Летом появились новости о запрете авторизации через иностранные сервисы. Причина — законопроект №570420-7. Разбираемся с Викторией Стальмаковой, юристом из Рунетлекса, кого касается этот закон, как он будет применяться и что грозит владельцам российских сервисов за его нарушение.
Законопроект №570420-7 сначала касался только новостных агрегаторов, но во втором чтении стал регулировать и деятельность хостеров, и авторизацию в интернет-сервисах.
А 31 июля президент подписал Федеральный закон от 31.07.2023 N 406-ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации” и Федеральный закон “О связи”» (406-ФЗ).
Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.
На кого распространяется действие нового закона?
С 1 декабря 2023 года владельцы российских сайтов, программ и других интернет-ресурсов обязаны авторизовывать пользователей следующими способами:
С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет.
Через единую систему идентификации и аутентификации — ЕСИА или Госуслуги.
С помощью единой биометрической системы по нормам об идентификации и аутентификации физлиц (Госуслуги с биометрией; ст. 9 и 10 Федерального закона от 29.12.2022 N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.
На наш взгляд, именно к четвёртому способу можно отнести авторизацию через электронную почту и ID-системы. Главное, чтобы владельцем сервиса было российское юрлицо или гражданин РФ.
Что такое российское юридическое лицо?
На этот вопрос отвечает сам 406-ФЗ:
Это юридическое лицо, находящееся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства.
Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.
Из привычных нам способов авторизации станет незаконным, например, Gmail. А Яндекс и Mail.ru? У них же есть иностранные совладельцы. Есть, но на них приходится меньше 50% акций. Так что без паники.
Кто не сможет авторизоваться на российских интернет-сервисах с помощью иностранной электронной почты?
Пользователи, которые находятся в России.
Внимание, вопрос: что значит «находятся в России»? Про это закон ничего не говорит ¯\_(ツ)_/¯
Мы предполагаем, что речь об IP-адресах. Не гражданство же они будут проверять.
Что будет, если нарушить требования
Пока ничего. Законом ответственность не предусмотрена (хе-хе, вспоминаем маркировку рекламы).
Депутат Горелкин А.В. написал в своём телеграм-канале следующее:
… Мы будем внимательно следить за правоприменительной практикой и только после ее оценки могут быть приняты какие-то решения по нормам ответственности… Те, кто зарегистрировался ранее, сохраняют свой доступ. Новая норма касается только ресурсов, где есть регистрация. ...
Так что делать-то, господа юристы?
Бежать и срочно менять способы авторизации НЕ нужно.
Можно задуматься о разделении пользователей и способов авторизации для тех, кто авторизуется с территории РФ и с территории иностранного государства.
Ждём разъяснений от Минцифры и Роскомнадзора. И, конечно, развития российских ID-сервисов.
Это наша шестая юридическая статья на Хабре. Остальные здесь:
Наказать нельзя договориться. Природа и профилактика конфликтов заказчика и подрядчика в IT
Можно ли использовать в коммерческих целях изображения, созданные нейросетью?
Чтобы не пропускать свежие статьи, подпишитесь: Телеграм или ВК.