KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Uanmodet kommerciel kommunikation og databeskyttelse Resumé af konklusionerne af undersøgelsen (*) - Januar 2001 Serge Gauthronet og Étienne Drouard Europa-Parlamentet og Rådet har inden for de seneste fem år vedtaget to vigtige direktiver for at sikre et højt beskyttelsesniveau for privatlivets fred i forbindelse med den elektroniske behandling af personoplysninger, nemlig direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og direktiv 97/66/EF om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren. Mens EU-medlemsstaterne er ved at lægge sidste hånd på gennemførelsen af direktivernes bestemmelser i deres nationale lovgivning, er det moderne samfund i stigende grad konfronteret med en række problemer og udfordringer, der følger i kølvandet på udviklingen af Internet og elektronisk handel, herunder ukontrolleret indsamling af personoplysninger, udarbejdelse af omfattende databaser med personprofiler, ukontrolleret handel med personoplysninger, umådeholden brug af reklamer, hyppige tilfælde af illoyal praksis og alvorlige krænkelser af privatlivets fred. Kommissionen har allerede i flere år beskæftiget sig med disse problemer og har bl.a. kigget nærmere på spørgsmålet om uanmodet kommerciel kommunikation også kaldet spamming. Kommissionen har givet ARETE-konsulenterne Serge Gauthronet og Etienne Drouard i opdrag at udarbejde en tilbundsgående undersøgelse på dette område. Undersøgelsen består af to dele: en industriel del og en juridisk del. I den industrielle del af undersøgelsen analyseres det, hvorledes spam udøves, hvorledes det har udviklet sig i løbet af de seneste år, samt hvilken teknologi og praksis der anvendes. For at få et så tydeligt resultat som muligt er denne del af undersøgelsen foretaget i USA, hvilket således har givet mulighed for at se, hvorledes det amerikanske samfund under pres fra internetaktørerne gradvist har udviklet en række instrumenter til at beskytte sig mod den reklamemæssige syndflod, der oversvømmer internetbrugernes elektroniske postadresser. Observationen af de amerikanske forhold har samtidig vist, hvorledes nogle få førende virksomheder på det globale marked har udviklet nye strategier for e-mail marketing, der bygger på samtykke og tilladelse (permission based). Med disse strategier, der i langt højere grad tager hensyn til beskyttelsen af privatlivets fred (privacy friendly), sker der en forskydning af problemstillingen med hensyn til beskyttelse af privatlivets fred, uden at der gives en fuldstændig tilfredsstillende løsning. Den juridiske del af undersøgelsen indeholder en gennemgang af de retlige, forskriftsmæssige, administrative, doktrinære og etiske rammer samt retspraksis for, hvorledes den uanmodede ) GD for det Indre Marked - kontrakt nr. ETD/99/B5-3000/E/96.
elektroniske markedsføring har udviklet sig og i fremtiden vil udvikle sig i EUmedlemsstaterne inden for rammerne af den eksisterende fællesskabslovgivning. Denne del af undersøgelsen beskriver også lighederne og forskellene mellem forskellige nationale løsningsmodeller af offentlig eller privat art. Det vil på grundlag af disse analyser være muligt at overveje og anbefale, hvilke juridiske rammer der bedst fremmer retssikkerheden for de europæiske e-handlende og beskytter internetbrugernes anerkendte rettigheder i Europa. I) De industrielle aspekter af e-mail marketing og spamming: generel situation, praksis og serviceudbud De observationer, der er foretaget i forbindelse med undersøgelsen, kan sammenfattes i seks hovedpunkter, der dækker de økonomiske rammer for e-mail marketing, fænomenets historie, operatørernes nuværende praksis, den teknologiske udvikling og de nye metoder, der bygger på samtykke (permission-based marketing). I.1) Internet er særdeles velegnet til interaktiv markedsføring, hvilket fremgår tydeligt af forskydningen i den måde, hvorpå annoncørerne bruger deres penge i USA. Omkostningerne til direkte markedsføring repræsenterer allerede i USA 50 % af annoncørernes samlede budget til kommerciel kommunikation. Der er hovedsagelig tre årsager til den stigende brug af Internet: Omkostningerne til en reklamekampagne på Internet er betydelig lavere i forhold til de traditionelle medier. Gennemsnitsprisen pr. e-mail i forbindelse med en elektronisk reklamekampagne er således på ca. 10 cent, mens prisen pr. forsendelse med postvæsenet er på mellem 50 cent og 1 dollar. Konkretiseringsgraden ved e-mail marketing varierer fra 5 til 15 %, mens den for de traditionelle postomdelte markedsføringskampagner kun varierer fra 0,5 % til 2 %. Der er en betydelig effektivitetsforskel mellem e-mail marketing, hvor op til 18 % af brugerne klikker sig igennem til meddelelsen (click-through) (1), og reklamebannere, hvor effektivitetsgraden i den seneste tid er faldet støt og nu i henhold til Forrester Research ligger på omkring 0,65 %. Den skulle endog ifølge andre kilder (Nielsen Netratings marts 2000) være faldet fra 2,5 % midt i 90'erne til 0,36 % i marts 2000. Det er derfor højst sandsynligt, at der i de kommende år vil blive investeret mere og mere i direkte markedsføring på Internet og i særdeleshed i e-mail marketing. I.2) Spamming har været e-mail marketings børnesygdom. Spamming, således som man har oplevet det i midten af 90'erne og især i USA, er nu i tilbagegang. Ved at gennemgå de forskellige online-sortlister over spammere kan det således konstateres, at dette fænomen havde nogle gyldne år fra 1995 til 1998, og at antallet 1) Det vil sige, når en bruger klikker på et hyperlink og således får direkte adgang til annoncørens websted og tilbud. Et køb, der foretages på denne måde, kaldes en click-order. 2
af registreringer i disse sortlister har været faldende i løbet af de seneste to år. Denne udvikling skyldes fire faktorer: 1. faktor: Indsatsen fra internetudbyderne, som har fået en bedre kontrol med strømmen af data på mail- og nyhedsserverne, og som har udviklet en række værktøjer, der gør det muligt hurtigt at gribe ind: MAPS-RBL-systemet til Internet (The Mail Abuse Prevention System og Realtime Blackhole List) (2) og UDPsystemet til Usenet (Usenet Death Penalty). 2. faktor: De nye amerikanske lovbestemmelser (3), der nok er mangelfulde, men alligevel giver mulighed for at idømme spammere betydelige bøder. Den gennemsnitlige bødetakst er på 10 dollar pr. bulk-mail med et maksimum på 25 000 dollar om dagen. Eftersom det drejer sig om små operatører med begrænsede finansielle midler, må dette anses som en effektiv og i visse tilfælde radikal afskrækkelsesforanstaltning. 3. faktor: Indsatsen fra fagforeninger og faglige organisationer, herunder fra AIM, der er en uafhængig filial af det meget stærke DMA, og som på grundlag af en række meget pragmatiske undersøgelser har gjort stor modstand mod spamming. Organisationen har i sine undersøgelser tydeligt påvist forskellen i effektivitet mellem uanmodet kommerciel e-mail (UKE) og e-mail marketing, der forudsætter en allerede eksisterende forretningsforbindelse. AIM har i år vedtaget en række retningslinjer, der helt tydeligt fordømmer spamming. DMA, der ikke er 2) Langt de fleste internetudbydere fører i dag en nådeløs kamp mod spammere. Et af de midler, som de har taget i brug, har været at organisere sig i et netværk af frivillige udbydere, nemlig The Mail Abuse Prevention System (MAPS Redwood City, Californien), der står bag sortlisten Realtime Blackhole List (RBL). Denne liste, der er et værktøj til masseboykot, gør der muligt for internetudbydernes systemadministratorer, som kontrollerer flere tusinde routere og mailservere, regelmæssigt at informere hinanden om eventuelle "angreb", det vil sige spamming, som de er genstand for, og oplyse de IP-adresser og domænenavne, som man ved er skyld i uanmodet kommerciel kommunikation. Det registreres således på listen, når en spammers abonnement annuleres, og de øvrige internetudbydere, i dette tilfælde de i alt 2 000 internetudbydere over hele verden, som deltager i RBL-ordningen og repræsenterer ca. 1/3 af markedet, har, når de kontaktes af en spammer, mulighed for straks at få kendskab til denne potentielle kundes egentlige aktiviteter og afvise ham. Ud over denne klassiske rapporteringsfunktion fungerer MAPS-systemet også som et filter, der ved hjælp af algoritmer gør det muligt automatisk at blokere for afsendelsen af meddelser fra en spammer, der er blevet identificeret på denne måde, og fra den internetudbyder, der er vært for den pågældende, og som dermed anses for ikke at "holde nettet rent", således som han ellers formodes at gøre for at beskytte de fælles interesser på Internet. 3) I omkring 20 delstater har man uden at vente på centraladministrationen allerede sidste år vedtaget eller er i færd med at vedtage en række lovtekster til bekæmpelse af spamming. Visse af disse tekster har allerede fundet anvendelse i forbindelse med procedurer mod spammere. Det skal bemærkes, at flere af disse tekster også vedrører kommerciel kommunikation via telefax. Et af de væsentligste træk ved disse tekster er, at de gør det obligatorisk at etablere en opt-out-ordning og at respektere en internetbrugers ønske om at blive koblet af nettet. De forbyder naturligvis den praksis, der er karakteristisk ved spamming, og som går ud på at anvende falske adresser og skjule meddelelsernes header eller formål. Visse stater gør det obligatorisk at anbringe en label i meddelelsens header, som angiver, at det drejer sig om en reklame (ADV) eller en annonce vedrørende et websted, der er uegnet for mindreårige (ADLT). I en tredjedel af disse stater defineres spamming som afsendelsen af meddelelser til internetbrugere uden nogen udtrykkelig forudgående anmodning om dette fra disse brugere. 3
gået så langt i sin analyse, foreslår indførelsen af en stopliste (e-mps - Electronic Mail Preference Service) (4). 4. faktor: Opgøret med den hidtidige elektroniske markedsføringskultur, således at man i stigende grad anvender "samtykkemarkedsføring" (permission marketing) som en reaktion mod masseomdelt reklame, der mætter nettet og forvirrer brugerne. Permission marketing består i at kommunikere med forbrugerne på frivillig basis og gradvist opbygge et interesseforhold og derefter et tillidsforhold. Efterhånden som tilliden vokser vil forbrugeren, der bliver stimuleret af en række skræddersyede og reelle tilbud (incentive marketing), være motiveret til at tillade mere og mere, f.eks. tilladelse til at indsamle flere oplysninger om livsstil, fritidsbeskæftigelser og interesser, tilladelse til at modtage reklame om andre kategorier af produkter eller tjenester, tilladelse til at modtage gave- eller bonuspoints, vareprøver, prøveabonnenter osv. Det er således på grundlag af denne udveksling, at brugeren går fra at være en anonym person til at være en positiv kontakt, kundeemne, kunde og eventuelt fast kunde. Det tager tid og kræver en regelmæssig kontakt at opbygge et sådan forhold, og det skal desuden så vidt muligt holdes inden for nogle acceptable prisrammer. Hvilket andet medie end Internet giver mulighed for denne interaktivitet og dette progressive forløb, og kan man forestille sig nogen bedre metode til samtykke-baseret kommunikation end på grundlag af frivillig registrering i opt-in-lister? Udgifterne til fremsendelse er ekstremt lave, der kan opnås næsten øjeblikkelige testresultater for en given kampagne, svarprocenten er femten gange højere, forholdet til kundeemnerne kan opretholdes uden at belaste annoncørernes eller kundeserviceafdelingens kommunikationsbudget, hvis man i tilstrækkelig grad udnytter stordriftsfordelene, og trykningen er ligeledes gratis. Alle disse påstande belyses på udmærket vis af Seth Godin, der er vicepræsident for Yahoo, og fagfolk inden for direkte markedsføring og online-handel er mere og mere overbevist om fordelene ved permission marketing. De har således opdaget, at det nye koncept, hvor der iværksættes målrettede kampagner mod frivillige og samtykkende målgrupper, er utroligt effektivt, og man taler i USA nu kun om opt-in e-mail marketing. II.3) Spamming findes dog desværre fortsat og afspejler sig i den række af tilbud af produkter ("spamware") og tjenester, der i de fleste tilfælde stammer fra små virksomheder. Der sondres mellem to kategorier af spamware, nemlig såkaldte pullværktøjer til indsamling af adresser og push-værktøjer til massiv afsendelse af meddelelser. Softwaren til at indsamle adresser (harvesting) er meget nemme at bruge. De fungerer ud fra princippet om automatiseret navigation på webstederne og 4) Denne liste fungerer som en gratis tjeneste, der gør det muligt for enhver bruger at lade sin e- mailadresse registrere på stoplisten med angivelse af den type meddelelse, som fravælges (opt-out) (business-to-consumer-meddelelser, business-to-business-meddelelser eller begge). De operatører, der foretager direkte markedsføring, kan mod betaling af et gebyr, der for ikke-medlemmer af DMA er på 100 dollar, foretage en udrensning af deres lister over e-mailadresser på grundlag af e-mpssystemet. Det foregår online og tager kun nogle få timer. Ordningen er blevet stærkt kritiseret af de amerikanske antispamforkæmpere, herunder repræsentanter for MAPS, Junkbusters Corp. og CAUCE, og visse DMA-medlemmer er heller ikke særlig solidariske med deres organisations holdning på dette område. Ordningen kritiseres på mange punkter, og man kan således beklage, at DMA ikke har gjort e-mps-systemet tilgængeligt for de internetudbydere, der måtte ønske at foretage et samlet opt-out for hele deres domænenavn og alle deres abonnenter. DMA har valgt denne fremgangsmåde ud fra det argument, at systemet fungerer på grundlag af individuelle opt-out. 4
Usenets public domains ved hjælp enten af en liste over forud specificerede URLadresser eller nøgleord, der føres ind i nogle søgemaskiner, som gør det muligt at oprette en liste over relevante URL-adresser. Softwaren udfører herefter en systematisk indsamling af alle de e-mailadresser, som er blevet fundet på disse websteder eller public domains. Disse software bryster sig alle af at være i stand til at undgå alle former for spam-traps. Push-værktøjerne består af maskiner, der gør det muligt at foretage masseafsendelser uden at skulle gå gennem en specifik mailserver eller en internetudbyders server. Disse produkter, der normalt findes på markedet, gør det muligt for den computer, hvori de installeres, at fungere som en egentlig mailserver uden i princippet at risikere at blive beskyldt for at opfylde hele gennemgangsbåndet hos den internetudbyder, hvor spammeren er abonneret. Maskinerne er kraftige nok til at undgå mailservernes spamfiltre og fuldstændigt sløre meddelelsernes header. Det er temmelig paradoksalt, at disse produkter findes i den frie handel, og at de markedsføres af tilsyneladende officielle distributører, når man ved, at en del af deres funktioner er beregnet til at misbruge Internet på en måde, der er forbudt i et stadig stigende antal amerikanske delstater. De tjenester, der tilbydes, kan inddeles i to store kategorier, nemlig såkaldt hostspamming, hvor et foretagende tilbyder at være vært for en markedsføringskampagne, og forvaltningen af filer med e-mailadresser. Værterne tilbyder en "pakkeløsning", hvor de organiserer en hel spamming-kampagne. En række mindre foretagender har helt åbenlyst gjort dette til deres speciale på Internet, og deres priser varierer fra 5 dollar for 1 000 forsendelser i en kampagne til 20 dollar for 1 000 forsendelser, hvis kunden også vil have de pågældende adresser udleveret. Visse foretagender har specialiseret sig i at tilbyde en "skudsikker" tjeneste, som i princippet gør det muligt at undgå internetudbydernes kontrolforanstaltninger. Der findes mange foretagender, der handler med adresser (brokers), og mange foretagender tilbyder et medlemsskab med tre forskellige former for abonnement på adresselisterne: 1. abonnementtype: 300 000 adresser om ugen for 19,95 dollar om måneden, 2. abonnementtype: 500 000 adresser om ugen for 29,95 dollar om måneden, 3. abonnementtype: 1 000 000 adresser om ugen for 39,95 om måneden. Der tilbydes ligeledes online-køb af adresser, der kan downloades med det samme. Det koster f.eks. fra 19,95 dollar for 300 000 til 49,95 dollar for 1 000 000 internetadresser og fra 19,95 dollar for 300 000 til 99,95 dollar for 4 000 000 AOL-adresser. De mange tilbud på lister over e-mailadresser medfører uundgåeligt, at man stiller spørgsmålstegn ved adressernes kvalitet og gyldighed uden at tale om, i hvilket omfang adressernes indehavere har givet deres samtykke. De målrettede lister er i de fleste tilfælde udarbejdet på et meget vagt grundlag, og de mest almindelige kriterier er land, delstat, bopælskommune, køn, interesser, fagområde og aktivitetsområde. Brugernes interesser er delt op i omkring 50 større segmenter, der for det meste minder om de større domæners struktur i Usenet. Spammerne, hvis aktiviteter er farlige og fordømmes af alle, må betegnes som en flok amatører eller opportunister, der forsøger at sælge en dårlig idé på nettet. Flere tilfælde af spamming er blevet grundigt undersøgt, og de få tilfælde, man kender til i Europa, viser, at man står over for skruppelløse operatører, der ofte ikke lader sig standse af retlige forbud, men som nu løber den sikre risiko for at skulle betale store erstatningsbeløb. Denne løsning er, selv om den ikke er tilfredsstillende med hensyn til beskyttelse af privatlivets fred, ikke desto mindre effektiv og kan på kort sigt bidrage til at afskaffe fænomenet. 5
I.4) Det egentlige marked, det mest aktive og det mest udfordrende, er i virkeligheden i langt større grad markedet for e-mail marketing, som ingen i dag længere anvender uden at overholde strenge regler for beskyttelse af privatlivets fred og anvende lister over kundeemner, som helt tydeligt har givet deres samtykke. E- mail marketing er bygget op omkring et meget mere solidt fundament på det finansielle og det teknologiske plan. Her er en loyal indsamling af data og et forhold mellem annoncør og kundeemne, der bygger på frivillighed og samtykke, helt centrale emner. Foretagenderne på dette område, der for det meste er nystartede foretagender, er i færd med at lægge fundamentet for, hvorledes markedsføringen vil finde sted på Internet i de kommende år. Deres fremgangsmåde med hensyn til beskyttelse af privatlivets fred, der bygger på anvendelsen af frivillige lister med e- mailadresser (opt-in e-mail lists), fortjener en vis opmærksomhed. Der findes i dag på dette marked omkring 50 tjenesteydere, hvoraf nogle er af international størrelse og er etableret i Europa, hvor de har betydelige markedsandele inden for direkte e-mail marketing. Der kan f.eks. nævnes 24/7 Media, NetCreations Inc., YesMail.com, Exactis.com Inc., MessageMedia, BulletMail og Axciom, samt de foretagender, der foretager motivationsfremmende markedsføring, f.eks. MyPoints, Netcentives, Beenz, CyberGold, ClickRewards, Freeride. Portalerne, f.eks. www.xoom.com, er også gået på markedet med deres databaser indeholdende flere millioner abonnenter, der regelmæssigt modtager e- mail med onlinetilbud, som skræddersyes med udgangspunkt i deres behov og interesser. Endelig skal det bemærkes, at reklamevirksomhederne, først og fremmest DoubleClick eller Flycast, nu også tilbyder e-mail marketing. En lang række af disse foretagender er noteret på Nasdaq og har alle de karakteristika, der er typiske for internetvirksomheder: hurtig vækst, kraftig kapitalisering og negativ rentabilitet. De fleste anvender en model med ekstern vækst gennem opkøb af foretagender i samme sektor. Et sidste karakteristisk træk ved disse foretagender er, at de - naturligvis i forskelligt omfang - deler samme værdier på det faglige plan og forsvarer principperne for permission based marketing og opt-in e-mail. Disse e-mail marketingforetagender har udviklet et meget bredt aktivitetsområde: erhvervelse af personlige oplysninger, administration og forvaltning af fælles databaser, adressemægling, udformning af e-mail marketingkampagner, pushaktiviteter, CRM (Customer Relationship Management) (5), opfølgning, rapportering, fakturering af kampagner og betaling af websteder, der indsamler kundeemner. I et system, der bygger på samtykke, erhverves data ved at anbringe opt-informularer i et netværk med 100 eller 200 meget besøgte websteder. De besøgende anmodes om at udfylde disse formularer for at abonnere på et nyhedsbrev, deltage i en konkurrence, i et program eller et reklamefremstød af enhver art, modtage 5) Det drejer sig her om en "front-" og "middle-office-aktivitet", som består i på vegne af en annoncørkunde at varetage det personlige en-til-en-forhold, som etableres via e-mail med kundeemnerne, og i at opfordre disse til at købe ved at fodre databasen med supplerende personoplysninger, styrke tillidsforholdet og kundens loyalitet, forvalte anmodninger om registrering eller opt-out, behandle leveringsproblemer, behandle forskellige spørgsmål fra brugerne og klager, sende bekræftelsesmeddelelser, behandle ændringer af e-mailadresser. Disse aktiviteter forudsætter anvendelsen af specifikke IT-applikationer, nemlig såkaldte CRM- (Customer Relationsship Management) eller ERM-applikationer (E-mail Relationship Management). 6
målrettede kommercielle tilbud ud fra de interesser, som de har oplyst, hvilket alle er aktiviteter, der kan forsvare, at man åbenlyst indsamler personoplysninger fra et websted. De relevante foretagender modtager således en kopi af de oplysninger, der angives i formularen (6), og som lægges ind i baser med 15 til 20 mio. e-mailadresser. Det vurderes, at omkring en fjerdedel af disse adresser tilhører europæiske internetbrugere. Denne model findes i flere varianter med hensyn til, hvor loyale foretagenderne er, og deres praksis går således lige fra at anvende formularer med forudmarkerede afkrydsningsfelter (7) til det stik modsatte, hvor foretagenderne anmoder de besøgende om at foretage et dobbelt opt-in, hvor foretagenderne bekræfter registreringen ved at afsende en automatisk meddelelse til den besøgendes postkasse (8). Alle disse systemer og alle de meddelelser, som de genererer, indeholder naturligvis opt-out-links, der gør det muligt på en nem måde at framelde sig mailinglisten. Visse foretagender modtager dagligt flere anmodninger om opt-out. De modtager også henvendelser fra personer, der ønsker at vide, hvor - det vil sige fra hvilket websted - og hvornår deres opt-in er blevet registreret. Visse individuelle henvendelser vedrører ligeledes arten og omfanget af personoplysningerne i databaserne. For at besvare disse forespørgsler udarbejder visse foretagender inden for e-mail marketing et 6) Der findes grundliggende to modeller for cirkulation af data. Det kan i visse tilfælde dreje sig om periodiske dataoverførsler i en batch-fil, der samles i den fælles database, eller i andre tilfælde om tidstro overførsler. Visse foretagender inden for e-mail marketing tilbyder ligeledes at varetage ("hosting") opt-in-formularerne på vegne af deres kunder. 7) Man kan således konstatere, at der i visse programmer til permission marketing anvendes forudmarkerede opt-in-afkrydsningsfelter. Det er bl.a. tilfældet med tilmeldingsformularerne på BigFoot, Dreamlife og Theglobe.com, som er tre websteder, hvis opt-in-formularer administreres af 24/7 Media. Denne praksis bliver uundgåeligt betragtet som værende i strid med tankegangen bag permission marketing, fordi den ikke giver nogen garanti med hensyn til kundens samtykke, eftersom sidstnævnte kan have sprunget linjen over uden at have læst den. Man risikerer således, at de kommercielle meddelelser, der afsendes, opfattes som spam, fordi modtageren er overbevist om aldrig at have anmodet derom. 8) Den måde, som det dobbelte opt-in fungerer på, er temmelig eksemplarisk med hensyn til kvaliteten af brugerens samtykke og processens gennemsigtighed. En bruger, der f.eks. abonnerer på et nyhedsbrev hos CNET-gruppen, modtager i en genvejsmenu med en række afkrydsningsfelter, som svarer til emner, inden for hvilken han accepterer at modtage kommercielle tilbud. Der er i slutningen af denne liste indsat et link, der giver adgang til CNET-webstedets privacy policy. Disse retningslinjer er meget detaljerede og indeholder en advarsel, der vedrører tilmeldingen til et nyhedsbrev, hvoraf mellemmandens rolle klart fremgår, i dette tilfælde e-marketing-udbyderen Netcreations, der indsamler oplysningerne. Efter at have udfyldt formularen og defineret de emner, som der ønskes oplysninger om, bekræfter brugeren sin tilmelding, hvilket er den første opt-in-handling. Brugeren modtager herefter straks en bekræftelse fra Netcreations, hvilket har til formål at sikre sig, at det er brugeren selv og ikke en anden person, der har foretaget denne opt-in i brugerens navn. Der skal knyttes tre kommentarer til modtagelsen af denne meddelelse: For det første får modtageren påny besked om, at der medvirker en mellemmand i hans relation med webstedet, hvor han har tilmeldt sig nyhedsbrevet, og det oplyses ligeledes, hvem denne mellemmand er. Dette er et vigtigt punkt og giver mulighed for at bevare sikkerheden i de tilfælde, hvor brugeren ikke har klikket på linket til foretagendets privacy policy. For det andet indeholder denne meddelelse en liste over de nyhedsbreve og den præcise liste over de kommercielle henvendelser, som brugeren har tilmeldt sig. For det tredje kan der ikke indledes nogen kommunikation med brugeren, hvis der ikke er sendt nogen bekræftende e-mail retur. Det er således næsten et kontraktforhold, der indgås mellem internauten og webstedet. Lige så snart bekræftelsen på brugerens opt-in er modtaget af udbyderen, modtager abonnenten automatisk en sidste velkomst e-mail. 7
kronologisk register over kundeforholdet, herunder de oplysninger, der gør det muligt at se, hvornår og hvordan der er foretaget opt-in. Foretagenderne markedsfører adresserne som mæglere eller værter for en kampagne (hosting) (ESB: E-mail Service Bureau). En normal tjenesteydelse, der leveres på grundlag af fælles baser, omfatter som regel fem deltjenester: udlejning af selve adresserne, etablering af et link i meddelelsen på annoncørens websted, udsendelse af meddelelserne (push), overvågning af click-through og udarbejdelse af en analyse af kampagnens resultat. Prisen beregnes på samme CPM-grundlag (cost per mille) som det, der anvendes af reklamebureauer. Referenceprisen for professionel e-mail marketing er på 200 dollar for tusinde eksponeringer eller 20 cents pr. eksponering. Der skal til denne standardpris tilføjes faktureringen for anvendelsen af forskellige udvælgelseskriterier, der kan anmodes om, f.eks. domænenavn, geografisk område, socio-demografiske karakteristika (køn, alder, civilstand, antal børn), løngruppe, stilling, uddannelse, interesser. Der er ingen grænser for, hvor detaljerede udvælgelseskriterierne med hensyn til interesser kan være, men de afspejler i sidste ende kun præcisionen af de oplysninger, der indsamles gennem formularerne. Visse af filernes attributter er med hensyn til databeskyttelse uden tvivl af meget følsom karakter, når de uden at fravige reglerne om samtykke gør det muligt at identificere etniske grupper, religiøse grupper, rygere, diabetikere eller kræftpatienter. Listerne med e-mail-adresser indeholder ligeledes adfærdsoplysninger af meget stor værdi, især når det drejer sig om oplysninger om online-indkøb foretaget i løbet af de seneste måneder (1 måned, 3 måneder, 6 måneder, 12 måneder). Det drejer sig i mange tilfælde om oplysninger, der ikke er indsamlet direkte fra brugeren, men videregivet fra kommercielle aktører, der er partnere med det e-mail marketing-foretagende, hvor kundeemnerne har foretaget deres indkøb. Enhver særlig udvælgelse på grundlag af disse supplerende oplysninger, der gør det muligt bedre at definere målgruppen, medfører en merpris pr. 1 000 eksponeringer, og prisen stiger i takt med udvælgelsens præcisering. Den mest eftertragtede og kostbare udvælgelse vedrører brugernes tilbøjelighed til at foretage indkøb online. Endelig skal det bemærkes, at disse virksomheder betaler de websteder, som indsamler e-mail-adresser. Det betyder med andre ord, at det websted, der har indsamlet en adresse, modtager betaling, hver gang adressen anvendes. Beregningsgrundlaget for denne betaling varierer, men svarer ofte til 50 % af salgsprisen. Visse foretagender inden for e-mail marketing har udviklet et avanceret system, der gør det muligt at afgøre, hvilket af to websteder, som indsamler adresser, der har krav på en adresse. Reglen går ud på kun at betale det websted, hvis liste over e-mail-adresser foretrækkes af kunden. Det er ligeledes almindelig praksis at give partner-websteder forskud på indtægterne. I.5) Den hurtige udvikling af "permission based" e-mail marketing, som ser ud til at blive standarden for kommerciel kommunikation på Internet, rejser en række spørgsmål om kvaliteten af opt-in og de fortolkningsproblemer og det misbrug, der kan opstå. Man skal for det første gøre sig klart, at en annoncør kan være fristet til at anvende såkaldte interruption marketing-teknikker for at etablere et opt-in-forhold, og således 8
ende med at "spamme" en liste med udefinerede og mere eller mindre samtykkebaserede adresser. Man kan med andre ord spørge sig selv, om ikke spam er et nødvendigt stade på vej til opt-in e-mail marketing. Formuleret på denne måde kan spørgsmålet godt virke lidt provokerende, men det er ikke uden relevans, eftersom det egentlige problem for de foretagender, der foretager direkte salg, netop er at indlede det samtykkebaserede forhold, og man kender desværre ikke andre midler end dem, der går ud på at "antaste" brugerne, vække deres interesse og incitere dem til at tage kontakt ved hjælp af alle mulige "teasings", som reklamefolkene kender alt til. Hvad skal et foretagende således gøre for at få opmærmsomhed på nettet? Det er selvfølgelig fristende at foretage målrettet e-mail marketing. Man risikerer her, at foretagenderne henvender sig til en forhandler af adresselister og udsender sin meddelelse i flere millioner eksemplarer med håbet om, at der midt i al støjen er nogle enkelte brugere, som hører meddelelsen og "bider på". Denne fremgangsmåde er dog socialt uacceptabel og i strid med de etiske regler, som anbefales af et stadig stigende antal faglige organisationer, der forsvarer princippet om "user s prior acceptance". Den eneste metode, der kan accepteres, dog ikke uden forbehold, er den metode, der anvendes for reklame på Internet, det vil sige anvendelsen af reklamebannere, der målrettes ud fra en bestemt brugerprofil med de interesser og den livsstil, der svarer til de produkter eller tjenester, som annoncøren tilbyder. Reklamebannere giver i så fald mulighed for at fremprovokere et antal click-through på et websted og at indlede opt-in e-mail-forholdet på grundlag af de besøgendes udfyldning af formularer. Det skal desuden bemærkes, at alle de store inden for online-handel og direkte markedsføring på Internet i øjeblikket er ved at vælge opt-in, herunder websteder med pornografisk materiale, og dette til trods for, at de i løbet af de seneste år i stort omfang har foretaget spamming. Man kan således ikke undgå at stille spørgsmålstegn ved kvaliteten af opt-in og at spørge sig selv om, hvorvidt annoncørerne, uanset hvem de er, ikke fremover vil være tilbøjelige til at udvikle en mere eller mindre udvidet fortolkning af begrebet opt-in. Et ekstremt eksempel på denne udvidede fortolkning kan være, når en besøgende på et websted uagtsomt er kommet til at klikke OK i en dialogboks med spørgsmålet om, hvorvidt det pågældende websted skal føjes til brugerens favorites. Det er således den nemmeste sag i verden at spille på ordene og i en side med anvendelsesbetingelser, som det næsten ikke er til at finde frem til på webstedet, at placere en uforståelig bestemmelse, hvor operatøren med små bogstaver angiver, at man ved at "bookmarke" webstedet accepterer en efterfølgende syndflod af reklame e-mail. I den mere uskyldige ende kan man spørge sig selv om, hvorvidt man ved på et tidspunkt at have skrevet sig på en liste over dykkeinteresserede for at modtage tilbud på dykkerudstyr også accepterer at få fremsendt tilbud på ophold i alle dykkercentre i verden. Kan det forsvares at bebyrde en person, der lejlighedsvis foretager indkøb online, med kommercielle tilbud flere gange om ugen? De store kommercielle websteder, der er førende inden for online-handel, f.eks. Amazon, Barnes & Noble, CD Now og Travelocity, burde i lyset af ovenstående tage deres praksis op til fornyet overvejelse og insistere mindre over for deres lejlighedsvise kunder. I.6) Endelig kan der ikke insisteres nok på relevansen af Europa- Kommissionens direktivforslag (12. juli 2000) om behandling af personoplysninger 9
og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (9), fordi det sætter fokus på opt-in-metoden i forbindelse med e-mail marketing. Vi vil endog vove den påstand, at det drejer sig om Internets overlevelse i forhold til fremtidens teknologi, eftersom udbyderne alle har annonceret, at de vil udstyre sig med maskiner (servere, routere og backbones), som er i stand til at sende 100 mio. kommercielle e-mails om dagen. Man kan således foretage en række statistiske og finansielle fremskrivninger. Der findes på verdensplan i dag ca. 300 mio. internetbrugere (og omkring 560 mio. elektroniske postkasser). Hvis man forudsætter, at næsten alle operatører inden for e-mail marketing udstyrer sig med maskiner, der er i stand til at sende 100 mio. e- mails om dagen, vil internetbrugerne bogstaveligt talt risikere at drukne i e-mails. Hvis 200 foretagender udstyrer sig med sådanne værktøjer, vil regnestykket være på 20 mia. kommercielle e-mails om dagen på Internet, det vil sige i gennemsnit lidt over 60 e-mails til hver internetbruger, hvilket repræsenterer en downloadingtid på ca. 1 time med den nuværende teknologi, og dette uden at der tages højde for, at de kommercielle e-mails i stigende grad vil komme til at indeholde billeder eller film. Der findes her en reel risiko for overophedning af Internet, hvis ikke der hurtigt træffes foranstaltninger for at regulere i et nødvendigt omfang. Opt-in-metoden kan strengt taget fortolkes som en overlevelsesforanstaltning. Man kan ligeledes foretage en række beregninger og fremskrivninger for så vidt angår vurderingen af den finansielle belastning af internetbrugerne. Hvis det forudsættes, at en gennemsnitsinternetbruger, der betaler et fast abonnement på 12 euro for 10 timers tilkobling om måneden (inklusive telefonsamtaler) og råder over et standardudstyr (uden bredbåndstilslutning), kan downloade ca. 180 Kbits i minuttet, opnår man i værste fald en pris på indtil 30 euro om året for at downloade omkring 15 daglige meddelelser på i alt 500-800 Kbits, hvilket udgør en betydelig samlet udgift, hvis man tager udgangspunkt i samtlige brugere i et land. På verdensplan, og hvis man ser frem i tiden, vil downloadningen af reklamemeddelelser med den aktuelle teknologi og på grundlag af 400 mio. internetbrugere medføre en samlet udgift på omkring 10 mia. euro (lavt anslået), og dette er kun for så vidt angår internetbrugernes udgifter. 9) Forslag til direktiv om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor, KOM(2000) 385, 12. juli 2000. 10
II) - Hvilken beskyttelse er der i Europa? I næsten fire år har EU drøftet, hvordan man kan beskytte borgerne mod uanmodede kommercielle elektroniske meddelelser. Denne debat har især været fokuseret på to løsningsmodeller. Den ene (opt-out-modellen) handler udelukkende om at fastlægge reglerne for fremsendelse af uanmodede meddelelser. Tilhængerne af denne model foreslår, at personer, som ikke ønsker at modtage kommercielle meddelelser, de ikke forudgående har anmodet om, skal kunne gøre opmærksom på dette ønske. Nogle tilhængere af opt-out-modellen er af den opfattelse, at denne indsigelsesret kun skal kunne anvendes over for den, der har afsendt den uanmodede meddelelse. Andre tilhængere af opt-out-modellen går ind for et system med nationale eller internationale opt-out-lister, som enhver kan lade sig registrere i, uanset om man har modtaget uanmodede meddelelser eller ej. Ifølge dette system skal europæiske markedsførere regelmæssigt konsultere disse opt-out-lister for at kunne tilgodese de pågældende personers ønske. Den anden løsningsmodel (opt-in-modellen) knytter reglerne for fremsendelse af uanmodede meddelelser sammen med legaliteten i den måde, hvorpå den pågældende e-mailadresse blev indsamlet. Tilhængerne af denne model foreslår, at uanmodede kommercielle elektroniske meddelelser kun skal kunne sendes til personer, som forudgående har givet deres samtykke til at modtage sådanne meddelelser. II.1) - For at få mere klarhed over begreberne i denne debat vil det nok være hensigtsmæssigt at skitsere det retsgrundlag, som gælder for uanmodet kommerciel markedsføring. Allerførst skal det nævnes, at direktiv 95/46/EF (generaldirektivet) (10) af 24. oktober 1995 bl.a. i artikel 6, 7, 10, 11 og 14 fastsætter, at personoplysninger kun må behandles, såfremt de er indsamlet og behandlet lovligt til præcist angivne legitime formål. - Artikel 6, stk.1, litra a): oplysningerne skal indsamles og behandles rimeligt og lovligt. - Artikel 7, litra a): en behandling kan betragtes som legitim, hvis der ikke hersker tvivl om, at den registrerede har givet sit samtykke. - Artikel 7, litra f): behandlingen må kun finde sted, hvis "den er nødvendig for, at den registeransvarlige kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder går forud herfor". - Artikel 10: ved indsamling af oplysninger direkte hos den registrerede skal denne informeres om formålet med indsamlingen, om modtagerne af de indsamlede oplysninger, om indsamlingens fakultative eller obligatoriske karakter og om, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede. 10) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. 11
- Artikel 11: hvis oplysningerne ikke er indsamlet direkte hos den registrerede, skal den registeransvarlige allerede ved registreringen af oplysningerne, eller senest når oplysningerne første gang videregives til tredjemand, informere den registrerede. - Artikel 14: den registrerede kan uden udgifter dels modsætte sig behandling af personoplysninger, der vedrører ham/hende, og som den registeransvarlige agter at foretage med henblik på markedsføring, dels videregivelse af personoplysninger til tredjemand, som den registrerede skal underrettes om på forhånd. Direktiv 97/66/EF ("telekommunikationsdirektivet") (11) vedrører anvendelsen af disse principper inden for telesektoren. Selv om det ikke udtrykkeligt nævner markedsføring via e-mail, foreskriver det dog (artikel 12), at "anvendelse af automatiserede opkaldsanordninger uden menneskelige indgreb (automatisk opkaldsmaskine) eller telefaxmaskiner (fax) med henblik på direkte markedsføring kun kan tillades over for abonnenter, som forudgående har givet deres tilladelse hertil". Hvis det drejer sig om andre markedsføringsmetoder, kan medlemsstaterne vælge mellem forudgående samtykke og indsigelsesretten. Direktiv 97/7/EF ("fjernsalgsdirektivet") (12) gentager kravet om forudgående samtykke i forbindelse med markedsføring via opkaldsautomat eller fax (artikel 10). Det nævner også udtrykkeligt e-mail blandt de fjernkommunikationsteknikker, som kan anvendes, "hvis forbrugeren ikke klart modsætter sig det". Endelig fastsætter direktiv 2000/31/EF ("direktivet om elektronisk handel") (13) to tekniske krav med hensyn til fremsendelse af uanmodet e-mail: - Artikel 7, stk. 1: "medlemsstater, som tillader uopfordret kommerciel kommunikation via elektronisk post [ ], sikrer, at sådan kommerciel kommunikation klart og utvetydigt er angivet som sådan, når modtageren modtager den". - Artikel 7, stk. 2: "med forbehold af direktiv 97/7/EF og direktiv 97/66/EF træffer medlemsstaterne foranstaltninger for at sikre, at tjenesteydere, som fremsender uopfordret kommerciel kommunikation via elektronisk post, respekterer og regelmæssigt konsulterer opt-out-registre, hvor fysiske personer, der ikke ønsker at modtage sådan kommerciel kommunikation, kan registrere sig". Ved at henvise til eksistensen af opt-out-registre virker direktivet af 8. juni 2000 til fremme for en teknisk facilitet, som skal implementere indsigelsesretten. Af de interview, der blev foretaget som led i denne undersøgelse, fremgår det, at tilhængerne og modstanderne af opt-out-modellen er overbevist om, at direktiv 2000/31/EF fremmer eksistensen af en simpel indsigelsesret. EU-lovgivernes klare intentioner om ikke at ændre de grundlæggende rettigheder, som internetbrugere i Europa nyder godt af, blev i mediernes dækning af vedtagelsen af dette direktiv forbigået i stor tavshed. Den tvetydighed, som er blevet resultatet heraf, er en alvorlig kilde til retlig usikkerhed for dem, der beskæftiger sig med elektronisk handel. 11) Europa-Parlamentets og Rådets direktiv 97/66/EF af 15. december 1997 om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren. 12) Europa-Parlamentets og Rådets direktiv 97/7/EF af 20. maj 1997 om forbrugerbeskyttelse i forbindelse med aftaler vedrørende fjernsalg. Dette direktiv skulle være gennemført i national ret af medlemsstaterne inden den 21. maj 2000. 13) Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked ("Direktivet om elektronisk handel") (EFT L 178 af 17. juli 2000), som skal gennemføres i national ret inden 17. januar 2002. 12
Det ser ud til, at direktiv 2000/31/EF ikke længere fastholder forbindelsen mellem lovligheden i at sende en uanmodet meddelelse og den måde, hvorpå e- mailadressen oprindeligt blev indsamlet. Ganske vist skal der oprettes opt-outregistre, og i artikel 7 henvises der til "andre krav, som er fastlagt i fællesskabsretten", i henhold til hvilke personoplysninger skal sikres beskyttelse. Men det er klart, at denne simple henvisning ikke er tilstrækkelig til at informere internetaktørerne fuldt ud om alle de regler, de skal overholde. II.2 - "Spamming" har endnu ikke invaderet Europa Livlig debat, men ingen konfliktsituationer I såvel Europa som USA betragtes spammming-problemet hovedsageligt ud fra sine juridiske aspekter. Siden 1997 har den europæiske presse rapporteret om det amerikanske spamming-fænomen og dets omfang. Men den pågældende europæiske lovgivning eksisterede allerede, før det amerikanske spammingfænomen opstod, og spamming var upopulært i Europa, inden det overhovedet dukkede op. Selv nu er europæiske erhvervsdrivende ikke i stand til at give et svar på det grundlæggende spørgsmål "Hvor meget er en e-mailadresse værd?", hvorimod man i USA prissætter e-mailadresse-lister efter komplicerede systemer til fordeling af udgifter og indtægter. De nationale kontrolmyndigheder har hidtil kun skullet tage sig af meget få klager vedrørende tilfælde af grov spamming. I et af disse tilfælde pålagde de spanske kontrolmyndigheder en virksomhed en klækkelig bøde, fordi virksomheden havde sendt uanmodet elektronisk post uden at kunne bevise, at den først havde indhentet modtagernes samtykke. Afgørelsen, som blev appelleret, er for øjeblikket til behandling i retten. I Frankrig offentliggjorde CNIL (14) i oktober 1999 en vejledende rapport (15), hvori det bemærkedes, at "fremsendelse af elektroniske meddelelser [ ] forudsætter forudgående indsamling af elektroniske adresser," som "udgør personoplysninger", og at "den måde, hvorpå elektroniske adresser indsamles på Internettet, skal overholde de regler, der er fastsat i databeskyttelseslovgivningen og respektere de pågældende personers rettigheder". Den konkluderede, at "automatisk indsamling af e-mailadresser fra offentligt tilgængelige områder på Internettet med henblik på kommercielle formål er undergivet bestemmelserne i generaldirektiv 95/46/EF med hensyn til, at der ikke herske tvivl om, at den pågældende modtager har givet sit samtykke". "Artikel 29"-gruppen (16) vedtog den 3. februar 2000 en formel udtalelse 1/2000 om uanmodet markedsføring, som senere blev gentaget i dens formelle udtalelse 7/2000 14) CNIL, Commission Nationale de l Informatique et des Libertés. Se: http://www.cnil.fr 15) Foreligger på fransk på http://www.cnil.fr/thematic/index.htm 16) I henhold til artikel 29 i direktiv 95/46/EF er der nedsat en gruppe bestående af de nationale myndigheder for beskyttelse af personoplysninger. Denne gruppe er et rådgivende organ inden for beskyttelse af personoplysninger og er uafhængig af EU. Dens ansvarsområde og opgaver er fastlagt i artikel 30 i direktiv 95/46/EF og i artikel 14 i direktiv 97/66/EF. 13
af 2. november 2000 om Kommissionens forslag til direktiv om revision af direktiv 97/66/EF (17), samt i en udtømmende rapport om respekt for privatlivets fred på Internettet vedtaget den 21. november 2000 (18). Gruppen bemærkede, at EFlovgivningen om beskyttelse af personoplysninger finder anvendelse på spørgsmål vedrørende elektronisk handel, og at de problemer, der opstår i forbindelse med elektronisk markedsføring, kan løses ved hjælp af de generelle principper i direktiv 95/46/EF og 97/66/EF. Efter gruppens opfattelse afviger de tekniske systemer, der er omhandlet i direktiv 2000/31/EF, ikke på nogen måde fra anvendelsen af principperne om, at oplysningerne skal indsamles på en rimelig og lovlig måde, at der skal være gennemsigtighed med hensyn til, hvad de anvendes til senere, og at de registrerede har ret til at gøre indsigelse imod, at oplysningerne anvendes i kommercielt øjemed og videregives til tredjemand. Gruppen mener desuden, at indsamling af e-mailadresser fra offentligt tilgængelige områder på Internettet klart strider mod princippet om rimelig og lovlig indsamling (artikel 6, stk.1, litra c), i direktiv 95/46/EF), princippet om indsamlingsformål (artikel 6, stk.1, litra b)) og princippet om legitimiteten af behandlingen (artikel 7, litra f)). Endvidere støtter gruppen Europa- Kommissionens forslag om at forlange forudgående samtykke til fremsendelse af uanmodede kommercielle meddelelser via e-mail. Endelig kan det ringe antal retstvister forklares ved, at direktiv 95/46/EF, 97/66/EF og 97/7/EF endnu ikke er gennemført i national ret i alle medlemsstater, og at internetbrugernes første refleksreaktion, hvis de udsættes for spamming, er at henvende sig til deres internetudbyder. Konsensus og forsigtighed blandt erhvervsdrivende Der kan konstateres en bred anti-spam-konsensus blandt de erhvervsdrivende. FEDMA (19) mener ligesom de fleste nationale og internationale organisationer, der repræsenterer e-handlende, at det "er nødvendigt at bekæmpe spam". De sammenslutninger af e-handlende, der er blevet adspurgt, afviser tanken om, at der kan findes en spammer blandt deres medlemmer, selv om der hidtil ikke er nogen, der har erklæret at have truffet foranstaltninger til at ekskludere et medlem, som gjorde sig skyldig i spamming. De, der er ansvarlige for godkendelsesmærkning, er meget interesserede i sådanne regler for ekskludering i tilfælde af spamming, da troværdigheden af godkendelsesordning ellers ville kunne lide skade. Samtidig ser en mangfoldighed af opt-out-lister dagens lys. Der kan være tale om lister, der vedrører en specifik faglig organisation eller en erhvervssektor, eller de kan have en national eller international dimension. I Frankrig f.eks. er Fédération des Entreprises de vente à Distance (FEVAD) den første organisation, der har oprettet en "e-robinson" opt-out-liste (20) vedrørende elektronisk markedsføring. I Belgien har Association Belge du Marketing Direct (ABMD) ligeledes etableret en sådan opt-outliste ved at aggregere de enkelte ABMD-medlemmers opt-out-lister. 17) Udtalelse 7/2000 om Europa-Kommissionens forslag af 12. juli 2000 til Europa-Parlamentets og Rådets direktiv om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor. 18) Disse udtalelser offentliggøres på: http://europa.eu.int/comm/internal_market/fr/media/dataprot/wpdocs 19) FEDMA, Federation of European Direct Marketing. Se: http://www.fedma.org 20) http://www.e-robinson.com 14
Tilsvarende opt-out-lister er ved at blive udarbejdet, bl.a. i England, Tyskland, Nederlandene, Spanien, Norge, Sverige, Finland og Italien. Disse initiativer er alle blevet taget som led i gennemførelsen af direktiv 2000/31/EF om elektronisk handel. De skal i første omgang dække den pågældende medlemsstats område, men i de fleste tilfælde påtænker brancheforeningerne bag dem at udvide dem til at omfatte hele EU og endog tredjelande, bl.a. USA. Der er også planer om et samarbejde mellem det amerikanske DMA og dets europæiske søsterforbund om et fælles optout-register (21). Endvidere har en række medlemsstater for nylig vedtaget lovgivning til støtte for private initiativer til koordinering af de forskellige opt-out-lister på nationalt plan. Alt dette kan dog ikke skjule den kendsgerning, at "spamming" er en altid nærværende fristelse. Det tilsyneladende ringe omfang af spamming i Europa kan måske forklares ved de anti-spam-foranstaltninger, der er truffet af internetudbyderne i Europa og USA. Denne daglige kamp påfører disse internetudbydere en række finansielle, menneskelige, tekniske og kommercielle ekstraomkostninger, som er proportionale med antallet af abonnenter. Nogle af disse internetudbydere udveksler sortlister over spammer-adresser, men nøjagtigheden og lovligheden af disse lister kan diskuteres. Sammenslutningen EuroISPA (22), som repræsenterer langt størstedelen af de europæiske internetudbydere, har i mere end to år ført en kamp mod spamming, og den går ind for opt-in-modellen med forudgående samtykke til modtagelse af uanmodet kommerciel e-mail, som efter dens opfattelse er den eneste fremgangsmåde, der kan opfylde bestemmelserne i direktiv 95/46/EF. II. 3 - Forvirring med hensyn til fremgangsmåder - forskellig praksis Vanskeligheder med at sondre mellem spamming og uanmodet markedsføring Spamming betragtes almindeligvis som gentagen afsendelse af store mængder uanmodede kommercielle meddelelser (i form af e-mails) fra en afsender, der maskerer eller forfalsker sin identitet. Den har det til fælles med andre markedsføringsmetoder, at der er tale om uanmodede henvendelser. Men den adskiller sig fra disse ved sin massive, repetitive og uærlige karakter. Med andre ord: spam er pr. definition uanmodet reklame, men ikke al uanmodet reklame er spam. Strengt taget har en uanmodet kommerciel henvendelse to væsentlige karakteristika: den foretages i kommercielt øjemed, og den er uanmodet, dvs. at internetbrugeren ikke først har anmodet om den. Det er tilsyneladende denne indfaldsvinkel, der er anvendt i direktiv 2000/31/EF, hvor der ikke skelnes mellem, om modtageren af en kommerciel meddelelse er kunde hos den pågældende virksomhed, blot er en besøgende eller er en internetbruger, som afsenderen aldrig før har været i direkte kontakt med. 21) Se http://www.e-mps.org på DMA's "E-mail Preference Service". 22) Se http://www.euroispa.org 15
Mens langt størstedelen af europæiske erhvervsdrivende undgår at anvende spamming, indtager de imidlertid en undvigende holdning med hensyn til ønsket om at fremsende uanmodede meddelelser. Men jo mere man skelner spamming fra de andre former for uanmodet markedsføring, jo mindre fokuserer man på det væsentlige spørgsmål om, hvordan e-mailadresser indsamles. Om det er legitimt at fremsende en uanmodet meddelelse afhænger dog primært af, hvordan e- mailadressen oprindeligt blev indsamlet. Afkrydsningsfelter og forudmarkerede afkrydsningsfelter På flere og flere europæiske websteder er der et afkrydsningsfelt, som besøgende kan markere, hvis de ønsker at modtage kommercielle henvendelser via e-mail. Mange erhvervssammenslutninger i Europa anbefaler denne praksis, som rækker videre end det, der kræves i direktiv 2000/31/EF om elektronisk handel. Nogle handlende præsenterer imidlertid elektroniske formularer til indsamling af information, hvor afkrydsningsfeltet allerede er markeret. Denne praksis er i modstrid med kravene om gennemsigtighed og legitimitet i direktiv 95/46/EF af 24. oktober 1995, og det bedste, der kan siges herom i den aktuelle sammenhæng, er, at det afslører den handlendes illoyalitet. Fra successen med afkrydsningsfeltet til opt-in-modellen Mange internetvirksomheder går nu ind for opt-in-modellen med forudgående samtykke, som de anser for at være den mest effektive måde at drive elektronisk handel på. Denne tydelige aktuelle tendens bygger på en kommerciel beregning kombineret med principperne om beskyttelse af personoplysninger. I stedet for at give besøgende mulighed for at afslutte forbindelsen med et fravalg (opt-out), giver den handlende internetbrugeren tilbud om at blive holdt informeret: dette kaldes "permission marketing". Ud fra en kommerciel synsvinkel har en sådan samtykkebaseret interaktiv relation (opt-in) mange fordele. Det betyder, at forbrugerne har større sandsynlighed for at få tilbudt de tjenesteydelser, de gerne vil have: ved at angive deres præferencer leverer forbrugerne værdifuld information, som kan pakkes og sælges, og som der er givet tilladelse til at behandle. Til forskel fra opt-out-registre, som ikke kan sælges, kan der handles med opt-in e-mailregistre. På denne måde udgør indsamlingen og den kommercielle anvendelse af oplysninger baseret på personernes forudgående samtykke på en og samme tid en profitmulighed, en ny finansieringsmodel for den elektroniske handel og den bedste garanti for at kunne spore, hvad de indsamlede oplysninger bruges til. Efter denne model skal den handlende, som indsamlede oplysningerne, have betaling, når en af hans partnere anvender oplysningerne i forbindelse med en markedsføringskampagne. Til gengæld er markedsføreren sikker på, at han henvender sig til en befolkningsgruppe, der er interesseret i at modtage kommercielle henvendelser, og kan derfor reklamere mere effektivitet. Virksomheder, der således undgår en markedsføring i blinde, som er kontraproduktiv og upopulær, vækker internetbrugernes tillid. Dertil kommer, at hvis en internetbruger anmoder om, at de 16
data, der vedrører ham, slettes, eller anmoder om nærmere oplysninger om, hvor og hvornår dataene blev indsamlet, skal markedsføreren og den part, som oprindeligt indsamlede oplysningerne, være i stand til præcist at oplyse ham om, hvornår, hvorfor og til hvem han leverede internetbrugerens e-mailadresse. Denne stigende tendens til at anvende "permission marketing" blev bekræftet i Europa på en international konference i Paris fra 12. til 15. september 2000 (www.webcommerce-europe.com), og i Finland har man indført en adfærdskodeks for direkte markedsføring baseret på garanti om forudgående samtykke. II.4 - Behov for afklaring Da der tilsyneladende er tale om indbyrdes uoverensstemmelse mellem fællesskabsretsakterne, forskellig praksis de erhvervsdrivende imellem og en kraftig tendens til fordel for opt-in-modellen, er det meget vigtigt at nå frem til en afklaring af dette emne på europæisk plan. Til dato har fem medlemsstater indført en ordning med forudgående samtykke (opt-in-modellen) i forbindelse med fremsendelse af uanmodede kommercielle meddelelser. Fire af disse (Østrig, Danmark, Finland og Italien) har valgt denne beskyttelsesordning i forbindelse med gennemførelse i national ret af direktiv 97/66/EF. Den femte (Tyskland) anvender også kravet om forudgående samtykke, men baseret på andre retskilder. Der lader til at herske forvirring blandt de erhvervsdrivende med hensyn til, hvad der er muligt for dem i Europa. Denne forvirring synes ikke at være blevet fjernet af de mange retsakter, der finder anvendelse på uanmodet markedsføring. Forvirringen er tilsyneladende blevet forøget, fordi mange erhvervsdrivende (fejlagtigt) tror, at bestemmelserne i direktiv 2000/31/EF er de eneste gældende, og at de er udtømmende. Men både fjernsalgsdirektivet af 20. maj 1997 og direktivet om elektronisk handel af 8. juni 2000 omhandler kun reglerne for lovlig fremsendelse af uopfordrede elektroniske meddelelser, og ikke reglerne for, hvornår det er lovligt at indsamle e-mailadresser, som ene og alene behandles i direktiv 95/46/EF. Fremsendelse af uanmodede kommercielle meddelelser er således i Europa reguleret ved en kombination af fire direktiver, som anvendes på tre vidt forskellige situationer afhængigt af, om man henvender sig til: - en kunde eller et kundeemne, som selv har leveret sin e-mailadresse til markedsføreren (1) - en person, hvis e-mailadresse markedsføreren har fået hos en tredjemand, som igen har fået den direkte fra den pågældende person (2) - eller en internetbruger, hvis e-mailadresse er indsamlet i et offentligt tilgængeligt system på Internettet (websted, fortegnelse, forsendelsesliste), uden dennes viden (3). 17
1. En uopfordret meddelelse sendes til en internetbruger, som har leveret sin e- mailadresse til markedsføreren i forbindelse med en direkte kontakt. Ifølge generaldirektiv 95/46/EF kan markedsføreren sende kommercielle elektroniske meddelelser til internetbrugeren under forbehold af den ret, internetbrugeren har til at frabede sig modtagelse af sådanne meddelelser og/eller videregivelse af sin e- mailadresse til tredjemand. Ifølge direktiv 97/7/EF (fjernsalgsdirektivet) er alt muligt, medmindre internetbrugeren "klart modsætter sig det" efter udtrykkeligt at være blevet informeret. Direktiv 97/66/EF (telekommunikationsdirektivet) giver medlemsstaterne valgmuligheden mellem opt-in-modellen (den model, som 5 medlemsstater til dato har indført) og opt-out-modellen. Endelig pålægger direktiv 2000/31/EF en handlende, som sender markedsføringsmateriale til sin kunde, dels klart at identificere den kommercielle karakter af meddelelsen, dels at konsultere de eksisterende opt-out-registre. Paradoksalt nok kan direktivet om elektronisk handel have den virkning, at det forhindrer en virksomhed i at kontakte sin kunde på normal vis, hvis kunden er registreret i et opt-out-register. 2. E-mailadressen er leveret af internetbrugeren til en handlende, som dernæst har videregivet sin e-mailadresse-fil til en tredjemand til markedsføringsformål. I henhold til direktiv 95/46/EF er videregivelsen af denne e-mailadresse-fil og anvendelsen heraf lovlig, hvis indsamleren af e-mailadresserne forudgående har informeret de pågældende internetbrugere om deres ret til uden udgifter at modsætte sig en sådan videregivelse. Hvis der er tale om online-indsamling hos internetbrugeren, kræver artikel 14 i direktiv 95/46/EF konkret, at der tilføjes et afkrydsningsfelt forsynet med en tydelig meddelelse på den elektroniske formular, hvori internetbrugeren gøres opmærksom på sin ret til at gøre indsigelse mod videregivelse af oplysningerne til tredjemand til kommercielle formål. 3. E-mailadressen er indsamlet i offentligt tilgængelige områder på Internettet (nyhedsgrupper, fortegnelser over e-mailadresser osv.). De pågældende personer har i sagens natur ikke forudgående kunnet modsætte sig en sådan indsamling. Denne praksis er forbudt i henhold til 1995-direktivet. Det strider mod formålsprincippet (artikel 6), princippet om lovlig behandling (artikel 7, litra f)) og bestemmelserne i artikel 10, 11 og 14. For at fjerne forvirringen skal debattens fokus flyttes fra lovligheden af kommercielle henvendelser til lovligheden af indsamling af oplysninger Selv om der i direktiv 2000/31/EF gøres opmærksom på, at anvendelse at direktivet ikke berører "de eksisterende fællesskabsretsakter", synes direktivet at fremme en indfaldsvinkel, hvor fremsendelse af en uanmodet kommerciel meddelelse er lovlig, hvis meddelelsen identificeres som værende af kommerciel art, og modtageren gives mulighed for undgå at modtage yderligere meddelelser ved at bruge opt-outmodellen efter at have modtaget den første meddelelse. Men ved at pålægge alle erhvervsdrivende samme forpligtelser pålægger direktivet om elektronisk handel en erhvervsdrivende - som har gjort sig den ulejlighed at undersøge sin kundes interessesfære og at informere denne om, at han påtænker at anvende dennes e-mailadresse i kommercielt øjemed - at konsultere en generel 18
national, europæisk eller tværnational opt-out-liste, som kan tænkes at forbyde den erhvervsdrivende at informere denne kunde om sine nye kommercielle tilbud. At få fastslået betingelserne for lovlig indsamling af oplysninger gør det muligt for den handlende og internetbrugeren i et klima af gennemsigtighed at finde ud af, hvordan deres fremtidige relationer skal være. Men hvis der ikke er noget direktiv, der klart kræver en opt-in-løsning i den direkte relation mellem en handlende og dennes kunde, forekommer det naturligt at anvende samme regler på elektronisk markedsføring, som gælder for markedsføring via opkaldsautomat eller fax, da de har det til fælles, at de er påtrængende, og at modtagerne ikke har mulighed for at afbryde dem. Set ud fra et historisk synspunkt er det sådan, at jo lavere markedsføringsomkostningerne er, jo større er risikoen for misbrug. Men markedsføring via elektronisk post er langt den billigste kendte massemarkedsføringsmetode i dag. Desuden har den beskyttelse, der gives forbrugerne, altid været tilpasset risikoen for at krænke privatlivets fred, stigende i grad fra retten til at frabede sig fremtidige opkald (markedsføring via telefon) til kravet om forudgående samtykke (markedsføring via opkaldsautomat og fax). Når alt kommer til alt, synes opt-in-modellen at være den løsning, der er bedst tilpasset Internettet. Den giver mulighed for en rentabel forvaltning af e-maildatabaserne, den fremmer en personaliseret kontakt mellem den handlende og internetbrugeren, og den lader til at indfri internetbrugernes forventninger - at dømme efter erfaringerne fra USA. Den giver desuden en sikkerhed for, at anvendelsen af oplysningerne ikke sker uden internetbrugerens samtykke. Hvordan kan man egentlig være sikker på, at man ikke sender markedsføringsmateriale til en person, der er registreret i et opt-out-register? Tilhængerne af opt-out-modellen har endnu ikke løst dette spørgsmål. Således meddeler FEDMA på sit internetsted, at det er i gang med en omfattende undersøgelse med henblik på at tælle de eksisterende opt-outregistre. Med opt-out-modellen kan en erhvervsdrivende, som ønsker at skrive til sin kunde, ikke skelnes fra en spammer, som har fundet en legitim facade i opt-out-registrene. Hvis opt-out-modellen gennemføres, kan man let forestille sig, at det på lang sigt af hensyn til retssikkerheden vil være nødvendigt at indføre bindende nationale regler eller fællesskabsregler for at få samlet alle opt-out-anmodninger i et enkelt internationalt register, hvis virkning ville blive tidoblet: en opt-out-anmodning rettet til en eller flere handlende ville gælde alle. Derfor synes opt-in-modellen med forudgående samtykke til at få tilsendt markedsføringsmateriale at være den, der mest fremmer den personaliserede kontakt, som en erhvervsdrivende kan have - eller ophøre med at have - med en internetbruger. Opt-in-modellen forbyder ikke fremsendelse af kommercielle meddelelser til kunder eller besøgende på et websted. Den giver tværtimod tilladelse til det. Der kræves kun, at den information, der gives internetbrugeren, er tilstrækkelig klar på det punkt. Opt-in-modellen forbyder ikke, at de oplysninger, som internetbrugerne leverer, videregives til tredjemand, hvilket dog skal ske under forbehold af, at internetbrugerne forudgående informeres herom og får mulighed for at gøre indsigelse i overensstemmelse med 1995-direktivet. Opt-in-modellen forbyder ikke 19
kompilering af e-mailadresse-lister. Den er tværtimod en af hjørnestenene i markedet for e-mail-filer til markedsføringsformål og gør det muligt at foretage en egentlig værdiansættelse af dem. Opt-in-modellen forbyder ulovlig indsamling og brug af oplysningerne. Herved garanterer den en effektiv beskyttelse af personplysninger, retssikkerhed for de handlende samt et klima præget af tillid, og den fjerner samtidig det kunstige modsætningsforhold mellem beskyttelse af personlige oplysninger og e- business. II.5 Konklusioner Den Europæiske Union har siden 1995 haft det synspunkt, at beskyttelsen af fysiske personer skal være så meget mere stærk, som risikoen for krænkelse af privatlivets fred er stor. Man må beklage, at de tekniske foranstaltninger, som direktivet om elektronisk handel baner vejen for, ikke i et større omfang er tilpasset problemerne omkring uanmodet e-mail marketing (illoyalitet, indtrængen, udgifter for modtageren), og at fællesskabsteksten ikke er udarbejdet med den tydelighed, som tidligere har gjort det muligt at opnå nogle faste regler, der var tilpasset risikoen. I USA har man i mellemtiden i en række amerikanske stater vedtaget love indeholdende strafferetlige sanktioner, og de foretagender, der foretager e-mail marketing, har allerede opdaget de kommercielle fordele ved permission marketing. Europa har i dag en blandet løsning. På den ene side har fem medlemsstater indført en ordning med forudgående samtykke: Tyskland, Østrig, Danmark, Finland og Italien. På den anden side har foretagenderne på området indgået et samarbejde for at iværksætte de opt-out-registre, der er foreskrevet i direktiv 2000/31/EF, og endelig benytter visse europæiske foretagender inden for elektronisk handel sig af en model, der bygger på opt-in. På denne baggrund kommer Europa-Kommissionens forslag til direktiv af 12. juli 2000 (23) på det helt rigtige tidspunkt. Formålet med dette direktiv er at gøre fællesskabsrammerne for beskyttelse af personoplysninger uafhængig af de anvendte teknologier. Valget af opt-in-metoden må og skal bære frugt, bl.a. set i lyset af nærværende rapport om situationen i USA og Europa. Desuden bør man - allerede inden gennemførelsen af direktivet om elektronisk handel - benytte sig af lejligheden til at forene de allerede divergerende nationale lovgivninger for at finde en fælles fremgangsmåde, der bygger på kravet om forudgående samtykke. I direktiv 95/46/EF betragtes samtykke som den måde, hvorpå den registrerede på den bedste og mest uindskrænkede måde udøver sine rettigheder. Teoretikerne inden for permission marketing er af den opfattelse, at alt kan ske, når først man har opnået samtykke. Denne holdning kan føre til en databeskyttelse i to niveauer, nemlig et niveau for de økonomisk dårligst stillede, som bliver mindre og mindre efterhånden som de kommercielle tilbud opfordrer disse personer til at gå med til hvad som helst, herunder ikke at udøve deres rettigheder, og et andet niveau for andre, hvis økonomiske situation giver dem mulighed for frit at vælge at give samtykke eller ej. Denne beskrivelse skal dog nuanceres. For det første kan der kun gives samtykke til en behandling, hvis formål allerede er fastsat. Samtykkets omfang 23) Forslag til Europa-Parlamentets og Rådets direktiv af 12. juli 2000 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor, KOM(2000) 385 endelig udg. 20