Spam och obeställd e-postreklam
Ur Lov&Data nr 79, september 2004, s. 26-29.
Av Daniel Westman
Inledning
Elektronisk post (e-post) är ett effektivt och billigt verktyg för affärskommunikation, bl.a. för marknadsföring riktad mot såväl potentiella som befintliga kunder. Samtidigt kan e-post lätt missbrukas och bl.a. orsaka stora besvär och kostnader för mottagare av kommunikationen och för tjänstetillhandahållare som förmedlar e-post. Detta hänger till stor del samman med att marginalkostnaden för att skicka ett e-postmeddelande är i det närmaste noll. På senare tid har mängden skräppost (s.k. spam) ökat mycket kraftigt och det finns t.o.m. en risk för att internets grundläggande infrastruktur hotas av överbelastning. För närvarande sker ett omfattande tekniskt och rättsligt arbete för att komma till rätta med denna utveckling.
Den rättsliga regleringen av betydelse i sammanhanget är av tre slag. Den första kategorin består av sådana regler som tar sikte på behandlingen av personuppgifter, t.ex. e-postadresser. Den andra kategorin utgörs av regler som direkt tar sikte på användningen av e-post som kommunikationskanal, främst för marknadsföring. Den tredje kategorin av betydelse är sådana regler som tar sikte på skyddet för kommunikationssystemen och som t.ex. förbjuder obehörig åtkomst till e-postsystem.
I detta sammanhang fokuseras i huvudsak på den andra kategorin regler. Ett problem när det gäller att reglera själva rätten att skicka e-post är att begreppet spam inte har en bestämd innebörd, som kan läggas till grund för en rättslig reglering. Sett i ett internationellt perspektiv tar reglering av e-post istället normalt sikte på marknadsföring som är obeställd, medan annan användning e-postmediet i huvudsak är tillåten. Det finns emellertid de debattörer som ser alla oönskade e-postmeddelanden som spam.
Den 1 april i år infördes i marknadsföringslagen (1995:450) vissa nya regler om s.k. obeställd reklam. Reglerna tar sikte på marknadsföring som sker med hjälp av elektronisk post och innebär bl.a. att den näringsidkare som vill använda elektronisk post för marknadsföring riktad till fysiska personer bara får göra det om den fysiska personen på förhand har lämnat sitt samtycke (en s.k. opt-in-reglering). Genom de nya reglerna genomför Sverige de bestämmelser i det s.k. kommunikationsdataskyddsdirektivet [1] som inte redan tidigare genomförts i lagen (2003:389) om elektronisk kommunikation.
De nya reglerna i marknadsföringslagen
Möjligheterna att skicka obeställd reklam med hjälp av e-post har även före kommunikationsdataskyddsdirektivet varit reglerad på EU-nivå. Den tidigare regleringen gav medlemsstaterna en möjlighet att välja mellan ”opt-in” (krav på samtycke från mottagaren som huvudregel) och ”opt-out” (rätt att använda e-post så länge mottagaren inte säger ifrån antingen direkt till avsändaren eller till ett s.k. reservationsregister som avsändaren måste kontrollera). Sverige valde en opt-out-reglering.
Kommunikationsdataskyddsdirektivet kräver emellertid en opt-in-reglering och en sådan har nu alltså genomförts i marknadsföringslagen. Den nya regleringen innebär att en näringsidkare vid marknadsföring till en fysisk person bara får använda elektronisk post om den fysiska personen har samtyckt till det på förhand. Kravet på samtycke gäller emellertid inte om näringsidkaren fått den fysiska persons e-postadress i samband med försäljning av en vara eller tjänst till personen, om (1) personen inte motsatt sig att uppgiften om elektronisk adress används för marknadsföring med elektronisk post, (2) marknadsföringen avser näringsidkarens egna, likartade produkter, och (3) personen klart och tydligt ges möjlighet att kostnadsfritt och enkelt motsätta sig att uppgiften används i marknadsföringssyfte när den samlas in och vid varje följande marknadsföringsmeddelande (13 b §). Dessutom anges att sådan marknadsföring som sker med elektronisk post alltid skall innehålla en giltig adress till vilken mottagaren kan sända en begäran om att marknadsföringen skall upphöra. Detta krav gäller även vid marknadsföring till en juridisk person (13 c §).
Elektronisk post definieras i 3 § marknadsföringslagen som ”ett adresserat eller på annat sätt individualiserat elektroniskt meddelande i form av text, röst, ljud eller bild som sänds via ett allmänt kommunikationsnät och som kan lagras i nätet eller i mottagarens terminalutrustning tills mottagaren hämtar det”. Lagens definition av elektronisk post innefattar därmed t.ex. även SMS, MMS och många meddelandetyper som skickas via tjänster för direktmeddelande (t.ex. ICQ och MSN Messenger). Däremot torde inte s.k. pop-up-fönster som öppnar sig i samband med webbsurfning omfattas av definition, eftersom det här knappast är fråga om ett meddelande som lagras i nätet eller mottagarens terminalutrustning tills mottagaren hämtar det, utan något som sker i realtid.
Bara e-post som används för marknadsföring omfattas av den nya regleringen. Begreppet ges emellertid i 3 § marknadsföringslagen en mycket vid innebörd, nämligen ”reklam och andra åtgärder i näringsverksamhet som ägnade att främja avsättningen av och tillgången till produkter”. Det kan här noteras att även åtgärder som riktar sig till en enda mottagare – t.ex. ett e-postmeddelande med en offert - kan utgöra marknadsföring i lagens mening. Däremot är den nya regleringen, till skillnad t.ex. från regleringen i personuppgiftslagen, inte tillämplig när e-post skickas utanför näringsverksamhet, t.ex. i rent politiska, kulturella eller ideella sammanhang.
En väsentlig begränsning av opt-in-regelns tillämpningsområde är kravet på att marknadsföringen skall vara riktad till en fysisk person. Även fysisk person som är näringsidkare, dvs. har enskild firma, omfattas av samtyckeskravet (prop. 2003/04:43 s. 13). Samtycke krävs motsatsvis inte för att e-post skall få användas vid marknadsföring till juridiska personer. Det finns emellertid oklarheter kring när en marknadsföringsåtgärd med hjälp av e-post skall anses riktad mot en fysisk respektive juridisk person. Dessa oklarheter har sin grund i att fysiska personer ofta av sin arbetsgivare eller liknande tillhandahållits en e-postadress som kan användas både i tjänsten och för privat bruk. Ett alternativ vore givetvis att avgöra frågan genom att studera marknadsföringens innehåll. Kommunikationsdataskyddsdirektivet, som ligger till grund för den svenska regleringen, tycks emellertid anvisa en annan lösning. I artikel 13 första stycket anges att direkt marknadsföring med e-post bara får tillåtas i fråga om abonnenter som i förväg har gett sitt samtycke. Begreppet abonnenter definieras i det s.k. ramdirektivet som ”fysisk eller juridisk person som har ingått avtal med en leverantör av allmänt tillgängliga elektroniska kommunikationstjänster om tillhandahållande av sådana tjänster”. Av femte stycket i artikel 13 i kommunikationsdataskyddsdirektivet framgår emellertid att första stycket gäller abonnenter som är fysiska personer. Utgångspunkten tycks alltså vara att opt-in-lösningen bara gäller sådana e-postadresser som en fysisk person erhållit enligt avtal med en leverantör av allmänt tillgängliga elektroniska kommunikationstjänster. Marknadsföring som skickas till en adress av typen ”namn@arbetsgivaren.se” torde alltså som huvudregel inte omfattas av reglering. För en sådan tolkning talar även att regeringen i samband med ändringarna i marknadsföringslagen gjort bedömningen att det för närvarande inte bör införas ”några ytterligare bestämmelser som skyddar juridiska personer mot icke begärd marknadsföring” (prop. 2003/04:43 s. 16).
En konsekvens av denna tolkning blir att en väsentlig del av all marknadsföring som sker genom e-post faller utanför den nya opt-in-regleringen. Därmed står det klart att de nya reglerna inte ens i teorin, dvs. även om man bortser från praktiska problem förknippade med datanätverkens internationella dimensionen och verkställighet i en sådan miljö, kan utgöra lösningen på problemet med den växande skräppostfloden. För en näringsidkare som vill använda e-post för marknadsföring kan det samtidigt många gånger på förhand vara svårt att veta om en viss adress omfattas av kravet på samtycke eller ej. I sådana situationer är det med andra ord nödvändigt att inhämta samtycke för att vara på den säkra sidan.
I sammanhanget bör det påpekas att även de här omtalade e-postadresserna utgör personuppgifter i personuppgiftslagens mening. Det bör också nämnas att vissa medlemsstater valt att göra opt-in-regimen tillämplig även på sådana e-postadresser. Det har de enligt artikel 13 (5) i kommunikationsdataskyddsdirektivet möjlighet att göra.
Vad kravet på samtycke innebär framgår inte uttryckligen av den nya regleringen i marknadsföringslagen. Begreppet samtycke skall emellertid enligt artikel 2 (f) i kommunikationsdataskyddsdirektivet tolkas i enlighet med personuppgiftslagstiftningen. Detta innebär att det skall vara fråga om en frivillig, särskild och informerad viljeyttring. Samtycke kan t.ex. lämnas genom att en besökare på en webbplats, efter att ha fått information om att uppgifterna skall användas för direkt marknadsföring, genom att klicka i en ruta eller liknande, väljer att accepteras detta. Underförstått samtycke är inte samtycke i personuppgiftslagstiftningens mening. Utgör samtycket till direkt marknadsföring endast en del av ett mer omfattande avtal mellan parterna torde det normalt krävas att samtycket i denna del manifesteras särskilt. Det bör även tydligt framgå vilken typ av marknadsföring som accepteras och om personuppgifter även får överlämnas till tredje man för att användas för direkt marknadsföring med hjälp av e-post. Att skicka ut ett e-postmeddelande för att fråga om mottagaren samtycker till direkt marknadsföring på detta sätt torde också vara tveksamt eftersom en sådan åtgärd i sig kan antas falla in under opt-in-regleringen. Slutligen bör påpekas att ett lämnat samtycke enligt personuppgiftslagstiftningen kan återkallas.
Från kravet på samtycke undantas som redan nämnts vissa former av marknadsföring som sker inom ramen för ett etablerat kundförhållande. För att ett etablerat kundförhållande skall anses föreligga krävs att det förekommit ett avtal om köp av en vara eller en tjänst. Hur länge detta kundförhållande därefter skall anses bestå framgår inte uttryckligen av lagtexten eller det bakomliggande direktivet. I en tidigare gällande föreskrift enligt datalagen (DIFS 1979:3) om kund- och leverantörsregister föreskrevs att personuppgifter i ett kundregister skulle utplånas i vart fall senast vid utgången av det kalenderår som inföll tre år efter det att mellanhavandena mellan den registrerade och registeransvarige avslutades. Om denna regel utan vidare kan överföras till det här aktuella sammanhanget är emellertid tveksamt. Av betydelse bör t.ex. även vara hur länge kundförhållandet varit aktivt. Har t.ex. en tjänst tillhandahållits under en lång tid bör detta motivera att kundförhållande anses bestå under längre tid efter det att avtalstiden löpt ut. I propositionen anges att frågan om hur länge ett kundförhållande skall anses bestå får överlämnas till rättstillämpningen, i sista hand EG-domstolen (prop. 2003/04:43 s. 13). Utredningen som tog fram förslaget till svenskt genomförande menade emellertid att ett kundförhållande skulle anses bestå i högst ett år från det att avtalsförpliktelserna fullgjorts, men menade att denna tidsgräns inte behövde komma till uttryck direkt i lagtexten (SOU 2002:109 s. 248).
För att undantaget från opt-in-regleringen skall vara tillämpligt krävs dessutom att tre rekvisit är uppfyllda.
För det första krävs att den fysiska personen inte motsatt sig att uppgiften om elektronisk adress används i marknadsföringssyfte med användande av elektronisk post. Har den fysiska personen motsatt sig marknadsföring med hjälp av e-post måste näringsidkaren alltså respektera detta. Inga särskilda formkrav kan ställas på personens opt-out-meddelande.
För det andra krävs att det är fråga om marknadsföring som avser näringsidkarens egna, likartade produkter. Det krävs alltså att det skall vara samma fysiska och juridiska person som har avtalsförhållandet som marknadsför sina varor eller tjänster med hjälp av e-post. För att en e-postadress som ett företag erhållit i en kundrelation skall få utnyttjas för marknadsföring av produkter som tillhandahålls av ett annat företag i samma koncern krävs därmed samtycke av mottagaren (jfr ingresspunkt 41 i kommunikationsdataskyddsdirektivet). Det krävs också att det är fråga om likartade varor eller tjänster som kunden tidigare har köpt från näringsidkaren. I propositionen uttalas att det för att produkterna skall anses vara likartade i vart fall får krävas att de tillhör samma varu- respektive tjänstegrupp (prop. 2003/04:43 s. 18).
För det tredje krävs att den fysiska personen klart och tydligt ges möjlighet att kostnadsfritt och enkelt motsätta sig att uppgiften används i marknadsföringssyfte när den samlas in och vid varje följande marknadsföringsmeddelande. Detta rekvisit gör det nödvändigt för en näringsidkare som vill kommunicera med hjälp av e-post med sina kunder att se över dels formerna för insamling av e-postadresser, dels utformningen av varje marknadsföringsmeddelande som skickas med hjälp av e-post. Vid varje insamling av e-postadresser, t.ex. med hjälp av blanketter eller webbsidor, måste det alltså finnas en möjlighet för kunden att motsätta sig marknadsföring genom att kryssa i en ruta eller liknande. I detta sammanhang kan det även vara lämpligt att fullgöra de krav på information till den registrerade som ställs i 24 § personuppgiftslagen. Givetvis kan näringsidkaren dessutom välja att inhämta ett aktivt samtycke enligt det ovan sagda. När det gäller själva meddelandets utformning innebär rekvisitet att mottagaren enkelt skall kunna motsätta sig fortsatt marknadsföring genom att svara på meddelandet eller följa en länk som finns i detta. I denna del finns en tydlig koppling den andra nya paragrafen i marknadsföringslagen (13 c §), som anger att marknadsföringsmeddelanden som skickas med elektronisk post alltid skall innehålla en giltig adress till vilken mottagaren kan sända en begäran om att marknadsföringen skall upphöra. Ett grundkrav i detta hänseende torde vara att det finns möjlighet att sända en sådan begäran med samma kommunikationssätt som använts för själva marknadsföringen.
Bestämmelsen i 13 c § har emellertid även en självständig betydelse, dels genom att den är sanktionerad med marknadsstörningsavgift, dels genom att den även gäller marknadsföring till juridisk person. Om ett en opt-out-begäran av en juridisk person inte respekteras utgör detta inte ett brott mot 13 b §, men marknadsföringen kan då troligen ses som otillbörlig enligt 4 § marknadsföringslagen. Om det är fråga om en behandling av personuppgifter innebär en opt-out-begäran även att personuppgiftslagens regler aktualiseras. Enligt 11 § personuppgiftslagen får t.ex. personuppgifter inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.
I detta sammanhang skall även noteras att marknadsföringslagens krav på reklamidentifiering och sändarangivelse (5 §) även gäller marknadsföring som sker med hjälp av e-post. Även överträdelse av dessa krav kan medföra att marknadsstörningsavgift döms ut.
Själva opt-in-bestämmelsen i 13 b § är däremot inte direkt sanktionerad med markandsstörningsavgift. Den som bryter av denna bestämmelse kan därmed främst drabbas av förbud förenat med vite. Konsumentverket är den myndighet som utövar tillsyn över marknadsföringslagen och verket har bl.a. inrättat en särskild webbplats på vilken överträdelser kan rapporteras. I teorin kan det även bli aktuellt för konsumenter eller andra näringsidkare som lidit skada på grund av att förbudet mot att använda e-post överträtts att kräva skadestånd enligt marknadsföringslagens regler. Men eftersom det kan vara svårt att styrka exakt vilka skador som en viss överträdelse givit upphov till kan skadståndssanktionen bli svår att tillämpa i detta sammanhang.
Reglerna om obeställd reklam är undantagna från den s.k. ursprungslandsprincipen i e-handelsdirektivet (2000/31/EG). Detta innebär EG-rättsligt att varje medlemsstat inom ramen för fördragsreglerna om fri rörlighet kan tillämpa sina nationella regler på området. För svenskt vidkommande innebär detta att marknadsföringslagens ovan behandlade regler tillämpas om marknadsföringen anses riktad mot en svensk publik, dvs. om e-post skickas till fysiska personer som har sin hemvist i Sverige. Detta gäller oavsett var näringsidkaren som skickar meddelandet är etablerad, men givetvis kan det vara svårt att göra marknadsföringslagens sanktioner effektiva om näringsidkaren inte har någon mer påtaglig anknytning till Sverige.
CAN-SPAM Act
Även utanför EU har lagstiftningsåtgärder mot obeställd reklam och spam i vidare mening vidtagits. I USA, som är tongivande beträffande lagstiftningsåtgärder som berör internet, var flera delstater relativt tidigt ute med kraftfull lagstiftning på området.
I januari 2004 trädde även en mycket omdebatterad federal lagstiftning – CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act) – i kraft. CAN-SPAM Act kan betecknas som en opt-out-reglering som huvudsakligen tar sikte på den rena skräpposten och åtgärder som vidtas för att skicka sådan post. Den är inte begränsad till fysiska personer. Obeställda kommersiella e-postmeddelanden måste förses med en reklamidentifiering och opt-out-adress (både e-post och fysisk). Vidare förbjuds vilseledande ämnesrader och falska ”headers” (information om meddelandets ursprung och hur det förmedlats). Federal Trade Commission (FTC) ges dessutom behörighet (men inte skyldighet) att tillskapa ett nationellt reservationsregister för e-post. För meddelanden med pornografiskt innehåll finns särskilda regler, bl.a. om standardiserad märkning, så att meddelandena automatiskt kan filtreras hos mottagaren eller i nätverket. CAN-SPAM Act söker även motverka spam genom olika regler som kriminaliserar angrepp mot kommunikationssystem och vissa former av insamling av e-postadresser, t.ex. automatisk insamling av e-postadresser från webbplatser. Sanktionerna är kraftfulla.
Kritiken mot CAN-SPAM Act riktar bl.a. in sig på verkställighetsproblemen. Det är enligt den federala lagstiftningen – till skillnad från enligt flera delstatslagar – inte möjligt för enskilda e-postanvändare att väcka talan, t.ex. grupptalan om skadestånd för att på det sättet utkräva ersättning som mindre skador som drabbat många. Istället är det FTC eller andra federala myndigheter, tjänstetillhandahållare eller delstatsåklagare som kan väcka talan i domstol. Lagstiftningens effektivitet har även ifrågasatts mot bakgrund av de begränsade möjligheterna att ingripa mot e-post som har utländskt ursprung. Den främsta nackdelen med den nya federala lagstiftningen som framhållits är emellertid att den förbjuder befintliga delstatslagar som har en mer strikt inställning till spam, t.ex. genom att lägga fast en opt-in-regim eller genom att tillåta grupptalan.
Rättsliga och tekniska lösningar
Det är knappast troligt att de europeiska eller de amerikanska regleringarna ensamma kommer att lösa spamproblematiken. Lösningen står troligen att finna i en kombination av rättsliga och tekniska åtgärder.
För närvarande pågår ett omfattande arbete med att skapa tekniska lösningar som kan förhindra eller åtminstone minska floden av skräppost som fyller inkorgarna. Sådana åtgärder kan ha olika inriktning och vidtas på olika nivåer i kommunikationssystemen.
Filtrering kan ske både lokalt hos användaren och i tjänstetillhandahållarnas nät. Nackdelarna med filtrering är dels att spammarna hela tiden hittar nya metoder för att lura dessa filter samtidigt som mer och mer strikta filter även riskerar att fånga upp av mottagaren önskade meddelanden. Filtrering hindrar inte heller att kommunikationssystemen belastas med oönskade meddelanden.
En annan lösning bygger på att meddelanden som skickas till en mottagare som avsändaren inte tidigare kommunicerat med måste bekräftas. Detta kan ske t.ex. genom att avsändaren får en fråga som inte kan besvaras av ett automatiskt spamprogram utan bara av en människa. Nackdelen med ett sådant system är naturligtvis dels den extra trafik som det genererar, dels det manuella arbete som krävs av avsändare av e-post. Detta måste därför betecknas som temporär åtgärd.
Det grundläggande tekniska problemet bakom massutskick med e-post är att de tekniska standarderna som används för att skicka e-post inte gör det möjligt för tjänstetillhandahållarna att kontrollera att avsändaradressen inte är falsk (s.k. ”spoofing”). På längre sikt torde det därför för att det skall vara möjligt att komma till rätta med spamproblematiken krävas att dessa standarder ändras så att avsändaren kan identifieras. En sådan teknisk lösning måste emellertid för att få full effekt genomföras i varje lokalt närverk, någon som kan förväntas ta lång tid.
[1] Europaparlamentet och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation).