Spämmäyksen laillisuudella ei ole merkitystä

Suomen laki kieltää tietyntyyppisen spämmäyksen (esim. ei-toivotut sähköpostimainokset kuluttajille), mutta sallii toisentyyppisen spämmäyksen (esim. tietynlaiset yrityksille suunnatut ei-toivotut massasähköpostitukset). Spämmäystä koskeva lainsäädäntö vaihtelee maittain: joissain maissa laki on Suomen lainsäädäntöä ankarampi, toisissa lievempi. Spämmäyksen määritelmän kannalta toiminnan laillisuudella ei ole merkitystä.

Internet-palveluntarjoajan ei tarvitse selvittää, noudattaako heidän asiakkaansa lakia. Asiakkaan toiminnan laillisuuden selvittäminen kuuluu viranomaisille. Internet-palveluntarjoajan ei myöskään tarvitse (eikä palveluntarjoaja saa) viestejä välittäessään tutkia tai valikoivasti suodattaa asiakkaansa lähettämiä sähköpostiviestejä (Viestintäviraston kirje asiasta 30.9.2004, kommentti kirjeestä). Sen sijaan palveluntarjoajan tulee valvoa, että asiakas noudattaa spämmäyksen kieltävää käyttöehtosopimusta ja tarvittaessa irtisanoa sopimus, jos sitä rikotaan.

Käyttöehtosopimuksen pitää kieltää spämmäys

Internet-palveluntarjoajan tulee siis kirjoittaa käyttöehtonsa siten, että ne mahdollistavat liittymäsopimuksen irtisanomisen tai palvelujen käytön estämisen, jos asiakas syyllistyy spämmäykseen, mainostaa palveluita spämmäämällä tai markkinoi palvelun avulla spämmäyspalveluja.

Tällaiset (myös laillisen) spämmäyksen sopimuksen irtisanomisen uhalla kieltävät sopimusehdot ovat päteviä. Suomessa on sopimusvapaus, eikä mikään laki tiettävästi kiellä spämmäystä kieltäviä sopimusehtoja.

Vain kunnolla kirjoitettu käyttöehtosopimus mahdollistaa tehokkaan puuttumisen spämmitapauksiin. Jos palveluntarjoaja asiakkaansa suorittaman spämmäyksen jälkeen esimerkiksi ilmoittaa "tutkivansa asiakkaansa toimien laillisuutta", on se merkki siitä, että käyttöehtosopimus on huonosti kirjoitettu eikä se mahdollista spämmäykseen puuttumista.

Spämmäykseen on puututtava

Palveluntarjoajan tulee valvoa spämmäyksen kieltävien käyttöehtojen noudattamista seuraamalla spämmivalituksia. Kunnollisissa spämmivalituksissa on aina mukana kopio spämmiviestistä. Palveluntarjoaja voi usean riippumattoman spämmivalituksen perusteella riittävällä varmuudella varmistua siitä, että asiakas on todella syyllistynyt spämmäykseen.

Palveluntarjoajan pitää siis lukea ja vastaanottaa spämmivalitukset. Palveluntarjoajan pitää perustaa tätä tarkoitusta varten sähköpostiosoite, joka on muotoa abuse@domain.example (RFC 2142), ks. http://rfc-ignorant.org/. Tämä alias on tehtävä jokaiselle palveluntarjoajan hallinnassa olevalle domainille, johon voi lähettää sähköpostia.

Internetin itsesäätely

Nämä käytännesäännöt ovat osa kansainvälisen Internetin itsesäätelyä. Näiden käytäntöjen avulla spämmiongelma on pidetty hallinnassa, vaikka spämmäys on ollut ja on joissakin maissa laillista, kuten yritysspämmi Suomessa nykyään tai kaikki spämmi Yhdysvalloissa (kunhan mm. lähettäjätietoja ei väärennetä).

Osin myös Suomen laki vaatii näiden käytännesääntöjen noudattamista (esim. postipalvelin ei saa olla avoin välityspalvelin). Muilta osin palveluntarjoajalla on oikeus, mutta ei lain asettamaa velvollisuutta, toimia näiden käytännesääntöjen mukaan. Missään maassa yhteyksien tarjoaminen spämmereille ei taida olla laitonta.

Tähän asti palveluntarjoajat ovat kuitenkin noudattaneet näitä käytännesääntöjä varsin hyvin, ilman lain asettamaa pakkoa. Toimiva itsesäätely onkin yleensä parempi vaihtoehto kuin kaiken yksityiskohtainen säätely laeilla. Esimerkiksi alla referoitua LINXin käytännesääntöä vastaava laki olisi liian yksityiskohtainen ja vaikea kirjoittaa: tiettyyn toimintamalliin pakottavasta laista tulisi helposti liian laaja-alainen tai suppea, eikä se mukautuisi nopeasti uusiin tilanteisiin eikä kaikkia erikoistapauksia voitaisi millään ottaa huomioon. Puhumattakaan siitä, että lain pitäisi olla kansainvälinen, mikä ei ole käytännössä mahdollista.

Jos palveluntarjoaja ei toimi näiden käytännesääntöjen mukaan, voi tämä johtaa negatiiviseen julkisuuteen spämmereitä suosivana ja spämmillä ansaitsevana (spämmerin yhteysmaksut) palveluntarjoajana. Palveluntarjoaja voi päätyä erilaisille laajasti käytetyille estolistoille (ks. SpammiltaSuojautuminen), jolloin palveluntarjoajan kaikkien asiakkaiden sähköpostien kulku voi vaikeutua. Kenelläkään ei ole velvollisuutta ottaa vastaan postia spämmereitä suosivalta palveluntarjoajalta. Spämmin sallivia liittymäsopimuksia kutsutaan pinkeiksi sopimuksiksi (esim. AT&T admits spam offense after contract exposed, CNET News.com, 3.11.2000).

Ei avoimia välityspalvelimia

Palveluntarjoajan pitää:

• Säätää järjestelmänsä siten, että ne eivät toimi avoimina releinä, ks. SvrVukk
• Kieltää asiakkaitaan ylläpitämästä avoimia releitä ja tarvittaessa estää yhteys asiakkaan avoimena releenä toimivaan palvelimeen.

Sähköpostiviestin jäljitettävyys

Palveluntarjoajan pitää:

• Taata, että heidän postipalvelimensa lisäävät sähköpostiviesteihin received-rivin.
• Säätää järjestelmänsä siten, että received-riville tallettuu sen koneen, josta sähköpostiviesti vastaanotetaan, IP-osoite.

Käytännössä kaikki nykyiset sähköpostijärjestelmät täyttävät oletuskonfiguraatiossaan nämä ehdot.

Sähköpostiviestien lähettäjien tunnistattavuus

Palveluntarjoajan pitää:

• Pitää tarkkaa aikaa sähköpostijärjestelmässään.
• Tallettaa dynaamisten IP-osoitteiden lokeja kohtuullisen ajan, jotta väärinkäytökset voidaan selvittää (kohtuullinen aika on tässä yhteydessä joitakin päiviä - spämmivalitukset tulevat yleensä viimeistään spämmäystä seuraavina arkipäivinä, sähköisen viestinnän tietosuojalain 13 § oikeuttaa tällaisen lokitietojen käsittelyn).

Poikkeuksena edellä olevaan palveluntarjoaja tai palveluntarjoajan asiakas voi ylläpitää erityistä anonyymipalvelinta, jossa mitään tietoja ei talleteta ja jonka tarkoitus on piilottaa lähettäjätiedot. Tällainen anonyymipalvelin ei kuitenkaan saa olla palveluntarjoajan pääasiallinen postipalvelin. On hyvin suositeltava, että anonyymipalvelimessa on mekanismeja, jotka estävät tai rajoittavat sen väärinkäyttöä spämmin lähettämiseen.

Spämmivalitusten vastaanottaminen

Palveluntarjoajalla pitää:

• Olla abuse@isp.example- ja abuse@asiakas.isp.example-tyyppiset osoitteet kaikille hallinnassaan oleville domaineille (domain.example) ja alidomaineille (asiakas.domain.example).
• abuse@-osoite pitää dokumentoida whois-rekisterissä.
• Palveluntarjoajan pitää hyväksyä abuse-osoitteeseensa tulevat omaa nettiblokkia koskevat valitukset eikä palveluntarjoaja saa vaatia ihmisiä lähettämään valituksiaan toiseen osoitteeseen edellytyksenä sille, että valituksiin reagoidaan.
• Palveluntarjoajan pitää vahvistaa abuse-osoitteeseen lähetettyjen spämmivalitusten vastaanottaminen.

Toimenpiteet spämmivalitusten perusteella

Palveluntarjoajan pitää:

• Ryhtyä toimenpiteisiin, jos spämmäys on todistetusti tapahtunut.
• Laatia käyttöehtosopimuksensa siten, että palveluntarjoaja voi toimia tehokkaasti.
• Palveluntarjoaja ei saa kertoa asiakkaalleen spämmivalituksen tekijän henkilöllisyyttä, ellei valituksen tekijä tätä hyväksy.
• Palveluntarjoaja voi irtisanoa asiakkaansa sopimuksen jo ensimmäisen spämmitapauksen jälkeen. Vaihtoehtoisesti, palveluntarjoaja voi ensimmäisen spämmitapauksen jälkeen harkintansa mukaan vain varoittaa asiakasta irtisanomatta sopimusta. Jos sama asiakas kuitenkin syyllistyy spämmäykseen toistamiseen kuuden kuukauden sisällä, on palveluntarjoajan irtisanottava asiakkaan palvelut.
• Palveluntarjoajan on pidettävä kahta riippumatonta samaa tapausta koskevaa spämmivalitusta todisteena massasähköpostituksesta.
• Palveluntarjoajan pitää muistaa, että kyseessä voi olla väärennös ("Joe-Job") ja että spämmivalitukset voivat olla perättömiä. Palveluntarjoajan pitää antaa asiakkaalleen mahdollisuus vastineeseen. Palveluntarjoajan pitää arvioida tilannekohtaisesti, onko todella kyse spämmäyksestä.
• Jos asiakas sanoo, että sähköpostiviestintä oli toivottua, niin palveluntarjoaja ei saa hyväksyä tätä väitettä, paitsi jos sähköpostiosoitteet on saatu ja käsitelty lakien ja hyvien käytännesääntöjen mukaan.
• Jos sähköpostiviesti oli lähetetty normaalin postituslistan kautta, palveluntarjoajan pitää pitää mielessään mahdollisuus, että spämmivalituksen tekijä oli tilannut postituslistan mutta sittemmin unohtanut asian. Palveluntarjoajan pitää varmistaa, että ihmiset voivat helposti poistaa itsensä asiakkaidensa ylläpitämiltä postituslistoilta.

Asiakas ei saa mainostaa palveluja spämmäämällä

Palveluntarjoajan pitää:

• Tulkita palvelujen mainostamisen spämmäämällä käyttöehtosopimuksen rikkomiseksi, vaikka spämmi olisi lähetetty kolmannen osapuolen verkosta. Käyttöehtosopimuksen pitää mahdollistaa tässä kohdassa mainitut toimenpiteet.
• Jos asiakkaan palveluja mainostetaan spämmäämällä (sellaisella tavalla joka olisi kiellettyä, jos spämmilähetys olisi lähetetty palveluntarjoajan omasta verkosta) ja jos tämä spämmäys tapahtuu asiakkaan toimeksiannosta tai suostumuksella, on palveluntarjoajan pidettävä tätä spämmäykseen verrattavana väärinkäytöksenä ja ryhdyttävä asiassa toimenpiteisiin.
• Palveluntarjoajan pitää tilannetta arvioidessaan ottaa huomioon mahdollisuus, että spämmi lähetettiin asiakkaan tietämättä tai ilman hänen suostumustaan.

Tiedottaminen spämmitapauksista

Palveluntarjoajan on hyvä julkaista tilastoja spämmitapauksista ja siitä, miten niihin on reagoitu. Palveluntarjoajan pitää näin tehdessään noudattaa henkilötietolakia ja muita lakeja.

Spämmityökalujen levitys pitää kieltää

Palveluntarjoajan pitää:

• Kieltää asiakkaitaan levittämästä tai mainostamasta palvelussa sellaisia työkaluja tai sähköpostilistoja, joiden pääasiallinen tarkoitus on spämmin lähettäminen. Käyttöehtosopimuksen on mahdollistettava puuttuminen tällaiseen toimintaan ja palveluntarjoajan on puututtava tällaiseen toimintaan.
• Palveluntarjoajan tulee toimenpiteitä harkitessaan ottaa huomioon tällaisten työkalujen tai sähköpostilistojen mahdolliset oikeutetut käyttötarkoitukset.

Valistus

Palveluntarjoajan pitää:

• Antaa asiakkaidensa käyttöön dokumentaatiota, jossa selitetään mitä spämmäys on ja miksi sen lähettäminen ei ole hyväksyttävää. Tässä materiaalissa pitää sanoa, että palvelujen mainostaminen spämmillä ei ole hyväksyttävää, vaikka spämmi lähetettäisiin kolmannen osapuolen verkosta.
• Palveluntarjoajan pitää kertoa asiakkailleen mitä tietoa spämmivalitukseen pitää sisällyttää.
• Palveluntarjoajan pitää kertoa asiakkailleen mahdollisesta spämmisuodatuksista ja siitä, voiko spämmisuodatus johtaa myös muiden kuin spämmiviestien vastaanottamisen estämiseen ("väärät positiiviset"). (Sähköisen viestinnän tietosuojalain 29 § mukaan viestien vastaanottamisen estävän spämmisuodatuksen käyttöön tarvitaan vastaanottajan lupa, jonka vastaanottaja voi antaa esimerkiksi hyväksyessään sähköpostipalvelun käyttöehdot, joissa kerrotaan suodatuksesta.)
• Palveluntarjoaja ei saa käyttää viestien vastaanottamista estäviä suodattamia abuse-osoitteitaan suojatakseen.

[PDF, TXT]

http://kaip.iki.fi/spam/PalveluntarjoajanVelvollisuudet.html

Puolusta sähköisiä oikeuksiasi. Liity EFFIn jäseneksi.

Kai Puolamäki, Kai.Puolamaki@iki.fi