Spam and law
In many countries, including Russia, spam is illegal. So why fight with it mainly by technical methods, but not legislative? In this article, we will examine the anti-spam laws of various countries and how effective they are. As well as the reasons that prevent them from becoming more effective.
Why spam is dangerous and why it's hard to fight
Every Internet and email user is familiar with spam. Currently, mail traffic is littered with more than 85%.
Spam is the source of a number of serious problems. They are not amenable to accurate assessment, but they result in significant amounts of extra traffic generated by spam, load on the servers, from which mail providers and local networks of organizations suffer, and labor costs for employees. And this is not all the damage from spam. By virtue of its anonymity, it is an excellent tool for fraud, advertising illegal, fake and counterfeit goods, disseminating pornography and other crimes. In addition, spam is a means of delivering malicious code. At the same time, the malicious program can be located either in the attachment to the email, or on the site that opens via the link from the spam email. In addition, phishers often use spam as a platform to lure users to fake websites designed to steal confidential information.
On any mail system, including a free one, there are spam filters, without which it would be simply impossible to find legitimate mail among the streams of unsolicited advertising. However, it is impossible to filter out all spam messages without damaging legitimate correspondence, so we continue to see in our mailbox invitations to seminars, intrusive advertising of means to improve potency, notifications of winning astronomical amounts in the lottery and other rubbish.
One of the main difficulties in the fight against spam is that spam is an international phenomenon. The virtual world has no boundaries, so it’s easy for spammers to act on a global scale. The same spam email can be sent to the user's mailbox both in Canada and in Australia. And an unsolicited advertising letter written in Chinese can be sent from an infected computer in India using a control center located in Russia. Where at the same time the spammer is located, one can only guess.
Laws against spam have territorial boundaries, and may vary not only in different countries, but also within the same country, or even be absent. Of course, this situation makes it difficult to hold criminals accountable.
Obviously, such cases are difficult to investigate, and it is difficult to prove the guilt of spammers. However, this is not the only point. The second difficulty is underestimating the dangers and harm caused by spam. Many people, in particular those endowed with power, simply do not see the problem in that unsolicited correspondence comes to their email addresses. Therefore, less attention is paid to the fight against spam than, for example, computer fraud.
History of anti-spam laws
The process of creating and rationalizing regulations governing activities on the Internet began in the 80s of the last century. In the 90s, the creation of an international legal field in this area began. However, most regulations were adopted in the late 90s and early 2000s. This does not mean that until this crime committed through the Internet remained unpunished - most of them fell under existing laws. But with the development of technology and the ubiquity of the Internet, there is a need for a more detailed description of new types of crimes committed using the Web and the methods by which such crimes are committed.
On June 8, 2000, Directive 2000/31 / EC of the European Parliament and of the Council on certain legal aspects of the services of the information society, including electronic commerce, in the domestic market (Directive on electronic commerce) was issued. The Directive described in detail the process of making purchases over the Internet.
The Council of Europe Convention on Cybercrime appeared on December 23, 2001. To date, 46 countries have signed the Convention. In 24 of them, the document was ratified. The Convention prescribes the adoption of laws and other necessary measures to combat cybercrime. It addresses a wide range of cybercrimes, such as illegal access to personal data, computer fraud, the spread of child pornography on the Web, as well as copyright infringement. Unfortunately, the signatories do not include China, Russia and some Latin American countries, which are the largest sources of spam and malicious code.
On July 12, 2002, Directive 2002/58 / EC of the European Parliament and of the Council was issued regarding the processing of personal data and the protection of privacy in the electronic communications sector. The directive is designed to protect personal data and privacy in the electronic field. In particular, it refers to the inadmissibility of unsolicited commercial newsletters.
The jurisdiction of both of these directives is very limited, but thanks to them, many European countries have created and ratified their own laws against cybercrime and spam.
After the adoption of the Convention on Cybercrime, as well as the issuance of directives of the European Parliament and the Council, many European countries, as well as the USA and Australia, adopted anti-spam laws, and wrote additions to existing ones.
While in Europe and the USA, the adoption of anti-spam laws took place in 2000-2003, then it reached the Eastern and Latin American countries several years later. In 2006, Russia and China pass anti-spam laws; in 2008, the corresponding bills are India and Brazil. The inclusion of these countries in the fight against unsolicited correspondence is very important, as they are one of the main sources of spam (in 2009, Russia, Brazil and India were respectively in the 2nd, 3rd and 4th places in the ranking of countries of spam sources , China also entered the top ten).
Spam countries in 2009
Fundamental anti-spam laws
Obviously, the legislative bodies of different countries adopt each other's experience, therefore, anti-spam laws in different countries have common features. Many anti-spam laws have the following key points:
* OPT-IN principle: mailing should not come to the user if he did not subscribe to it;
* OPT-OUT principle: the user should always be able to unsubscribe from the newsletter;
* The sender must be clearly indicated in the letter, the “From” field is correctly filled in, information about the message source and about its passage through the mail servers must not be falsified;
* the title of the message should reflect the content of the letter, in the advertising letters should be appropriate mark;
* The letter must contain the sender’s contacts, in particular, a valid return address;
* Address collection software should not be used.
The OPT-IN principle - the most important element of anti-spam laws - is accepted almost everywhere. However, there are differences and limitations. So, in the UK, the law only applies to letters sent to users ’private addresses, that is, spam sent to work addresses does not fall under the anti-spam law. In Germany, advertising mailings are allowed if the user in the past bought something from an advertiser company.
One of the best known anti-spam laws is the American CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act). According to him, unsolicited commercial mailing should be appropriately marked (the subject line of the letter should be marked “AD”, from “Advertisement” - “advertisement”), should include the physical address of the sending company, and give the recipient the opportunity to unsubscribe. The law also prohibits the collection of email addresses by browsing Web sites and the automatic selection of addresses by substitution. The punishment for violating the CAN-SPAM Act may be a fine or even imprisonment. However, the OPT-IN principle is absent in this law: prior consent of the user to receive the newsletter is not required. That is, in fact, it is allowed to send any number of email messages if they have the correct return address and comply with the OPT-OUT principle.
Despite the lack of OPT-IN, US federal anti-spam law is quite effective. Only in 2009, several convictions were issued in the United States using the CAN-SPAM Act. In particular, the “king of spam” Alan Ralsky for fraud, criminal conspiracy and large-scale spam mailings was sentenced to four years and three months in prison with the confiscation of unjustly earned 250 thousand dollars. Next, another five years of supervised existence await him.
The most severe is currently the Australian Spam Act 2003. It requires the user to be provided with information about the sender of the message and the possibility of unsubscribing and prohibits the use of software to collect email addresses. In addition, the prior consent of the recipient is required. The fines for spamming defined in this law are very high and can reach Australian $ 1.1 million (about US $ 800 thousand) for each unsolicited email sent to multiple addresses. At the same time, the Australian government is actively involving Internet providers in the fight against spam, who are instructed to detect zombie computers on networks (infected computers of users that send malware and spam) and help users treat infected machines. In addition, a convenient tool has been created for users to send complaints about spam: just click one button to get a sample of unwanted mail to government agencies whose task it is to combat spammers.
Since the adoption of the Australian anti-spam law, the amount of spam sent from Australia has quickly declined. If Australia was in the top ten countries - sources of spam before adoption of the law, then after the law has entered into force, the country is not included in the top twenty. Unfortunately, this does not mean that Australia itself has less spam - just spammers have changed their location, moving their activities to other regions. Spammers who continue to operate in Australia are held accountable. So, in March 2010, an Australian cameraman was sentenced to a fine of $ 22 thousand (a little over $ 20 thousand) for sending commercial advertisements in violation of national anti-spam legislation.
The 2006 Chinese Anti-Spam Law takes into account the experience of other countries in this area, in addition, it has several interesting innovations. The “Regulation on Internet Email Services” is based on the OPT-IN principle, and even with the prior consent of the recipient, the advertising mailing should be marked “AD”. The law also states that the sender must provide the user with the option of unsubscribing (OPT-OUT). It is forbidden to use software for collecting addresses and selling addresses. In addition, Chinese anti-spam law regulates the activities of providers: before starting to provide email services, the provider must register and obtain a license from the government; for various violations, providers may be fined and deprived of a license.
Anti-spam laws in Russia
There are two main laws in Russia that protect users from spam: federal law No. 38 “On advertising” dated March 13, 2006 and federal law No. 152 “On personal data” dated July 27, 2006. Both laws clearly state that mailing should be done only with the consent of the recipient (that is, the OPT-IN principle is observed).
So, the Law “On Personal Data” contains the following provisions:
Article 15. Rights of subjects of personal data in the processing of their personal data in order to promote goods, works, services on the market, as well as for political campaigning
1. The processing of personal data in order to promote goods, works, services on the market through direct contacts with a potential consumer using communication means, as well as for political campaigning, is allowed only with the prior consent of the subject of personal data. The specified processing of personal data is considered to be carried out without the prior consent of the subject of personal data, unless the operator proves that such consent was obtained.
2. The operator is obliged to immediately stop at the request of the personal data subject the processing of his personal data specified in part 1 of this article.
In the law "On Advertising" we find:
Art. 18, part 1: Distribution of advertising on telecommunication networks, including through the use of telephone, facsimile, mobile radiotelephone communications, is allowed only with the prior consent of the subscriber or addressee to receive advertising. In this case, advertising is recognized as distributed without the prior consent of the subscriber or addressee, unless the advertising distributor proves that such consent has been obtained. The advertising distributor is obliged to immediately stop the distribution of advertising to the person who addressed him with such a requirement.
Unfortunately, in practice, these laws are rarely applied.
The reason is that they have many exceptions, and their wording is not always clear (for example, there is no definition of the concept of "spam"). It is unclear exactly how the operator or the advertising distributor must prove the consent of the addressee. Some lawyers also point out that the obligation on the operator / advertising distributor to prove such consent violates the presumption of innocence: it turns out that the advertising distributor is guilty if he does not prove the opposite.
In addition, there are no real mechanisms for the application of these laws: the services that exercise control over their observance simply do not have the authority to do so. State control over compliance with the Law on Advertising is entrusted to the Federal Antimonopoly Service (FAS). Moreover, the investigation of cases involving spam implies the right to work with personal data and the right to limit the confidentiality of correspondence; only the Ministry of the Interior and some special services (such as the FSB) have this right.
Fight against spammers: real and desired
As we can see, almost all developed, as well as many developing countries have anti-spam laws. However, the amount of spam in email traffic is increasing every year. In 2003-2004, when anti-spam laws were passed in the United States and in most European countries, many believed that spam would soon disappear. However, 7 years have passed already, during this time new laws were adopted and old ones improved, and the situation with spam has changed only for the worse. Why is this happening?
Firstly, as mentioned above, spam is an international phenomenon that has no borders. Therefore, only those legislative decisions that are international in nature will be effective. Of course, we are not talking about legislation that is “above” the federal laws of individual countries (for the adoption of laws of such a level, to begin with, it would be necessary to create an international organization, whose members would become all the countries of the world). But, at least, internal laws in different countries should be built on general principles, and there should also be a single simple mechanism for cooperation between different states in this area. For example, for such cooperation, an international non-profit organization could be created to help executive bodies of various countries fight spammers - a kind of cyber-interpol that would deal with both computer fraud and viruses and spam. Similar organizations (for example, CERT) exist in Europe and they also take active steps to unify laws and facilitate interaction between countries in the fight against spam (see ec.europa.eu [PDF 946.35 Kb]). The interaction in this area of countries in other regions is much less developed.
Secondly, in no country in the world there are laws against spam customers. But they are much easier to find and prosecute: their contacts can be found in any spam email. Customers, unlike spammers, cannot be anonymous. Such a law would help to get small businesses out of spam schemes, leaving only scammers and sellers of illegal goods in this area. And this, in turn, would lead to a general decrease in confidence in spam. The problem with such a law is that it makes it possible to falsify and defame: in order to “substitute” a competitor, it is enough to send spam on his behalf. And, nevertheless, we believe that with a competent legal approach, such a law could be created, and it would help reduce spam.
However, in order for small businesses to stop advertising their products and services using spam, not only effective anti-spam laws are necessary. Small businesses should be able to legally advertise their activities and products using e-mail and other means of electronic communication. Then the user will see in his mailbox those advertisements that are of interest to him, and the advertiser can easily find the addresses of potential customers. To do this, there are thematic portals with the ability to subscribe and unsubscribe. It should be noted that in countries where such systems are sufficiently developed (for example, in the USA), small businesses practically do not use the services of spammers. In Russia, such an opportunity exists on some electronic bulletin boards, but these boards are not very convenient and are not popular.
Another important component in the fight against spam is the work aimed at educating Internet users. First of all, it should concern representatives of executive and judicial authorities. When the latter will be fully acquainted with the range of problems that spam generates, they will be able to introduce appropriate laws and apply the necessary measures to violators.
Not a single bill in itself can completely rid us of spam. But if the fact that spam is a serious and complex problem will be recognized at the global community level, and each individual country will develop relevant legislative initiatives and judicial practice, if international cooperation is fully established and a set of measures to educate users is implemented, you can will hope for significant progress in resolving spam related issues.
Daria Gudkova
Source: https://www.securelist.com/en/userinfo/14980
In many countries, including Russia, spam is illegal. So why fight with it mainly by technical methods, but not legislative? In this article, we will examine the anti-spam laws of various countries and how effective they are. As well as the reasons that prevent them from becoming more effective.
Why spam is dangerous and why it's hard to fight
Every Internet and email user is familiar with spam. Currently, mail traffic is littered with more than 85%.
Spam is the source of a number of serious problems. They are not amenable to accurate assessment, but they result in significant amounts of extra traffic generated by spam, load on the servers, from which mail providers and local networks of organizations suffer, and labor costs for employees. And this is not all the damage from spam. By virtue of its anonymity, it is an excellent tool for fraud, advertising illegal, fake and counterfeit goods, disseminating pornography and other crimes. In addition, spam is a means of delivering malicious code. At the same time, the malicious program can be located either in the attachment to the email, or on the site that opens via the link from the spam email. In addition, phishers often use spam as a platform to lure users to fake websites designed to steal confidential information.
On any mail system, including a free one, there are spam filters, without which it would be simply impossible to find legitimate mail among the streams of unsolicited advertising. However, it is impossible to filter out all spam messages without damaging legitimate correspondence, so we continue to see in our mailbox invitations to seminars, intrusive advertising of means to improve potency, notifications of winning astronomical amounts in the lottery and other rubbish.
One of the main difficulties in the fight against spam is that spam is an international phenomenon. The virtual world has no boundaries, so it’s easy for spammers to act on a global scale. The same spam email can be sent to the user's mailbox both in Canada and in Australia. And an unsolicited advertising letter written in Chinese can be sent from an infected computer in India using a control center located in Russia. Where at the same time the spammer is located, one can only guess.
Laws against spam have territorial boundaries, and may vary not only in different countries, but also within the same country, or even be absent. Of course, this situation makes it difficult to hold criminals accountable.
Obviously, such cases are difficult to investigate, and it is difficult to prove the guilt of spammers. However, this is not the only point. The second difficulty is underestimating the dangers and harm caused by spam. Many people, in particular those endowed with power, simply do not see the problem in that unsolicited correspondence comes to their email addresses. Therefore, less attention is paid to the fight against spam than, for example, computer fraud.
History of anti-spam laws
The process of creating and rationalizing regulations governing activities on the Internet began in the 80s of the last century. In the 90s, the creation of an international legal field in this area began. However, most regulations were adopted in the late 90s and early 2000s. This does not mean that until this crime committed through the Internet remained unpunished - most of them fell under existing laws. But with the development of technology and the ubiquity of the Internet, there is a need for a more detailed description of new types of crimes committed using the Web and the methods by which such crimes are committed.
On June 8, 2000, Directive 2000/31 / EC of the European Parliament and of the Council on certain legal aspects of the services of the information society, including electronic commerce, in the domestic market (Directive on electronic commerce) was issued. The Directive described in detail the process of making purchases over the Internet.
The Council of Europe Convention on Cybercrime appeared on December 23, 2001. To date, 46 countries have signed the Convention. In 24 of them, the document was ratified. The Convention prescribes the adoption of laws and other necessary measures to combat cybercrime. It addresses a wide range of cybercrimes, such as illegal access to personal data, computer fraud, the spread of child pornography on the Web, as well as copyright infringement. Unfortunately, the signatories do not include China, Russia and some Latin American countries, which are the largest sources of spam and malicious code.
On July 12, 2002, Directive 2002/58 / EC of the European Parliament and of the Council was issued regarding the processing of personal data and the protection of privacy in the electronic communications sector. The directive is designed to protect personal data and privacy in the electronic field. In particular, it refers to the inadmissibility of unsolicited commercial newsletters.
The jurisdiction of both of these directives is very limited, but thanks to them, many European countries have created and ratified their own laws against cybercrime and spam.
After the adoption of the Convention on Cybercrime, as well as the issuance of directives of the European Parliament and the Council, many European countries, as well as the USA and Australia, adopted anti-spam laws, and wrote additions to existing ones.
While in Europe and the USA, the adoption of anti-spam laws took place in 2000-2003, then it reached the Eastern and Latin American countries several years later. In 2006, Russia and China pass anti-spam laws; in 2008, the corresponding bills are India and Brazil. The inclusion of these countries in the fight against unsolicited correspondence is very important, as they are one of the main sources of spam (in 2009, Russia, Brazil and India were respectively in the 2nd, 3rd and 4th places in the ranking of countries of spam sources , China also entered the top ten).
Spam countries in 2009
Fundamental anti-spam laws
Obviously, the legislative bodies of different countries adopt each other's experience, therefore, anti-spam laws in different countries have common features. Many anti-spam laws have the following key points:
* OPT-IN principle: mailing should not come to the user if he did not subscribe to it;
* OPT-OUT principle: the user should always be able to unsubscribe from the newsletter;
* The sender must be clearly indicated in the letter, the “From” field is correctly filled in, information about the message source and about its passage through the mail servers must not be falsified;
* the title of the message should reflect the content of the letter, in the advertising letters should be appropriate mark;
* The letter must contain the sender’s contacts, in particular, a valid return address;
* Address collection software should not be used.
The OPT-IN principle - the most important element of anti-spam laws - is accepted almost everywhere. However, there are differences and limitations. So, in the UK, the law only applies to letters sent to users ’private addresses, that is, spam sent to work addresses does not fall under the anti-spam law. In Germany, advertising mailings are allowed if the user in the past bought something from an advertiser company.
One of the best known anti-spam laws is the American CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act). According to him, unsolicited commercial mailing should be appropriately marked (the subject line of the letter should be marked “AD”, from “Advertisement” - “advertisement”), should include the physical address of the sending company, and give the recipient the opportunity to unsubscribe. The law also prohibits the collection of email addresses by browsing Web sites and the automatic selection of addresses by substitution. The punishment for violating the CAN-SPAM Act may be a fine or even imprisonment. However, the OPT-IN principle is absent in this law: prior consent of the user to receive the newsletter is not required. That is, in fact, it is allowed to send any number of email messages if they have the correct return address and comply with the OPT-OUT principle.
Despite the lack of OPT-IN, US federal anti-spam law is quite effective. Only in 2009, several convictions were issued in the United States using the CAN-SPAM Act. In particular, the “king of spam” Alan Ralsky for fraud, criminal conspiracy and large-scale spam mailings was sentenced to four years and three months in prison with the confiscation of unjustly earned 250 thousand dollars. Next, another five years of supervised existence await him.
The most severe is currently the Australian Spam Act 2003. It requires the user to be provided with information about the sender of the message and the possibility of unsubscribing and prohibits the use of software to collect email addresses. In addition, the prior consent of the recipient is required. The fines for spamming defined in this law are very high and can reach Australian $ 1.1 million (about US $ 800 thousand) for each unsolicited email sent to multiple addresses. At the same time, the Australian government is actively involving Internet providers in the fight against spam, who are instructed to detect zombie computers on networks (infected computers of users that send malware and spam) and help users treat infected machines. In addition, a convenient tool has been created for users to send complaints about spam: just click one button to get a sample of unwanted mail to government agencies whose task it is to combat spammers.
Since the adoption of the Australian anti-spam law, the amount of spam sent from Australia has quickly declined. If Australia was in the top ten countries - sources of spam before adoption of the law, then after the law has entered into force, the country is not included in the top twenty. Unfortunately, this does not mean that Australia itself has less spam - just spammers have changed their location, moving their activities to other regions. Spammers who continue to operate in Australia are held accountable. So, in March 2010, an Australian cameraman was sentenced to a fine of $ 22 thousand (a little over $ 20 thousand) for sending commercial advertisements in violation of national anti-spam legislation.
The 2006 Chinese Anti-Spam Law takes into account the experience of other countries in this area, in addition, it has several interesting innovations. The “Regulation on Internet Email Services” is based on the OPT-IN principle, and even with the prior consent of the recipient, the advertising mailing should be marked “AD”. The law also states that the sender must provide the user with the option of unsubscribing (OPT-OUT). It is forbidden to use software for collecting addresses and selling addresses. In addition, Chinese anti-spam law regulates the activities of providers: before starting to provide email services, the provider must register and obtain a license from the government; for various violations, providers may be fined and deprived of a license.
Anti-spam laws in Russia
There are two main laws in Russia that protect users from spam: federal law No. 38 “On advertising” dated March 13, 2006 and federal law No. 152 “On personal data” dated July 27, 2006. Both laws clearly state that mailing should be done only with the consent of the recipient (that is, the OPT-IN principle is observed).
So, the Law “On Personal Data” contains the following provisions:
Article 15. Rights of subjects of personal data in the processing of their personal data in order to promote goods, works, services on the market, as well as for political campaigning
1. The processing of personal data in order to promote goods, works, services on the market through direct contacts with a potential consumer using communication means, as well as for political campaigning, is allowed only with the prior consent of the subject of personal data. The specified processing of personal data is considered to be carried out without the prior consent of the subject of personal data, unless the operator proves that such consent was obtained.
2. The operator is obliged to immediately stop at the request of the personal data subject the processing of his personal data specified in part 1 of this article.
In the law "On Advertising" we find:
Art. 18, part 1: Distribution of advertising on telecommunication networks, including through the use of telephone, facsimile, mobile radiotelephone communications, is allowed only with the prior consent of the subscriber or addressee to receive advertising. In this case, advertising is recognized as distributed without the prior consent of the subscriber or addressee, unless the advertising distributor proves that such consent has been obtained. The advertising distributor is obliged to immediately stop the distribution of advertising to the person who addressed him with such a requirement.
Unfortunately, in practice, these laws are rarely applied.
The reason is that they have many exceptions, and their wording is not always clear (for example, there is no definition of the concept of "spam"). It is unclear exactly how the operator or the advertising distributor must prove the consent of the addressee. Some lawyers also point out that the obligation on the operator / advertising distributor to prove such consent violates the presumption of innocence: it turns out that the advertising distributor is guilty if he does not prove the opposite.
In addition, there are no real mechanisms for the application of these laws: the services that exercise control over their observance simply do not have the authority to do so. State control over compliance with the Law on Advertising is entrusted to the Federal Antimonopoly Service (FAS). Moreover, the investigation of cases involving spam implies the right to work with personal data and the right to limit the confidentiality of correspondence; only the Ministry of the Interior and some special services (such as the FSB) have this right.
Fight against spammers: real and desired
As we can see, almost all developed, as well as many developing countries have anti-spam laws. However, the amount of spam in email traffic is increasing every year. In 2003-2004, when anti-spam laws were passed in the United States and in most European countries, many believed that spam would soon disappear. However, 7 years have passed already, during this time new laws were adopted and old ones improved, and the situation with spam has changed only for the worse. Why is this happening?
Firstly, as mentioned above, spam is an international phenomenon that has no borders. Therefore, only those legislative decisions that are international in nature will be effective. Of course, we are not talking about legislation that is “above” the federal laws of individual countries (for the adoption of laws of such a level, to begin with, it would be necessary to create an international organization, whose members would become all the countries of the world). But, at least, internal laws in different countries should be built on general principles, and there should also be a single simple mechanism for cooperation between different states in this area. For example, for such cooperation, an international non-profit organization could be created to help executive bodies of various countries fight spammers - a kind of cyber-interpol that would deal with both computer fraud and viruses and spam. Similar organizations (for example, CERT) exist in Europe and they also take active steps to unify laws and facilitate interaction between countries in the fight against spam (see ec.europa.eu [PDF 946.35 Kb]). The interaction in this area of countries in other regions is much less developed.
Secondly, in no country in the world there are laws against spam customers. But they are much easier to find and prosecute: their contacts can be found in any spam email. Customers, unlike spammers, cannot be anonymous. Such a law would help to get small businesses out of spam schemes, leaving only scammers and sellers of illegal goods in this area. And this, in turn, would lead to a general decrease in confidence in spam. The problem with such a law is that it makes it possible to falsify and defame: in order to “substitute” a competitor, it is enough to send spam on his behalf. And, nevertheless, we believe that with a competent legal approach, such a law could be created, and it would help reduce spam.
However, in order for small businesses to stop advertising their products and services using spam, not only effective anti-spam laws are necessary. Small businesses should be able to legally advertise their activities and products using e-mail and other means of electronic communication. Then the user will see in his mailbox those advertisements that are of interest to him, and the advertiser can easily find the addresses of potential customers. To do this, there are thematic portals with the ability to subscribe and unsubscribe. It should be noted that in countries where such systems are sufficiently developed (for example, in the USA), small businesses practically do not use the services of spammers. In Russia, such an opportunity exists on some electronic bulletin boards, but these boards are not very convenient and are not popular.
Another important component in the fight against spam is the work aimed at educating Internet users. First of all, it should concern representatives of executive and judicial authorities. When the latter will be fully acquainted with the range of problems that spam generates, they will be able to introduce appropriate laws and apply the necessary measures to violators.
Not a single bill in itself can completely rid us of spam. But if the fact that spam is a serious and complex problem will be recognized at the global community level, and each individual country will develop relevant legislative initiatives and judicial practice, if international cooperation is fully established and a set of measures to educate users is implemented, you can will hope for significant progress in resolving spam related issues.
Daria Gudkova
Source: https://www.securelist.com/en/userinfo/14980
Original message
Спам и закон
Во многих странах, в том числе в России, спам незаконен. Так почему же борются с ним преимущественно техническими методами, а не законодательными? В настоящей статье мы рассмотрим антиспам-законы различных стран и то, насколько они действенны. А также причины, которые мешают сделать их более действенными.
Чем опасен спам и почему с ним трудно бороться
Со спамом знаком каждый пользователь интернета и электронной почты. В настоящее время почтовый трафик замусорен более чем на 85%.
Спам является источником целого ряда серьезных проблем. Не поддаются точной оценке, но выливаются в существенные суммы порождаемые спамом лишний трафик, нагрузка на сервера, от которой страдают почтовые провайдеры и локальные сети организаций, затраты рабочего времени сотрудников. И это еще не весь ущерб от спама. В силу своей анонимности, он является отличным инструментом для мошенничества, рекламы нелегальных, поддельных и контрафактных товаров, распространения порнографии и других преступлений. Кроме того, спам является средством доставки вредоносного кода. При этом вредоносная программа может находиться как в приложении к письму, так и на сайте, который откроется по ссылке из спам-письма. Помимо этого, спамом как платформой часто пользуются фишеры, чтобы заманить пользователей на поддельные сайты, созданные для хищения конфиденциальной информации.
На любой почтовой системе, в том числе бесплатной, стоят спам-фильтры, без которых найти легитимную почту среди потоков незапрошенной рекламы было бы просто невозможно. Однако, отфильтровать все спам-сообщения, не повредив при этом легитимной корреспонденции, невозможно, поэтому мы продолжаем видеть у себя в ящиках приглашения на семинары, навязчивую рекламу средств для улучшения потенции, уведомления о выигрыше астрономических сумм в лотерею и прочий хлам.
Одна из основных трудностей в борьбе со спамом заключается в том, что спам — явление международное. У виртуального мира нет границ, поэтому спамерам легко действовать в глобальном масштабе. Одно и то же спамовое письмо может попасть в почтовый ящик пользователя как в Канаде, так и в Австралии. А незапрошенное рекламное письмо, написанное на китайском языке, может быть послано с зараженного компьютера в Индии с помощью управляющего центра, находящегося в России. Где при этом находится сам спамер, можно только гадать.
Законы же против спама имеют территориальные границы, и могут различаться не только в разных странах, но и в пределах одной страны, или вовсе отсутствовать. Конечно, такое положение затрудняет привлечение преступников к ответственности.
Очевидно, такие дела сложно расследовать, а вину рассыльщиков спама сложно доказать. Однако дело не только в этом. Вторая трудность — в недооценке опасности и вреда, приносимого спамом. Многие люди, в частности, наделенные властью, просто не видят проблемы в том, что на электронные адреса приходит незапрошенная корреспонденция. Поэтому вопросам борьбы со спамом уделяется меньше внимания, чем, например, компьютерному мошенничеству.
История антиспамовых законов
Процесс по созданию и рационализации нормативных актов, регулирующих деятельность в сети Интернет, начался в 80-х годах прошлого века. В 90-х годах началось создание международного правового поля в этой области. Однако большинство нормативных актов было принято в конце 90-х, начале 2000-х годов. Это не означает, что до этого преступления, совершенные через интернет, оставались безнаказанными, — большинство из них подпадали под уже существующие законы. Но с развитием технологий и повсеместным распространением интернета назрела необходимость более детального описания новых видов преступлений, совершаемых с использованием Сети и методов, с помощью которых совершаются такие преступления.
8 июня 2000 года вышла Директива 2000/31/EC Европейского парламента и Совета о некоторых правовых аспектах услуг информационного общества, в том числе электронной коммерции, на внутреннем рынке (Директива об электронной коммерции). В Директиве подробно описывался процесс совершения покупок через интернет.
23 декабря 2001 года появилась Конвенция Совета Европы по киберпреступности. На данный момент Конвенцию подписали 46 стран. В 24-х из них документ был ратифицирован. Конвенция предписывает принятие законов и других необходимых мер для пресечения киберпреступности. В ней затрагивается широкий спектр киберпреступлений, таких как незаконный доступ к персональным данным, компьютерное мошенничество, распространение детской порнографии по Сети, а также нарушение авторских прав. К сожалению, в число подписавших документ не входят Китай, Россия и некоторые страны Латинской Америки, являющиеся крупнейшими источниками спама и вредоносного кода.
12 июля 2002 года вышла Директива 2002/58/EC Европейского парламента и Совета, касающаяся обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций. Директива призвана защитить личные данные и частную жизнь в электронной сфере. В том числе в ней говорится о недопустимости незапрошенных коммерческих рассылок.
Юрисдикция обеих названных директив весьма ограничена, однако благодаря им многие страны Европы создали и ратифицировали свои собственные законы против киберпреступности и спама.
После принятия Конвенции по киберпреступности, а также выхода директив Европейского парламента и Совета, многие страны Европы, а также США и Австралия, приняли антиспамовые законы, и написали дополнения к уже существующим.
Если в Европе и США череда принятия антиспам-законов прошла в 2000-2003 годах, то до восточных и латиноамериканских стран она докатилась на несколько лет позже. В 2006 году антиспамовые законы принимают Россия и Китай, в 2008 вносят соответствующие законопроекты Индия и Бразилия. Включение этих стран в борьбу с незапрошенной корреспонденцией очень важно, так как они являются одними из основных источников спама (в 2009 г. Россия, Бразилия и Индия оказались соответственно на 2-м, 3-м и 4-м местах в рейтинге стран источников спама, Китай тоже вошел в десятку).
Страны — источники спама в 2009 г.
Основные законы, направленные на борьбу со спамом
Очевидно, законодательные органы разных стран перенимают опыт друг друга, поэтому антиспамовые законы в разных странах имеют общие черты. Для многих законов против спама характерны следующие ключевые моменты:
* принцип OPT-IN: рассылка не должна приходить пользователю, если он на нее не подписывался;
* принцип OPT-OUT: пользователь должен всегда иметь возможность отписаться от рассылки;
* в письме должен быть четко указан отправитель, корректно заполнено поле «From», не должна быть подделана информация об источнике сообщения и о прохождении его через почтовые сервера;
* заголовок сообщения должен отражать содержание письма, в рекламных письмах должна стоять соответствующая пометка;
* в письме должны быть контакты отправителя, в частности, действительный обратный адрес;
* не должно использоваться программное обеспечение для сбора адресов.
Принцип OPT-IN — наиболее важный элемент антиспамовых законов — принят почти везде. Однако существуют различия и ограничения. Так, в Великобритании закон касается только писем, посланных на частные адреса пользователей, то есть спам, посланный на рабочие адреса, не подпадает под действие антиспам-закона. В Германии разрешены рекламные рассылки в случае, если пользователь в прошлом что-то покупал у компании-рекламодателя.
Один из наиболее известных законов против спама — американский CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act). Согласно ему, незапрошенная коммерческая рассылка должна быть соответствующим образом помечена (в теме письма должна быть пометка «AD», от «Advertisement» — «реклама»), должна включать физический адрес компании-отправителя, и давать получателю возможность отписаться. Также закон запрещает сбор адресов электронной почты путем просмотра веб-узлов и автоматический подбор адресов методом подстановки. Наказанием за нарушение CAN-SPAM Act может быть штраф и даже тюремное заключение. Однако в данном законе отсутствует принцип OPT-IN: предварительное согласие пользователя на получение рассылки не требуется. То есть, фактически, разрешено отправлять любое количество сообщений электронной почты, если они имеют корректный обратный адрес и соответствуют принципу OPT-OUT.
Несмотря на отсутствие OPT-IN, американский федеральный антиспамовый закон довольно эффективен. Только в 2009 году в США было вынесено несколько обвинительных приговоров с применением CAN-SPAM Act. В частности, «короля спама» Алана Ральски за мошенничество, преступный сговор и проведение масштабных спам-рассылок приговорили к четырем годам и трем месяцам тюремного заключения с конфискацией неправедно нажитых 250 тыс. долларов. Далее его ожидают еще пять лет поднадзорного существования.
Наиболее суров в настоящее время австралийский Spam Act 2003. Он требует обязательного предоставления пользователю информации об отправителе сообщения и возможности отписки и запрещает использование программного обеспечения для сбора электронных адресов. Кроме того, требуется предварительное согласие получателя. Штрафы за рассылку спама, определенные в этом законе, весьма высоки и могут достигать 1,1 млн австралийских долларов (около 800 тыс. долларов США) за каждое нежелательное письмо, отправленное по множеству адресов. При этом в борьбу со спамом правительство Австралии активно вовлекает интернет-провайдеров, которым предписано выявлять зомби-компьютеры в сетях (зараженные компьютеры пользователей, рассылающие вредоносные программы и спам) и помогать пользователям лечить инфицированные машины. Кроме того, для пользователей создан удобный инструмент для отправления жалоб на спам: достаточно нажать одну кнопку, чтобы образец нежелательного письма попал в государственные органы, в задачу которых входит борьба со спамерами.
После принятия австралийского антиспамового закона количество спама, рассылаемого из Австралии, быстро сократилось. Если до принятия закона Австралия входила в первую десятку стран — источников спама, то после того как закон вступил в силу, страна не входит даже в двадцатку. К сожалению, это не значит, что в самой Австралии спама стало меньше — просто спамеры сменили дислокацию, перенеся свою деятельность в другие регионы. Спамеры, продолжающие действовать на территории Австралии, привлекаются к ответственности. Так, в марте 2010 года австралийский телеоператор был присужден к штрафу в размере 22 тыс. долларов (чуть более 20 тыс. долл. США) за рассылку коммерческой рекламы с нарушением национального антиспам-законодательства.
Китайский антиспамовый закон 2006 года учитывает опыт других стран в этой области, кроме того, в нем есть несколько интересных нововведений. «Положение об интернет-услугах электронной почты» построено по принципу OPT-IN, при этом даже при наличии предварительного согласия получателя рекламная рассылка должна иметь пометку «AD». Также в законе сказано, что отправитель должен предоставить пользователю возможность отписки (OPT-OUT). Запрещены использование программного обеспечения для сбора адресов и продажа адресов. Кроме того, китайский антиспамовый закон регулирует деятельность провайдеров: перед тем как начать предоставлять услуги электронной почты, провайдер должен зарегистрироваться и получить лицензию у правительства; за различные нарушения провайдеры могут быть оштрафованы и лишены лицензии.
Антиспамовые законы в России
В России существуют два основных закона, защищающих пользователей от спама: федеральный закон №38 «О рекламе» от 13.03.2006 и федеральный закон № 152 «О персональных данных» от 27.07.2006. В обоих законах четко указано, что рассылка должна производиться только с согласия получателя (то есть, соблюден принцип OPT-IN).
Так, в законе «О персональных данных« содержатся следующие положения:
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
В законе «О рекламе« находим:
Ст. 18, ч.1: Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.
К сожалению, на практике эти законы применяются крайне редко.
Причина в том, что они имеют много исключений, а их формулировки не везде четкие (например, нет определения понятие «спам«). Непонятно, как именно оператор или рекламораспространитель должен доказывать согласие адресата. Некоторые юристы также указывают, что возложенная на оператора/рекламораспространителя обязанность доказывать такое согласие нарушает презумпцию невиновности: получается, что рекламораспространитель виновен, если не докажет обратное.
Кроме того, отсутствуют реальные механизмы применения этих законов: у служб, осуществляющих контроль над их соблюдением, просто отсутствуют полномочия для этого контроля. Государственный контроль над соблюдением закона «О рекламе« возложен на Федеральную антимонопольную службу (ФАС). При этом расследование дел, связанных со спамом, предполагает право работать с персональными данными и право ограничивать тайну переписки; обладают подобным правом только Министерство Внутренних дел и некоторые специальные службы (такие, как ФСБ).
Борьба со спамерами: действительное и желаемое
Как мы видим, практически во всех развитых, а также во многих развивающихся странах существуют антиспамовые законы. Тем не менее, количество спама в почтовом трафике с каждым годом только увеличивается. В 2003 – 2004 годах, когда антиспам-законы были приняты в США и в большинстве стран Европы, многие полагали, что вскоре спам просто исчезнет. Однако прошло уже 7 лет, за это время были приняты новые законы и улучшены старые, а ситуация со спамом изменилась только в худшую сторону. Почему так происходит?
Во-первых, как уже было сказано выше, спам — интернациональное явление, не имеющее границ. Поэтому эффективными будут только те законодательные решения, которые носят международный характер. Разумеется, речь не идет о законодательстве, стоящем «над» федеральными законами отдельных стран (для принятия законов такого уровня для начала потребовалось бы создать международную организацию, членами которой стали бы все страны мира). Но, по крайней мере, внутренние законы в разных странах должны быть построены по общим принципам, также должен существовать единый простой механизм кооперации различных государств в этой области. Например, для такой кооперации могла бы быть создана международная некоммерческая организация, помогающая исполнительным органам различных стран бороться со спамерами — некий кибер-интерпол, который занимался бы как проблемами компьютерного мошенничества, так и проблемой вирусов и спама. Подобные организации (например, CERT), существуют в Европе, также там проводятся активные действия по унификации законов и облегчения взаимодействия между странами в борьбе со спамом (см. ec.europa.eu [PDF 946,35 Кб]). Взаимодействие в этой области стран других регионов развито гораздо слабее.
Во-вторых, ни в одной стране мира нет законов против заказчиков спама. А ведь их гораздо проще найти и привлечь к ответственности: именно их контакты можно найти в любом спам-письме. Заказчики, в отличие от спамеров, не могут быть анонимными. Такой закон помог бы вывести из спам-схем малый бизнес, оставив в этой области только мошенников и продавцов нелегальных товаров. А это, в свою очередь, привело бы к общему снижению доверия к спаму. Проблема такого закона заключается в том, что он дает возможность фальсификаций и клеветы: чтобы «подставить» конкурента, достаточно разослать от его имени спам. И, тем не менее, мы верим, что при грамотном юридическом подходе такой закон возможно было бы создать, и он помог бы снизить уровень спама.
Однако, для того чтобы малый бизнес перестал рекламировать свои товары и услуги с помощью спама, необходимы не только эффективные антиспамовые законы. Малый бизнес должен обрести возможность легально рекламировать свою деятельность и продукцию с помощью электронной почты и других средств электронной коммуникации. Тогда пользователь будет видеть в своем почтовом ящике те рекламные объявления, которые ему интересны, а рекламодатель сможет легко найти адреса потенциальных клиентов. Для этого существуют тематические порталы с возможностью подписки и отписки. Следует отметить, что в странах, где такие системы достаточно развиты (например, в США), малый бизнес практически не пользуется услугами спамеров. В России такая возможность существует на некоторых электронных досках объявлений, но эти доски не очень удобны и не пользуются популярностью.
Еще одна важная составляющая в борьбе со спамом — это работа, направленная на просвещение пользователей интернета. В первую очередь, она должна касаться представителей органов исполнительной и судебной власти. Когда последние будут максимально полно ознакомлены со спектром проблем, которые порождает спам, они смогут вводить соответствующие законы и применять к нарушителям необходимые меры.
Ни один законопроект сам по себе полностью не избавит нас от спама. Но если тот факт, что спам является серьезной и комплексной проблемой, будет признан на уровне мирового сообщества, а каждая отдельная страна будет развивать соответствующие законодательные инициативы и судебную практику, если в полной мере будет налажено международное взаимодействие и внедрен комплекс мер по образованию пользователей, можно будет надеяться на значительный прогресс в решении связанных со спамом проблем.
Дарья Гудкова
Источник: https://www.securelist.com/ru/userinfo/14980
Во многих странах, в том числе в России, спам незаконен. Так почему же борются с ним преимущественно техническими методами, а не законодательными? В настоящей статье мы рассмотрим антиспам-законы различных стран и то, насколько они действенны. А также причины, которые мешают сделать их более действенными.
Чем опасен спам и почему с ним трудно бороться
Со спамом знаком каждый пользователь интернета и электронной почты. В настоящее время почтовый трафик замусорен более чем на 85%.
Спам является источником целого ряда серьезных проблем. Не поддаются точной оценке, но выливаются в существенные суммы порождаемые спамом лишний трафик, нагрузка на сервера, от которой страдают почтовые провайдеры и локальные сети организаций, затраты рабочего времени сотрудников. И это еще не весь ущерб от спама. В силу своей анонимности, он является отличным инструментом для мошенничества, рекламы нелегальных, поддельных и контрафактных товаров, распространения порнографии и других преступлений. Кроме того, спам является средством доставки вредоносного кода. При этом вредоносная программа может находиться как в приложении к письму, так и на сайте, который откроется по ссылке из спам-письма. Помимо этого, спамом как платформой часто пользуются фишеры, чтобы заманить пользователей на поддельные сайты, созданные для хищения конфиденциальной информации.
На любой почтовой системе, в том числе бесплатной, стоят спам-фильтры, без которых найти легитимную почту среди потоков незапрошенной рекламы было бы просто невозможно. Однако, отфильтровать все спам-сообщения, не повредив при этом легитимной корреспонденции, невозможно, поэтому мы продолжаем видеть у себя в ящиках приглашения на семинары, навязчивую рекламу средств для улучшения потенции, уведомления о выигрыше астрономических сумм в лотерею и прочий хлам.
Одна из основных трудностей в борьбе со спамом заключается в том, что спам — явление международное. У виртуального мира нет границ, поэтому спамерам легко действовать в глобальном масштабе. Одно и то же спамовое письмо может попасть в почтовый ящик пользователя как в Канаде, так и в Австралии. А незапрошенное рекламное письмо, написанное на китайском языке, может быть послано с зараженного компьютера в Индии с помощью управляющего центра, находящегося в России. Где при этом находится сам спамер, можно только гадать.
Законы же против спама имеют территориальные границы, и могут различаться не только в разных странах, но и в пределах одной страны, или вовсе отсутствовать. Конечно, такое положение затрудняет привлечение преступников к ответственности.
Очевидно, такие дела сложно расследовать, а вину рассыльщиков спама сложно доказать. Однако дело не только в этом. Вторая трудность — в недооценке опасности и вреда, приносимого спамом. Многие люди, в частности, наделенные властью, просто не видят проблемы в том, что на электронные адреса приходит незапрошенная корреспонденция. Поэтому вопросам борьбы со спамом уделяется меньше внимания, чем, например, компьютерному мошенничеству.
История антиспамовых законов
Процесс по созданию и рационализации нормативных актов, регулирующих деятельность в сети Интернет, начался в 80-х годах прошлого века. В 90-х годах началось создание международного правового поля в этой области. Однако большинство нормативных актов было принято в конце 90-х, начале 2000-х годов. Это не означает, что до этого преступления, совершенные через интернет, оставались безнаказанными, — большинство из них подпадали под уже существующие законы. Но с развитием технологий и повсеместным распространением интернета назрела необходимость более детального описания новых видов преступлений, совершаемых с использованием Сети и методов, с помощью которых совершаются такие преступления.
8 июня 2000 года вышла Директива 2000/31/EC Европейского парламента и Совета о некоторых правовых аспектах услуг информационного общества, в том числе электронной коммерции, на внутреннем рынке (Директива об электронной коммерции). В Директиве подробно описывался процесс совершения покупок через интернет.
23 декабря 2001 года появилась Конвенция Совета Европы по киберпреступности. На данный момент Конвенцию подписали 46 стран. В 24-х из них документ был ратифицирован. Конвенция предписывает принятие законов и других необходимых мер для пресечения киберпреступности. В ней затрагивается широкий спектр киберпреступлений, таких как незаконный доступ к персональным данным, компьютерное мошенничество, распространение детской порнографии по Сети, а также нарушение авторских прав. К сожалению, в число подписавших документ не входят Китай, Россия и некоторые страны Латинской Америки, являющиеся крупнейшими источниками спама и вредоносного кода.
12 июля 2002 года вышла Директива 2002/58/EC Европейского парламента и Совета, касающаяся обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций. Директива призвана защитить личные данные и частную жизнь в электронной сфере. В том числе в ней говорится о недопустимости незапрошенных коммерческих рассылок.
Юрисдикция обеих названных директив весьма ограничена, однако благодаря им многие страны Европы создали и ратифицировали свои собственные законы против киберпреступности и спама.
После принятия Конвенции по киберпреступности, а также выхода директив Европейского парламента и Совета, многие страны Европы, а также США и Австралия, приняли антиспамовые законы, и написали дополнения к уже существующим.
Если в Европе и США череда принятия антиспам-законов прошла в 2000-2003 годах, то до восточных и латиноамериканских стран она докатилась на несколько лет позже. В 2006 году антиспамовые законы принимают Россия и Китай, в 2008 вносят соответствующие законопроекты Индия и Бразилия. Включение этих стран в борьбу с незапрошенной корреспонденцией очень важно, так как они являются одними из основных источников спама (в 2009 г. Россия, Бразилия и Индия оказались соответственно на 2-м, 3-м и 4-м местах в рейтинге стран источников спама, Китай тоже вошел в десятку).
Страны — источники спама в 2009 г.
Основные законы, направленные на борьбу со спамом
Очевидно, законодательные органы разных стран перенимают опыт друг друга, поэтому антиспамовые законы в разных странах имеют общие черты. Для многих законов против спама характерны следующие ключевые моменты:
* принцип OPT-IN: рассылка не должна приходить пользователю, если он на нее не подписывался;
* принцип OPT-OUT: пользователь должен всегда иметь возможность отписаться от рассылки;
* в письме должен быть четко указан отправитель, корректно заполнено поле «From», не должна быть подделана информация об источнике сообщения и о прохождении его через почтовые сервера;
* заголовок сообщения должен отражать содержание письма, в рекламных письмах должна стоять соответствующая пометка;
* в письме должны быть контакты отправителя, в частности, действительный обратный адрес;
* не должно использоваться программное обеспечение для сбора адресов.
Принцип OPT-IN — наиболее важный элемент антиспамовых законов — принят почти везде. Однако существуют различия и ограничения. Так, в Великобритании закон касается только писем, посланных на частные адреса пользователей, то есть спам, посланный на рабочие адреса, не подпадает под действие антиспам-закона. В Германии разрешены рекламные рассылки в случае, если пользователь в прошлом что-то покупал у компании-рекламодателя.
Один из наиболее известных законов против спама — американский CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act). Согласно ему, незапрошенная коммерческая рассылка должна быть соответствующим образом помечена (в теме письма должна быть пометка «AD», от «Advertisement» — «реклама»), должна включать физический адрес компании-отправителя, и давать получателю возможность отписаться. Также закон запрещает сбор адресов электронной почты путем просмотра веб-узлов и автоматический подбор адресов методом подстановки. Наказанием за нарушение CAN-SPAM Act может быть штраф и даже тюремное заключение. Однако в данном законе отсутствует принцип OPT-IN: предварительное согласие пользователя на получение рассылки не требуется. То есть, фактически, разрешено отправлять любое количество сообщений электронной почты, если они имеют корректный обратный адрес и соответствуют принципу OPT-OUT.
Несмотря на отсутствие OPT-IN, американский федеральный антиспамовый закон довольно эффективен. Только в 2009 году в США было вынесено несколько обвинительных приговоров с применением CAN-SPAM Act. В частности, «короля спама» Алана Ральски за мошенничество, преступный сговор и проведение масштабных спам-рассылок приговорили к четырем годам и трем месяцам тюремного заключения с конфискацией неправедно нажитых 250 тыс. долларов. Далее его ожидают еще пять лет поднадзорного существования.
Наиболее суров в настоящее время австралийский Spam Act 2003. Он требует обязательного предоставления пользователю информации об отправителе сообщения и возможности отписки и запрещает использование программного обеспечения для сбора электронных адресов. Кроме того, требуется предварительное согласие получателя. Штрафы за рассылку спама, определенные в этом законе, весьма высоки и могут достигать 1,1 млн австралийских долларов (около 800 тыс. долларов США) за каждое нежелательное письмо, отправленное по множеству адресов. При этом в борьбу со спамом правительство Австралии активно вовлекает интернет-провайдеров, которым предписано выявлять зомби-компьютеры в сетях (зараженные компьютеры пользователей, рассылающие вредоносные программы и спам) и помогать пользователям лечить инфицированные машины. Кроме того, для пользователей создан удобный инструмент для отправления жалоб на спам: достаточно нажать одну кнопку, чтобы образец нежелательного письма попал в государственные органы, в задачу которых входит борьба со спамерами.
После принятия австралийского антиспамового закона количество спама, рассылаемого из Австралии, быстро сократилось. Если до принятия закона Австралия входила в первую десятку стран — источников спама, то после того как закон вступил в силу, страна не входит даже в двадцатку. К сожалению, это не значит, что в самой Австралии спама стало меньше — просто спамеры сменили дислокацию, перенеся свою деятельность в другие регионы. Спамеры, продолжающие действовать на территории Австралии, привлекаются к ответственности. Так, в марте 2010 года австралийский телеоператор был присужден к штрафу в размере 22 тыс. долларов (чуть более 20 тыс. долл. США) за рассылку коммерческой рекламы с нарушением национального антиспам-законодательства.
Китайский антиспамовый закон 2006 года учитывает опыт других стран в этой области, кроме того, в нем есть несколько интересных нововведений. «Положение об интернет-услугах электронной почты» построено по принципу OPT-IN, при этом даже при наличии предварительного согласия получателя рекламная рассылка должна иметь пометку «AD». Также в законе сказано, что отправитель должен предоставить пользователю возможность отписки (OPT-OUT). Запрещены использование программного обеспечения для сбора адресов и продажа адресов. Кроме того, китайский антиспамовый закон регулирует деятельность провайдеров: перед тем как начать предоставлять услуги электронной почты, провайдер должен зарегистрироваться и получить лицензию у правительства; за различные нарушения провайдеры могут быть оштрафованы и лишены лицензии.
Антиспамовые законы в России
В России существуют два основных закона, защищающих пользователей от спама: федеральный закон №38 «О рекламе» от 13.03.2006 и федеральный закон № 152 «О персональных данных» от 27.07.2006. В обоих законах четко указано, что рассылка должна производиться только с согласия получателя (то есть, соблюден принцип OPT-IN).
Так, в законе «О персональных данных« содержатся следующие положения:
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
В законе «О рекламе« находим:
Ст. 18, ч.1: Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.
К сожалению, на практике эти законы применяются крайне редко.
Причина в том, что они имеют много исключений, а их формулировки не везде четкие (например, нет определения понятие «спам«). Непонятно, как именно оператор или рекламораспространитель должен доказывать согласие адресата. Некоторые юристы также указывают, что возложенная на оператора/рекламораспространителя обязанность доказывать такое согласие нарушает презумпцию невиновности: получается, что рекламораспространитель виновен, если не докажет обратное.
Кроме того, отсутствуют реальные механизмы применения этих законов: у служб, осуществляющих контроль над их соблюдением, просто отсутствуют полномочия для этого контроля. Государственный контроль над соблюдением закона «О рекламе« возложен на Федеральную антимонопольную службу (ФАС). При этом расследование дел, связанных со спамом, предполагает право работать с персональными данными и право ограничивать тайну переписки; обладают подобным правом только Министерство Внутренних дел и некоторые специальные службы (такие, как ФСБ).
Борьба со спамерами: действительное и желаемое
Как мы видим, практически во всех развитых, а также во многих развивающихся странах существуют антиспамовые законы. Тем не менее, количество спама в почтовом трафике с каждым годом только увеличивается. В 2003 – 2004 годах, когда антиспам-законы были приняты в США и в большинстве стран Европы, многие полагали, что вскоре спам просто исчезнет. Однако прошло уже 7 лет, за это время были приняты новые законы и улучшены старые, а ситуация со спамом изменилась только в худшую сторону. Почему так происходит?
Во-первых, как уже было сказано выше, спам — интернациональное явление, не имеющее границ. Поэтому эффективными будут только те законодательные решения, которые носят международный характер. Разумеется, речь не идет о законодательстве, стоящем «над» федеральными законами отдельных стран (для принятия законов такого уровня для начала потребовалось бы создать международную организацию, членами которой стали бы все страны мира). Но, по крайней мере, внутренние законы в разных странах должны быть построены по общим принципам, также должен существовать единый простой механизм кооперации различных государств в этой области. Например, для такой кооперации могла бы быть создана международная некоммерческая организация, помогающая исполнительным органам различных стран бороться со спамерами — некий кибер-интерпол, который занимался бы как проблемами компьютерного мошенничества, так и проблемой вирусов и спама. Подобные организации (например, CERT), существуют в Европе, также там проводятся активные действия по унификации законов и облегчения взаимодействия между странами в борьбе со спамом (см. ec.europa.eu [PDF 946,35 Кб]). Взаимодействие в этой области стран других регионов развито гораздо слабее.
Во-вторых, ни в одной стране мира нет законов против заказчиков спама. А ведь их гораздо проще найти и привлечь к ответственности: именно их контакты можно найти в любом спам-письме. Заказчики, в отличие от спамеров, не могут быть анонимными. Такой закон помог бы вывести из спам-схем малый бизнес, оставив в этой области только мошенников и продавцов нелегальных товаров. А это, в свою очередь, привело бы к общему снижению доверия к спаму. Проблема такого закона заключается в том, что он дает возможность фальсификаций и клеветы: чтобы «подставить» конкурента, достаточно разослать от его имени спам. И, тем не менее, мы верим, что при грамотном юридическом подходе такой закон возможно было бы создать, и он помог бы снизить уровень спама.
Однако, для того чтобы малый бизнес перестал рекламировать свои товары и услуги с помощью спама, необходимы не только эффективные антиспамовые законы. Малый бизнес должен обрести возможность легально рекламировать свою деятельность и продукцию с помощью электронной почты и других средств электронной коммуникации. Тогда пользователь будет видеть в своем почтовом ящике те рекламные объявления, которые ему интересны, а рекламодатель сможет легко найти адреса потенциальных клиентов. Для этого существуют тематические порталы с возможностью подписки и отписки. Следует отметить, что в странах, где такие системы достаточно развиты (например, в США), малый бизнес практически не пользуется услугами спамеров. В России такая возможность существует на некоторых электронных досках объявлений, но эти доски не очень удобны и не пользуются популярностью.
Еще одна важная составляющая в борьбе со спамом — это работа, направленная на просвещение пользователей интернета. В первую очередь, она должна касаться представителей органов исполнительной и судебной власти. Когда последние будут максимально полно ознакомлены со спектром проблем, которые порождает спам, они смогут вводить соответствующие законы и применять к нарушителям необходимые меры.
Ни один законопроект сам по себе полностью не избавит нас от спама. Но если тот факт, что спам является серьезной и комплексной проблемой, будет признан на уровне мирового сообщества, а каждая отдельная страна будет развивать соответствующие законодательные инициативы и судебную практику, если в полной мере будет налажено международное взаимодействие и внедрен комплекс мер по образованию пользователей, можно будет надеяться на значительный прогресс в решении связанных со спамом проблем.
Дарья Гудкова
Источник: https://www.securelist.com/ru/userinfo/14980