Летом появились новости о запрете авторизации через иностранные сервисы. Причина — законопроект №570420-7. Разбираемся с Викторией Стальмаковой, юристом из Рунетлекса, кого касается этот закон, как он будет применяться и что грозит владельцам российских сервисов за его нарушение.
Законопроект №570420-7 сначала касался только новостных агрегаторов, но во втором чтении стал регулировать и деятельность хостеров, и авторизацию в интернет-сервисах.
А 31 июля президент подписал Федеральный закон от 31.07.2023 N 406-ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации” и Федеральный закон “О связи”» (406-ФЗ).
Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.
На кого распространяется действие нового закона?
С 1 декабря 2023 года владельцы российских сайтов, программ и других интернет-ресурсов обязаны авторизовывать пользователей следующими способами:
С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет.
Через единую систему идентификации и аутентификации — ЕСИА или Госуслуги.
С помощью единой биометрической системы по нормам об идентификации и аутентификации физлиц (Госуслуги с биометрией; ст. 9 и 10 Федерального закона от 29.12.2022 N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.
На наш взгляд, именно к четвёртому способу можно отнести авторизацию через электронную почту и ID-системы. Главное, чтобы владельцем сервиса было российское юрлицо или гражданин РФ.
Что такое российское юридическое лицо?
На этот вопрос отвечает сам 406-ФЗ:
Это юридическое лицо, находящееся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства.
Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.
Из привычных нам способов авторизации станет незаконным, например, Gmail. А Яндекс и Mail.ru? У них же есть иностранные совладельцы. Есть, но на них приходится меньше 50% акций. Так что без паники.
Кто не сможет авторизоваться на российских интернет-сервисах с помощью иностранной электронной почты?
Пользователи, которые находятся в России.
Внимание, вопрос: что значит «находятся в России»? Про это закон ничего не говорит ¯\_(ツ)_/¯
Мы предполагаем, что речь об IP-адресах. Не гражданство же они будут проверять.
Что будет, если нарушить требования
Пока ничего. Законом ответственность не предусмотрена (хе-хе, вспоминаем маркировку рекламы).
Депутат Горелкин А.В. написал в своём телеграм-канале следующее:
… Мы будем внимательно следить за правоприменительной практикой и только после ее оценки могут быть приняты какие-то решения по нормам ответственности… Те, кто зарегистрировался ранее, сохраняют свой доступ. Новая норма касается только ресурсов, где есть регистрация. ...
Так что делать-то, господа юристы?
Бежать и срочно менять способы авторизации НЕ нужно.
Можно задуматься о разделении пользователей и способов авторизации для тех, кто авторизуется с территории РФ и с территории иностранного государства.
Ждём разъяснений от Минцифры и Роскомнадзора. И, конечно, развития российских ID-сервисов.
Это наша шестая юридическая статья на Хабре. Остальные здесь:
Наказать нельзя договориться. Природа и профилактика конфликтов заказчика и подрядчика в IT
Можно ли использовать в коммерческих целях изображения, созданные нейросетью?
Чтобы не пропускать свежие статьи, подпишитесь: Телеграм или ВК.
Комментарии (50)
Tasta_Blud
18.08.2023 07:43+4что-то это мне не нравится. пожалуйста, заминусуйте меня и скажите мне, что я всё выдумываю, но мне это всё очень напоминает движение к обязательной авторизации под паспортными данными (сначала залогиньтесь под настоящим ФИО, затем сможете читать и писать), и что-то иностранцы тоже в пролёте (а хотя стоп, иностранцы вообще не смогут даже сайт открыть, если будет чебурнет).
эх, прощай анонимный (хотя бы условно) интернет, мне было уютно писать от имени выдуманного персонажа, а не чтоб в каждом комментарии была фота с паспорта, ФИО и адрес прописки.
ладно, посмотрим, пока всё не так печально, а может и не дойдет до подобного. поживём, и если доживём, то увидим.
Altunik
18.08.2023 07:43Этого нельзя исключать.
Скажите, а почему это плохо? В реальности мы знаем или можем узнать, кто с нами говорит, а в интернете — нет. Может, нужно знать? Это просто вопрос, не называйте меня «товарищем майором» :)
GDragon
18.08.2023 07:43Потому что возникнут очень простые ситуации - аля "мне не понравился твой коммент и я пришёл и разбил тебе окно."
Altunik
18.08.2023 07:43+3Ну, знать ФИО и где человек живёт — не одно и то же. Но аргумент.
А как насчёт не писать оскорбления, на которые не решишься в реальной жизни, за которые могут прийти и разбить окно?Tasta_Blud
18.08.2023 07:43+1а как насчёт того, что в реальности ты общаешься только с теми, с кем хочешь общаться, а комментарии более или менее публичные.
и мне не очень бы понравилось, если бы какой-нибудь отбитый мусульманин услышал меня в другой стране, телепортировался, разбил мне
лицоокно - с той же лёгкостью, как это происходит в интернете.Altunik
18.08.2023 07:43+1Опасненько, да. Только не нужно про мусульман, пожалуйста.
Tasta_Blud
18.08.2023 07:43ничего не имею против адекватных мусульман, христиан и прочих (хоть сама, грубо говоря, сатанистка). здесь акцент на "отбитый".
vyrkmod
18.08.2023 07:43а если я собака? Причём кусачая и злопамятная. Захотите делиться со мной своими данными в интернете?
theonevolodya
18.08.2023 07:43+3Есть тематические сайты и на некоторых из них не хотелось бы видеть свои ФИО
Настоящие ФИО везде - это просто находка для сталкера
Утечки данных
Altunik
18.08.2023 07:43-4Разумно.
Интернет слишком открытый.
avost
18.08.2023 07:43Интернет слишком открытый.
Нет. Это товарищи майоры слишком отбитые.
Altunik
18.08.2023 07:43Кажется, меня тут не поняли. Я не против открытого Интернета, а констатирую, что если в Интернет попадают личные данные, к ним получают доступ миллионы.
avost
18.08.2023 07:43Да, но причём тут "слишком открытый" интернет? Это слишком открытые данные. И если их не помещать в интернет (например, с помощью действий по выполнению античеловеческих законов), то и доступ к ним миллионы не получат.
Tasta_Blud
18.08.2023 07:43+4не только ФИО, но и оглашение факта, что ты занимаешься И этим И этим. будто бы мало учительниц за фото в купальнике увольняли, и подобное.
Tasta_Blud
18.08.2023 07:43+2В реальности мы знаем или можем узнать, кто с нами говорит, а в интернете — нет.
вот именно, если в реальности не мы выбирали, кем родиться, то интернет давал отличную возможность быть кем ты хочешь.
отдельный вопрос, что под любой маской ты все тот же человек, но хотя бы маска - устраивала.
Dolios
18.08.2023 07:43+2В реальности, вы не можете узнать, как зовут человека, если он не представится, и где он живет, если он сам не рассказал. Это вопрос личной безопасности, который сегодня особенно актуален.
Altunik
18.08.2023 07:43-1Могу, если он сделает что-то плохое. Камеры, полиция.
Tasta_Blud
18.08.2023 07:43вот именно - камеры, полиция, и если он сделал что-то ОЧЕНЬ плохое. вы не можете позвонить "алло, полиция, мне не нравятся ромашки, что сосед у себя выращивает - избейте его, пожалуйста" - конечно, если эти ромашки не конопля (но это другой вопрос)
Dolios
18.08.2023 07:43+2Для того, чтобы нарваться на неадеквата, не нужно делать что-то плохое. Хотели бы видеть у себя под окнами странных людей, которые делают непристойные предложения вашей жене, например?
В последнее время участились случаи групповой травли людей за то, что они высказывают своё мнение. Ничего плохого они, при этом, не делают.
Tasta_Blud
18.08.2023 07:43+1групповая травля. не совсем поняла, травля группой или группы.
но на всякий, упомяну некую "культуру отмены" - да, то самое явление, когда тебя за что-то (даже относительно безобидное, но осуждаемое) начинают "отменять" прямо везде - и родня отворачивается, и с работы увольняют, и вообще везде.
и в этом самое гадкое то, что твоё поведение может быть совершенно безобидным, и даже во многих странах кроме текущей совершенно нормальным, но не в текущем окружении.
и даже никто не ответит на вопрос "что в этом плохого?" - ответом будет игнор, агрессия, абстрактные обвинения от "это великий грех!" до "что люди подумают?" и вариации "ну ты дурак такое спрашивать, сам должен понимать?!". вот абсолютное, каноничное зло и даже сомнению в этом, не то что попранию, не подлежит.
и история полна примеров подобного.
Dolios
18.08.2023 07:43Группой. Человек высказывает свою позицию, его данные сливаются в сеть и появляется большое количество странных индивидов, которые начинают писать и звонить ему с оскорблениями и угрозами.
Tasta_Blud
18.08.2023 07:43+1в этом явлении интересно то, что кто бы ты ни был, но уже своим существованием бесишь много кого.
люди настолько недовольны собой и жизнью, что их бесит вообще всё, даже то, что им нравится (ты слишком хорош, аж бесишь)
а потому им всё равно на кого сливать своё внутреннее говно. им надо, чтобы плохо было тебе, ты был ещё хуже - вот это их радует.
а оттого под раздачу попадали и Задорнов (рассказывал, как комментарий типа "ты дурак" появился через минуту под большим постом - который даже не читали) и Мягкова (стендап-комик, кажется, она рассказывала, что на неё наезд был за внешность - "глаза слишком друг от друга посажены").
ну а уж если найдется хоть милипусенький повод, то всё, держись...
и да, при этом хейтеры обожают как шакалы нападать стаей - один выльет помои, так набегает сразу десяток "да-да, он чмо, а ещё и..."
и ещё интересное явление, когда такое жывотнае фантазирует всякое невероятное ("да я тебя имел", "иди занимайся любимым делом - соси" и т.д.) и опровергнуть это никак невозможно, оно генерирует ещё десяток подобных "общеизвестных фактов", равно как вообще изменить эту тему или остановить этот поток оскорблений, кроме - или игнорировать и/или уйти, или припугнуть или причинить вред сильнее.
явления разные, но корень один - никто не хочет думать, никто не хочет делать (что-то полезное), а удобно ненавидеть и завидовать при нулевых прочих затратах.
A1054
18.08.2023 07:43+3Приватность. Не буду долго объяснять, зачем она, т.к. если это сразу не понятно, то объяснять придется очень уж долго. Достаточно сказать, что многим так хочется.
Разборки неадекватов. Причем для этого вовсе не надо делать что-то сомнительное. триггернуть у "Наполеона" может рассуждение о битве при Ватерлоо.
Криминал. Очень удобно узнать, что вы уехали в отпуск и обчистить квартиру. Или продать данные о привычках и психотипе мошенникам.
Травля за взгляды. Надо было это, пожалуй, вторым пунктом написать.
Ну и насчет реальности. Вы далеко не всегда знаете, с кем говорите. Иногда это потом можно узнать, приложив усилия. Иногда - нет. В интернете ситуация такая же.
Я еще не касался громадного пласта проблем, связанных с взаимоотношениями человек-государство, т.к. вы этот вопрос не затронули.
nehrung
18.08.2023 07:43Помнится, детальный разбор понятий "Анонимность", "Конфиденциальность" и "Приватность" довелось читать в одной из статей Павла Протасова из "старой Компьютерры" (ещё бумажной). Попробовал найти (для ссылки) — не удалось. Однако Яндекс (он с русскоязычным поиском справляется лучше Гугла) показал, что на эту тему много чего написали и другие авторы.
anzay911
18.08.2023 07:43+1Пока нет связи с российскими рублями, не вижу смысла заморачиваться. Есть рубли -> есть юрлицо со счётом в банке -> тогда опасно. А так вон Викимедиа вся штрафами облеплена, но как-то справляется.
Tasta_Blud
18.08.2023 07:43и если вы не в России. а так могут и к физлицу прицепиться, даже если он этим не зарабатывает
gigimon
18.08.2023 07:43А применимо это на всех сайтах, где требуется регистрация? А если мне нужна идентификация пользователя, а просто логин/пароль нужен, даже без почты например? То я теперь обязан буду делать авторизацию по этим правилам или нет?
Altunik
18.08.2023 07:43На всех российских сайта, где требуется авторизация (так написано в законе). Думаем, авторизация по логину и паролю относятся к пункту 4:
«С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.»
Sklott
18.08.2023 07:43+1Господа юристы, а скажите пожалуйста, использование простой пары логин/пароль, без всех этих ваших новомодных логин-по-емаил, подподает под пункт 4? А то может и переживать-то на самом деле не о чем?
Altunik
18.08.2023 07:43Похоже, что подпадает под пункт 4:
С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.avost
18.08.2023 07:43Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.
Откуда вы взяли это странное утверждение про второе гражданство и вообще гражданство владельца?
iRedds
18.08.2023 07:43Уважаемые юристы не хотят дать определение авторизации?
А то в двух вариантах из четырех указана ЕСИА+/-ЕБС, т.е. идентификация и аутентификация, без всяких авторизации.Если я "авторизируюсь" с помощью телефона это даст мне права одмина?
ifap
18.08.2023 07:43+1Пока ничего. Законом ответственность не предусмотрена (хе-хе, вспоминаем маркировку рекламы).
Легким движением руки неугодным вменяется нарушение общерасплывчатых иных требований или что там содержится в подходящей по формулировке статье КоАП или УК. Например, простор для применения ст.272-274 УК РФ вижу тут я...
Nasreddin_Hodja
18.08.2023 07:43Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.
Ну может потом добавят закон что пришедшая на электропочту повестка считается доставленной. С зарубежными почтовыми сервисами ведь можно было пошланговать что ничего не было, а если сервисы будут под их контролем, то отвертеться сложнее.
Алсо там формулировки такие что создаётся впечатление что тупо логин/пароль теперь тоже будет нельзя?
А если комменты можно оставлять без авторизации, с этим как? Ну вот например если к постам блога можно было оставлять комменты через ActivityPub (технически там правда, комменты отправляют с другого сервиса, по принципу email).
обязаны авторизовывать пользователей
Кто есть пользователи? Для чтения тоже обязан авторизовывать?
Altunik
18.08.2023 07:43В законе ни слова про обязанность авторизации и действия без авторизации. Только про то, как кого авторизовывать, если авторизация есть.
И под запретом только иностранные сервисы и только, если человек находится в России. Логин и пароль, кажется, таковым не являются, если вы их просто в базе создаёте без использования иностранного сервиса.
nApoBo3
18.08.2023 07:43+4Очень расстраивает устоявшаяся практика принятия насквозь кривых законов с формулировкой, посмотрим на правоприменение.
Если читать букву закона, то фактически необходимо остановить применение большей части информационных систем на территории РФ, а так же полностью прекратить использование различных стандартов SSO.
Далее измышления которые основаны на ТЕКСТЕ закона.
Первое, на кого распространяется этот закон. Если кратко, то практически на всех. Если вы ведете свою деятельность в сети интернет, т.е. по идее даже если у вас там просто есть сайт, то закон распространяется на все ваши информационные системы, даже на те, которые ни к каким сетям не подключены, если в них есть авторизация пользователей( даже без аутентификации, например если у вас используется скуд, то с помощью карт, даже анонимных карт, вы выполняете авторизацию, а значит и на этот случай закон распространяется ). Единственный спорный момент в данном месте, это формулировка "владелец". Т.е. гипотетически владельцем и эксплуатант, это могут быть разные лица и владелец может не вести деятельность в сети интернет.
Второе, закон регулирует не аутентификацию, а именно авторизацию, т.е. по большому счету ставит вне закона любые устоявшиеся стандарты авторизации, будь это упомянуты скуд с его mifare, JWT с его токкенами или kerberos, все это нельзя.
Но тут у нас есть последний пункт. Можно авторизоваться, еще раз обращаю внимание не аутентифицироваться, а авторизоваться, т.е. по идее вам нужно будет вообще все у себя внутри переработать именно на авторизацию с помощью внешних сервисов( т.е. внешний сервис должен управлять правами ваши пользователей и выдавать им право, а не подтверждать, что вот этот пользователь и есть Васили Пупкин ). И тут тоже есть вопросы, первое эти сервис авторизации должны быть в РФ, т.е. всякие войти с помощью Google точно сразу отпадают, но там есть пункт, про то, что данные сервисы должны работать в соответствии со статьей 16. И вот тут есть вопросы. По идее под такое определение подпадают только системы имеющие аттестацию и совершенно не понятно какую именно. Но есть и послабление, логин вида vasilypupkin@gmail.com по факту не запрещены, т.е. менять все логины не нужно. Вопрос только в том, где эту самую неизвестно как аттестованную систему взять.
И еще момент, депутаты успели подсуетиться и появились заявления, что текущих пользователей это не касается. Из закона такая штука не следует, это касается всех пользователей и новых и текущих. А так же, вероятно, этот закон фактически делает невозможным использование систем размещенных в РФ за рубежом, поскольку скорее всего вступит в конфликт с их локальными актами, а пункта на сайте вы находитесь в РФ или нет явно будет не достаточно, т.е. вы должны будете по умолчанию рассчитывать, что все ваши пользователи из РФ.
Цели закона вполне прозрачны "Интернет по паспорту". Т.е. по запросу к любому сервису с авторизацией должно быть возможно проследить все до конкретного гражданина. Т.е. например нужно установить ваше местонахождение, направляем запрос к сервисам авторизации, где может авторизоваться такой-то, а потом ко всем сервисам которые есть в полеченном списке и вот мы уже видим в какой именно пятерочке вы наличными с использование вашей скидочной карты рассчитывались и на какой адрес заказывали доставку воздушных шариков к дню рождения.
Dolios
Для защиты детей, очевидно же. У нас все запреты вводят для защиты детей.
Есть определение того, что это такое?
Tasta_Blud
вы забываете про экстремистов,
их тоже нужно защищатьим может оказаться кто угодно в каждом заронил он зерно темноты, может быть он - это я или ты (ц)Altunik
Есть:
Российским считается сервис, который принадлежит юрлица, находящемуся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства. Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.
Dolios
Т.е. россиянин на ПМЖ (но без второго гражданства) в какой-нибудь Португалии, который сделал сайт про портвейны в домене .pt и разместил его на сервере в Германии, должен будет вот так вот приседать?
Altunik
Домен и сервер не имеют значения. Важно, кому принадлежит сервис, где происходит авторизация, сервиса, через который идёт авторизация, и местонахождение пользователя.
iRedds
Dolios
Что значит этот бессмысленный набор слов? Если на сайт про портвейны в домене .pt, размещенном на сервере в Германии заходят, в том числе, россияне, живущие в Урюпинске и регистрируются там и получают информацию с него, то сайт осуществляет деятельность на территории РФ или нет?
iRedds
Если верит прецедентам, то да. Если сайт доступен из России, то значит ведет в России свою деятельность. Если не ошибаюсь, то именно такой трактовке придерживались законодатели в законе о "приземлении" для всяких гуглов.