Palveluntarjoajan velvollisuudet spämmitapauksissa ================================================== Parhaiten palveluntarjoajan velvollisuudet tiivistää erään suositun estolistan FAQ: `SPEWS FAQ`_: Palveluntarjoajana, mikä on paras tapa pitää verkkomme poissa SPEWSin estolistoilta? Se on varsin yksinkertaista, pysy erossa spämmereistä, spämmerien palveluntarjoajista ja spämmäysohjelmistojen myyjistä. Jos joku näistä ilmestyy verkkoosi, katkaise heidän yhteytensä heti ennen kuin valitusten määrä kasvaa. Etsi ja kopioi itsellesi `parhaat käyttöehdot`__ (AUP) ja valvo että niiden kirjainta noudatetaan. Ja kaikista ilmeisin tapa; seuraa abuse\ @-laatikkoosi tulevaa postia ja reagoi siihen! .. _`SPEWS FAQ`: http://spews.org/faq.html __ http://www.spamhaus.org/aups.html Sisällys -------- - `Tästä dokumentista`_ - `Spämmäyksen laillisuudella ei ole merkitystä`_ - `Käyttöehtosopimuksen pitää kieltää spämmäys`_ - `Spämmäykseen on puututtava`_ - `Internetin itsesäätely`_ - `LINXin suositus Internet-palveluntarjoajille, versio 2.0, referaatti`_ - `Ei avoimia välityspalvelimia`_ - `Sähköpostiviestin jäljitettävyys`_ - `Sähköpostiviestien lähettäjien tunnistattavuus`_ - `Spämmivalitusten vastaanottaminen`_ - `Toimenpiteet spämmivalitusten perusteella`_ - `Asiakas ei saa mainostaa palveluja spämmäämällä`_ - `Tiedottaminen spämmitapauksista`_ - `Spämmityökalujen levitys pitää kieltää`_ - `Valistus`_ Tästä dokumentista ------------------ Tässä dokumentissa annetaan yhteenveto siitä, mitä Internet-palveluntarjoajan pitää Internetin käytännesääntöjen mukaan tehdä, jos heidän asiakkaansa syyllistyy spämmäykseen. Käytännesäännöt esitetään myös muun muassa seuraavissa dokumenteissa: - `Good Practice for Combating Unsolicited Bulk Email`_, versio 1.02, `RIPE NCC`_, 2000. - `LINX Best Current Practice for combating Unsolicited Bulk Email`_, versio 2.0, LINX_, 2004. .. _`Good Practice for Combating Unsolicited Bulk Email`: http://www.ripe.net/ripe/docs/spam.html .. _`RIPE NCC`: http://www.ripe.net/ripencc/about/index.html .. _`LINX Best Current Practice for combating Unsolicited Bulk Email`: https://www.linx.net/www_public/community_involvement/bcp/ubebcp_v2 .. _LINX: http://www.linx.net/ Spämmäyksellä tarkoitetaan tässä dokumentissa ilman vastaanottajan suostumusta lähetettyjä massasähköpostilähetyksiä (Unsolicited Bulk Email, UBE), mikä on myös käsitteen kansainvälisesti vakiintunut merkitys (ks. SvrVukk_). Spämmäyksen laillisuudella ei ole merkitystä ++++++++++++++++++++++++++++++++++++++++++++ `Suomen laki`__ kieltää tietyntyyppisen spämmäyksen (esim. ei-toivotut sähköpostimainokset kuluttajille), mutta sallii toisentyyppisen spämmäyksen (esim. tietynlaiset yrityksille suunnatut ei-toivotut massasähköpostitukset). Spämmäystä koskeva lainsäädäntö `vaihtelee maittain`__: joissain maissa laki on Suomen lainsäädäntöä ankarampi, toisissa lievempi. Spämmäyksen määritelmän kannalta toiminnan laillisuudella ei ole merkitystä. __ SpamLaki_ __ KansainvalisetLait_ Internet-palveluntarjoajan ei tarvitse selvittää, noudattaako heidän asiakkaansa lakia. Asiakkaan toiminnan laillisuuden selvittäminen kuuluu viranomaisille. Internet-palveluntarjoajan ei myöskään tarvitse (eikä palveluntarjoaja saa) viestejä välittäessään tutkia tai valikoivasti suodattaa asiakkaansa lähettämiä sähköpostiviestejä (`Viestintäviraston kirje asiasta 30.9.2004`_, `kommentti kirjeestä`__). Sen sijaan palveluntarjoajan tulee valvoa, että asiakas noudattaa spämmäyksen kieltävää käyttöehtosopimusta ja tarvittaessa irtisanoa sopimus, jos sitä rikotaan. .. _`Viestintäviraston kirje asiasta 30.9.2004`: http://kaip.iki.fi/ficora-2004-09-30.pdf __ http://groups.google.fi/groups?selm=slrnclpv3r.j7n.Kai.Puolamaki@iki.fi Käyttöehtosopimuksen pitää kieltää spämmäys +++++++++++++++++++++++++++++++++++++++++++ Internet-palveluntarjoajan tulee siis kirjoittaa käyttöehtonsa siten, että ne mahdollistavat liittymäsopimuksen irtisanomisen tai palvelujen käytön estämisen, jos asiakas syyllistyy spämmäykseen, mainostaa palveluita spämmäämällä tai markkinoi palvelun avulla spämmäyspalveluja. Tällaiset (myös laillisen) spämmäyksen sopimuksen irtisanomisen uhalla kieltävät sopimusehdot ovat päteviä. Suomessa on sopimusvapaus, eikä mikään laki tiettävästi kiellä spämmäystä kieltäviä sopimusehtoja. Vain kunnolla kirjoitettu käyttöehtosopimus mahdollistaa tehokkaan puuttumisen spämmitapauksiin. Jos palveluntarjoaja asiakkaansa suorittaman spämmäyksen jälkeen esimerkiksi ilmoittaa "tutkivansa asiakkaansa toimien laillisuutta", on se merkki siitä, että käyttöehtosopimus on huonosti kirjoitettu eikä se mahdollista spämmäykseen puuttumista. Spämmäykseen on puututtava ++++++++++++++++++++++++++ Palveluntarjoajan tulee valvoa spämmäyksen kieltävien käyttöehtojen noudattamista seuraamalla spämmivalituksia. Kunnollisissa spämmivalituksissa on aina mukana kopio spämmiviestistä. Palveluntarjoaja voi usean riippumattoman spämmivalituksen perusteella riittävällä varmuudella varmistua siitä, että asiakas on todella syyllistynyt spämmäykseen. Palveluntarjoajan pitää siis lukea ja vastaanottaa spämmivalitukset. Palveluntarjoajan pitää perustaa tätä tarkoitusta varten sähköpostiosoite, joka on muotoa ``abuse@domain.example`` (RFC 2142), ks. http://rfc-ignorant.org/. Tämä alias on tehtävä jokaiselle palveluntarjoajan hallinnassa olevalle domainille, johon voi lähettää sähköpostia. Internetin itsesäätely ++++++++++++++++++++++ Nämä käytännesäännöt ovat osa kansainvälisen Internetin itsesäätelyä. Näiden käytäntöjen avulla spämmiongelma on pidetty hallinnassa, vaikka spämmäys on ollut ja on joissakin maissa laillista, kuten yritysspämmi Suomessa nykyään tai kaikki spämmi Yhdysvalloissa__ (kunhan mm. lähettäjätietoja ei väärennetä). __ http://www.spamhaus.org/position/CAN-SPAM_Act_2003.html Osin myös Suomen laki vaatii näiden käytännesääntöjen noudattamista (esim. postipalvelin ei saa olla avoin välityspalvelin). Muilta osin palveluntarjoajalla on oikeus, mutta ei lain asettamaa velvollisuutta, toimia näiden käytännesääntöjen mukaan. Missään maassa yhteyksien tarjoaminen spämmereille ei taida olla laitonta. Tähän asti palveluntarjoajat ovat kuitenkin noudattaneet näitä käytännesääntöjä varsin hyvin, ilman lain asettamaa pakkoa. Toimiva itsesäätely onkin yleensä parempi vaihtoehto kuin kaiken yksityiskohtainen säätely laeilla. Esimerkiksi alla referoitua LINXin käytännesääntöä vastaava laki olisi liian yksityiskohtainen ja vaikea kirjoittaa: tiettyyn toimintamalliin pakottavasta laista tulisi helposti liian laaja-alainen tai suppea, eikä se mukautuisi nopeasti uusiin tilanteisiin eikä kaikkia erikoistapauksia voitaisi millään ottaa huomioon. Puhumattakaan siitä, että lain pitäisi olla kansainvälinen, mikä ei ole käytännössä mahdollista. Jos palveluntarjoaja ei toimi näiden käytännesääntöjen mukaan, voi tämä johtaa negatiiviseen julkisuuteen spämmereitä suosivana ja spämmillä ansaitsevana (spämmerin yhteysmaksut) palveluntarjoajana. Palveluntarjoaja voi päätyä erilaisille laajasti käytetyille estolistoille (ks. SpammiltaSuojautuminen), jolloin palveluntarjoajan kaikkien asiakkaiden sähköpostien kulku voi vaikeutua. Kenelläkään ei ole velvollisuutta ottaa vastaan postia spämmereitä suosivalta palveluntarjoajalta. Spämmin sallivia liittymäsopimuksia kutsutaan `pinkeiksi sopimuksiksi`_ (esim. `AT&T admits spam offense after contract exposed, CNET News.com, 3.11.2000`_). .. _`pinkeiksi sopimuksiksi`: http://catb.org/~esr/jargon/html/P/pink-contract.html .. _`AT&T admits spam offense after contract exposed, CNET News.com, 3.11.2000`: http://news.com.com/2100-1023_3-248067.html LINXin suositus Internet-palveluntarjoajille, versio 2.0, referaatti -------------------------------------------------------------------- London Internet Exchangen (LINX) käytännesäännöt__ (Best Current Practice) antavat hyvän yhteenvedon siitä, mitä vastuullisen palveluntarjoajan tulee tehdä spämmiongelman hoitamiseksi. Alla on referaatti LINXin käytännesäännöistä, yksityiskohtia ja perusteluja varten kannattaa lukea alkuperäinen dokumentti__. LINXin käytännesäännöissä annetaan myös esimerkkejä käyttöehtosopimuksista (muita `suomenkielisiä esimerkkejä käyttöehdoista`_, `englanninkielisiä esimerkkejä käyttöehdoista`_). __ `LINX Best Current Practice for combating Unsolicited Bulk Email`_ __ `LINX Best Current Practice for combating Unsolicited Bulk Email`_ .. _`suomenkielisiä esimerkkejä käyttöehdoista`: http://groups.google.fi/groups?selm=slrnbo5oel.8kr.Kai.Puolamaki@iki.fi .. _`englanninkielisiä esimerkkejä käyttöehdoista`: http://www.spamhaus.org/aups.html `RIPE Network Coordination Centre`_\ n (RIPE NCC) vastaava `suositus (ripe-206)`__ perustuu LINXin käytännesääntöjen aikaisempaan versioon. .. _`RIPE Network Coordination Centre`: `RIPE NCC`_ __ `Good Practice for Combating Unsolicited Bulk Email`_ Alla "palvelut" tarkoittavat asiakkaan Internet-palveluntarjoajalta tilaamia palveluja (esim. sähköpostilaatikko, WWW-sivutila). Ei avoimia välityspalvelimia ++++++++++++++++++++++++++++ Palveluntarjoajan pitää: - Säätää järjestelmänsä siten, että ne eivät toimi avoimina releinä, ks. SvrVukk_ - Kieltää asiakkaitaan ylläpitämästä avoimia releitä ja tarvittaessa estää yhteys asiakkaan avoimena releenä toimivaan palvelimeen. Sähköpostiviestin jäljitettävyys ++++++++++++++++++++++++++++++++ Palveluntarjoajan pitää: - Taata, että heidän postipalvelimensa lisäävät sähköpostiviesteihin received-rivin. - Säätää järjestelmänsä siten, että received-riville tallettuu sen koneen, josta sähköpostiviesti vastaanotetaan, IP-osoite. Käytännössä kaikki nykyiset sähköpostijärjestelmät täyttävät oletuskonfiguraatiossaan nämä ehdot. Sähköpostiviestien lähettäjien tunnistattavuus ++++++++++++++++++++++++++++++++++++++++++++++ Palveluntarjoajan pitää: - Pitää tarkkaa aikaa sähköpostijärjestelmässään. - Tallettaa dynaamisten IP-osoitteiden lokeja kohtuullisen ajan, jotta väärinkäytökset voidaan selvittää (kohtuullinen aika on tässä yhteydessä joitakin päiviä - spämmivalitukset tulevat yleensä viimeistään spämmäystä seuraavina arkipäivinä, `sähköisen viestinnän tietosuojalain`__ 13 § oikeuttaa tällaisen lokitietojen käsittelyn). __ SahkoisenViestinnanTietosuojalaki_ Poikkeuksena edellä olevaan palveluntarjoaja tai palveluntarjoajan asiakas voi ylläpitää erityistä anonyymipalvelinta, jossa mitään tietoja ei talleteta ja jonka tarkoitus on piilottaa lähettäjätiedot. Tällainen anonyymipalvelin ei kuitenkaan saa olla palveluntarjoajan pääasiallinen postipalvelin. On hyvin suositeltava, että anonyymipalvelimessa on mekanismeja, jotka estävät tai rajoittavat sen väärinkäyttöä spämmin lähettämiseen. Spämmivalitusten vastaanottaminen +++++++++++++++++++++++++++++++++ Palveluntarjoajalla pitää: - Olla abuse\ @isp.example- ja abuse\ @asiakas.isp.example-tyyppiset osoitteet kaikille hallinnassaan oleville domaineille (domain.example) ja alidomaineille (asiakas.domain.example). - abuse\ @-osoite pitää dokumentoida whois-rekisterissä. - Palveluntarjoajan pitää hyväksyä abuse-osoitteeseensa tulevat omaa nettiblokkia koskevat valitukset eikä palveluntarjoaja saa vaatia ihmisiä lähettämään valituksiaan toiseen osoitteeseen edellytyksenä sille, että valituksiin reagoidaan. - Palveluntarjoajan pitää vahvistaa abuse-osoitteeseen lähetettyjen spämmivalitusten vastaanottaminen. Toimenpiteet spämmivalitusten perusteella +++++++++++++++++++++++++++++++++++++++++ Palveluntarjoajan pitää: - Ryhtyä toimenpiteisiin, jos spämmäys on todistetusti tapahtunut. - Laatia käyttöehtosopimuksensa siten, että palveluntarjoaja voi toimia tehokkaasti. - Palveluntarjoaja ei saa kertoa asiakkaalleen spämmivalituksen tekijän henkilöllisyyttä, ellei valituksen tekijä tätä hyväksy. - Palveluntarjoaja voi irtisanoa asiakkaansa sopimuksen jo ensimmäisen spämmitapauksen jälkeen. Vaihtoehtoisesti, palveluntarjoaja voi ensimmäisen spämmitapauksen jälkeen harkintansa mukaan vain varoittaa asiakasta irtisanomatta sopimusta. Jos sama asiakas kuitenkin syyllistyy spämmäykseen toistamiseen kuuden kuukauden sisällä, on palveluntarjoajan irtisanottava asiakkaan palvelut. - Palveluntarjoajan on pidettävä kahta riippumatonta samaa tapausta koskevaa spämmivalitusta todisteena massasähköpostituksesta. - Palveluntarjoajan pitää muistaa, että kyseessä voi olla väärennös ("Joe-Job") ja että spämmivalitukset voivat olla perättömiä. Palveluntarjoajan pitää antaa asiakkaalleen mahdollisuus vastineeseen. Palveluntarjoajan pitää arvioida tilannekohtaisesti, onko todella kyse spämmäyksestä. - Jos asiakas sanoo, että sähköpostiviestintä oli toivottua, niin palveluntarjoaja ei saa hyväksyä tätä väitettä, paitsi jos sähköpostiosoitteet on saatu ja käsitelty lakien ja hyvien käytännesääntöjen mukaan. - Jos sähköpostiviesti oli lähetetty normaalin postituslistan kautta, palveluntarjoajan pitää pitää mielessään mahdollisuus, että spämmivalituksen tekijä oli tilannut postituslistan mutta sittemmin unohtanut asian. Palveluntarjoajan pitää varmistaa, että ihmiset voivat helposti poistaa itsensä asiakkaidensa ylläpitämiltä postituslistoilta. Asiakas ei saa mainostaa palveluja spämmäämällä +++++++++++++++++++++++++++++++++++++++++++++++ Palveluntarjoajan pitää: - Tulkita palvelujen mainostamisen spämmäämällä käyttöehtosopimuksen rikkomiseksi, vaikka spämmi olisi lähetetty kolmannen osapuolen verkosta. Käyttöehtosopimuksen pitää mahdollistaa tässä kohdassa mainitut toimenpiteet. - Jos asiakkaan palveluja mainostetaan spämmäämällä (sellaisella tavalla joka olisi kiellettyä, jos spämmilähetys olisi lähetetty palveluntarjoajan omasta verkosta) ja jos tämä spämmäys tapahtuu asiakkaan toimeksiannosta tai suostumuksella, on palveluntarjoajan pidettävä tätä spämmäykseen verrattavana väärinkäytöksenä ja ryhdyttävä asiassa toimenpiteisiin. - Palveluntarjoajan pitää tilannetta arvioidessaan ottaa huomioon mahdollisuus, että spämmi lähetettiin asiakkaan tietämättä tai ilman hänen suostumustaan. Tiedottaminen spämmitapauksista +++++++++++++++++++++++++++++++ Palveluntarjoajan on hyvä julkaista tilastoja spämmitapauksista ja siitä, miten niihin on reagoitu. Palveluntarjoajan pitää näin tehdessään noudattaa henkilötietolakia ja muita lakeja. Spämmityökalujen levitys pitää kieltää ++++++++++++++++++++++++++++++++++++++ Palveluntarjoajan pitää: - Kieltää asiakkaitaan levittämästä tai mainostamasta palvelussa sellaisia työkaluja tai sähköpostilistoja, joiden pääasiallinen tarkoitus on spämmin lähettäminen. Käyttöehtosopimuksen on mahdollistettava puuttuminen tällaiseen toimintaan ja palveluntarjoajan on puututtava tällaiseen toimintaan. - Palveluntarjoajan tulee toimenpiteitä harkitessaan ottaa huomioon tällaisten työkalujen tai sähköpostilistojen mahdolliset oikeutetut käyttötarkoitukset. Valistus ++++++++ Palveluntarjoajan pitää: - Antaa asiakkaidensa käyttöön dokumentaatiota, jossa selitetään mitä spämmäys on ja miksi sen lähettäminen ei ole hyväksyttävää. Tässä materiaalissa pitää sanoa, että palvelujen mainostaminen spämmillä ei ole hyväksyttävää, vaikka spämmi lähetettäisiin kolmannen osapuolen verkosta. - Palveluntarjoajan pitää kertoa asiakkailleen mitä tietoa spämmivalitukseen pitää sisällyttää. - Palveluntarjoajan pitää kertoa asiakkailleen mahdollisesta spämmisuodatuksista ja siitä, voiko spämmisuodatus johtaa myös muiden kuin spämmiviestien vastaanottamisen estämiseen ("väärät positiiviset"). (Sähköisen viestinnän tietosuojalain 29 § mukaan viestien vastaanottamisen estävän spämmisuodatuksen käyttöön tarvitaan vastaanottajan lupa, jonka vastaanottaja voi antaa esimerkiksi hyväksyessään sähköpostipalvelun käyttöehdot, joissa kerrotaan suodatuksesta.) - Palveluntarjoaja ei saa käyttää viestien vastaanottamista estäviä suodattamia abuse-osoitteitaan suojatakseen.