O spamie raz jeszcze

W języku angielskim funkcjonują pojęcia:

• UCE - Unsolicited commercial e-mail - polskim odpowiednikiem jest tu Niezamówiona Informacja Handlowa. Jest to każdy e-mail zawierający ofertę "kup pan cegłę" - najczęściej z ceną i dziesięciomegowym pdf-em.
  
• UBE - Unsolicited bulk e-mail - niezamówiony masowy mailing. Pod tą kategorię podpadają wszystkie "pytania o zgodę na otrzymywanie spamu" , prośby o pomoc finansową dla chorych dzieci¹⁾, kiełbasa wyborcza partii politycznych tuż przed wyborami etc.
• spam - jest to szerokie pojęcie zawierające w sobie UCE i UBE. Definicji spamu jest bardzo dużo i z tego powodu bardzo trudno jest przekazać spamerowi, że to co on robi jest spamem.
  

Z racji mojego zawodu zajmuję się zarówno UCE/NIH jak i UBE jak i zwykłym spamem. W tym artykule chciałbym zająć się błędami w rozumowaniu polskich spamerów.

NIH i UBE to są 2 różne pojęcia. Chociaż większość (prawie wszystkie) UCE są wysyłane masowo to jednak mogą się przydarzyć UCE, które są wysyłane pojedynczo.

• "Państwa adres e-mail pochodzi z ogólnie dostępnych źródeł"

czyli krótko mówiąc ze strony www, panoramy firm lub innych baz danych dostępnych zarówno komercyjnie jak i ogólnodostępnych. Polscy spamerzy myślą²⁾, że ktoś, kto wyświetlił swój adres e-mail na stronie oczekuje od nich wszelakich ofert. W takim przeświadczeniu utrzymują ich zresztą handlarze bazami danych - oczywiście tylko po to aby sprzedać swoje bazy. Otóż nie - mylą się, bo cytując Ustawę o Świadczeniu Usług Drogą Elektroniczną "zgoda nie może być domniemana lub dorozumiana".
Jeżeli ktoś wystawia swój adres na stronie www lub w wizytówce firmy to nie po to aby otrzymywać oferty tylko po to aby się można było zapytać o jego produkty/usługi. To on ma zyskać/sprzedać a nie kupić coś od innych. Niektórzy polscy spamerzy proponują "współpracę". Ta współpraca polega na tym, że oni coś sprzedają a ofiara ma za zadanie to kupić.

• "Jeżeli nie życzą sobie Państwo otrzymywania podobnych informacji..."

Oczywiście, że sobie nie życzymy. Nie życzymy sobie dostawać spamu zarówno od Was jak i innych spamerów. Tylko dlaczego każecie się wypisywać z Waszej bazy danych skoro nasze dane w ogóle nie powinny do niej trafić?

Stanowisko Głównego Inspektora Ochrony Danych Osobowych jest takie, że każda osoba z bazy danych osobowych powinna zostać powiadomiona o tym, że coś (na co nie wyrażała zgody) się dzieje z jej danymi. Czyli sprzedawca BDO powinien powiadomić osoby PRZED sprzedażą o tym fakcie oraz sprzedać tylko te dane, których właściciele wyrazili na to zgodę (ponownie - zgoda nie może być domniemana lub dorozumiana). Sprzedawca powinien o tym informować i wymagać zgody za każdym razem jak sprzedaje bazę.
Kupujący bazę danych osobowych jest zobowiązany powiadomić wszystkich zainteresowanych o tym fakcie, o celu zgromadzenia danych osobowych oraz o prawach przysługujących właścicielom tych danych. Oraz oczywiście umożliwić poprawianie i usuwanie danych.

Właścicieli danych osobowych trzeba też informować o tym, że cała firma (dotychczasowy administrator BDO) będzie sprzedana lub administrator BDO nawiązał z kimś współpracę i teraz ktoś inny ma dostęp do danych osobowych. Administrator DO powinien chronić DO i nikt inny nie powinien mieć do nich dostępu, chyba, że właściciel danych osobowych wyraził na to zgodę.

Oczywiście żaden spamer tego nie robi i wszyscy myślą²⁾, że skoro dane są publicznie dostępne to można je sobie dowolnie przetwarzać.

• "szanując Państwa prywatność"

Niepotrzebna kurtuazja, powinno być od razu "gwałcąc Państwa prywatność"... Jak Azje Tuhajbejowicza nabijano na pal, to się go nie pytano czy mu wygodnie.

• wysyłanie spamu do wszystkich

Jeżeli na stronie www jest podanych kilkanaście adresów e-mail do działów/oddziałów firmy to jest niemal pewne, że spamerzy użyją ich wszystkich. Jeżeli adres email należy do dentysty to jest niemal pewne, że dostanie ofertę pługów odśnieżnych i hal metalowych.
Z drugiej strony od czasu do czasu spotykam się z wiadomością wyglądająca jak spam, będącą NIH, ale nie będącą spamem - ponieważ odbiorca działa w tej samej branży co nadawca i rzeczywiście ich współpraca przyniesie korzyści. Ostatnio miałem taki przypadek hmm... wiosną...

• poprawność bazy danych

Dla spamerów (i dla normalnych mailingów) sprawdzenie poprawności bazy danych to zbyt duża i niepotrzebna robota. A powinno być tak, że po każdej wysyłce sprawdza się, że serwer odbiorcy odpowiedział komunikatem np. 550 User unknown. Takie niedziałające adresy powinny być usunięte z bazy. Miałem kiedyś taki przypadek, że mBank miał w swojej bazie adres osoby, która przestała pracować i jej adres usunięto. Po ponad roku został założony identyczny adres dla zupełnie innej osoby. Jednym z pierwszych emaili, który doszedł był wyciąg z konta. Poinformowałem o tym bank i dostałem odpowiedź, że oni to mają w dupie, bo o poprawność swoich danych powinien dbać użytkownik.

• zlecenie wysyłania mailingu firmie trzeciej

Są specjalistyczne firmy zajmujące się wysyłaniem spamu (znaczy się oni to nazywają mailingami). Można zlecić wysyłanie spamu studentce i narazić ją na karę finansową do 5 000 złotych.
Jeżeli chodzi o firmy zajmujące się wysyłaniem spamu to wszystkie już są (albo wkrótce wylądują) na moich czarnych listach, tak więc jeżeli z nich skorzystacie to mi oszczędzicie roboty z dopisywaniem kolejnych adresów do czarnej listy.

• skuteczność mailingu

mailingi rzeczywiście są skuteczne, wiadomo która firma traktuje odbiorców jak idiotów, nie szanuje prywatności, nie ma pojęcia o polskim prawie a zatem z którą firmą nie powinno się robić interesów. Najczęściej spam traktuje się klawiszem delete. Dość często spam w ogóle nie dociera do adresata. Ale na moich serwerach spamerzy lądują na czarnych listach i od tego momentu nie dojdą nawet zwykłe zdjęcia z wakacji Prezesa.

• ten spam nie jest spamem

czasami zdarza się osobnik, który twierdzi, że ten spam który rozesłał jest zgodny z polskim prawem. Może i jest, ale ja się zajmuję spamem a nie Niezamówionym Informacjami Handlowymi. Niezamówionym Informacjami Handlowymi zajmują się sądy, prokuratury policje i prawnicy. Ja się zajmuję spamem. Nie blokuję nadawcy dlatego, że rozesłał NIH a dlatego, że rozesłał spam.

• czy można się usunąć z czarnej listy?

można, ale po co? za chwilę spamer trafi tam z powrotem. Nikt i tak nie zechce korespondować ze spamerem.

• co zrobić jeżeli jakiś spamer używa tego samego IP co zwykła firma?

zwrócić się do hostingu o zmianę adresu IP na "czysty" oraz do administratora odbiorcy aby dodał adresy na białą listę.

Przypisy

1. To okrutne, ale skoro fundacja ma pieniądze na bazy danych adresów e-mail, ma pieniądze na infrastrukturę do wysyłania mailingów to ode mnie nie dostanie złamanego grosza
2. przepraszam za określenie, to się więcej nie powtórzy