29.12.2023

Как запрет иностранных сервисов повлияет на правила авторизации

Лето принесло немало ярких инфоповодов. Одним из них стал законопроект № №570420-7 о запрете авторизации через иностранные сервисы, в том числе Gmail. Изначально речь в документе шла только о новостных агрегаторах. Однако уже во втором чтении законопроект стал касаться и деятельности хостеров, и авторизации пользователей в интернет-сервисах.

Ситуация прояснилась 31 июля 2023 года. В этот день был подписан Федеральный закон от 31.07.2023 N 406-ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О связи"».

Разберемся, кого коснутся нововведения, как правовой акт будет применяться на практике и какие санкции грозят владельцам сайтов и приложений в случае нарушения.

Почему в Федеральном законе есть слово «авторизация»

Взаимодействие системы с пользователем может происходить путем идентификации, аутентификации и авторизации. Разберемся, что означают эти термины.

Идентификация — это распознавание того, кто обращается к сайту или приложению. Например, вы вводите https://systemname.ru/profile?my_user_id=12345 и таким образом пытаетесь войти в сервис через профиль пользователя с ID 12345. При этом система не может точно определить, действуете ли вы легально или являетесь злоумышленником. Отличить настоящего пользователя от мошенника помогает аутентификация.

Аутентификацией называется проверка пользователя на достоверность. Подтвердить свою подлинность можно разными способами — через пару логин-пароль, кодом из SMS или push-сообщения, с помощью биометрических данных и т. д. Задача пользователя — доказать, что именно ему принадлежит профиль с ID 12345. Система сверяет предоставленную информацию с теми данными, которые у нее есть. Если все совпадает, аутентификация считается пройденной. Можно переходить к авторизации.

Под авторизацией понимается разрешение, которое получает прошедший аутентификацию пользователь. Теперь ему можно просматривать страницы, вносить изменения и т. д.

Судя по всему, в законе N 406-ФЗ говорится именно про аутентификацию как проверку валидности пользователя.

Кто попадает под действие закона

С 1 декабря 2023 года у владельцев российских интернет-ресурсов появляется новая обязанность — проводить «авторизацию» пользователей следующими способами:

С помощью номера мобильного телефона. Основанием становится договор об идентификации между владельцем веб-ресурса и оператором связи, который не обязан быть российским юридическим лицом. По крайней мере, в законе этого требования нет.
Через «Госуслуги» или ЕСИА — Единую систему идентификации и аутентификации.
С помощью единой биометрической системы по нормам об идентификации и аутентификации физических лиц.
С помощью иной системы или программы, которая соответствует требованиям к защите информации. Важно, чтобы сервис принадлежал российскому юридическому лицу либо гражданину РФ, не имеющему второго гражданства. Скорее всего, сюда относится «авторизация» через e-mail и ID-системы.

Кто является российским юридическим лицом

Ответ можно найти в законе N 406-ФЗ. Российским считается юридическое лицо, которое находится под контролем:

РФ;
субъекта РФ;
муниципального образования;
гражданина РФ без второго гражданства.

Под контролем понимается возможность распоряжаться более чем 50% от всего количества голосов, которые приходятся на акции в составе уставного капитала. Это значит, что иностранные владельцы могут участвовать в информационных системах. Главное, чтобы у них было менее 50% голосующих акций.

Подпишитесь на нас в Telegram

Получайте свежие статьи об интернет-маркетинге и актуальные новости о наших готовых решениях

Получается, что незаконной станет авторизация с помощью Gmail. У Яндекса и Mail.ru также есть иностранные совладельцы, но у них меньше 50% акций.

Кто больше не сможет проходить авторизацию с помощью иностранного e-mail

В эту категорию попадают пользователи, которые находятся в РФ. Что именно это значит, закон не разъясняет. Скорее всего, речь идет об IP-адресах. Вряд ли кто-то будет устанавливать фактическое местоположение пользователей. Однако здесь есть нюанс. В настоящий момент не существует технических средств, которые позволяют точно установить, действительно ли пользователь находится в России.

Для примера возьмем сервис РАНР. Неизвестно, по какому принципу туда попадают те или иные ресурсы. Например, В РАНР есть «Хабр», который находится в юрисдикции Кипра. Кроме того, непонятно, как скачать базу данных сервиса. Информации о публичном API РАНР тоже нет. Вероятнее всего, в будущем придется пользоваться списком всех российских адресов вот отсюда.

Можно ли создать собственный почтовый сервер

Да, легко. Чтобы стать самому себе email-провайдером, достаточно купить домен и арендовать сервер. Закон это разрешает. Проблема в том, что при добавлении к зарегистрированному email своего имени и фамилии вы становитесь оператором персональных данных. Ему нельзя хостить почтовый сервер за пределами РФ.

С доменом тоже не все ясно. Например, возникает вопрос, определяет ли он «национальность» сервиса. Если да, то какие домены считаются российскими — любые кириллические либо только .рф и .ru?

Все домены за пределами России регистрируются сторонними организациями. У нас эту задачу выполняют посредники, которые получили аккредитацию ICANN. Пока этот момент не прояснился, будем опираться на то, что использование электронной почты неразрывно связано с обработкой персональных данных. В этом случае появляется конкретика.

Если владелец домена в зоне .ru пользуется Gmail, он передает персональные данные компании Google. Это нарушение закона. Даже отправка письма с текстом «Василий Васильевич Васюков, ваш заказ готов» уже затрагивает персональные данные, к которым относится Ф.И.О.

По каким критериям определить, что почта на 100% российская:

домен .рф и .ru;
хранение данных на территории РФ.

Является ли использование электронного адреса авторизацией через почту

При аутентификации по паре логин-пароль сам почтовый сервис не используется. В этом случае email служит каналом нотификации между системой и пользователем.

Например, человек при регистрации выбирает подтверждение через почту, нажимает на ссылку, переходит на сайт, подтверждает адрес, но при этом не авторизуется, а просто вводит логин в виде email и пароль. В таком случае к системе нет претензий: пользователю было отправлено уведомление — он отреагировал.

Чем грозит нарушение

Пока еще ничем. Автор законопроекта А. В. Горелкин отметил, что решение по нормам ответственности могут быть приняты только после анализа правоприменительной практики. Ранее зарегистрированные аккаунты, которые привязаны к иностранным почтовым сервисам, будут работать в прежнем режиме.

Что в итоге

Пользователям не нужно срочно менять логины с зарубежных на российские. Но следует иметь в запасе аккаунт российской электронной почты. Владельцам интернет-сервисов стоит подумать, как разделять юзеров на тех, кто авторизуется с территории РФ, и тех, кто заходит в систему из-за границы. В любом случае мы следим за событиями.

#Юзабилити

#Интернет-маркетинг