网络反垃圾邮件行为规范制度研究及技术对策
作者:李德成 (北京市观韬律师事务所)       本站发布时间:2003-5-13 12:26:50

每当滥发电子邮件者发出垃圾邮件,整个互联网社区,尤其是收件人和接收一方的互联网服务供应商,均需付出代价。由于互联网用户需按时间缴付上网费,为了下载无用的电子邮件,用户被迫消费额外的上网时间和金线。垃圾邮件不仅会占用分布在互联网上带宽和资源,增加网络的操作成本,而且还会破坏电邮伺服器、占有硬盘空间,从而扰乱网络,同时还是对网络个人化信息资料的滥用,是对网络隐私权的严重侵犯。因此,

如何对滥发电子邮件的行为加以制止,是目前值得研究的问题。

是对网络个人化信息资料使用行为的进一步规范,同时也使网络个人化资料的控制与利用制度进一步得到完善。

一、有关国家和地区关于垃圾邮件的规范制度

1、香港地区制定了《反滥发电邮——实务守则》和《反滥发电邮——实施指引》。

代表香港特别行政区大部分互联网服务供应商及相关业务的香港互联网供应商协会(以下简称HKISPA),成立了“反滥发电邮委员会”,并于2000年初制定了《反滥发电邮——实务守则》(以下简称《电邮守则》)。

为了对《电邮守则》进一步补充完善又制定了《反滥发电邮——实施指引》(以下简称《电邮指引》)。《电邮守则》将滥发的电子邮件简称为滥发电邮,并定义为,“滥发电邮被界定为在互联网上充斥的某电子信息的大量复本,而该信息是未经收件人许可而发出的,即收件人沒有要求索取这信息。滥发电邮信息会要求用户做某些事情,例如前往某网站或购买某服务。这信息可以是电子邮件,但也同样可以是另一种形式的电子信息,例如Usenet的文章”。《电邮指引》指出,“该定义是最起码的定义。各成员可考虑在其可接受的使用政策中纳入上述定义。如因情況或经营规模需要,各成员亦可进一步解释并量化上述定义。HKISPA鼓励各成员因应本身要求采用较严谨的定义。”并向各成员推存了MCI公司对滥发电邮的定义,“在Usenet或其他新闻组、讨论区、电邮邮址名单或其他类似的小组或名单发布10份或以上相似内容的信息;在上述情况下,发布根据有关小组或名单约章或其他主持人发布的常见问题集(FAQ)或描述属离题的文章;[URG1] 向多于25位电邮用户发送他们未有要求的电邮,而可合理预期这些未经收件人许可的邮件会招来投诉;在使用MCI的服务时,向MCI或该服务的其他用户提供经捏改的用户资料;使用另一家供应商的服务从事任何上文提及的活动,但透过MCI的户口、电子转发器以进行上述活动、或透过MCI的服务或使用MCI的户口作为接收回应的电邮信箱、或使用另一家供应商的服务,而其目的是方便进行上文提及的活动,而可合理预期这类使用另一方的服务会对MCI的服务造成不利影响。”[1]

上述规则由一系列指引组成,规定了所有的成员必须遵守的最低标准。本文认为,HKISPA关于滥发电邮的定义,允许根据具体的情况变化而相应的变更,以求囊括对变换无穷的垃圾邮件形式的方法是可取的。该规则对网络个人化信息资料的利用与控制垃圾邮件的建立与完善起着积极良好的推进作用。

2、美国关于反垃圾邮件的立法动态

据IDG电讯,美国众议院商业委员会以绝对优势通过一项议案,根据议案的要求,未请自来的商务电子邮件须有准确的回信地址;如果用户已经请求删除其销售名单上名字后,不准再向用户发送电子邮件。根据这项议案的各项条款,ISP也有权对发送垃圾邮件者起诉。如果这些发送邮件的人违反相关政策,一经核实,则每条垃圾信息可罚款500美元。目前该项法案将提交美国众、参两院讨论[2]。

3、我国关于反垃圾邮件规范的制订情况

在国内随着网络经济的迅速发展,利用电子邮件发送商业信息的行为日益普遍。网民及社会各界要求对利用电子邮件进行商务活动的行为进行限制的呼声越来越高。为了保障收件人、经营者合法权益,创造公平的市场竞争环境,保证邮件的有效性、合法性促进网络经济健康、有序地发展,北京市工商行政管理局也准备对利用电子邮件的发送商业信息的行为进行规范。在该规范征求意见稿中,明确了互联网使用者在利用电子邮件发送商业信息时应本着诚实、信用的原则。不得违反国家的法律法规,不得侵害消费者和其他经营者的合法权益。对利用电子邮件发送商业信息的行为,做了规范。未经收件人同意不得擅自发送;不得利用电子邮件进行虚假宣传;不得利用电子邮件诋毀他人商业信誉;利用电子邮件发送商业广告的,广告内容不得违反广告法的有关规定。明确表示对违反这些规定的互联网使用者,工商行政管理部门将按照广告法、反不正当竞争法、消费者权益保护法的规定进行处罚[3]。



本文认为,HKISPA关于滥发电邮的定义,允许根据具体的情况变化而相应的变更,以求囊括对变换无穷的垃圾邮件形式的方法是可取的。

对与网络个人化信息资料使用有关的反垃圾邮件行为进行规范,可以考虑从下文所论及的几个方面着手。

[URG2]

二、反垃圾邮件的技术措施及与技术措施有关的问题

反垃圾邮件的相关行为规范,在现阶段主要针对网络服务商和网站。针对这些使用网络个人化信息资料的主体,一般应要求它们以及它们能够制造垃圾邮件的客户,不得发送垃圾邮件,否则将暂停它们对互联网的使用。同时,还应当对暂停服务的时间、重新开启服务的时间、程序以及相应的罚则,作出明确的规定。

目前情况下,上述规则的产生与实施,都是以相应的约定为基础的,与之配套的是行业自律性组织和第三方认证的结合。当然,本文并不排除在条件成熟时,可以针对网络个人化信息资料使用过程中产生的垃圾邮件行为,以行政法律、法规的形式,制定相应的最低行为标准和最基本的使用原则。应当明确指出的是,即便如此,行业自律性组织的作用以及其与第三方认证结合形式的价值,是法律规范所无法替代的。[4]有了行为规范的基本要求和应遵循的基本原则,在实践中要重点考虑的是所能够采用的技术措施。

1、关于电子邮件的发送。

以前关于电子邮件管理的软件都可以用于开放式的转送。应网络隐私权保护的需要,和网络个人化信息资料科学的控制与利用的需求,新的电子邮件管理软件已具备了对垃圾邮件进行的防范的功能。[5]

2、电子邮件服务器黑名单。

一般情况下,网民都不喜欢垃圾邮件充塞他們的邮箱。从对为用户服务的角度出发,网络服务商或网站应当提供帮助,以尽量減少或避免他們接收垃圾邮件。这是挽留顾客的方法之一。否则,在反垃圾邮件的力度比较高的国家和地区,该网站或网络服务商可能被列入电子邮件服务器的黑名单[6]。不久便会发现很多电子邮件主机开始拒收由该服务器发出的所有电子邮件,包括非垃圾邮件在內。

另外可用于开放式转送(openrelaying)的电子邮件服务器很可能会被侵占,用以传送垃圾邮件。不久这种电子邮件的服务器也会被列入上述黑名单。为了解决这一问题,[URG3] 香港地区推荐了由VixieEnterprises免费提供的邮件服务器黑名单(RealTimeBlackHoleList),是防范垃圾的简单有用方法。最流行的电子邮件服务器Sendmail的最新版本就支持电子邮件服务器黑名单的使用。[7]

3、限制外发电子邮件的数量。

很多的网络服务商和网站向用户提供免费的电子邮箱。这些用户很可能被用作发送垃圾电子邮件,可以通过技术手段来限制每个用户每日可以发出的电子邮件。开放式的新闻组服务器与开放式的电子邮件转送器产生的问题是一样的,因为它同样可以打开“自由进入点”,让大量的垃圾邮件进入网络。采用一些软件(比如NNTP软件),除了限定只供用户发布新闻稿件以外,还可以限制每个用户每天可发布的稿件数目

应当指出,这种技术的采用,应当预先声明或者在服务协议中有约定的,否则要承担相应的服务瑕疵的民事责任。即使该网络服务商所提供的电子邮箱是免费的,也不能因此而免责。

另外,由于每次拔号上网所取得的的IP地址是不同的,专业的垃圾邮件的发送者会利用拔号上网的方式直接通过外送传输控制协议(TCP)接驳方式在25埠连接外界的电子邮件服务器。为了堵塞这个漏洞,应当阻止自已拔号调制解调节器以TCP接驳方式在25埠连接外界的主机。据研究发现,您的拔号上网的顾客中,有99%的用户不会在25埠直接接驳外界的主机,而是用电邮客户器(Outlook、Netscape等)以有关互联网服务供应商的服务器传送电子邮件。余下的1%顾客因非正当的需要,而必须直接接驳外界的主机,这就是垃圾邮件的发送者。要阻止从自己的调制解调器组别,以TCP接驳方式连接外界的主机,最好是在自己的边界路由器进行。此外,也可以选择把所有通往25埠的外送TCP接驳转往自己的电子邮件的服务器。[8]

4、过滤外来的垃圾邮件。

这种技术措施的使用首先是以用户的同意为前提。否则难逃侵犯网络隐私之嫌,因为它是对网络个人化信息资料的滥用。HKISPA和香港电讯管理局的也认为[9],由互联网服务供应商过滤外来电邮,从而剔除垃圾邮件,不符合经济原则。



三、对滥发垃圾邮件违规行为的查处[URG4]

目前情况下,我国对滥发垃圾邮件行为的查处工作,还没有一个独立的机构。

中国电信曾为了制止垃圾电子邮件,制定了一个处理办法,出于多种原因,该办法的影响并不大。该办法适用于中国电信IP网络的所有用户,包括拨号用户、专线用户及其他有业务流经中国电信IP网的用户。

中国电信将垃圾邮件的定义为:向未主动请求的用户发送电子邮件广告、刊物或其他资料;没有明确的退信的方法、发信人、回信地址等的邮件;利用中国电信的网络从事违反其他ISP的安全策略或服务条款的行为;其它预计会导致投诉的邮件。

具体的处理办法为:对于拨号用户,在接到投诉后三个工作日内对用户予以警告,并将其列入监控名单,警告后仍发送垃圾邮件者,则在通知该用户后,采取暂停直至永久关闭帐号等措施阻止该用户在发送垃圾邮件;对情节严重者,移交当地执法机关;对于专线用户(包括ICP、ISP),在接到投诉后三个工作日内对专线用户予以警告,若用户在三个工作日内没有回复或五个工作日内没有采取措施加以制止,将采取封堵端口或封堵路由的方法加以制止,对因专线用户注册的联系人变更没有及时通知而导致无法通知到专线用户或找不到联系人的,可以直接封堵端口或封堵路由[10]。

相比较而言,通过互联网服务商的对滥发垃圾邮件行为进行制裁,不论是从成本上讲,还是从技术与操作的角度来考察,都是具有很大的优势的。但是,单凭互联网服务商一方的努力,很难使垃圾邮件得到控制,这需要各方包括网络用户特别是第三方组织和行业自律性组织的努力,才能形成反垃圾邮件的规范制度。,也才能从各个方面使网络个人化信息资料不被滥用,也只有这样才能使网络隐私权保护制度得到进一步的健全和完善。

有关的规范,可以通过多种形式表现出来,但是不论是哪一种或者是哪一阶段的行为规范,能否发挥其应有的作用,能否完成设立时所期望的目标,最关键的一点是看,如何对这些行为规范进行监督和执行。

具体地讲,没有对这些违规行为的查处和处罚,所有的反垃圾邮件行为规范也都只是一张纸,没有任何实在的意义。这一点是历史证明了的道理。

如何在目前没有法律、法规作为依据,也没有系统的行业标准作为规范的情况下,着手对滥发垃圾邮件的行为进行查处,是一个不容回避的问题。不论是谁来行使查处的职能,也不论是对谁进行查处,都要有一个程序。而这个程序的设计,既要注意其可操作性,又要注意其实用性,说明白了,就是说,针对目前的情况,这个查处的程序要能行得通,管得住。这里对这个问题提出以下几点意见:

互联网服务商、行业自律性组织、第三方认证机构,应当在网站的主页上设置一个窗口或者是设置链接,专门受理对垃圾电子邮件的投诉。

对于所接收到的这些投诉资料,上述三种机构都应当制作出具体的处理办法或处理规则。比如,先行分类,登记转发,责令解释,处理结论,以及回复投诉人和回访有关人员等等要有明确的细致的程序。本文认为,这些程序应当作为一个基本的要求,向互联网用户公布。使互联网用户能够对该机构有一个清楚的认识,从这些公布的资料中,不仅可以看出该机构或组织对滥发邮件的态度,对网络个人化信息资料保护问题的认识程度,以及是否愿意为网络隐私权保护制度作出贡献。这些,都是网络用户所关心的重要问题。这是网络的互动性与各方主体互利关系建立的客观要求。试想一下,一个网络服务商对其客户关于滥发电子邮件的投诉,置之不理。更有甚者,滥发垃圾邮件时所使用的网络个人化信息资料还是从该服务商处得到的,这时网络用户对这种网络服务商应做何感想?难道还会再信赖它吗?难道还会再与其合作,以谋求互利和共同的发展吗?

网络服务商认真地对待对垃圾邮件的投诉,妥善处理所涉及的问题,在实践中并不是无法实现。一方面可以,通过相关的备份文件及服务器记录,来核实所及问题的真实性,另一方面还可以通过自动回应系统来完成对投诉的回复工作。

当然,网络环境中,很有可能会出现,实际发出垃圾邮件的一方与接受投诉的网络服务商或被投诉主体没有任何关系,比如,滥发垃圾邮件者伪造标头资料,为接获投诉一方制造虚假线索,等情况的出现,给投诉工作受理与处理增加了难度。在这种情况下,就要求上述机构尽最大的努力,以确定这些滥发的垃圾邮件的真正出处,然后向有关机构和组织通报这些事实。[11]

当查出滥发垃圾邮件的真正出处时,发现并不是受理该投诉机构或组织的成员,这时,应该如何处理。本文认为,不能要求受理投诉的互联网服务商、第三方认证机构或行业自律性组织,作出没有任何约束力的处理决定,这样做没有任何意义。但是,这些受理投诉并已经查明滥发垃圾邮件的真正出处真正的组织或机构,应当利用已有的资料尽最大的可能,通知有关具有管理和处罚权的组织机构。并将已履行的通知行为,作为本受理投诉机构的处理结果,回复投诉人,以便投诉人决定,如何采取相应的措施,以保护自己的网络个人化信息资料,以确保网络用户的网络隐私权。



四、网络服务商、行业自律性组织与第三方认证工作的互动与相关的制约

网络服务商所公布的受理滥发垃圾电子邮件的处理程序,是否符合本行业的要求,比如对医药网站或提供网络电子支付服务的网络服务商,与一般的生活门户网站相比,对网络个人化信息资料保护标准和程度的要求,有着很大的区别。而这些标准的把握,就要求行业自律性组织的参与。

行业自律性组织在制定和执行上述标准时,行使着对反滥发垃圾邮件行为规范监督职能。与此同时,还可以通过第三方认证机构与行业自律性组织联合行使该职能。对于已经达到了基本要求或者符合相关标准的主体,可以通过授予认证标志等等形式予以确认或显示。网络环境中行为规范的实现,应当是各方主体的积极参与,网络行为规范的形成应当是由法律规范与其他包括行业自律性规则,第三方认证标准等内容共同组成的,必须是多元化的。



--------------------------------------------------------------------------------

[1] http://www.hkispa.org.hk/antispam/guidelines.html/

[2] 见《管理垃圾邮件将有法可依》载2000年6月26日《计算机世界》A31版“国际动态”。

   [3] 参见拙著《 网络广告法律制度初论》第65页,中国方正出版社2000年11月第一版。

[4] 相关的论证可参见拙著《网络广告法律制度初论》第95页,中国方正出版社2000年11月第一版。

[5] 比如http://www.sendmail.org/tips/relaying.html说明把当前最流行浒的电子邮件服务器Sendmail调校为不可用于开放式转送的方法,而http://www.glenns.org/spam/sendmail/antispam.html则说明把其他常见的电子邮件服务器调校为不可用于开放式转送的方法。

[6] 参见http://maps.vix.com/

[7] 相关资料可参见:http://maps.vix.com/及http://www.sendmail.org/antispam.html/

[8] 参见http://www.hkispa.org.hk/antispam/guidelines.html/

[9] 参见http://www.hkispa.org.hk/antispam/guidelines.html/

[10] 参见《中国电信出台垃圾邮件处理办法》,引自2000年9月第一期《法易》第21页。

[11] 参见2000年2月8日《反滥发邮件——实务守则》。http://www.hkispa.org.hk/antispam/guidelines.html/该实务守则规定,“所涵盖的团体须拟定有关处理滥发电邮的书面程序,并公开派发这程序的印行本及/或将该文本放置在网页上。这程序应包括下列知项:

 1)须设立一个“滥发电邮”户口。凡传送至这个户口的邮件应转送至能够调查这类投诉及采取等到的负责人或负责单位;

 2)必须回复所有送交“滥发电邮”户口的投诉。这可透过自动回应系统进行;

 3)必须就投诉展开调查,并对蔑视有关滥发电邮条款的用户采取行动。即使调查结果显示互联网供应商或用户没有犯猎,互联网供应商应协助投诉人解决投诉。”


( 说明:文中的观点或信息与本网站主办单位无关)