Hlavní navigace

Boj proti spamu v praxi

18. 5. 2006
Doba čtení: 10 minut

Sdílet

 Autor: 29
Když někomu dáte svou vizitku, je to již souhlas se zasíláním obchodních sdělení na vaši e-mailovou adresu? Je vůbec možné oslovit někoho e-mailem s prvotní žádostí o souhlas? Když se někde registrujete přes web, je podmínkou vaše odpověď na kontrolní e-mail od registračního systému? Jak se na tyto a další otázky dívá Úřad pro ochranu osobních údajů?

Zhruba před měsícem jsem zde na Lupě psal o novelizaci „antispamového zákona“ (zákona č. 480/2004 Sb., o některých službách informační společnosti), která by měla nabýt účinnosti k 1. srpnu. Dnes už je jasné, že se tak skutečně stane a že se podmínky legislativní formy boje proti tuzemskému spamu změní přesně uprostřed letošních prázdnin.

Jenže: realita života je pestřejší a vynalézavost lidí mnohem větší, než dokáže zákon předjímat a vtěsnat do svých paragrafů, navíc s povinností respektovat direktivy Evropské unie a s nutností vyhovět pozměňovacím návrhům poslanců (neboť to jsou právě oni, kdo vytváří skutečnou podobu zákona). Takže výsledná právní úprava pak vůbec nemusí postihovat zdaleka všechny reálné situace, a může naopak vytvářet další a další „stupně volnosti“ skrze různé možnosti své interpretace. Nehledě na to, že nepostihuje zahraniční spam, který v našich mailboxech jasně převládá.

Je tedy i na tom, kdo v Česku dohlíží na dodržování antispamového zákona (což je Úřad pro ochranu osobních údajů, ÚOOÚ), aby svým konkrétním rozhodování nastavil určitou „laťku“, která dokreslí a dospecifikuje ta místa, kde samotný zákon ponechává určitou volnost. Případně aby alespoň poukázal na to, co zákon neřeší, ale řešit by měl.

Zajímavou možností pohledu na to, jak konkrétně ÚOOÚ rozhoduje a jak se dívá na některé ne zcela jasné otázky, pro mne byla včerejší účast na konferenci Security 2006, pořádané firmou AEC v pražském hotelu Diplomat. Pořadatelům se podařilo dostat zde za jeden stůl zástupce Ministerstva informatiky (MI) ČR, které připravuje příslušnou legislativu, a inspektora ÚOOÚ, který ji v praxi aplikuje a rozhoduje konkrétní případy. A právě jejich vystoupení a následná diskuse ukázaly, jak se obě role liší.

Ne snad tak diametrálně, že by jeden byl pro spam a druhý proti. To nikoli. Rozdíl byl spíše v tom, že ÚOOÚ a její inspektory trápí podstatně detailnější a praktičtější aspekty, kterými se již zákon nezabývá. Stejně tak je trápí ne vždy ideální souběh s dalšími zákony (například se zákonem o ochraně osobních údajů či zákonem o statní kontrole atd.). To nemusí být až tak klíčové pro toho, kdo připravuje jednu právní normu, ale je to klíčové pro toho, kdo ji aplikuje – a díky jiným zákonům nemá takové pravomoci, jaké by ke své činnosti potřeboval. Například: ÚOOÚ se nemůže při svých šetřeních vyptávat třetích stran, nemůže získávat lokalizační údaje, a kromě pokut dosud nemohl ukládat nápravná opatření jako například smazání databáze e-mailových adres používaných spammery.

Co se od 1. srpna změní?

Některé „praktické“ zkušenosti s dosavadním průběhem boje proti spamu se promítají již do nynější novely „antispamového zákona“ č. 480/2004 Sb. (o některých službách informační společnosti), o kterých jsem podrobněji psal v již zmiňovaném článku před měsícem. Proto jen stručně: tato novela mění hlavně dvě věci, z nichž ta druhá (viz dále) byla vynucena Evropskou unií a potřebou dostat českou úpravu do souladu s unijními direktivami. Ale současně reagovala i na praktické problémy, které ÚOOÚ při své práci měl.

Jde o tyto dvě hlavní změny:

  • problematika obchodních sdělení šířených elektronickou cestou se nyní řeší výhradně skrze „antispamový zákon“ (č. 480/2004 Sb.). Tím by se měly eliminovat výmluvy typu: „my vám naši nabídku můžeme zasílat díky jinému zákonu …“,
  • jakmile už jste zákazníky nějakého konkrétního subjektu (firmy), mění se standardně aplikovaný princip OPT-IN na princip OPT-OUT. Ten, jehož jste zákazníky, pak už nepotřebuje váš souhlas k tomu, aby vám zasílal své nabídky. Ale vy stále máte právo jejich zasílání kdykoli odmítnout (proto: OPT-OUT). Dosud, resp. do 31. července 2006, to bylo i v tomto případě řešeno na principu OPT-IN a firma potřebovala nejprve váš souhlas. Bohužel to často dopadalo tak, že si tento souhlas dala rovnou do svých obchodních podmínek, bez možnosti příslušnou pasáž odmítnout.

Co se mohlo změnit, ale nezměnilo

Zajímavou informací, která zazněla na včerejší konferenci, bylo to, že MI ČR se snažilo postihnout zákonem i další formy spamu. Samotný „antispamový zákon“ (č. 480/2004 Sb., o některých službách informační společnosti) totiž řeší pouze nevyžádaná obchodní sdělení, ale už se nevztahuje na další formy spamu. Takže pokud vás třeba právě teď, v době před volbami, začnou politici a jejich strany zasypávat svými „nevyžádanými politickými sděleními“, stávající antispamový zákon se na ně vztahovat nebude. Podobně když si vás vezme na mušku nějaký šílenec a začne vás zasypávat svými duševními výlevy.

Ministerstvo informatiky se pokoušelo dostat do připravovaného trestního kodexu (zákoníku) ustanovení, která by zakazovala i ostatní formy spamu, jako elektronické formy obtěžování, s trestní sazbou až do jednoho roku odnětí svobody. Ovšem tato snaha se nepodařila a v návrhu, který nakonec projednávali poslanci, se příslušné pasáže nakonec neobjevily.

K tomu je ovšem vhodné dodat, že nový trestní kodex nakonec parlamentem neprošel a byl smeten ze stolu. Takže ještě není všemu konec, protože po volbách nejspíše začnou přípravy nového trestního kodexu.

Jen doménové jméno, nebo celé URL?

Pojďme ale již ke konkrétním „perličkám“, které se ve včera objevily ve vystoupeních či v následné diskusi a které dokumentují pestrost života, jako protipól suchopárnosti a strnulosti zákona. Ten například obsahuje negativní vymezení nevyžádaného sdělení, když říká, že:

Za obchodní sdělení se nepovažují údaje umožňující přímý přístup k informacím o činnosti fyzické nebo právnické osoby nebo podniku, zejména doménové jméno nebo adresa elektronické pošty …"

Tato výjimka, stejně jako celý antispamový zákon č. 480/2004 Sb., má svou předlohu v příslušné direktivě EU (směrnice 2000/31/EC). Zde je ale ještě důležitý dovětek v tom, že „samy o sobě“ takovéto údaje (jako je doménové jméno) nepředstavují nevyžádané sdělení. Takže třeba když budou obsaženy v e-mailové adrese, ze které přijde nějaká zpráva, nemusí tato zpráva ještě být spamem.

Jenže zákonodárci ono „samy o sobě“ už nepřevzali, a tím vynalézavým českým spammerům otevřeli cestu k tomu, aby mohli své nevyžádané obchodní nabídky formulovat právě skrze URL odkazy, jako např. (vymyšleno):

<a href="http://www.nejlevnejsi-notebooky.cz/model-XYZ-CPU-2-GHz-512MB-RAM-DDR2-60-GB-
DVD-RW-v-akcni-nabidce-uz-za-20-000-Kc-nevahejte-poslednich-par-kousku-na-sklade.php3">
http://www.nejlevnejsi-notebooky.cz/model-XYZ-CPU-2-GHz-512MB-RAM-DDR2-60-GB-DVD-RW-v-
akcni-nabidce-uz-za-20-000-Kc-nevahejte-poslednich-par-kousku-na-sklade.php3</a>

a tím se snažili „utéci“ z dosahu antispamového zákona.

Jak ale vyznělo z příspěvku inspektora ÚOOÚ Miloše Šnytra, cesta tudy naštěstí nevede. Popisován byl příklad spammera, který se právě o něco takového pokoušel, ale ÚOOÚ mu na to neskočil a napařil mu pokutu.

Pak jsem se ale zástupců ÚOOÚ a MI ČR zeptal na to, zda podle nich hraje rozdíl to, zda je něco vyjádřeno pouze jako doménové jméno, nebo jako celé URL (tj., včetně přístupové cesty atd.). Jde vlastně o to, jak rozumět formulaci zákona, která říká, že výjimku tvoří zejména doménové jméno. A zde se objevil zajímavý rozdíl v interpretaci, protože zástupce MI ČR se přikláněl k tomu, že výjimku může představovat celé URL (když je tam zejména a ne a to pouze…). Naopak inspektor ÚOOÚ byl toho názoru, že může jít jen o doménové jméno a nikoli o celé URL.

Pro praxi by mělo být rozhodující stanovisko ÚOOÚ, který řeší konkrétní spory.

Přihlašování přes web

Řeč včera přišla i na to, jak se lidé přihlašují přes web: co je potřeba k tomu, aby jejich souhlas se zasíláním, vyjádřený touto cestou, byl platný?

Ve svém příspěvku ve sborníku konference Security 2006 k tomu inspektor ÚOOÚ Miloš Šnytr píše:

Zaregistrování na webových stránkách je způsob vyjádření předběžného souhlasu se zasíláním obchodních sdělení. Musí však být následně potvrzeno uživatelem, že on je tou osobou, která se zaregistrovala a dala souhlas. Dle našeho názoru je postačujícím potvrzením informační e-mail, generovaný na základě registrace, a případně včetně jeho akceptace."

Ještě jsem se na to schválně přeptal, abych to interpretoval správně: ÚOOÚ prý skutečně stačí, když se někde na webu zaregistruji, aby mi registrační systém poslal (automaticky generovaný) e-mail, informující o mém zařazení (a zřejmě s uvedením možností, jak se zase odhlásit, resp. jak vzít souhlas zpět). Už ale bezpodmínečně nepožaduje odpověď na tento mail (viz také ono: a případně jeho akceptace). Takovouto odpověď prý požadují například v Německu, ale český ÚOOÚ již nikoli.

To mi ale přijde nesprávné a hodně nebezpečné. Například proto, že když by někdo přihlásil někoho jiného, dotyčný se to nemusí vůbec dozvědět, protože příslušný oznamovací e-mail se může někde ztratit nebo uvíznout. Třeba v dobře nastaveném antispamovém filtru, kterému se automaticky generované e-maily nemusí vůbec líbit. Současně s tím postižený přijde i o údaje potřebné k následnému odregistrování.

Nebo jiný důvod: proč by měl dotyčný vynuceně reagovat (zpětným odhlašováním) na aktivitu někoho jiného, kterou neinicioval či si ji přímo nepřeje? Co když ten „někdo jiný“ na to pustí nějakého robota a bude to dělat ve velkém?

Ne, zde mi stanovisko ÚOOÚ opravdu nepřijde jako správné a nemohu se s ním ztotožnit. Velmi bych se přimlouval za to, aby se nad tím ÚOOÚ ještě zamyslel a přehodnotil svůj názor, nejlépe po vzoru Německa (kde musí přijít odpověď od přihlašující se osoby, resp. z příslušné e-mailové adresy). Také si myslím, že běžná praxe už taková je, a korektně fungující systémy pro různé registrace takovouto odpověď vyžadují.

Prvotní oslovení: Hlava 22

Jiný zajímavý dotaz, který včera padnul, se týkal toho, jak může firma oslovit (elektronickou poštou) někoho, kdo ještě není jejím zákazníkem, za účelem zasílání obchodních sdělení (nabídek). Samozřejmě na to potřebuje nejprve souhlas dotyčné osoby, vzhledem k principu OPT-IN, ale jak si tento souhlas vyžádat? Nebude už tato první žádost kvalifikována jako spam?

Odpověď (od inspektora ÚOOÚ) vyzněla v tom smyslu, že to elektronickou poštou vlastně ani moc nejde: souhlas totiž musí být informovaný (ve smyslu: osoba udělující souhlas musí být plně informována, s čím souhlasí), takže už v prvotní žádosti o souhlas je nutné uvést, o co se jedná (co bude předmětem nabídek, kdo přesně je bude zasílat atd.). Jenže tím už se z toho stává obchodní sdělení, a to se bez předchozího souhlasu posílat e-mailem nemůže.

Přirovnání k Hlavě 22 jsem si nevymyslel já, zaznělo v rámci diskuse.

Souhlas nesmí být předvyplněn

Takže elektronická pošta pro prvním kontakt (za účelem získání souhlasu) fakticky vypadá ze hry, ale z online prostředků stále zbývá třeba webové rozhraní. Když na něj někdo zavítá, je to z jeho vlastní vůle, takže zde už není problém dostát povinnosti o správném informování, čeho se souhlas týká.

Jenže právě zde je ještě jeden důležitý moment, na který inspektor ÚOOÚ upozornil, a který vyplývá z unijní směrnice 2002/58/ES. Jde o to, že políčko vyjadřující souhlas nesmí být předem zaškrtnuto. Tedy implicitní hodnotou musí být neudělení souhlasu, a souhlas lze udělit až explicitním zásahem uživatele (kliknutím na příslušné políčko).

Takže žádné hry na to, že uživatel si nevšimne a ponechá předvyplněný souhlas, by se neměly konat.

Kdo může dát souhlas?

Jiný zajímavý příklad z praxe, který včera zazněl, byl o účastníkovi jedné odborné konference, který si sám a z vlastní iniciativy vyžádal zaslání podrobného materiálu a nabídky ke konkrétnímu přístroji na svou e-mailovou adresu. Stalo se, jenže než příslušný e-mail došel svému adresátovi, v jeho organizaci (šlo prý o nějaké zdravotnické zařízení) ho zastavil správce systému, interpretoval ho jako nevyžádané obchodní dělení, a poslal jej na ÚOOÚ se stížností na odesílatele.

Tento konkrétní příklad ukazuje na obecnější problém: kdo vlastně může udělit souhlas k zasílání obchodních sdělení na nějakou konkrétní adresu? Ten, kdo tuto adresu používá? Tedy zaměstnanec firmy? Nebo i jeho nadřízený, nejvyšší šéf, nebo třeba místní správce? To je zajímavý a nejspíše otevřený problém, na který ÚOOÚ odpověděl takto: nezáleží na tom, kdo souhlas dá.

Jenže co když k jedné a téže adrese budou existovat dva výroky, jeden udělující souhlas a druhý naopak vyjadřující nesouhlas? Jak to bude posuzováno pak? Který z nich bude mít větší relevanci? Nebo bude záležet na časové posloupnosti, kdy bylo to které stanovisko vyjádřeno?

Vizitky: ad absurdum?

Na závěr ještě něco, co na první pohled vypadá úsměvně, ale na druhý pohled už tak úsměvné není. Jde třeba o vizitky: když někomu dáte svou klasickou vizitku, na které máte kontaktní údaje včetně e-mailu, udělujete tím svůj souhlas se zasíláním obchodních sdělení (od toho, komu vizitku dáváte), nebo nikoli?

Inspektor Miloš Šnytr z ÚOOÚ popsal, jak to prý začínají řešit ve Španělsku: lidé si nosí s sebou razítka s nápisem „souhlasím se zasíláním obchodních sdělení“. Když pak od někoho dostanou vizitku, zeptají se, jak je to míněno, a pokud se dohodnou i na možnosti zasílání obchodních sdělení, na druhou stranu vizitky razítko obtisknou a nechají si to od vlastníka vizitky podepsat.

Pravdou je, že pak je vše jasné a jednoznačné, na obou stranách. Ale na tu představu si asi budu muset delší dobu zvykat.

Při registraci přes web, aby platila:

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.