Сайтам и приложениям нужно срочно менять авторизацию? Gmail и другие иностранные сервисы с 1 декабря — под запретом

Законопроект №570420-7 сначала касался только новостных агрегаторов, но во втором чтении стал регулировать и деятельность хостеров, и авторизацию в интернет-сервисах.

А 31 июля президент подписал Федеральный закон от 31.07.2023 N 406-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи» (406-ФЗ).

Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.

На кого распространяется действие нового закона?

С 1 декабря 2023 года владельцы российских сайтов, программ и других интернет-ресурсов обязаны авторизовывать пользователей следующими способами:

1. С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет.

2. Через единую систему идентификации и аутентификации — ЕСИА или Госуслуги.

3. С помощью единой биометрической системы по нормам об идентификации и аутентификации физлиц (Госуслуги с биометрией; ст. 9 и 10 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

4. С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.

На наш взгляд, именно к четвёртому способу можно отнести авторизацию через электронную почту и ID-системы. Главное, чтобы владельцем сервиса было российское юрлицо или гражданин РФ.

Что такое российское юридическое лицо?

На этот вопрос отвечает сам 406-ФЗ:

Это юридическое лицо, находящееся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства.

Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.

Из привычных нам способов авторизации станет незаконным, например, Gmail. А Яндекс и Mail.ru? У них же есть иностранные совладельцы. Есть, но на них приходится меньше 50% акций. Так что без паники.

Кто не сможет авторизоваться на российских интернет-сервисах с помощью иностранной электронной почты?

Пользователи, которые находятся в России.

Внимание, вопрос: что значит «находятся в России»? Про это закон ничего не говорит ¯\_(ツ)_/¯

Мы предполагаем, что речь об IP-адресах. Не гражданство же они будут проверять.

Что будет, если нарушить требования

Пока ничего. Законом ответственность не предусмотрена (хе-хе, вспоминаем маркировку рекламы).

Депутат Горелкин А.В. написал в своём телеграм-канале следующее:

… Мы будем внимательно следить за правоприменительной практикой и только после ее оценки могут быть приняты какие-то решения по нормам ответственности… Те, кто зарегистрировался ранее, сохраняют свой доступ. Новая норма касается только ресурсов, где есть регистрация. ...

Так что делать-то, господа юристы?

Бежать и срочно менять способы авторизации НЕ нужно.

Можно задуматься о разделении пользователей и способов авторизации для тех, кто авторизуется с территории РФ и с территории иностранного государства.

Ждём разъяснений от Минцифры и Роскомнадзора. И, конечно, развития российских ID-сервисов.

Будем рады, если вы подпишетесь на нас в Телеграме — там мы выкладываем свежие статьи и аналитику.