Госдума в третьем чтении приняла законопроект, который вводит ответственность за нарушение правил авторизации российских пользователей на сайтах и в приложениях и правил использования рекомендательных технологий. Вместе с юристом и специалистом по информационной безопасности разбираемся, что нужно сделать, чтобы не получить штраф за «неправильную» авторизацию пользователей.
ЧТО ИЗМЕНИЛОСЬ?
Теперь для пользователей из России вход на сайты и в приложения будет практически всегда привязан к номеру телефона или к государственным системам идентификации. На практике это создаст устойчивую связку «аккаунт на сервисе = конкретный человек». Кроме того, информационным ресурсам придется интегрировать российские сервисы для авторизации.
Как именно пользователи смогут авторизоваться на сайтах и в приложениях?
В 2023 году в Закон «Об информации, информационных технологиях и о защите информации» добавили часть 10 статьи 8, которая обязывает владельцев российских сайтов, онлайн-сервисов и других ресурсов проводить авторизацию пользователей из России одним из этих способов:
- по номеру мобильного телефона;
- через Госуслуги (ЕСИА) или с помощью ЕБС (единая биометрическая система);
- через иную российскую систему авторизации, например, как Сбер ID или Яндекс. В законопроекте говорится, что владельцем системы должен быть россиянин без иного гражданства или российское юридическое лицо.
При этом ответственности за несоблюдение этих требований не было, поэтому этим законопроектом депутаты вводят новую статью 13.55 КоАП РФ.
БОЛЬШЕ НЕЛЬЗЯ ВХОДИТЬ В АККАУНТЫ С ЗАРУБЕЖНОЙ ПОЧТОЙ?
Новые штрафы направлены именно против использования запрещенных способов авторизации (Google, Apple ID и другие иностранные SSO). К ответственности не будут привлекать, если российский сайт сам проводит авторизацию по логину и паролю, а в качестве логина используется адрес зарубежной электронной почты. В этом случае учетная запись проверяется на стороне российского ресурса, а не через внешний сервис авторизации, поэтому уже зарегистрированные аккаунты с такими логинами продолжат работать.
КАКАЯ ОТВЕСТВЕННОСТЬ?
Владельцев информационных ресурсов, не соблюдающих правила авторизации, будут штрафовать:
- граждан на суммы от 10 тыс. до 20 тыс. рублей:
- должностные лица — от 30 тыс. до 50 тыс. рублей;
- юрлица — от 500 тыс. до 700 тыс. рублей.
ЧТО НУЖНО ПОМЕНЯТЬ ВЛАДЕЛЬЦАМ САЙТОВ, ЧТОБЫ НЕ ПОЛУЧИТЬ ШТРАФ?
- Провести аудит того, как сейчас пользователи заходят на сайт.
- Если есть российские пользователи — убрать возможность авторизации через любые иностранные сервисы.
- Предложить пользователям простой способ добавить или изменить способ авторизации.
- При желании подключить вход через российский номер телефона, ЕСИА и т.д.
МОЖНО ЛИ ОТКАЗАТЬСЯ ОТ АВТОРИЗАЦИИ?
Полный отказ от авторизации — вполне рабочая стратегия для сайтов и приложений, у которых основная задача — открыто доносить информацию, не хранить «жизненно важные» личные данные пользователей. И если весь ваш контент можно сделать полностью открытым (пользователю не надо входить в свой аккаунт чтобы читать тексты, смотреть материалы, пользоваться другим функционалом).
Помните, что жесткие требования по способам авторизации включаются, когда одновременно выполняется несколько условий:
- владелец – российское юрлицо или гражданин РФ;
- ресурс работает на территории России;
- доступ к информации дается только пользователям, прошедшим авторизацию;
- речь о пользователях, находящихся на территории РФ.
Если вы убираете из уравнения обязательную авторизацию для доступа к контенту, то именно этот блок закона к вам перестает применяться.
В результате небольшие медиа, правозащитные и просветительские проекты, сайты со статическим или справочным наполнением могут жить без авторизации пользователей. Более того, для сайтов с политически чувствительным контентом (критика властей, правозащитная информация и т.д.) такой подход снижает риск деанонимизации читателей.
| Подробнее о правилах использования рекомендательных технологий читайте здесь |
Источник: Центр защиты прав СМИ
