Спам и закон
26 мая 2010
Рубрика: Лаборатория Касперского. Тэги:
Автор: .

«Лаборатория Касперского» публикует аналитическую статью «Спам и закон». Автор материала, руководитель отдела контентных аналитиков «Лаборатории Касперского» Дарья Гудкова, рассказывает о правовых методах борьбы со спамом.

Во многих странах, в том числе в России, спам незаконен. Так почему же борются с ним преимущественно техническими методами, а не законодательными? В настоящей статье мы рассмотрим антиспам-законы различных стран и то, насколько они действенны. А также причины, которые мешают сделать их более действенными.

Чем опасен спам и почему с ним трудно бороться

Со спамом знаком каждый пользователь интернета и электронной почты. В настоящее время почтовый трафик замусорен более чем на 85%.

Спам является источником целого ряда серьезных проблем. Не поддаются точной оценке, но выливаются в существенные суммы порождаемые спамом лишний трафик, нагрузка на сервера, от которой страдают почтовые провайдеры и локальные сети организаций, затраты рабочего времени сотрудников. И это еще не весь ущерб от спама. В силу своей анонимности, он является отличным инструментом для мошенничества, рекламы нелегальных, поддельных и контрафактных товаров, распространения порнографии и других преступлений. Кроме того, спам является средством доставки вредоносного кода. При этом вредоносная программа может находиться как в приложении к письму, так и на сайте, который откроется по ссылке из спам-письма. Помимо этого, спамом как платформой часто пользуются фишеры, чтобы заманить пользователей на поддельные сайты, созданные для хищения конфиденциальной информации.

На любой почтовой системе, в том числе бесплатной, стоят спам-фильтры, без которых найти легитимную почту среди потоков незапрошенной рекламы было бы просто невозможно. Однако, отфильтровать все спам-сообщения, не повредив при этом легитимной корреспонденции, невозможно, поэтому мы продолжаем видеть у себя в ящиках приглашения на семинары, навязчивую рекламу средств для улучшения потенции, уведомления о выигрыше астрономических сумм в лотерею и прочий хлам.

Одна из основных трудностей в борьбе со спамом заключается в том, что спам — явление международное. У виртуального мира нет границ, поэтому спамерам легко действовать в глобальном масштабе. Одно и то же спамовое письмо может попасть в почтовый ящик пользователя как в Канаде, так и в Австралии. А незапрошенное рекламное письмо, написанное на китайском языке, может быть послано с зараженного компьютера в Индии с помощью управляющего центра, находящегося в России. Где при этом находится сам спамер, можно только гадать.

Законы же против спама имеют территориальные границы, и могут различаться не только в разных странах, но и в пределах одной страны, или вовсе отсутствовать. Конечно, такое положение затрудняет привлечение преступников к ответственности.

Очевидно, такие дела сложно расследовать, а вину рассыльщиков спама сложно доказать. Однако дело не только в этом. Вторая трудность — в недооценке опасности и вреда, приносимого спамом. Многие люди, в частности, наделенные властью, просто не видят проблемы в том, что на электронные адреса приходит незапрошенная корреспонденция. Поэтому вопросам борьбы со спамом уделяется меньше внимания, чем, например, компьютерному мошенничеству.

История антиспамовых законов

Процесс по созданию и рационализации нормативных актов, регулирующих деятельность в сети Интернет, начался в 80-х годах прошлого века. В 90-х годах началось создание международного правового поля в этой области. Однако большинство нормативных актов было принято в конце 90-х, начале 2000-х годов. Это не означает, что до этого преступления, совершенные через интернет, оставались безнаказанными, — большинство из них подпадали под уже существующие законы. Но с развитием технологий и повсеместным распространением интернета назрела необходимость более детального описания новых видов преступлений, совершаемых с использованием Сети и методов, с помощью которых совершаются такие преступления.

8 июня 2000 года вышла Директива 2000/31/EC Европейского парламента и Совета о некоторых правовых аспектах услуг информационного общества, в том числе электронной коммерции, на внутреннем рынке (Директива об электронной коммерции). В Директиве подробно описывался процесс совершения покупок через интернет.

23 декабря 2001 года появилась Конвенция Совета Европы по киберпреступности. На данный момент Конвенцию подписали 46 стран. В 24-х из них документ был ратифицирован. Конвенция предписывает принятие законов и других необходимых мер для пресечения киберпреступности. В ней затрагивается широкий спектр киберпреступлений, таких как незаконный доступ к персональным данным, компьютерное мошенничество, распространение детской порнографии по Сети, а также нарушение авторских прав. К сожалению, в число подписавших документ не входят Китай, Россия и некоторые страны Латинской Америки, являющиеся крупнейшими источниками спама и вредоносного кода.

12 июля 2002 года вышла Директива 2002/58/EC Европейского парламента и Совета, касающаяся обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций. Директива призвана защитить личные данные и частную жизнь в электронной сфере. В том числе в ней говорится о недопустимости незапрошенных коммерческих рассылок.

Юрисдикция обеих названных директив весьма ограничена, однако благодаря им многие страны Европы создали и ратифицировали свои собственные законы против киберпреступности и спама.

После принятия Конвенции по киберпреступности, а также выхода директив Европейского парламента и Совета, многие страны Европы, а также США и Австралия, приняли антиспамовые законы, и написали дополнения к уже существующим.

Если в Европе и США череда принятия антиспам-законов прошла в 2000-2003 годах, то до восточных и латиноамериканских стран она докатилась на несколько лет позже. В 2006 году антиспамовые законы принимают Россия и Китай, в 2008 вносят соответствующие законопроекты Индия и Бразилия. Включение этих стран в борьбу с незапрошенной корреспонденцией очень важно, так как они являются одними из основных источников спама (в 2009 г. Россия, Бразилия и Индия оказались соответственно на 2-м, 3-м и 4-м местах в рейтинге стран источников спама, Китай тоже вошел в десятку).

kasper_26_05_2010

Основные законы, направленные на борьбу со спамом

Очевидно, законодательные органы разных стран перенимают опыт друг друга, поэтому антиспамовые законы в разных странах имеют общие черты. Для многих законов против спама характерны следующие ключевые моменты:

• принцип OPT-IN: рассылка не должна приходить пользователю, если он на нее не подписывался;
• принцип OPT-OUT: пользователь должен всегда иметь возможность отписаться от рассылки;
• в письме должен быть четко указан отправитель, корректно заполнено поле «From», не должна быть подделана информация об источнике сообщения и о прохождении его через почтовые сервера;
• заголовок сообщения должен отражать содержание письма, в рекламных письмах должна стоять соответствующая пометка;
• в письме должны быть контакты отправителя, в частности, действительный обратный адрес;
• не должно использоваться программное обеспечение для сбора адресов.

Принцип OPT-IN — наиболее важный элемент антиспамовых законов — принят почти везде. Однако существуют различия и ограничения. Так, в Великобритании закон касается только писем, посланных на частные адреса пользователей, то есть спам, посланный на рабочие адреса, не подпадает под действие антиспам-закона. В Германии разрешены рекламные рассылки в случае, если пользователь в прошлом что-то покупал у компании-рекламодателя.

Один из наиболее известных законов против спама — американский CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act). Согласно ему, незапрошенная коммерческая рассылка должна быть соответствующим образом помечена (в теме письма должна быть пометка «AD», от «Advertisement» — «реклама»), должна включать физический адрес компании-отправителя, и давать получателю возможность отписаться. Также закон запрещает сбор адресов электронной почты путем просмотра веб-узлов и автоматический подбор адресов методом подстановки. Наказанием за нарушение CAN-SPAM Act может быть штраф и даже тюремное заключение. Однако в данном законе отсутствует принцип OPT-IN: предварительное согласие пользователя на получение рассылки не требуется. То есть, фактически, разрешено отправлять любое количество сообщений электронной почты, если они имеют корректный обратный адрес и соответствуют принципу OPT-OUT.

Несмотря на отсутствие OPT-IN, американский федеральный антиспамовый закон довольно эффективен. Только в 2009 году в США было вынесено несколько обвинительных приговоров с применением CAN-SPAM Act. В частности, «короля спама» Алана Ральски за мошенничество, преступный сговор и проведение масштабных спам-рассылок приговорили к четырем годам и трем месяцам тюремного заключения с конфискацией неправедно нажитых 250 тыс. долларов. Далее его ожидают еще пять лет поднадзорного существования.

Наиболее суров в настоящее время австралийский Spam Act 2003. Он требует обязательного предоставления пользователю информации об отправителе сообщения и возможности отписки и запрещает использование программного обеспечения для сбора электронных адресов. Кроме того, требуется предварительное согласие получателя. Штрафы за рассылку спама, определенные в этом законе, весьма высоки и могут достигать 1,1 млн австралийских долларов (около 800 тыс. долларов США) за каждое нежелательное письмо, отправленное по множеству адресов. При этом в борьбу со спамом правительство Австралии активно вовлекает интернет-провайдеров, которым предписано выявлять зомби-компьютеры в сетях (зараженные компьютеры пользователей, рассылающие вредоносные программы и спам) и помогать пользователям лечить инфицированные машины. Кроме того, для пользователей создан удобный инструмент для отправления жалоб на спам: достаточно нажать одну кнопку, чтобы образец нежелательного письма попал в государственные органы, в задачу которых входит борьба со спамерами.

После принятия австралийского антиспамового закона количество спама, рассылаемого из Австралии, быстро сократилось. Если до принятия закона Австралия входила в первую десятку стран — источников спама, то после того как закон вступил в силу, страна не входит даже в двадцатку. К сожалению, это не значит, что в самой Австралии спама стало меньше — просто спамеры сменили дислокацию, перенеся свою деятельность в другие регионы. Спамеры, продолжающие действовать на территории Австралии, привлекаются к ответственности. Так, в марте 2010 года австралийский телеоператор был присужден к штрафу в размере 22 тыс. долларов (чуть более 20 тыс. долл. США) за рассылку коммерческой рекламы с нарушением национального антиспам-законодательства.

Китайский антиспамовый закон 2006 года учитывает опыт других стран в этой области, кроме того, в нем есть несколько интересных нововведений. «Положение об интернет-услугах электронной почты» построено по принципу OPT-IN, при этом даже при наличии предварительного согласия получателя рекламная рассылка должна иметь пометку «AD». Также в законе сказано, что отправитель должен предоставить пользователю возможность отписки (OPT-OUT). Запрещены использование программного обеспечения для сбора адресов и продажа адресов. Кроме того, китайский антиспамовый закон регулирует деятельность провайдеров: перед тем как начать предоставлять услуги электронной почты, провайдер должен зарегистрироваться и получить лицензию у правительства; за различные нарушения провайдеры могут быть оштрафованы и лишены лицензии.

Антиспамовые законы в России

В России существуют два основных закона, защищающих пользователей от спама: федеральный закон №38 «О рекламе» от 13.03.2006 и федеральный закон № 152 «О персональных данных» от 27.07.2006. В обоих законах четко указано, что рассылка должна производиться только с согласия получателя (то есть, соблюден принцип OPT-IN).

Так, в законе «О персональных данных« содержатся следующие положения:

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

В законе «О рекламе« находим:

Ст. 18, ч.1: Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.

К сожалению, на практике эти законы применяются крайне редко.

Причина в том, что они имеют много исключений, а их формулировки не везде четкие (например, нет определения понятие «спам«). Непонятно, как именно оператор или рекламораспространитель должен доказывать согласие адресата. Некоторые юристы также указывают, что возложенная на оператора/рекламораспространителя обязанность доказывать такое согласие нарушает презумпцию невиновности: получается, что рекламораспространитель виновен, если не докажет обратное.

Кроме того, отсутствуют реальные механизмы применения этих законов: у служб, осуществляющих контроль над их соблюдением, просто отсутствуют полномочия для этого контроля. Государственный контроль над соблюдением закона «О рекламе« возложен на Федеральную антимонопольную службу (ФАС). При этом расследование дел, связанных со спамом, предполагает право работать с персональными данными и право ограничивать тайну переписки; обладают подобным правом только Министерство Внутренних дел и некоторые специальные службы (такие, как ФСБ).

Борьба со спамерами: действительное и желаемое

Как мы видим, практически во всех развитых, а также во многих развивающихся странах существуют антиспамовые законы. Тем не менее, количество спама в почтовом трафике с каждым годом только увеличивается. В 2003 – 2004 годах, когда антиспам-законы были приняты в США и в большинстве стран Европы, многие полагали, что вскоре спам просто исчезнет. Однако прошло уже 7 лет, за это время были приняты новые законы и улучшены старые, а ситуация со спамом изменилась только в худшую сторону. Почему так происходит?

Во-первых, как уже было сказано выше, спам — интернациональное явление, не имеющее границ. Поэтому эффективными будут только те законодательные решения, которые носят международный характер. Разумеется, речь не идет о законодательстве, стоящем «над» федеральными законами отдельных стран (для принятия законов такого уровня для начала потребовалось бы создать международную организацию, членами которой стали бы все страны мира). Но, по крайней мере, внутренние законы в разных странах должны быть построены по общим принципам, также должен существовать единый простой механизм кооперации различных государств в этой области. Например, для такой кооперации могла бы быть создана международная некоммерческая организация, помогающая исполнительным органам различных стран бороться со спамерами — некий кибер-интерпол, который занимался бы как проблемами компьютерного мошенничества, так и проблемой вирусов и спама. Подобные организации (например, CERT), существуют в Европе, также там проводятся активные действия по унификации законов и облегчения взаимодействия между странами в борьбе со спамом (см. ec.europa.eu [PDF 946,35 Кб]). Взаимодействие в этой области стран других регионов развито гораздо слабее.

Во-вторых, ни в одной стране мира нет законов против заказчиков спама. А ведь их гораздо проще найти и привлечь к ответственности: именно их контакты можно найти в любом спам-письме. Заказчики, в отличие от спамеров, не могут быть анонимными. Такой закон помог бы вывести из спам-схем малый бизнес, оставив в этой области только мошенников и продавцов нелегальных товаров. А это, в свою очередь, привело бы к общему снижению доверия к спаму. Проблема такого закона заключается в том, что он дает возможность фальсификаций и клеветы: чтобы «подставить» конкурента, достаточно разослать от его имени спам. И, тем не менее, мы верим, что при грамотном юридическом подходе такой закон возможно было бы создать, и он помог бы снизить уровень спама.

Однако, для того чтобы малый бизнес перестал рекламировать свои товары и услуги с помощью спама, необходимы не только эффективные антиспамовые законы. Малый бизнес должен обрести возможность легально рекламировать свою деятельность и продукцию с помощью электронной почты и других средств электронной коммуникации. Тогда пользователь будет видеть в своем почтовом ящике те рекламные объявления, которые ему интересны, а рекламодатель сможет легко найти адреса потенциальных клиентов. Для этого существуют тематические порталы с возможностью подписки и отписки. Следует отметить, что в странах, где такие системы достаточно развиты (например, в США), малый бизнес практически не пользуется услугами спамеров. В России такая возможность существует на некоторых электронных досках объявлений, но эти доски не очень удобны и не пользуются популярностью.

Еще одна важная составляющая в борьбе со спамом — это работа, направленная на просвещение пользователей интернета. В первую очередь, она должна касаться представителей органов исполнительной и судебной власти. Когда последние будут максимально полно ознакомлены со спектром проблем, которые порождает спам, они смогут вводить соответствующие законы и применять к нарушителям необходимые меры.

Ни один законопроект сам по себе полностью не избавит нас от спама. Но если тот факт, что спам является серьезной и комплексной проблемой, будет признан на уровне мирового сообщества, а каждая отдельная страна будет развивать соответствующие законодательные инициативы и судебную практику, если в полной мере будет налажено международное взаимодействие и внедрен комплекс мер по образованию пользователей, можно будет надеяться на значительный прогресс в решении связанных со спамом проблем.

Источник: www.securelist.com

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В Одноклассники
ВКонтакте