<p>Feedback loops sent to third parties tend to have PII stripped. Based on a definition of PII that does not regard IP addresses as personal data.</p>
<div class="gmail_quote">On Jul 26, 2012 11:05 PM, "Alessandro Vesely" <<a href="mailto:vesely@tana.it">vesely@tana.it</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Thu 26/Jul/2012 18:37:55 +0200 Tobias Knecht wrote:<br>
>> In the words of RFC 6650:<br>
><br>
> Don't get me wrong, this rfc is a good one an clarifies some things,<br>
> but it is written by Americans under their understanding of US law.<br>
<br>
IMHO, it is not so much being Americans or whatever, as being versed<br>
on legal points of view.<br>
<br>
> Some things that are mentioned are not possible under European<br>
> Jurisdiction. For example providing Feedbackloops is especially in<br>
> Germany a very critical task.<br>
<br>
Is it?  I guess in Italy we have more or less the same European<br>
directives.  So long as the user is clearly informed about what data<br>
is being sent to who, and grants her/his consent to that, it should be<br>
legal to do FBLs.  Yet, IANAL.<br>
<br>
The best thing, IMHO, would be do gather users' consent on the first<br>
time they hit a "This is Spam" button.  At the same time, give them<br>
the option to redact their email address in the header.  (See<br>
<a href="http://tools.ietf.org/html/rfc6590" target="_blank">http://tools.ietf.org/html/rfc6590</a> ).<br>
<br>
> So rfc 6650 is good but unfortunately does not fit all use and legal<br>
> cases.<br>
<br>
We need to clear up this issue.  Googling for that I find that ETIS,<br>
which is based in Europe, has an "Anti SPAM Co-operation Group" that<br>
"is also working on an anti-spam feedback loop project."  (Quotes from<br>
<a href="http://etis.org/groups/anti-spam-task-force" target="_blank">http://etis.org/groups/anti-spam-task-force</a> ).  I'd guess you know<br>
them; they have a meeting on next Oktoberfest...  Would they cover<br>
those legal concerns?<br>
<br>
A recurring objection in the acm-tf was that RIPE handles just a<br>
region, and therefore we'd need anti-abuse practices to be specified<br>
by some global body such as the IETF.  Now we have it.  We should use<br>
it as we use SMTP.  And the fact that our law is better than theirs<br>
should be an aid, not a hindrance!<br>
<br>
> In addition to that, I do not have any problem in single persons<br>
> reporting abuse incidents as long as they are useful. And even people<br>
> in the registration business sometimes do not know how to report<br>
> correctly, which is not bad it's just that they haven never done it<br>
> before and need somebody/something that guides them through, which<br>
> should be one of the next tasks for this community to define.<br>
<br>
Very much agreed.  We need to exchange scripts and ideas.<br>
<br>
<br>
</blockquote></div>