email - always under REconstruction

E-mail harvesting ul este una din metodele cele mai des folosite de spam-eri pentru colectarea adreselor de email….de ceva vreme suntem si noi implicati in monitorizarea acestui tip de abuz, si sunt fericit sa anunt ca am contribuit la identificarea (cel putin pana acum) a unui IP din romania: 81.196.163.15 (IP de constanta), care intr-un interval de o luna a trimis spam-uri la peste 90 de adrese colectate prin practici ilicite, de harvesting….

Update: plus 3 IP-uri care au generat ~1400 de Comment Spam (spam pe bloguri)

Dupa gafa facuta de EEC (Email Experience Council) acum 2 saptamani, Jeff Nolan puncteaza cateva asptecte legate de modalitatea in care DMA conditioneaza accesul al content.
Inteleg ca scopul este de a avea un control asupra informatiilor din website…si acela de a monitoriza cine, ce citeste. Bineinteles ca toate aceste informatii colectate de DMA sunt utile pentru a livra publicitate targetata celor din site….insa daca nu acesta este scopul pentru care exista site-ul, sincer nu inteleg care este motivul acestor formulare de inregistrare.

DMA pare a fi departe de ceea ce inseamna un leader in marketingul online.

The Email Experience Council (EEC), esta ramura de email marketing a DMA si organizatie in care suntem si noi membrii. De curand (acum 2 sapt) au creat o gafa de zile mari care a starnit discutii si cred ca va afecta destul de rau imaginea asociatiei…care se pare ca imprumuta cate ceva din mentalitatea pe care cei de la DMA au demonstrat-o in timp (nesolicitat nu inseamna si nedorit) .

Ce au facut…:

- au trimis oferte nesolicitate din partea unei terte companii propriei baze de date.
- au trimis mai multe mesaje simultane continand aceeasi oferta.

- au folosit la sender o adresa pe care abonatii EEC nu aveau cum sa o recunoasca/identifice (zinio in loc de eec)
- au trimis o oferta adresata femeilor (pt o revista de femei) tuturor celor din lista

- nu au avut linkuri de dezabonare

Controversa este cu atat mai mare cu cat, marca implicata alaturi de EEC este Zinio, adica publisherul unde fondatoarea EEC si ex sefa la Ogilvy One este responsabila de marketing digital, Jeanniey Mullen. Zinio, prin Mullen se jura insa ca nu a adaugat baza de date EEC celei de la Zinio.

Au fost vreo 2 emailuri pe care le-am primit si eu…sincer primul a trecut cam neobservat…am vazut ca venea de la Zinio si am facut imediat legatura cu Mullen si EEC …si am zis ca cine stie ce o fi scris in formularul de abonare si nu am vazut eu. L-am primit insa pe al doilea si am vrut sa ma dezabonez…moment in care am constatat ca nu am link de dezabonare…si le-am scris, pana acum nu am primit scuze sau explicatii dar astea se pare ca au fost facute publice pe site-ul EEC, pentru ca am impresia ca au fost mai multi revoltati.

Ken Magill are in directmag un articol detaliat pe aceasta tema in stilul acid caracteristic, dar foarte bine punctat.

Zilele trecute un client imi spune ca nu gaseste in cotract garantii ca emailurile ajung in Inbox, fara sa se preocupe absolut deloc de practicile de colectare a adreselor de email, principalul factor care influenteaza modul in care sunt livrate emailurile…impreuna cu, contentul folosit in email.

Pe de alta parte altcineva punea o intrebare foarte buna: “are un sender dreptul sa ceara explicatii companiei care i-a blocat emailurile?”…Teoretic nu ar exista un raspuns ferm la aceasta intrebare…totusi prima data m-as gandi ca nu, pentru ca nici un filtru anti-spam nu este dator nimanui, cu nici o explicatie legata de metodele folosite. Totusi toti producatorii de filtre anti-spam au datoria de a-si proteja clientii, in ideea de a nu bloca emailuri pe care acestia si le doresc.

Astfel teoretic orice solicitare de a lasa sa treaca emalurile unui sender este facuta pe responsabilitatea senderului fara ca producatorul acelei tehnologii de filtrare sa-i datoreze un raspuns. Totusi, producatorul, teoretic, are obligatia de a evalua aceste “reclamatii” si de a lua masurile necesare pentru a evita in viitor blocarea unor emailuri “valide”. Marile ISP-uri detin astfel de mecanisme….totusi exista si producatori mai indiferenti.

Cred ca acum 3 ani am incercat prima data sa-i contactam pe cei de la Postini, fara succes. De atunci pana in prezent pe toti cei din industrie pe care i-am intrebat despre Postini am primit cam acelasi raspuns “Unfortunately, Postini (now part of Google Messaging Security) has always had a policy of not providing any transparency into its product. That hasn’t improved with their acquisition by Google. They don’t participate in any email industry forums etc.”

Ei sunt cam tipul de producator carora nu le pasa ce se intampla cu emailurile clientilor, ii privesc pe toti de sus, ceva de genul “noi stim cel mai bine”. Aceasta politica s-a cam soldat acum cu o mica discutie la adresa lor, bineinteles se face referire si la Google, pentru ca totusi, politica Postini nu prea mai corespunde cu politica transparenta practicata de Google.

In plus revenind la intrebarea clientului nostru…chiar daca toate practicile, si comunicarea cu producatorii de anti-spam ar fi perfecta, nu exista tehnologie 100% perfecta in domeniul asta…si cel mai recent si concludent exemplu ca si impact este ceea ce s-a intamplat acum cateva luni la Yahoo…cand au inceput sa foloseasca personal blacklists. Au avut un bug de implementare si practic blocau orice email care era trimis de la senderi care nu se regaseau in acele personal blacklists…desi acelea erau emailuri bune . Insa pentru ca au un bun sistem de comunicare cu senderii, atat ei, cat si cateva blacklists cu, care colaboreaza au putut rezolva destul de repede acest bug.

Oricum mai e mult de lucru pana la un bun email eco-system… insa cele mai mari eforturi trebuie sa le faca senderii in acest moment, in special tehnologic, plus multa, multa educatie in domeniu, care lipseste cu desavarsire, nu doar in .ro cat si in Europa.

“Avem un nou sistem care dezaboneaza userii instant, dar ne temem sa-l implementam pentru ca ne-ar cam reduce baza de date”

In primul rand legislatia cere expres ca un sender sa inceteze trimiterea de emailuri catre o persoana care nu mai doreste sa primeasca emailuri. In al doilea rand daca o persoana nu doreste sa mai primeasca emailuri de la tine, mai mult ca evident ca simpla existenta a lui in baza ta de date nu reprezinta o valoare. Mai mult ca sigur ca nu vor cumpara nimic din emailul tau si sunt foarte dispusi sa te reclame ca fiind spamer.

Lasati oamenii sa se dezaboneze, cei care asta doresc, nu va vor aduce nici un fel de plus valoare si in plus trag in jos performantele agregate ale listei.

“Am vazut ca multe adrese din lista noastra sunt scrise gresit, catre domenii care nu exista si am vrea sa le corectam”

“Corectarea” adreselor de email este un exercitiu care presupune ca noi sa ne imaginam ce a vrut defapt sa scrie acea persoana care a scris adresa de email. Intr-adevar pare intuititv ca o persona care a scris YHAOO.com sa fi vrut sa scrie YAHOO.com dar aceasta nu este niciodata sigur. Poate ne aflam in cazul in care acea persoana a scris in mod intentionat adresa de email gresita pentru a nu primi nici un fel de email, sau ne putem pune problema….daca acea persoana a scris gresit domeniul de email (yhaoo.com) exista riscul sa fi gresit intentionat sau nu si ceva in scrierea userului (adica ce este in fata lui @) si in ambele cazuri, incercarea de a “corecta” adresele de email rezulta in reclamatii de spam.

Igiena listei este critica si orice sender trebuie sa verifice informatiile in momentul in care sunt introduse in baza de date…odata informatiile introduse in lista, nimeni nu ar trebui sa modifice acele informatii in mod arbitrar.

Retelele sociale cu siguranta vor fi urmatoarele killer ap pe internet. Se pare ca toata lumea are idei geniale pentru viitorul facebook, myspace sau linkedin…dar toate aceste site-uri trebuie sa gaseasca rapid useri. Una din metodele cele mai folosite este aceea de a iti invita toti prietenii, importand adresele din address book si trimitandu-le un email de invitatie.

Multe din aceste site-uri nici macar nu isi notifica userii ca au de gand sa trimita emailuri de invitatie contactelor tale. Toata lumea te lasa sa iti uploadezi address book-ul in aplicatiile lor…urmand sa foloseasca acele adrese pentru a-si promova produsele lor. Totul pare ca fiind un viral organic….dar defapt nu are nici o legatura…este exact ca si cum ai trimite emailuri random.

Multe retele sociale folosesc adresa celui care si-a creat cont (sa-i zicem Jon) pentru a trimite numeroase mesaje promotionale contactelor acestuia….fara a avea acceptul lui Jon de a se folosi de numele lui si nici acceptul meu de a primii aceste emailuri.

Din pacate intrebari de genul asta le-am primit si cand m-am intalnit cu unii proprietari de site-uri din .ro.

The European Commission’s Directive on Data Protection went into effect in October, 1998 and would prohibit the transfer of personal data to non-European Union nations that do not meet the European “adequacy” standard for privacy protection. As a result, the Directive could have significantly hampered the ability of U.S. companies to engage in many trans-Atlantic transactions.

Ieri un amic a primit primul spam politic. Nu sunt implicat politic de nici o culoare, si ma enerveaza la culme cand ii vad cum se agita inainte de alegeri si in al doilea rand cand tocmai ei incalca grosolan legile…mai ales ca se folosesc de tot felul de smecherii, de exemplu emailul apare ca fiind trimis de pe domeniul antoneltanase.ro. Onorabilul Domn Antonel Tanase este insa, asa cum apare pe site-ul oficial PNL Bucuresti http://www.pnlbucuresti.ro/Candidati-locale/ , candidat la locale pt Sectorul 6 si are si blog, catre care se face referire chiar de pe site-ul PNL Bucuresti http://antoneltanase.ro/blog/

Emailul primit:

From: PNL Sector 6 [mailto:newsletter@antoneltanase.ro]
Sent: Thursday, April 03, 2008 01:46
To: xxxxxxxxxxxxxxxxxxx
Subject: Sectorul 6 la Raport

Aici este varianta online a newsletterului PNL sector 6

In footer, in varianta primita pe email apare:

Acest mesaj nu poate fi considerat SPAM deoarece contine datele de identificare ale sender-ului. Daca doriti sa nu mai primiti mesaje, va rugam consultati sectiunea de mai jos “SafeUnsubscribe” sau trimiteti un e-mail cu subiectul “Dezabonare” la adresa newsletter@antoneltanase.ro. Neexercitarea dreptului de dezabonare reprezinta acordul implicit la primirea mesajelor noastre.

Fara sa se intereseze ca, in normele UE este mentionat acordul explicit, asa cum spunem si in postul de aici

Acum cam 2 saptamani, pe bloguri se discuta problema intimitatii (aici, aici si aici)….intimitate pe care trebuie sa o respecte cel care colecteaza si gestioneaza acele date in cazul targetarii demografice combinat cu istoria de browsing. Am mai vb despre asta aici.

..totusi ce inseamna ca un user sa-si dea acordul pentru folosirea informatiilor legate de comportamentul sau pe web
Conform IAPP (International Association of Privacy Professionals) este obligatoriu ca orice persoana sa fie capabila sa blocheze colectarea informatiilor personale, cu exceptia cazurilor in care acele informatii sunt solicitate de catre o lege. Daca o persoana are obtiunea de a oferii informatii legate de propria persoana, acordul trebuie sa fie obtiunut individual si poate fi afirmativ (de ex opt in) sau implicit (de exemplu o persoana nu a refuzat)

(a) Acordul Explicit: Solicitarea ca o persoana sa “semneze/confirme” acordul ca, cineva (un data controller) sa-i colecteze date legate de propriile actiuni si sa se foloseasca de aceste informatii. In concordanta cu Directiva UE privind Protejarea Datelor, acordul explicit este necesar pentru procesarea de informatii sensibile. Mai mult, conform aceleiasi directive cei care gestioneaza datele NU POT considera acord un non-raspuns din partea unei persoane.

(b) Acordul Implicit: Implica considerarea obtinerii acordului atunci cand persoana vizata raspunde afirmativ la o astfel de solicitare SAU nu raspunde deloc.
Totusi noi sunte in UE si targetarea demografica trebuie sa se supuna directivei mentionata mai sus.

Mai exact acordul este necesar pentru cazurile in care vorbim de Personally Identifiable Information (PII) - Any information that can be traced to a particular individual. Usually a set of identifiable information is identified through an identification block of data, such as a name, mailing address, phone number, social security number, or e-mail address. Personal user preferences tracked by a Website via a cookie are also considered personally identifiable when linked to other personally identifiable information provided by a user online.

Da, in UE exista o Directiva care reglementeaza modul de protejare si colectare a datelor personale…am mentionat mai jos cativa termeni interesanti legati de aceasta directiva.

“Adequacy” - asa cum se mentioneaza in Directiva UE privind Protejarea Datelor, adequacy se refera la existenta unei legislatii in alte tari decat cele din UE, legislatie care sa ofere suficienta protectie pentru datele personale. In alta ordine de idei o tara va fi considerata “adequate”, daca legislatia acelei tari protejeaza drepturile individuale, in mod similar cu cele stipulate in E.U. Data Protection Directive.

“Adequate country” - tara care a fost astfel clasificata de autoritatile UE. Transferul de date intre tarile din UE si tarile considerate ca fiind corespunzatoare se poate realiza fara restrictii, daca acest transfer intruneste toate conditiile stipulate in directiva. Tarile considerate pana in prezent corespunzatoare sunt Argentina, Canada si Elvetia. Transferul de date catre Statele Unite se poate face sub mecanismele definite in “Safe Harbor” sau alt mecanism autorizat (acesta deoarece SUA nu are un regim de protectie a datelor unitar).

“Adequate notice” - Un document care notifica o persoana ca ii sunt colectate date personale care o pot idendifica, si descrie scopul acestei colectari precum si orice intentie de folosire ulterioara a acestor informatii, conditiile in care pot fi dezvaluite acele informatii unei terte parti, precum si modalitatea de stocare. Un astfel de document este considerat “adequate” daca informatiile sunt furnizate in circumstante adecvate si pot fi cu usurinta vizualizate de persoanele de la care se colecteaza informatii.

Cat de important este pentru un marketer sa creeze o politica care sa gestioneze responsabil datele pe care clientii/vizitatorii unui site le furnizeaza (constient sau nu)? Cand vorbesc de date personale ma refer la 2 componente:

- datele completate intr-un formular online, constient de catre client/ vizitatorul unui site;

- datele pe care site-ul /urile le colecteaza despre preferintele, obiceiurile de navigare ale unei persoane pe baza de cookie-uri

Aparent efectele lipsei de incredere dintre cele 2 parti ar parea neglijabile, totusi daca, de exemplu ne gandim cate din deciziile de achizitie ale unui produs de pe amazon s-au bazat pe niste opinii transparente ale clientilor amazon atunci poate am trata altfel, ca si companii acest subiect. Din punctul de vedere a ceea ce inseamna privacy, atunci cand o persoana isi face publice opiniile legate de un produs, serviciu etc, renunta la o parte din intimitatea sa…iar pentru a face posibil acest lucru compania respectiva trebuie sa gestioneze informatiile foarte responsabil si sa lase clientul sa aiba controlul complet asupra datelor pe care acesta le poate shareui …pentru ca acesta ar fi in binele ambelor parti.

Exactitatea datelor furnizate ajuta companiile sa interactioneze mai bine cu cei care le sunt clienti, astfel incat sa le serveasca mai bine interesele.

Ceea ce am observat in ultima vreme este o tendinta a persoanelor tinere (14-30 de ani) … o “dorinta” redusa de a furniza date personale. Acest grup, personal imi pare mai interesat in a-si proteja anonimatul. Din acest grup de varsta multe persoane nu completeza de exemplu informatii reale intr-un formular de abonare la newsletter…dar nici atunci cand isi creaza un profil pe MySpace sau Facebook. In plus, multe dintre aceste persoane cunosc ce inseamna cookies si cum isi pot proteja intimitatea acceptand sau neacceptand cookie-uri.

De ce consider importanta problemele de privacy?…pentru ca, totusi in .ro grupul de varsta 14-30 de ani este cel mai activ din punctul vedere al folosiri internetului, iar companiile care gestionaze datele online nu sunt atat de mult interesate in a crea un mediu care sa castige increderea utilizatorilor…iar la randul lor acestia nu sunt dispusi sa-si dezvaluie identitatea.

In plus, a citi sau nu politica de confidentialitate a unui site…tine mai mult de increderea consumatorului in marca respectiva…si cred ca in general compania are mai mult de pierdut decat de castigat daca inseala asteptarile clientilor lor in ceea ce priveste gestionarea informatiilor personale…din pacate in .ro aceste politici de confidentialitate sunt mai mult sa fie acolo, pentru ca asa le cere legea, decat sa fie un liant care sa contribuie la crearea si transmiterea de incredere.

Toata lumea vorbeste de web2.0 si user content generated, ca un big deal, o super chestie, totusi putini mentioneaza ca acest user content generated este valoros in foarte, foarte putine cazuri…tocmai din lipsa de incredere a utilizatorilor care pot genera acel content valoros… acesta duce la folosire de date anonime sau chiar la dezinteresul in a posta un comentariu pe unul din aceste site-uri. Mai mult, in ultima vreme in retele sociale gen myspace se vorbeste destul de des de “pradatori online” , persoane care folosesc voit informatii eronate pentru a insela alte persoane (pana se intampla asa ceva cuiva …personal cred ca este destul de greu de evaluat riscul si impactul lipsei de incredere).

Intr-adevar exista o mare diferenta intre a furniza date personale intr-o retea sociala si intr-o relatie one-to-one, companie - client, totusi motivul pentru care am ridicat aceasta problema de privacy este legata de faptul ca si in acest al doilea caz in .ro destul de multe persoane nu furnizeaza date exacte legate de propria persoana…si din pacate aceasta reprezinta esecul mediului online romanesc de a construi o relatie de incredere cu utilizatorii.