O que os recentes desenvolvimentos legislativos significam para a privacidade dos usuários de criptos?

As últimas semanas foram tensas para aqueles que levam a sério as questões de privacidade. Primeiro, havia Edward Snowden com outro enorme vazamento da NSA, comprovando as suspeitas - já no ar - de que os serviços de inteligência são realmente estão de olho nas informações pessoais dos usuários de Bitcoin. Então, no meio das consequências da notícia de que o Facebook havia entregue casualmente os dados privados de seus 87 milhões de usuários para uma empresa eleitoral repugnante, o Congresso dos EUA invadiu uma grande parte da legislação de privacidade on-line , conhecida como a lei clarificada de uso de dados no exterior (CLOUD).

O documento foi etiquetado como um pacote de gastos de trilhões de dólares e, portanto, não teve chance de uma revisão legislativa séria. Apesar do tumulto inicial que provocou entre os ativistas de privacidade on-line e algumas figuras proeminentes na comunidade cripto , a preocupação pública imediata com a questão parece estar desaparecendo. Não vamos descartar isso rapidamente, embora: Embora as implicações da Lei CLOUD na regulamentação da privacidade já estejam em alta, vale a pena dar uma olhada completa no que está dentro da lei e no que ela significa para os usuários de criptomoeda.

Quem está por trás, a favor e contra a lei CLOUD?

Patrocinado pelo senador republicano Orrin Hatch, que estava prestes a aposentar-se, o projeto de lei encontrou poucos adversários declarados no Capitólio. A exceção notável, porém não surpreendente, foi o libertário Rand Paul, que desencadeou uma série de tuítes sobre o Ato nos dias que antecederam a votação. A oposição pública mais proeminente veio de uma formação de grupos de defesa: uma coalizão liderada pela união das liberdades civis americanas (ACLU), que em uma carta chamou a lei de "uma grave ameaça às liberdades civis", bem como da "electronic frontier foundation", o grupo que manifestou preocupações sobre o potencial do CLOUD de permitir ao governo contornar a quarta emenda.

Para um observador externo, pode parecer contra-intuitivo que a frente unida das grandes armas da tecnologia, incluindo Apple, Google, Facebook, Microsoft e Oath, tenha anteriormente prometido apoio unânime para a iniciativa que é projetada para exorto-os a compartilhar os dados dos usuários com o governo. No entanto, ele começa a fazer muito mais sentido se você levar em conta o suspense do tribunal que durou anos e que veio a ser conhecido como Estados Unidos vs a Microsoft Corp. Um caso agora da suprema corte, trata exatamente da mesma questão que a que a CLOUD aborda. Ou seja, se uma empresa de tecnologia americana pode se recusar a cumprir um mandado de busca ordenado pelo tribunal que busca acesso a dados de usuários armazenados em um servidor fora dos Estados Unidos.

O caso surgiu com relação a um mandado do governo federal de 2013 ordenando que a Microsoft entregasse à polícia um e-mail armazenado em seu data center irlandês. A suprema corte deveria ter tomado sua decisão neste verão; por todas as projeções , as chances da Microsoft de sair vitoriosa eram pequenas. A provável reversão da decisão do circuito pela suprema corte (que era a favor da Microsoft) teria criado um precedente claro para todos os casos similares que viriam - o que a grande tecnologia não gostaria de todo.

O CLOUD apresenta uma saída mais palatável desse impasse para as plataformas de comunicação. Além de estabelecer um marco legal não ambíguo, ele também oferece às empresas norte-americanas um ponto de vista mais firme ao lidar com tais solicitações em relação a governos estrangeiros. O departamento de justiça já iniciou o processo de anular o caso, enquanto os juízes da suprema corte e os representantes da Microsoft pareciam decepcionados com os Estados Unidos vs. Microsoft Corp indo em vão.

O que exatamente está no CLOUD?

Essencialmente, a lei faz duas coisas com os dados que as empresas de tecnologia americanas armazenam. Em primeiro lugar, amplia o alcance jurisdicional do governo dos EUA sobre eles, independentemente da localização física do centro de dados de hospedagem. Além disso, redefine as regras da cooperação internacional dos Estados Unidos em matéria de dados, simplificando o procedimento e quase inteiramente isentando-o da revisão judicial.

A primeira cláusula é bastante direta. Desde o dia em que o CLOUD foi assinado em juízo, todos os dados hospedados por qualquer provedor americano em qualquer lugar do mundo são um jogo justo para a polícia dos EUA, da polícia local aos federais. Se houver um mandado judicial, ele deve ser honrado. No entanto, é a parte da cooperação internacional que parece ser a mais controversa. A lei obriga os prestadores de serviços de comunicação eletrônica (ECS) dos EUA ou serviços de computação remota (RCS) para honrar os mesmos pedidos de governos estrangeiros que assinaram acordos bilaterais com os Estados Unidos.

O CLOUD altera a lei de comunicações armazenadas de 1986, de onde também desenha a linguagem antiquada dos ECS e RCS. Segundo a lei antiga, o procedimento internacional incluía a assinatura de tratados de assistência jurídica mútua (MLATs), acordos que exigiam a aprovação do Congresso. A nova legislação elimina a revisão legislativa e adota o poder de aprovar acordos bilaterais no executivo, a saber, o procurador geral e o secretário de Estado.

Com efeito, isso significa que o poder executivo decide unilateralmente quais governos recebem acesso ao Facebook e aos dados dos usuários do Google. A lei contém a linguagem que obriga os funcionários dos EUA a garantir que o sistema legal do país parceiro tenha proteções robustas o suficiente para a privacidade dos cidadãos, e as solicitações não servem para reduzir a liberdade de expressão. No entanto, os defensores da privacidade citam a imprecisão dessas formulações e a falta de critérios concretos que o executivo deve aplicar. Outra grande preocupação é que, de acordo com o CLOUD, ao contrário da lei que havia alterado, pedidos de dados de governos estrangeiros podem ser aprovados sem ir a um tribunal dos EUA.

Embora os defensores da privacidade se queixem de toda a discrição que a Lei confere ao executivo, juntamente com a falta geral de transparência e supervisão processual, algumas mentes legais sugerem que o novo sistema pode realmente ser mais eficiente do que o MLATs. baseado em um. Os pedidos em andamento serão resolvidos rapidamente, sem a necessidade de esperar meses e meses por uma aprovação do Congresso.

No geral, os especialistas imaginam um mundo onde os Estados Unidos formariam um “clube” de nações com idéias semelhantes e com sistemas legais semelhantes. Os membros deste clube, vinculados por acordos bilaterais com os EUA, cooperarão amplamente no compartilhamento de dados de usuários para fins de aplicação da lei. Os dados armazenados em países não-membros ainda estarão acessíveis às autoridades dos EUA em mandado judicial, mas as leis nacionais dos países anfitriões tornar-se-ão irrelevantes em tais casos.

O que há em tudo isso para criptomoeda

O principal problema que qualquer governo tem com as moedas digitais é que elas permitem transações anônimas. Agora, o problema é que a maioria das criptomoedas não é anônima, como diz a linha popular, mas sim pseudônimo. Assim que se torna possível vincular, digamos, um endereço Bitcoin à identidade do proprietário, o livro público está aberto para rastrear todas as transações que já passaram pela pessoa.

Os governos têm um interesse óbvio em estabelecer tais ligações. A análise forense dos Blockchains tornou-se uma indústria lucrativa, com empresas líderes como a Chainalysis and Elliptic cooperando com as agências de segurança pública em todo o mundo. Aprendemos muito bem que a receita federal está ansiosa para conhecer as identidades dos comerciantes cripto com o objetivo de taxar seus ganhos, enquanto a NSA quer rastrear todos os satoshi que já passaram por cadeias de suprimentos terroristas. Os incentivos e as ferramentas estão ambos no lugar. Agora, o CLOUD aparece.

Quem é alvo?

A primeira questão é o alcance da lei. Quais empresas serão compelidas a direcionar os detalhes privados dos usuários para os governos dos EUA e de outros países? Como na lei de comunicações armazenadas de 1986, a linguagem ainda é toda sobre bons e antigos provedores de “serviços de comunicação eletrônica” e “serviços de computação remota” - os espíritos dos primórdios da internet. Mas quem são esses? Ao longo de mais de três décadas de decisões, os tribunais aplicaram esses rótulos a todos os tipos de entidades, desde uma cidade que oferecia serviços de pager a seus policiais até uma companhia aérea que administrava um sistema centralizado de reservas eletrônicas. A boa notícia é que, em todos esses casos, as organizações consideradas ECSP estavam permitindo a troca e o armazenamento de mensagens. simplesmente manter os dados pessoais do usuário não tornou automaticamente um site qualificado como ECSP. Sob essa lógica, as plataformas de trocas on-line, como a Coinbase ou a Kraken, que não permitem que os usuários troquem mensagens, estariam fora do escopo da Lei. Então, novamente, todos nós nos lembramos muito bem de que o IRS tem seus próprios meios de convencer as casasa de câmbio digital para entregar os dados do usuário .

No âmbito do CLOUD, no entanto, existem empresas que facilitam diretamente a comunicação: serviços de e-mail, plataformas de redes sociais e serviços de mensagens. Pode parecer que não é grande coisa na cara - afinal, quem compartilha seus endereços de carteira BTC no Facebook? Não temos pesquisas sobre isso, mas o senso comum sugere que não são tão poucas. Antes que uma transação cripto possa ocorrer, as partes devem comunicar de alguma forma todos os detalhes necessários entre si, e nem todo mundo usa mensageiros criptografados para esse fim. As comunicações pessoais são, portanto, potencialmente repletas de detalhes que estão, pelo menos indiretamente, relacionados às identidades de criptos das pessoas.

Que informação podem obter com a aplicação da lei?

Sob a quarta emenda, o governo só pode procurar a evidência que o mandado de busca ordenado pelo tribunal autoriza a procurar. Se, digamos, a polícia estiver dentro da casa de alguém à procura de um cadáver, a maconha que eles localizam sob a pia da cozinha não pode ser usada no tribunal como prova de um crime não relacionado que os policiais descobriram ocasionalmente ao longo do caminho. Bem, pelo menos é assim que deve funcionar. Da mesma forma, quando a NSA vasculha o e-mail de um suspeito em busca de propaganda terrorista e se depara com os endereços de carteira BTC de todas as pessoas supostamente inocentes com quem o suspeito já fez transações para fins não relacionados, ele deve deixar essa informação em paz. No entanto, a tentação não está lá. E com a falta de supervisão, a tentação se torna ainda maior.

O software no qual as startups “Blockchain detective” confiam realiza a análise de rede para identificar clusters de carteiras associadas . A eficiência desse tipo de inferência é proporcional à quantidade de dados que é a entrada para o modelo. Assim, há um claro incentivo para que os pesquisadores tenham os dados mais completos, mesmo naqueles que não estão diretamente envolvidos em crimes, para que possam traçar melhor a rede Blockchain. Revelações recentes de Snowden ilustraram como os serviços de inteligência estão prontos para ir muito longe na obtenção de dados dos usuários de criptomoedas, e como eles são inescrupulosos na escolha dos meios de fazê-lo. É claro que, onde há ferramentas como explorar o tráfego de espinha dorsal bruto e criar serviços VPN falsos, a coleta não autorizada de dados de usuários incidentais durante a pesquisa sob mandados legítimos pode não parecer grande coisa. No entanto, ainda é um cenário viável sob o qual cidadãos cumpridores da lei, que a grande maioria dos usuários de criptomoedas são, podem perder o controle sobre seus dados pessoais.

Se isso é o que as agências de inteligência dos EUA já fazem rotineiramente, a aprovação da Lei do CLOUD dificilmente fará muita diferença além de conceder-lhes acesso potencial a ainda mais dados armazenados pelas telecomunicações domésticas. O que torna a lei profundamente consequente na escala global, no entanto, é que ela pode fornecer uma latitude tão grande para a aplicação da lei em outros países. Certamente, esses governos não estarão entre os mais opressivos, mas a falta do devido processo na aprovação de acordos bilaterais, bem como a falta de supervisão judicial no tratamento de pedidos individuais de dados, podem produzir um ambiente onde o poder da aplicação da lei solicitar e usar informações pessoais de usuários do Facebook, Twitter e Gmail em todo o mundo é quase totalmente desmarcado.

Por mais intimidante que pareça, há também outra possibilidade que os defensores da privacidade tendem a considerar com menos frequência: que as novas regras para o uso de dados podem se mostrar eficientes para ajudar as autoridades a fazer o seu trabalho. Embora isso continue sendo possível, também é verdade que muito em breve mais pessoas, em números brutos, terão acesso a dados mais confidenciais, dentre os quais o endereço da carteira e as transações de criptos podem se deparar acidentalmente. Se este pensamento te deixa desconfortável, seguir o conselho de Andreas Antonopoulos e “ficar às escuras” continua sendo uma boa opção.