Gmail, давай, до свиданья
Закон о запрете авторизации пользователей через иностранный e-mail добавит головной боли владельцам сайтов.
«Президент подписал закон, запрещающий с декабря регистрацию на российских сайтах с помощью иностранной электронной почты. <...> Закон направлен на защиту персональных данных наших граждан, с учетом, что многие иностранные сервисы явно или неявно участвуют в информационной войне», – это цитата из Telegram-канала депутата Антона Горелкина, по инициативе которого и был разработан законопроект.
Речь о Законе от 31.07.2023 №406-ФЗ. Слова создателя закона противоречат самому закону: чиновник пишет о запрете регистрации, в то время как закон оперирует понятием «авторизация». При этом в Законе об информации (149-ФЗ), в который и вносятся изменения свежепринятым законом, нет понятий «регистрация» и «авторизация».
Закон №406-ФЗ: нововведения и вопросы
Закон №406-ФЗ предусматривает авторизацию пользователей на сайтах только следующими четырьмя способами:
- по российскому номеру мобильного телефона;
- через Госуслуги;
- через Единую биометрическую систему;
- через иные российские информационные системы.
При этом авторизация через мобильный телефон возможна только на основании договора об идентификации, заключенного владельцем сайта с оператором связи. Дополнительные правила позднее установит Правительство РФ.
Закон вступает в силу с 1 декабря 2023 года.
Возникают как минимум три вопроса:
- Как быть с уже зарегистрированными пользователями?
- Что такое «иные российские информационные системы»?
- Что грозит владельцам сайтов за «неправильный» порядок авторизации пользователей – например, через почтовый сервис Gmail?
Попробуем разобраться. (Спойлер: точных ответов в свежепринятом законе нет.)
Как быть с уже зарегистрированными пользователями сайтов
Есть правовая неопределенность в этом вопросе. Как уже упомянуто, понятия «регистрация» и «авторизация» оказались перепутаны самим инициатором принятия нового закона – и путаница уже «ушла в народ».
На практике под авторизацией понимается предоставление определенному лицу прав на выполнение определенных действий. И этот процесс отличается от процесса регистрации.
Например, вы хотите зарегистрировать свой аккаунт на каком-либо сайте. Выбираете логин, вводите данные о себе, придумываете пароль – это идентификация. Аккаунт создан.
Когда вы вводите пароль, данные сверяются с паролем на сервере – это аутентификация.
Если данные связки логин-пароль совпадают, вы получаете доступ к своему аккаунту – это и есть авторизация.
Иными словами, регистрация аккаунта происходит один раз, авторизация – каждый раз при входе в аккаунт. Нажали кнопку «войти» – значит, прошли авторизацию.
Теперь обратимся к п. 2 ст. 1 Закона №406-ФЗ: «Если доступ к информации, размещенной на сайте/странице сайта в сети «Интернет» или в информационной системе, или программе для ЭВМ, предоставляется пользователям, прошедшим авторизацию, <...>», то владелец ресурса обязан проводить ее в отношении российских пользователей одним из четырех перечисленных способов.
Таким образом, новый закон запрещает авторизацию на российских сайтах с помощью иностранной электронной почты. Это означает, что с 1 декабря 2023 года зайти на российские сайты с помощью Gmail, Apple ID или, к примеру, Yahoo без нарушения закона не получится, даже если учетная запись старая.
Депутат Горелкин уверяет, что Закон №406-ФЗ не имеет обратной силы. Однако это не исключает требования предоставлять доступ к информации на сайте только четырьмя доступными способами авторизации, указанными выше.
Поэтому владельцам сайтов стоит задуматься о переводе пользователей, имеющих «иноаккаунты», на отечественные системы.
Что такое «иные российские информационные системы»
Это еще один ребус нового закона. Вероятнее всего, имеются в виду отечественные социальные сети и сервисы электронной почты. Но проверить это можно только одним способом – запросив у конкретного сервиса подтверждение о его соответствии требованиям новой нормы.
И вот редкий случай, когда пригодился бы реестр таких систем. Но законом ведение такого реестра не предусмотрено.
Возможно, Роскомнадзор в дальнейшем опубликует некий перечень рекомендованных сервисов. В противном случае владелец сайта рискует. Полностью исключить этот риск можно только при авторизации пользователей через Госуслуги или Единую биометрическую систему.
Что грозит владельцам сайтов за «неправильный» порядок авторизации пользователей
Санкции для владельцев сайтов, которые нарушают закон, пока не предусмотрены. По словам депутата Антона Горелкина, ответственность будет установлена позже, после оценки правоприменительной практики.
Материал подготовлен специально для сайта INTELLECT
Статьи экспертов юридической фирмы INTELLECT >>
Похожие материалы
