清华教授赵晓力：反垃圾邮件立法原则

编者按：据趋势科技Trend Micro发表的《八月网络安全分析报告》显示，全球四成电邮是垃圾邮件，亚洲已成为全球主要的垃圾邮件来源地，中国的问题尤为严重。

一般认为，治理垃圾邮件除了从各种技术上、道德规范上入手，最重要的是制定一台缜密的《反垃圾邮件法》。清华大学法学院副教授赵晓力针对我国垃圾邮件现状，论述了反垃圾邮件的立法原则。

文/赵晓力 通过对其他国家和地区非法垃圾邮件法的立法分析，并结合我国对通信自由和通信秘密的宪法保护，我们认为：

我国反垃圾邮件立法应采用严格方式来定义垃圾邮件；反垃圾邮件法应建立反垃圾邮件技术措施的避风港；反垃圾邮件法应建立一套投诉、举报和分类处理机制。

垃圾邮件应不限于商业广告邮件

对垃圾邮件立法，首先要对垃圾邮件有个清晰的定义。我认为垃圾邮件应不限于商业广告邮件。其实，垃圾邮件最本质的特征就是它的行为，在发送方是大宗群发，在接收方是不请自来。至于它的内容是商业的，还是非商业的，内容是真实的，还是虚假的，是有意义的，还是无意义的，都不是本质特征。只要它是不请自来的，它就已经损害到接收者的权利。我国反垃圾邮件立法应采用UBE（Unsolicited Bulk Email）来定义垃圾邮件，也就是大量发送的不请自来的电子邮件。这样不但能够涵盖目前泛滥的垃圾邮件的所有类型，也能涵盖未来可能出现的新的类型。

制定反垃圾邮件法需从“两头”考虑

需要考虑的第二个问题，反垃圾邮件的技术措施和法律措施如何配合使用？电子邮件的点对点通信模式要求我们在发送和接收两个环节考虑反垃圾邮件的问题。目前，国际上反垃圾邮件的战略越来越从接收环节的被动防御转入发送环节的主动遏制，而许多国际垃圾邮件贩子也利用我国没有制定反垃圾邮件法的空档，把我国作为垃圾邮件的发送地和转口地。因此，我国在制定反垃圾邮件法的时候，要注意从发送环节、从源头上防堵垃圾邮件。

从发送环节防堵垃圾邮件，一要建立发送者发送数量和频率的控制体系；二是利用SPF这样的技术，这样的技术建立的是发送服务器（不是“人”）的身份认证机制。SPF，Sender Policy Framework，其反向域名查询的互联网标准正在快速发展和部署中。这项标准要求，域名所有人在自己的域名体系中公开本域中用以发送邮件的SMTP服务器的IP地址，这样，邮件接收者在接收到一封声称是该域发出的邮件的时候，可以把这封邮件的IP地址和真正的域名所有人所公布的发信IP地址进行比对，如果是冒用它人域名的，接收者可以拒绝接收。一旦所有的域名服务器上都对外公开本域中发送邮件的服务器的IP地址，人们就可以通过域名注册信息找到从该IP发送垃圾邮件的责任人。国际上已经有AOL、微软Hotmail、Ebay、Amazon、Google的Gmail等大的服务商使用这项技术，我国网易、新浪也开始部署。在新浪收到的邮件中，已经有8%的邮件是从发布了SPF记录的域发来的。

接收环接服务器端的反垃圾邮件的技术手段分为两类：一类是黑名单，一类是过滤，过滤又分为行为过滤和内容过滤。鉴于我国法律的某些规定，其中黑名单和内容过滤有可能引起通信自由和通信秘密问题。所以，我国制定反垃圾邮件法的时候，需要解决接收环节反垃圾邮件技术措施的合法性问题，为接收环节服务器端的反垃圾邮件技术措施提供避风港保护。

建立投诉和举报机制

对于经过服务器端的反垃圾技术措施仍然进入用户信箱的垃圾邮件，仍然可以通过建立用户投诉和举报机制来做最后的防范。

现在，Hotmail，Yahoo！Mail，Gmail等流行的webmail服务商，都已经在在网页上添加了投诉垃圾邮件的按钮。未来的反垃圾邮件法可以要求ESP提供和用户删除邮件同样便捷的投诉垃圾邮件的功能，以鼓励用户的投诉。总之，我们希望建立的一个用户向服务商投诉——用户和服务商向反垃圾邮件举报中心举报—反垃圾邮件举报中心根据举报内容分类报送——各有权管辖机关依法处理这样一个立体的防范垃圾邮件的业务流程和规管体系。