Jak prawo zwalcza spam?

Legislacja antyspamowa

Proces, który zapoczątkował stworzenie ustawowych instrumentów regulujących działalność internetową, rozpoczął się w latach osiemdziesiątych ubiegłego wieku, natomiast w latach dziewięćdziesiątych wprowadzono międzynarodowe ramy prawne. Jednak większość ustaw antyspamowych powstała pod koniec lat dziewięćdziesiątych i na początku 2000 roku. Nie oznacza to jednak, że cyberprzestępstwa popełnione przed tą datą nie były karane – wiele z nich można było podciągnąć pod legislację, która już wtedy istniała. Rozwój technologiczny oraz rozpowszechnienie się Internetu spowodowały, że koniecznością stało się zawarcie w takich ustawach szczegółowej definicji nowych przestępstw popełnianych w Internecie oraz metod wykorzystywanych przez cyberprzestępców do ich popełniania.

8 czerwca 2000 roku Parlament Europejski oraz Rada Europejska przyjęły Dyrektywę 2000/31/EC, nazywaną również Dyrektywą o handlu elektronicznym, której celem było zapewnienie ram prawnych regulacyjnych handel elektroniczny w Unii Europejskiej. Dyrektywa ta obejmuje proces nabywania towarów i usług przez Internet.

23 grudnia 2001 roku Rada Europejska przyjęła Konwencję o cyberprzestępczości. Konwencja ta została do tej pory zatwierdzona przez 46 państw, natomiast ratyfikowana przez 24. Dokument ten wymaga, aby jej strony stworzyły ustawy zapewniające ochronę przed cyberprzestępczością i podjęły inne niezbędne kroki, aby skutecznie ścigać przestępstwa elektroniczne. Obejmuje szeroki zakres przestępstw, takich jak nieautoryzowany dostęp do danych osobowych, oszustwa komputerowe, nielegalne rozpowszechnianie pornografii oraz naruszenie praw autorskich. Niestety, wśród państw, które podpisały konwencję, nie znalazły się te stanowiące główne źródło spamu i szkodliwego oprogramowania, czyli Rosja, Chiny i niektóre kraje Ameryki Łacińskiej.

12 lipca 2002 roku Parlament Europejski i Rada Europejska wprowadziły Dyrektywę 2002/58/EC, zwaną również Dyrektywą o prywatności i łączności elektronicznej. Dotyczy ona przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej. Wysyłanie niechcianych masowych wiadomości e-mail w celach komercyjnych zostało uznane za przestępstwo. 

Jednakże jurysdykcja obu dyrektyw jest raczej ograniczona, co spowodowało, że wiele państw europejskich stworzyło i ratyfikowało własne ustawy uzupełniające dotyczące cyberprzestępczości i dystrybucji spamu.

Konwencja dotycząca cyberprzestępczości oraz dyrektywy Parlamentu Europejskiego i Rady Europejskiej skłoniły wiele państw Unii Europejskiej, jak również Stanów Zjednoczonych i Australii, do przyjęcia ustaw antyspamowych oraz zaostrzenia dotychczasowych przepisów. 

W Europie oraz Stanach Zjednoczonych wiele ustaw antyspamowych wprowadzono w okresie między 2000 a 2003 rokiem, podczas gdy w państwach Ameryki Wschodniej i Łacińskiej proces ten nastąpił kilka lat później. Chiny i Rosja przyjęły ustawę antyspamową w 2006 roku, natomiast Indie i Brazylia w 2008 roku. Udział tych państw w walce z niechcianą korespondencją jest niezwykle ważny, ponieważ stanowią one główne źródła spamu. W 2009 roku Rosja, Brazylia i Indie zajęły odpowiednio 2, 3 i 4 miejsce w rankingu 10 państwa, z których pochodzi najwięcej spamu. W czołówce znalazły się również Chiny.

Zasady legislacji antyspamowej

Naturalnie władze ustawodawcze różnych państw współpracują ze sobą, dlatego wprowadzone w nich ustawy antyspamowe mają wiele cech wspólnych:
• Zasada OPT-IN: użytkownik nie może otrzymywać żadnej masowo wysyłanej wiadomości e-mail, jeżeli nie subskrybował danej usługi;
• Zasada OPT-OUT: użytkownik zawsze musi mieć możliwość wypisania się z listy mailingowej;
• E-mail musi posiadać wyraźny adres nadawcy, pole Od musi wskazywać, kto jest rzeczywistym nadawcą, a informacje określające źródło wiadomości jak również drogę jej transmisji nie mogą być sfałszowane;
• Nagłówek wiadomości musi odzwierciedlać jego treść, a wiadomości zawierające reklamy muszą zostać odpowiednio oznaczone;
• Wiadomość e-mail musi zawierać dane kontaktowe nadawcy, w szczególności adres zwrotny;
• Nie należy wykorzystywać oprogramowania służącego do zbierania adresów.

Zasada OPT-IN, która jest uważana za najważniejszy element legislacji antyspamowej, jest uznawana niemal wszędzie. Istnieją jednak pewne różnice i restrykcje. Na przykład w Wielkiej Brytanii ustawa antyspamowa odnosi się jedynie do wiadomości e-mail wysyłanych na prywatne adresy e-mail użytkownika. To oznacza, że legislacja ta nie obejmuje spamu trafiającego do korporacyjnych skrzynek e-mail. W Niemczech masowo wysyłane wiadomości e-mail zawierające reklamy są dozwolone, pod warunkiem że użytkownik wcześniej coś kupił od reklamodawcy.

Najważniejszą ustawą antyspamową jest prawdopodobnie amerykański CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act). Ustawa ta wymaga odpowiedniego oznaczenia niechcianych wiadomości komercyjnych. Na przykład, temat wiadomości musi zawierać słowo ‘AD’ lub ‘Advertisement’ (ang. reklama). Wiadomość musi zawierać fizyczny adres nadawcy oraz zapewniać odbiorcy możliwość rezygnacji z subskrypcji. Ustawa ta zabrania również gromadzenia adresów e-mail w wyniku monitorowania stron internetowych, jak również automatycznego wyboru adresów przy pomocy techniki podstawiania. Naruszenie ustawy CAN-SPAM Act jest karane grzywną, a nawet pozbawieniem wolności. Jednak ustawa ta nie uwzględnia zasady OPT-IN: wcześniejsza zgoda użytkownika na otrzymywanie masowych wiadomości e-mail nie jest wymagana. Innymi słowy, dozwolone jest rozpowszechnianie każdej ilości wiadomości e-mail pod warunkiem, że zawierają odpowiedni adres zwrotny i spełniają wymagania, które określa zasada OPT-OUT.

Mimo braku zasady OPT-IN amerykańska federalna ustawa antyspamowa nadal jest dość skuteczna. Całkiem niedawno, bo w maju 2009 roku, kilka osób zostało uznanych za winne naruszenia ustawy CAN-SPAM Act. Jedna z nich, Alan Ralsky, został skazany na 4 lata i 3 miesiące pozbawienia wolności, 5 lat nadzoru kuratora oraz grzywnę w wysokości 250 000 dolarów za oszustwo, zmowę cyberprzestępczą oraz rozprzestrzenianie masowych wiadomości e-mail.

Polecamy: Własny biznes - papierologia bez dochodu?

Najostrzejszą z dotychczasowych ustaw antyspamowych jest australijska ustawa Spam Act 2003, która podobnie jak podobne legislacje, wymaga, aby nadawca dostarczył odbiorcy informacje identyfikacyjne oraz zapewnił możliwość rezygnacji z subskrypcji. Ponadto wymagana jest wcześniejsza zgoda użytkowników na otrzymywanie masowych wiadomości. Grzywny za rozprzestrzenianie spamu ustanowione urzędowo są bardzo wysokie i mogą dojść nawet do 1,1 miliona dolarów australijskich (około 3 mln zł) za każdą niechcianą wiadomość wysłaną na wiele adresów e-mail. Australijski rząd aktywnie angażuje dostawców internetowych w walkę ze spamem: mają oni obowiązek wykrywać komputery zombie w swoich sieciach (zainfekowane komputery użytkowników końcowych rozprzestrzeniające szkodliwe oprogramowanie i spam) i pomagać użytkownikom w leczeniu zainfekowanych maszyn. Ponadto, użytkownikom oferuje się proste narzędzie powiadamiania o spamie: wystarczy jedno klikniecie myszką, aby wysłać próbkę niechcianej wiadomości e-mail do organów państwowych, które są odpowiedzialne za kontrolowanie spamu.

Ustawa Spam Act 2003 znacznie zmniejszyła ilość spamu pochodzącego z Australii. Przed przyjęciem tej ustawy państwo to często gościło w pierwszej dziesiątce państw stanowiących największe źródła spamu. Natomiast po wejściu ustawy w życie w 2003 roku Australia nawet nie występuje w pierwszej dwudziestce. Niestety, to wcale nie oznacza, że w Australii jest teraz mniej spamu – spamerzy po prostu przenieśli swoją działalność do innych państw. Ci, którzy nadal uczestniczą w takim procederze, regularnie są pociągani do odpowiedzialności prawnej. Na przykład w marcu 2010 roku jeden spamer został skazany na karę grzywny 22 000 dolarów australijskich za rozprzestrzenianie spamu komercyjnego z pogwałceniem krajowej ustawy antyspamowej.

Na wzór innych państw w 2006 roku Chiny wprowadziły ustawę antyspamową pod nazwą ‘Internet Email Service Policing Methodology’. Zawiera ona kilka interesujących nowych zapisów: prawodawcy zachowali zasadę OPT-IN, jednak spam komercyjny musi w każdym przypadku zawierać oznaczenie ‘AD’, niezależnie od tego, czy autor posiada wcześniejszą zgodę odbiorcy. Ponadto, ustawa zobowiązuje nadawcę, aby zapewnił odbiorcy możliwość wypisania się z listy mailingowej, jeżeli nie chce otrzymywać dalszych e-maili (OPT-OUT). Zakazuje również wykorzystywania oprogramowania służącego do zbierania i sprzedaży adresów e-mail (OPT-OUT). Chińska ustawa antyspamowa reguluje również działalność dostawców: dostawca musi najpierw zarejestrować się i uzyskać licencję rządową zezwalającą na oferowanie internetowych usług e-mail. Naruszenie tej ustawy może mieć nieprzyjemne konsekwencje – dostawca może zostać ukarany grzywną lub władze mogą cofnąć mu licencję.

Polecamy: Jakie są plusy i minusy VOiP?

W Rosji obowiązują dwie ustawy zapewniające ochronę użytkowników Internetu przed spamem – ustawa federalna „O reklamie” oraz „O danych osobowych”. Oba instrumenty wyraźnie stanowią, że wysyłanie masowych wiadomości e-mail jest dozwolone tylko za zgodą odbiorcy oraz z zachowaniem zasady OPT-IN.

Niestety, ustawa ta nie jest często egzekwowana. Wynika to z dwóch czynników. Po pierwsze, ustawa zawiera wiele wyjątków, po drugie, jest nieodpowiednio skonstruowana i niejednoznaczna. Na przykład, w ustawie nie zdefiniowano, co stanowi „spam”. Nie sprecyzowano również, w jaki sposób operator lub dystrybutor reklam ma udowodnić, że posiada zgodę odbiorcy. Niektórzy prawnicy wykazują również, że już sam fakt, że obowiązek udowodnienia posiadania takiej zgody spoczywa na operatorze lub dystrybutorze reklam, stanowi pogwałcenie zasady, że człowiek jest niewinny, dopóki udowodnią mu winy.