Do boje (nejen) proti spamu!

Na první pohled to vypadá jako další velký úlet, přesně ve stylu eurobyrokracie: ledva nás Unie pokárala za nadměrnou přísnost v boji proti spammingu a přinutila změkčit náš antispamový zákon (podrobněji), už přichází s apelem na to, aby členské země v boji proti spamu přitvrdily, rozšířily „záběr“ a také spojily své síly.

Ono vynucené změkčení se týkalo formálního rozporu našeho zákona č. 480/2004 („o některých službách informační společnosti“) s unijními direktivami o boji proti spamu, konkrétně s direktivou 2002/58/EC (směrnice o soukromí a elektronických komunikacích). Jednalo se o to, že u nás jsme i vůči již existujícím zákazníkům firem požadovali chování na přísnějším princip OPT-IN, zatímco Unie pro tento případ chtěla jen benevolentnější princip OPT-OUT. Fakticky šlo o to, že když už firma má nějaké zákazníky, zda jim může rozesílat své nevyžádané obchodní nabídky bez jejich explicitního souhlasu, nebo si takovýto explicitní souhlas musí nejprve obstarat. Zřejmě tedy v Bruselu nějaký úředník procházel slovo od slova původní direktivu a náš zákon, zjistil nesrovnalost a tak nás přinutil ji napravit. A přitom se vůbec nezabýval věcnou podstatou celého problému, tím jak se spam vyvíjí a co a jak je třeba proti němu dělat.

Teď se ale zdá, že Unie přeci jen začala přemýšlet o problematice spamu jinak, v širších souvislostech a v realističtější rovině. Že pochopila,  že její úprava celé problematiky, pocházející právě z roku 2002 (skrze již zmiňovanou direktivu 2002/58/EC) se přežila, protože celý problém se mezitím posunul do jiné roviny. Pravdou je, že v roce 2002 se EU dívala na spamming jen jako na určitou „obtěžující záležitost“, která má svůj původ zejména v rozesílání nevyžádaných obchodních nabídek ze stran firem. Podle toho tehdy Unie navrhla i své řešení, vymezující spam pouze jako nevyžádané obchodní sdělení a definující podmínky, za jakých firmy smí či naopak nesmí posílat své nevyžádané nabídky.

Spam je na vzestupu

O účinnosti této úpravy boje proti spamu si osobně nedělám přehnané iluze. Sama Unie dnes poukazuje například na Nizozemí, kde poměrně malý regulační úřad (jakási tamní obdoba našeho ÚOOÚ) dokázal snížit objem vnitrostátních spamů o 85%. Jenže co je to proti zahraničnímu spamu, který „uvolněné místo“ rád a rychle zaplní. A tak objemy spamu dál a utěšeně rostou. Třeba podle odhadu britské konzultační společnosti OVUM se celkový objem spamů, „dopadajících“ na Spojené království, zdvojnásobil za pouhé tři měsíce! Realistické odhady, které přejímá i sama Unie ve svých nynějších vyjádřeních, naznačují že až 80 procent emailového provozu dnes představují spamy. Osobně, při pohledu na svou poštovní schránku (před antispamovým filtrem), bych to viděl na ještě vyšší procento.

Existují dokonce i odhady toho, kde je generováno nejvíce spamů. Situaci za červenec až září 2006 ukazuje následující obrázek (zdroj):

Spam už není jen o obtěžování!

Problém ale není jen v tom, že takovéto spamy obtěžují - tím, že spotřebovávají nějakou přenosovou kapacitu, prostor na discích a hlavně vyžadují určitou aktivitu ke svému odstranění, či jen „vynechání“. Spam se začíná čím dál tím více a těsněji prolínat s nejrůznějšími druhy dalších „nekalostí“. Třeba jen pro své šíření se stále větší oblibou využívá počítače, napadené nějakým škodlivým kódem, který z nich udělá poštovní servery a používá je k hromadnému rozesílání dalších spamů (jako tzv. botnety). Dostupné odhady hovoří o tom, že takto se šíří na 50% všech spamů.

Zde na Digiwebu snad také není nutné podrobněji rozvádět, jak mohou spamy roznášet viry či různý spyware, jak mohou být zneužity k různým podvodům a jiným kriminálním aktivitám, včetně tzv. phishingu. Proto snad jen stručná zmínka o tom, jaké to již dnes má následky, v přepočtu na finanční újmy. Podle tohoto zdroje lze náklady, vynucené samotným spamem, odhadnout za rok 2005 na 39 miliard € celosvětově (z toho 3,5 mld. € v Německu, 1,9 mld. € ve Spojeném Království, 1,4 mld. € ve Francii). Vedle toho se škody, způsobené různými druhy malwaru, odhadují celosvětově na 11 miliard € (opět za rok 2005).

Evropa mění strategii

Za této situace už i Evropská unie pochopila, že celý problém je o něčem jiném než o pouhém obtěžování, že začíná nabírat nebezpečných dimenzí, a že se k němu musí postavit jinak, než jak se postavila ke spamu v roce 2002. Takže si naplánovala změnu svého „právního rámce pro boj proti spammingu“, a to na začátek roku 2007. Výsledkem má být ucelená „politika boje proti kybernetické trestné činnosti“, což už samo osobě potvrzuje asi nejzásadnější změnu v celém přístupu Unie. Tedy jiné vnímání celého problému, už ne jako „pouhého“ spammingu, ale jako podhoubí a nástroje pro nejrůznější nekalosti až kriminální aktivity v dnešním on-line světě.

V polovině listopadu Evropská komise vydala svůj první „poziční dokument“ k celému problému. Jde o „Sdělení komise evropskému parlamentu, radě, hospodářskému a sociálnímu výboru a výboru regionů“, na téma „Boj proti spamu a špionážnímu („spyware“) a škodlivému softwaru („malicious software“)“. V tomto dokumentu Evropská komise popisuje svůj pohled na celou problematiku a naznačuje také, jakým směrem se hodlá ubírat při jeho řešení. V této fázi jde jen o základní a hrubé obrysy, které by měly vyvolat veřejnou diskusi a reakci zainteresovaných hráčů (které snad EK následně vezme v úvahu).

Základní principy navrhovaného řešení lze podle uvedeného dokumentu shrnout do následujících bodů:

• spam a aktivity, které se na něj „nabalují“ (malware, spyware atd.), jsou svým charakterem globální. Proto je třeba je řešit ve spolupráci kompetentních subjektů z celého světa
• na řešení musí spolupracovat veřejný i soukromý sektor. Od soukromého sektoru se očekává především určitá samoregulace a vzdání se nekalých praktik, například v reklamě a šíření softwaru (například že nebude obsahovat spyware), zavedení jakési „známky čistoty“ a pravdivé a plné informování spotřebitele. Od poskytovatelů emailových služeb se dále očekává, že budou důsledněji aplikovat, zdokonalovat a svým zákazníkům nabízet k použití techniky pro filtrování emailů.
• od veřejného sektoru, zejména od členských států jako takových,  se očekává že jasně vymezí „hřiště“ (stanoví kdo má jaké kompetence a odpovědnosti v boji proti spamu, malwaru, spyware atd.), zajistí dostatek prostředků pro tyto činnosti, zajistí potřebnou koordinaci, spolupráci se zahraničím a zapojení do nadnárodních aktivit.

Uvedené základní obrysy jsou zatím hodně obecné a vágní, než aby bylo možné je nějak blíže hodnotit. V této podobě proti nim asi nelze nic moc namítat. Jedna konkrétnější představa se však v již zveřejněném dokumentu přeci jen objevuje, a týká se toho, jakým směrem by měl být upraven stávající právní rámec úpravy boje proti spammingu. Dovolím si ocitovat doslova, z české verze Sdělení:

Sdělení Komise o předpisovém rámci pro elektronickou komunikaci navrhuje zpřísnit pravidla v oblasti soukromí a bezpečnosti. Podle tohoto rámce by povinností provozovatelů sítí a poskytovatelů služeb bylo:

• oznámit příslušnému orgánu ve členském státě každý případ porušení bezpečnosti, který by vedl ke ztrátě osobních údajů a/nebo přerušení v poskytování služeb.
• oznámit zákazníkům každé porušení bezpečnosti vedoucí ke ztrátě, změnám, přístupu nebo zničení osobních údajů uživatele.

Vnitrostátní regulativní orgány by měly mít pravomoc zajistit, aby provozovatelé zavedli přiměřené bezpečnostní politiky a mohla být zavedena nová pravidla, která by určovala konkrétní nápravné prostředky nebo rozsah sankcí udělovaných za příslušná porušení.

To už naznačuje podstatně více, směrem k tomu, že na poskytovatele služeb by bylo naloženo další velké břemeno. Například povinnost mít vlastní (a přiměřenou) bezpečnostní politiku hodnotím jednoznačně kladně. Ale třeba u povinného oznamování bude velmi důležité, jak to bude přesněji formulováno. Například zda budou poskytovatelé služeb muset nějak aktivně monitorovat veškeré dění ve své síti, a pokud ano, tak v jakém rozsahu.

Počkejme tedy, co se z toho všeho nakonec vyklube. Zda to bude jen další bezzubý návrh byrokratů, který se mine účinkem, nebo zda půjde o něco, co má hlavu a patu a mohlo by alespoň nějak pomoci. Z toho, jak je psán již zveřejněný dokument (Sdělení), jsem mírný optimista, protože celý problém je zde vnímán a popisován vcelku realisticky. Jenže od vnímání problému k jeho skutečnému řešení, byť ve spolupráci se všemi hráči, je stále hodně a hodně daleko.