021年6月28日

ブラジル刑事訴訟法改革ワーキンググループ:暗号化バックドア、大規模なデータ収集、規制のない政府によるハッキングから市民を守るべき

ブラジル刑事訴訟法改革に関する立法論議が最近進展していることを踏まえ、暗号化の促進と擁護を目的としたグローバル・マルチステークホルダー・アライアンスであるGlobal Encryption Coalitionのメンバーを含む以下の署名者は、これらの動きが暗号化とユーザーのセキュリティに及ぼすリスクについて懸念を表明し、ブラジルのみならず複数の国で基本的権利、デジタル経済、公共の安全、国家の安全に悪影響を及ぼす可能性があると考えている。

暗号化は、人々の交流のデジタル化が進む世界において、何十億もの人々のプライバシー、セキュリティ、表現の自由を守る資源である。この保護は、一般市民に限らず、デジタル取引や公的な立場にある公的機関の通信にも適用される。デジタル情報のやり取りの完全性、機密性、真正性を保護することで、暗号化はデジタル環境の発展に必要な信頼を育み、世界各国の公共の安全と国家の安全を支えている。

現在、ブラジル議会で審議中の刑事訴訟法改革は、技術の進歩がもたらす新たな課題を踏まえた刑事訴訟法の近代化に関する複雑な議論に着目している。報告者であるジョアン・カンポス議員の勧告意見を経て4月26日に発表された文章は、暗号化や、ブラジルその他の国のユーザー、企業、当局のセキュリティに害を及ぼす可能性があるという国際的な懸念を引き起こしている。主な問題点は、遠隔操作による傍受に関する条項と、法執行機関が犯罪の証拠を得るために技術的な脆弱性を利用すること(「ガバメントハッキング」と呼ばれる一連の行為)である。

テレマティックな傍受に関しては、本提案の第288条および第305条により、アプリケーション提供者は傍受に必要な技術的手段や資源を自由に利用できるようにする義務を負う可能性がある。ブラジルのスマートフォンの99%にインストールされているWhatsAppのように、エンドツーエンドの暗号化で保護されたプライベートメッセージングアプリケーションの場合、法執行機関による組織的な悪用(バックドア)を目的としたセキュリティにダメージを与えるようなものを導入するためにシステム再設計の義務を負うことになる。

このような変更は、サービスの安全性を損ない、すべてのユーザーを危険にさらすことになる。情報セキュリティの分野では、バックドアを合法的かつ正当な行為者のみが利用することを保証するのは不可能だという科学的に確立されたコンセンサスがあるだけでなく、このセキュリティにダメージを与えるようなものを実装することは、システムが侵害された場合の被害を軽減するために取引のたびに新たな鍵を交換する技術である前方秘匿(長期的な鍵対からセッションキーを生成した際に、のちに長期鍵の安全性が破れたとしてもセッションキーの安全性が保たれるという、鍵交換プロトコルの持つ性質である。この特性を守るためには、データを暗号化するための鍵から別の鍵を生成してはならないし、そしてデータを暗号化する鍵の素材となる秘密は一度だけの使い捨てにしなければならない。そうすることで、1つの鍵が破れたとしても被害がほかの鍵に及ばないようになる。wikipedia)など、情報セキュリティのベストプラクティスを覆すことになる。つまり、この変更は、外国政府やサイバー犯罪者に悪用される可能性のあるセキュリティ上の脆弱性を生み出すだけでなく、潜在的な攻撃者の見込み利益を増大させることで、実際に悪用されることを強く促すことになる。これは、ブラジルにおける様々な基本的権利や、情報サービスおよびその提供者に対する信頼性を損なうものであり、インターネットバンキング、電子商取引、交通機関など、ブラジルのデジタル発展の鍵となる分野における経済やイノベーション能力に深刻な影響を与える可能性がある。

さらに、この要件を実施すると、ブラジルだけでなく他の国にも、法的および経済的な影響が及ぶ可能性がある。2015年にブラジルで行われたWhatsAppの司法停止が、アルゼンチン、チリ、ウルグアイ、ベネズエラのアプリケーションのユーザーに影響を与えたことは記憶に新しいところだが、これは管轄権の不当な拡大を意味している。インターネット上で提供されているサービスはグローバルな性質を持っているため、ネットワークのセキュリティと安定性を維持するには、協調的なソリューションが必要だ。そのため、ある国が採用した技術的・規制的な取り決めは、他の国にも影響を与える可能性がある。このシナリオでは、国連人権理事会が決議(A/HRC/38/L.10/Rev.1)により、暗号化などのデジタル通信の機密性を保護する技術的ソリューションの使用を妨害しないよう、各国に明示的に要請していることに留意する必要がある。

この文章は、効果的な刑事訴追の向上を前提に、無限定にデータ保持を促進し、政府によるハッキングへの道を開くものである。また、e-evidence(電子証拠)に関して盛り込まれた文言では、法執行機関が比例のメカニズムなしにISPを標的として、インフラレベルでデータにアクセスできるようになることが目指されている。現行の法案は、捜査対象者の継続的な監視や国外に保存されているデータへのアクセスの可能性をめぐる規定を積極的に受け入れることによって、ブラジルの刑事手続きをデジタル時代に合わせて更新することができず、憲法上の保証や法の適正手続きに深刻な脅威を与えることになっている。

基本的権利に対する最大のリスクの1つとして、新CCPの文章は、政府のハッキング行為やフィッシング詐欺探索を正当化する可能性がある。「遠隔収集」、「遠隔地からアクセスされたデータの復元」、「コンピュータシステムへの強制的なアクセス」、「オープンソース処理」などの一般的な言葉は、監視技術によるアクセスを容易にする原因になり、ジャーナリストや活動家へのスパイ活動など無秩序な国家権力の乱用や、コンピュータシステムのセキュリティと信頼性を低下させる大きな抜け道を作ることになりかねない。

このような観点から、以下の団体は、プライバシー侵害を助長し、オンライン上のユーザーのセキュリティを弱めることを避けるために、上記の草案のe-evidenceセクションについてはさらに審議するよう、ブラジル議会に要求します。ブラジルは、法執行活動が比例的かつ権利を尊重した方法で行われ、オンラインサービスやインターネットのインフラに影響を与えないようにするために必要な措置を強化すべきである。

署名団体
Association for Proper Internet Governance (Geneva, Switzerland)

Center for Democracy & Technology

Coalizão Direitos na Rede

Coding Rights

Data Privacy Brasil Research

Derechos Digitales · América Latina

Electronic Frontier Foundation

Electronic Privacy Information Center

Global Partners Digital

IBIDEM – Instituto Beta: Internet & Democracia

InternetBolivia.org Foundation

Instituto Liberdade Digital

Internet Society Brazil Chapter

Internet Society Dominican Republic Chapter

Internet Society Ecuador Chapter

Internet Society Panama Chapter

Internet Society Portuguese Chapter ISOC.pt

Internet Society Uruguay Chapter

Intervozes – Coletivo Brasil de Comunicação Social

IP.rec – Law and Technology Research Institute of Recife

IRIS – Institute for Research on Internet & Society

JCA-NET(Japan)

LAPIN – Laboratory of Public Policy and Internet

MEGA The Privacy Company

New America’s Open Technology Institute

R3D: Red en Defensa de los Derechos Digitales

Software Freedom Law Center

The Tor Project

Tutanota

Ubunteam

原文
https://www.globalencryption.org/2021/06/brazilian-code-of-criminal-pro…

Brazilian Code of Criminal Procedure reform must not undermine encryption
Post author
By GEC admin
Post date
June 28, 2021
Brazilian Code of Criminal Procedure Reform Working Group: Citizens should be protected from encryption backdoors, massive data collection, and unchecked government hacking

June 28, 2021

In light of recent advances in the legislative debate on the reform of the Brazilian Code of Criminal Procedure, the undersigned, which include members of the Global Encryption Coalition – a global multi-stakeholder alliance with the goal to promote and defend encryption, express their concerns about the risks entailed by these developments for encryption and security of users, which could negatively impact fundamental rights, the digital economy, public security, and national security not only in Brazil, but in several countries.

Encryption is a resource that protects the privacy, security, and freedom of expression of billions of people in a world where interactions are increasingly digitized. This protection is not limited to ordinary citizens, but it also extends to digital transactions and the communications of public authorities acting in an official capacity. By safeguarding the integrity, confidentiality, and authenticity of digital information exchanges, encryption fosters the trust necessary for the development of the digital environment and supports public safety and national security in countries around the world.

The Code of Criminal Procedure reform now pending in the Brazilian Congress draws attention to a complex debate on the modernization of criminal procedure in light of the new challenges posed by technological advances. The text published on April 26th through the advisory opinion of the rapporteur, Parliamentarian João Campos, raises international concerns about the possibility of harm to encryption and to the security of users, companies, and authorities in Brazil and other countries. The main issues of concern are the provisions regarding telematic interception and the exploitation of technological vulnerabilities by law enforcement for the production of criminal evidence – a set of practices known as “government hacking”.

On the topic of telematic interceptions, articles 288 and 305 of the proposal may impose a duty on application providers to freely make available the technological means and resources necessary for interceptions to be carried out. In the context of private messaging applications protected with end-to-end encryption – such as WhatsApp, an application installed on 99% of smartphones in Brazil – this could mean an obligation to redesign the system in order to introduce a security flaw designed for systematic exploitation – a backdoor – by law enforcement.

An alteration of this nature would undermine the security of the service and put all users at risk. Not only is it a scientifically established consensus in the field of information security that it is impossible to ensure that a backdoor is only exploited lawfully and by legitimate actors, but the implementation of this flaw would require the reversal of best practices in information security, such as forward secrecy – a technique in which new keys are negotiated at each transaction to reduce the damage resulting from the system being compromised. That is, the change would not only create a security vulnerability that could potentially be exploited by foreign governments and cybercriminals, but it would also give strong incentives for such exploitation to actually come to fruition by increasing the prospective gains of potential attackers. This undermines a range of fundamental rights as well as the trust in information services and their providers in Brazil, with serious potential impacts to the economy and innovation capacity in key areas for the country’s digital development, such as internet banking, e-commerce, and transportation.

Furthermore, enforcing this requirement could have legal and economic repercussions, not only in Brazil, but in other countries. It is worth remembering that the judicial shutdown of WhatsApp in Brazil in 2015 affected users of the application in Argentina, Chile, Uruguay, and Venezuela, representing an undue overreach of jurisdiction. Due to the global nature of the services offered on the internet, maintaining the security and stability of the network depends on coordinated solutions. Therefore, technical and regulatory arrangements adopted by one country can impact several others. In this scenario, it should be noted that the UN Human Rights Council by means of Resolution (A/HRC/38/L.10/Rev.1) expressly called upon States not to interfere in the use of technical solutions to protect the confidentiality of digital communications, such as encryption.

Under the premise of improving effective criminal prosecution, the text promotes indeterminate data retention and paves the way for government hacking. Also, the incorporated language regarding e-evidence aims at allowing law enforcement agencies to have access to data at the infrastructure level by targeting ISPs without any mechanism of proportionality. By welcoming provisions surrounding the possibility of continuous surveillance of individuals under investigation and access to data stored outside of the country, the current version of the draft bill fails to update the Brazilian criminal process for the digital age and poses serious threats to constitutional guarantees and due process of law.

In one of its greatest risks to fundamental rights, the text of the new CCP can legitimize government hacking practices and fishing expeditions. Generic language such as “remote collection”, “resting data accessed from a distance”, “forced computer system access”, and “open source processing” can be responsible for facilitating access through surveillance technologies and can end up opening huge loopholes for uncontrolled abuses of state power, such as spying on journalists and activists, and for diminishing security and trust in computer systems.

On this note, the undersigned entities urge the Brazilian Congress to further discuss the e-evidence section of the above mentioned draft text in order to avoid fostering privacy violations and weakening users’ security online. The country must reinforce the need for law enforcement activities to be conducted in a proportionate and rights respecting way, and avoid affecting online services or the internet’s infrastructure.

Sincerely,

Association for Proper Internet Governance (Geneva, Switzerland)

Center for Democracy & Technology

Coalizão Direitos na Rede

Coding Rights

Data Privacy Brasil Research

Derechos Digitales · América Latina

Electronic Frontier Foundation

Electronic Privacy Information Center

Global Partners Digital

IBIDEM – Instituto Beta: Internet & Democracia

InternetBolivia.org Foundation

Instituto Liberdade Digital

Internet Society Brazil Chapter

Internet Society Dominican Republic Chapter

Internet Society Ecuador Chapter

Internet Society Panama Chapter

Internet Society Portuguese Chapter ISOC.pt

Internet Society Uruguay Chapter

Intervozes – Coletivo Brasil de Comunicação Social

IP.rec – Law and Technology Research Institute of Recife

IRIS – Institute for Research on Internet & Society

JCA-NET(Japan)

LAPIN – Laboratory of Public Policy and Internet

MEGA The Privacy Company

New America’s Open Technology Institute

R3D: Red en Defensa de los Derechos Digitales

Software Freedom Law Center

The Tor Project

Tutanota

Ubunteam