Legislaţie - PC Magazine Romania, Mai 2004

Aplicaţiile software - dublă utilizare

Răzvan Florin Stoicescu - Linklaters, Miculiţi & Asociaţii

Deşi, ca regulă, produsele software nu sunt supuse unui control, legislaţia română cunoaşte într-o formă incipientă anumite reglementări aplicabile software-ului ca produs sau tehnologie cu dublă utilizare.

Nucleul legislativ în această materie cuprinde: (i) Legea nr. 387 din 2003, privind regimul de control al exporturilor de produse şi tehnologii cu dublă utilizare, (ii) Normele Metodologice de aplicare a Legii nr. 387 din 2003, emise de către Agenţia Naţională de Control al Exporturilor, precum şi (iii) mai multe hotărâri de guvern care includ listele cu produse supuse controlului, dintre care mai importantă pentru tema de faţă este Hotărârea de Guvern nr. 467 din 1999. Impactul principal al acestor reglementări este legat de existenţa unor obligaţii de colaborare purtând asupra persoanelor care dezvoltă, importă sau exportă din România tehnologii sau produse cu dublă utilizare, cu autorităţile competente în materie, în principal ANCEX.

După cum se poate observa, sunt supuse controlului operaţiunile care (i) prin natura lor sunt de import, export, producţie sau dezvoltare, şi (ii) prin subiectul cărora li se aplică, vizează produsele cu dublă utilizare.

Importul presupune introducerea în ţară a mărfurilor străine şi introducerea acestora în circuitul economic. Exportul presupune scoaterea definitivă a mărfurilor româneşti din România, atât cele produse în ţară, cât şi cele importate anterior. Dezvoltarea acoperă şi reprezintă toate fazele anterioare producţiei de serie a unui produs sau tehnologie.

Natura de subiect al controlului se determină pe baza analizării listelor cu produse şi tehnologii cu dublă utilizare. Aceste liste sunt cuprinse în hotărâri de guvern actualizate la propunerea ANCEX. În măsura în care aceste liste nu cuprind produsul sau tehnologia software respectivă, dispoziţiile privitoare la control, conform legislaţiei indicate mai sus, nu se aplică. Ceea ce trebuie subliniat de la început este că listele pe care ANCEX le pune la dispoziţie nu sunt foarte explicite. Din contră, lipsa unor note explicative ample, respectiv absenţa unor particularizări şi detalieri a criteriilor de diferenţiere a produselor supuse controlului, de cele care nu se supun acestui regim, pot crea dificultăţi în aplicarea textelor de lege existente.

Aplicaţiile software nu se supun controlului în măsura în care acestea sunt (i) fie general accesibile publicului (conform listelor, prin software general accesibil publicului se înţelege software-ul vândut din stoc în puncte de vânzare cu amănuntul şi conceput pentru instalare de către utilizator fără asistenţă suplimentară din partea furnizorului), (ii) fie din "domeniul public" (reprezentând software-ul care a devenit accesibil fără restricţiile privind difuzarea lui viitoare). Normele subliniază că "restricţiile de copyright nu fac ca tehnologia sau software-ul să nu fie considerat "din domeniul public".

În lumina legislaţiei, fiecărui tip de operaţiune cu un produs sau o tehnologie cu dublă utilizare îi corespunde un anumit tip de raport cu autoritatea de control. Importul şi exportul presupun controlul prin licenţiere din partea ANCEX, iar producţia, respectiv dezvoltarea, presupun controlul prin notificarea operaţiunii respective la aceeaşi autoritate.

Pentru o mai bună exemplificare a modului dificil de aplicare a reglementărilor legale, ne vom referi în continuare la o aplicaţie software, tip sistem de operare virtual (în care clientul va rula un sistem de operare instalat pe un alt calculator decât al său, calculatorul său fiind doar un terminal pe care se întrebuinţează doar tastatura şi monitorul), care include din motive de securitate, şi o funcţie de criptare a informaţiilor. Funcţia de criptare, atât la nivel rudimentar, cât şi la un nivel ridicat, este necesară din numeroase raţiuni de securitate, întrucât aplicaţia urmează să fie accesată de numeroşi utilizatori prin intermediul unei reţele interne sau chiar Internet.

Pentru a fi mai expliciţi, vom presupune că producătorul intenţionează să aducă aplicaţia pe piaţă prin vânzare retail. Adăugăm, de asemenea, că funcţia de criptare nu este un modul direct accesibil utilizatorului, de la care, de altfel, nu primeşte nici un parametru de secretizare. Criptarea informaţiilor se face pe baza unor chei de 56 de biţi, numai în memorie, iar scopul principal al funcţiunii îl reprezintă doar securizarea comunicaţiei dintre serverul pe care lucrează aplicaţia şi diferiţi utilizatori din afară.

Este o astfel de aplicaţie supusă controlului ANCEX ?

Pornind de la textul din listele ANCEX cu privire la tipurile de software care se supune controlului, se observă că aplicaţiile care sunt general disponibile publicului şi concepute pentru instalare fără asistenţă suplimentară din partea furnizorului ar putea să nu fie încadrate în listele de control. Cu toate acestea, subliniem că în capitolul "Securitatea informaţiilor" din listele de control, software-ul care realizează sau simulează funcţiunile unor echipamente concepute pentru a utiliza criptografia este supus controlului. Aşadar, vom trata aplicaţia ca un întreg sau o vom supune controlului ? Şi dacă o vom supune controlului, este necesar să fie analizată aplicaţia în întregime sau numai modulul de criptare ?

Răspunsul este semnificativ întrucât dacă aplicaţia trebuie supusă controlului, iar producătorul nostru nu respectă obligaţiile de licenţiere sau notificare, ANCEX îl poate sancţiona cu amendă de la 50 la 500 de milioane de lei.

Pentru a răspunde la o astfel de întrebare, ar fi necesar să clarificăm exact ce înseamnă criptare. Şi, în această materie pot apărea dificultăţi. Textul românesc al listelor nu este explicit cu privire la acest aspect. Conform listelor, criptografia reprezintă transformarea informaţiilor folosindu-se unul sau mai mulţi parametri de secretizare.

Detalii cu privire la algoritmii de criptare care trebuie supuşi controlului sau lungimea cheilor de criptare utilizate nu sunt furnizate. Nici locul unde are loc operaţiunea de criptare nu pare să fie relevant pentru legiuitorul român. Şi anume, în memoria calculatorului sau prin producerea unui fişier (chiar temporar) pe un suport fizic. Trebuie spus că, de regulă, producerea unui fişier la care ulterior utilizatorul poate avea acces şi care poate fi retransmis poate face ca aplicaţia respectivă să fie clasificată drept aplicaţie independentă de criptare întrucât, indirect, utilizatorul poate avea acces la fişierul produs şi deci la funcţia de criptare.

În cazul nostru, aşa cum arătam, criptarea este avansată, cu chei pe 56 de biţi. Dar parametrii de secretizare nu provin de la utilizatorul aplicaţiei. Acesta doar activează sau dezactivează serviciul respectiv, după necesităţi.

Lipsa unor reglementări precise face ca producătorul din situaţia noastră de mai sus să fie într-o postură relativ delicată întrucât textul de lege este mult prea larg, cel puţin în legătură cu securizarea informaţiilor. Deşi în situaţia de fapt de mai sus, se poate considera că modulul de criptare nu va fi supus controlului întrucât nu permite introducerea parametrilor de securizare din partea utilizatorului, fiind în prezenţa unei tehnici de codare "fixate", singura interpretare oficială în acest sens nu o poate da decât ANCEX.

Ca o concluzie, trebuie subliniat aşadar că desfăşurarea de operaţiuni care au drept rezultat produse cu potenţial de dublă utilizare, este guvernată de reglementări neclare, vagi.

Din această cauză, se recomandă producătorului, pe considerente de prudenţă, să reţină că operaţiunile lor sunt supuse unui control specializat şi să solicite ANCEX confirmarea neîncadrării aplicaţiilor în lista de control.

Procedura poate încetini operaţiunile desfăşurate, dar din pricina reglementărilor vagi, este recomandabilă.