7585
Спам і закон: чим небезпечний спам і чому із ним важко боротись
Чим небезпечний спам і чому з ним важко боротися
Зі спамом знайомий кожен користувач інтернету та електронної пошти. В даний час поштовий трафік засмічені більш ніж на 85%.
Спам є джерелом цілої низки серйозних проблем. Не піддаються точній оцінці, але виливаються в істотні суми породжувані спамом зайвий трафік, навантаження на сервер, від якого страждають поштові провайдери та локальні мережі організацій, витрати робочого часу співробітників. І це ще не весь збиток від спаму.
Через свою анонімність він є відмінним інструментом для шахрайства, реклами нелегальних, підроблених та контрафактних товарів, розповсюдження порнографії та інших злочинів. Крім того, спам є засобом доставки шкідливого коду. При цьому шкідлива програма може знаходитися як у додатку до листа, так і на сайті, який відкриється за посиланням зі спам-листа. Крім цього, спамом, як платформою, часто користуються фішери, щоб заманити користувачів на підроблені сайти, створені для розкрадання конфіденційної інформації.
На будь-якій поштовій системі, зокрема безкоштовній, стоять спам-фільтри, без яких знайти легітимну пошту серед потоків незапитаної реклами було б просто неможливо. Однак, відфільтрувати всі спам-повідомлення, не пошкодивши при цьому легітимної кореспонденції, неможливо, тому ми продовжуємо бачити у себе в ящиках запрошення на семінари, нав'язливу рекламу засобів для поліпшення потенції, повідомлення про виграш астрономічних сум у лотерею та інший мотлох.
Головна складність у боротьбі зі спамом полягає в тому, що спам - явище міжнародне. У віртуального світу немає кордонів, тому спамерам легко діяти в глобальному масштабі. Один і той самий лист може потрапити до поштової скриньки користувача як у Канаді, так і в Австралії. А рекламний лист, написаний китайською мовою, може бути надісланий із зараженого комп'ютера в Індії за допомогою керуючого центру, що знаходиться в Росії. Де при цьому знаходиться сам спамер, можна тільки здогадуватись.
Закони проти спаму мають територіальні межі, і можуть відрізнятися не тільки в різних країнах, але і в межах однієї країни, або зовсім відсутні. Звичайно, такий стан утруднює притягнення злочинців до відповідальності.
Очевидно, такі справи складно розслідувати, а провину людей, які розсилають спам, складно довести. Однак справа не тільки в цьому. Друга складність - в недооцінці небезпеки і шкоді, що завдається спамом. Багато людей, зокрема, наділені владою, просто не бачать проблеми в тому, що на електронні адреси приходить непотрібна кореспонденція. Тому питаню боротьби зі спамом приділяється менше уваги, ніж, наприклад, комп'ютерному шахрайству.
Історія антиспамових законів
Процес зі створення та раціоналізації нормативних актів, що регулюють діяльність у мережі Інтернету, почався в 80-х роках минулого століття. У 90-х роках почалося створення міжнародного правового поля в цій сфері. Однак більшість нормативних актів було прийнято наприкінці 90-х, початку 2000-х років. Це не означає, що до цього злочини, здійснені через інтернет, залишалися безкарними, - більшість з них підпадали під уже існуючі закони. Але з розвитком технологій і повсюдним розповсюдженням інтернету назріла необхідність більш детального опису нових видів злочинів, що здійснюються з використанням Мережі і методів, за допомогою яких вчиняються такі злочини.
8 червня 2000 вийшла Директива 2000/31/ЄC Європейського парламенту і Ради про деякі правові аспекти послуг інформаційного суспільства, в тому числі електронної комерції, на внутрішньому ринку (Директива про електронну комерцію). У Директиві докладно описувався процес здійснення покупок через інтернет.
23 грудня 2001 з'явилась Конвенція Ради Європи із кіберзлочинності. На даний момент Конвенцію підписали 46 країн. У 24-х з них документ був ратифікований. Конвенція наказує прийняття законів та інших необхідних заходів для припинення кіберзлочинності.
У ній охоплюється широкий спектр кіберзлочинів, таких як незаконний доступ до персональних даних, комп'ютерне шахрайство, розповсюдження дитячої порнографії по Мережі, а також порушення авторських прав. На жаль, до числа підписантів документ не входять Китай, Росія і деякі країни Латинської Америки, що є найбільшими джерелами спаму і шкідливого коду.
12 липня 2002 вийшла Директива 2002/58/ЄC Європейського парламенту і Ради, що стосується обробки персональних даних та охорони таємниці приватного життя в секторі електронних комунікацій. Директива покликана захистити особисті дані і приватне життя в електронній сфері. У тому числі в ній йдеться про неприпустимість незапрошених комерційних розсилок.
Юрисдикція обох названих директив вельми обмежена, проте завдяки ним багато країн Європи створили і ратифікували свої власні закони проти кіберзлочинності і спаму.
Після прийняття Конвенції із кіберзлочинності, а також виходу директив Європейського парламенту і Ради, багато країн Європи, а також США і Австралія, взяли антиспамові закони, і написали доповнення до вже існуючих.
Якщо в Європі та США низка прийняття антиспам-законів пройшла в 2000-2003 роках, то до східних і латиноамериканських країн вона докотилася на кілька років пізніше. У 2006 році антиспамові закони приймають Росія і Китай, в 2008 вносять відповідні законопроекти Індія і Бразилія. Включення цих країн у боротьбу з незапитаною кореспонденцією дуже важливе, тому що вони є одними з основних джерел спаму (у 2009 р. Росія, Бразилія і Індія опинилися відповідно на 2-у, 3-м і 4-у місцях у рейтингу країн джерел спаму , Китай теж увійшов до десятки).
Основні закони, спрямовані на боротьбу зі спамом
Очевидно, законодавчі органи різних країн переймають досвід один одного, тому антиспамові закони в різних країнах мають спільні риси. Для багатьох законів проти спаму характерні наступні ключові моменти:
принцип OPT-IN: розсилка не повинна приходити користувачеві, якщо він на неї не підписувався;
принцип OPT-OUT: користувач повинен завжди мати можливість відписатися від розсилки;
в листі повинен бути чітко вказаний відправник, коректно заповнено поле "From", не повинна бути підробленим інформація про джерело повідомлення і про проходження його через поштові сервера;
заголовок повідомлення повинен відображати зміст листа, в рекламних листах повинна стояти відповідна позначка;
в листі повинні бути контакти відправника, зокрема, дійсна зворотна адреса;
не повинно використовуватися програмне забезпечення для збору адрес.
Принцип OPT-IN - найбільш важливий елемент антиспамових законів - прийнятий майже скрізь. Однак існують відмінності та обмеження. Так, у Великобританії закон стосується тільки листів, надісланих на приватні адреси користувачів, тобто спам, надісланий на робочі адреси, не підпадає під дію антиспам-закону. У Німеччині дозволені рекламні розсилки у випадку, якщо користувач у минулому щось купував у компанії-рекламодавця.
Один з найбільш відомих законів проти спаму - американський CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act). Згідно з ним, незапрошена комерційна розсилка повинна бути відповідним чином позначена (в темі листа має бути позначка "AD", від "Advertisement" - "реклама"), повинна включати фізичну адресу компанії-відправника, і давати одержувачу можливість відписатися.
Також закон забороняє збір адрес електронної пошти шляхом перегляду веб-вузлів і автоматичний підбір адрес. Покаранням за порушення CAN-SPAM Act може бути штраф і навіть тюремне ув'язнення. Проте в цьому законі відсутній принцип OPT-IN: попередня згода користувача на одержання розсилки не потрібна. Тобто, фактично, дозволено відправляти будь-яку кількість повідомлень електронної пошти, якщо вони мають коректну зворотну адресу і відповідають принципом OPT-OUT.
Незважаючи на відсутність OPT-IN, американський федеральний антиспамовий закон досить ефективний. Тільки в 2009 році в США було винесено кілька звинувачувальних вироків із застосуванням CAN-SPAM Act. Зокрема, "короля спаму" Алана Ральськи за шахрайство, злочинну змову і проведення масштабних спам-розсилок засудили до чотирьох років і трьох місяців тюремного ув'язнення з конфіскацією неправедно нажитих 250 тис. доларів. Далі на нього чекають ще п'ять років існування під наглядом.
Найбільш суворий в даний час австралійський Spam Act 2003. Він вимагає обов'язкового надання користувачу інформації про відправника повідомлення і можливості відписки і забороняє використання програмного забезпечення для збору електронних адрес. Крім того, потрібна попередня згода одержувача. Штрафи за розсилку спаму, визначені в цьому законі, дуже високі і можуть досягати 1,1 млн австралійських доларів (близько 800 тис. доларів США) за кожен небажаний лист, відправлений на безліч адрес.
При цьому в боротьбу зі спамом уряд Австралії активно залучає інтернет-провайдерів, яким наказано виявляти зомбі-комп'ютери в мережах (заражені комп'ютери користувачів, що розсилають шкідливі програми і спам) і допомагати користувачам лікувати інфіковані машини. Крім того, для користувачів створений зручний інструмент для відправлення скарг на спам: досить натиснути одну кнопку, щоб зразок небажаного листа потрапив до державних органів, у завдання яких входить боротьба зі спамерами.
Після прийняття австралійського антиспамового закону кількість спаму, що розсилається з Австралії, швидко скоротилася. Якщо до прийняття закону Австралія входила до першої десятки країн - джерел спаму, то після того, як закон набув чинності, країна не входить навіть до двадцятки. На жаль, це не означає, що в самій Австралії спаму стало менше - просто спамери змінили дислокацію, перенісши свою діяльність в інші регіони.
Спамери, які продовжують діяти на території Австралії, притягуються до відповідальності. Так, в березні 2010 року австралійський телеоператор був засуджений до штрафу в розмірі 22 тис. доларів (трохи більше 20 тис. дол США) за розсилку комерційної реклами з порушенням національного антиспам-законодавства.
Китайський антиспамовий закон 2006 враховує досвід інших країн у цій сфері, крім того, в ньому є кілька цікавих нововведень. "Положення про інтернет-послуги електронної пошти" побудовано за принципом OPT-IN, при цьому навіть при наявності попередньої згоди одержувача рекламна розсилка повинна мати позначку "AD".
Також в законі зазначається, що відправник повинен надати користувачеві можливість відписки (OPT-OUT). Заборонені використання програмного забезпечення для збору адрес і продаж адрес. Крім того, китайський антиспамовий закон регулює діяльність провайдерів: перед тим як почати надавати послуги електронної пошти, провайдер повинен зареєструватися і отримати ліцензію в уряду; за різні порушення провайдери можуть бути оштрафовані й позбавлені ліцензії.
Антиспамові закони в Росії
У Росії існують два основних закони, що захищають користувачів від спаму: федеральний закон № 38 "Про рекламу" від 13.03.2006 і федеральний закон № 152 "Про персональні дані" від 27.07.2006. В обох законах чітко вказано, що розсилка повинна проводитися тільки за згодою одержувача (тобто, дотриманий принцип OPT-IN).
Так, у законі "Про персональні даних" містяться такі положення:
Стаття 15. Права суб'єктів персональних даних при обробці їх персональних даних в цілях просування товарів, робіт, послуг на ринку, а також з метою політичної агітації
1. Обробка персональних даних в цілях просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційним споживачем за допомогою засобів зв'язку, а також з метою політичної агітації допускається тільки за умови попередньої згоди суб'єкта персональних даних. Зазначена обробка персональних даних визнається як така, що здійснюється без попередньої згоди суб'єкта персональних даних, якщо оператор не доведе, що така згода була одержана.
2. Оператор зобов'язаний негайно припинити на вимогу суб'єкта персональних даних обробку його персональних даних, зазначену в частині 1 цієї статті.
У законі "Про рекламу" знаходимо:
Ст. 18, ч.1: Поширення реклами мережами електрозв'язку, в тому числі за допомогою використання телефонного, факсимільного, рухливого радіотелефонного зв'язку, допускається тільки за умови попередньої згоди абонента або адресата на отримання реклами. При цьому реклама визнається поширеною без попередньої згоди абонента або адресата, якщо рекламорозповсюджувач не доведе, що така згода була одержана. Рекламорозповсюджувач зобов'язаний негайно припинити розповсюдження реклами на адресу особи, яка звернулася до нього з такою вимогою.
На жаль, на практиці ці закони застосовуються вкрай рідко.
Причина в тому, що вони мають багато виключень, а їх формулювання не скрізь чіткі (наприклад, немає визначення поняття "спам"). Незрозуміло, як саме оператор або рекламорозповсюджувач повинен доводити згоду адресата. Деякі юристи також вказують, що покладений на оператора / рекламорозповсюджувача обов'язок доводити таку згоду порушує презумпцію невинності: виходить, що рекламорозповсюджувач винен, якщо не доведе протилежне.
Крім того, відсутні реальні механізми застосування цих законів: у служб, які здійснюють контроль над їх дотриманням, просто відсутні повноваження для цього контролю. Державний контроль за дотриманням закону "Про рекламу" покладено на Федеральну антимонопольну службу (ФАС). При цьому розслідування справ, пов'язаних зі спамом, припускає право працювати з персональними даними та право обмежувати таємницю листування; володіють таким правом тільки Міністерство Внутрішніх справ і деякі спеціальні служби (такі, як ФСБ).
Боротьба зі спамерами: дійсне і бажане
Як ми бачимо, практично у всіх розвинених, а також у багатьох країнах, що розвиваються, існують антиспамові закони. Тим не менше, кількість спаму в поштовому трафіку з кожним роком тільки збільшується. У 2003 - 2004 роках, коли антиспам-закони були прийняті в США і в більшості країн Європи, багато хто вважав, що незабаром спам просто зникне. Проте минуло вже 7 років, за цей час були прийняті нові закони і поліпшені старі, а ситуація зі спамом змінилася тільки на гірше. Чому відбувається?
По-перше, як вже було сказано вище, спам - інтернаціональне явище, яке не має кордонів. Тому ефективними будуть тільки ті законодавчі рішення, які мають міжнародний характер. Зрозуміло, мова не йде про законодавство, що стоїть "над" федеральними законами окремих країн (для прийняття законів такого рівня для початку потрібно було б створити міжнародну організацію, членами якої стали б усі країни світу).
Але, принаймні, внутрішні закони в різних країнах мають бути побудовані за загальними принципами, також повинен існувати єдиний простий механізм кооперації різних держав у цій сфері. Наприклад, для такої кооперації могла б бути створена міжнародна некомерційна організація, яка допомагає виконавчим органам різних країн боротися зі спамерами - якийсь кібер-Інтерпол, який займався б як проблемами комп'ютерного шахрайства, так і проблемою вірусів і спаму.
Подібні організації (наприклад, CERT), існують в Європі, також там проводяться активні дії із уніфікації законів і полегшення взаємодії між країнами в боротьбі зі спамом (див. ec.europa.eu [PDF 946,35 Кб]). Взаємодія в цій сфері країн інших регіонів розвинена набагато менше.
По-друге, в жодній країні світу немає законів проти замовників спаму. Адже їх набагато простіше знайти і притягнути до відповідальності: саме їхні контакти можна знайти в будь-якому спам-листі. Замовники, на відміну від спамерів, не можуть бути анонімними. Такий закон допоміг би вивести зі спам-схем малий бізнес, залишивши в цій сфері тільки шахраїв і продавців нелегальних товарів. А це, у свою чергу, призвело б до загального зниження довіри до спаму. Проблема такого закону полягає в тому, що він дає можливість фальсифікацій і наклепу: щоб "підставити" конкурента, досить розіслати від його імені спам. І, тим не менше, ми віримо, що при розумному юридичному підході такий закон можливо було б створити, і він допоміг би знизити рівень спаму.
Однак, для того щоб малий бізнес припинив рекламувати свої товари і послуги за допомогою спаму, необхідні не тільки ефективні антиспамові закони. Малий бізнес повинен знайти можливість легально рекламувати свою діяльність і продукцію за допомогою електронної пошти та інших засобів електронного зв'язку. Тоді користувач буде бачити у своїй поштовій скриньці ті рекламні оголошення, які йому цікаві, а рекламодавець зможе легко знайти адреси потенційних клієнтів.
Для цього існують тематичні портали з можливістю передплати і відписки. Слід зазначити, що в країнах, де такі системи досить розвинені (наприклад, в США), малий бізнес практично не користується послугами спамерів. У Росії така можливість існує на деяких електронних дошках оголошень, але ці дошки не дуже зручні і не користуються популярністю.
Ще одна важлива складова в боротьбі зі спамом - це робота, спрямована на просвітництво користувачів інтернету. У першу чергу, вона повинна стосуватися представників органів виконавчої та судової влади. Коли останні будуть максимально повно ознайомлені зі спектром проблем, які породжує спам, вони зможуть вводити відповідні закони і застосовувати до порушників необхідні заходи.
Жоден законопроект сам по собі повністю не позбавить нас від спаму. Але якщо той факт, що спам є серйозною і комплексною проблемою, буде визнаний на рівні світового співтовариства, а кожна окрема країна буде розвивати відповідні законодавчі ініціативи та судову практику, якщо повною мірою буде налагоджено міжнародну взаємодію і запроваджений комплекс заходів з освіти користувачів, можна буде сподіватися на значний прогрес у вирішенні пов'язаних зі спамом проблем.
Дарина Гудкова, "Лабораторія Касперського"
За матеріалами: Україна Криминальна
Поділитися новиною
