Сайтам и приложениям нужно срочно менять авторизацию? Gmail и другие иностранные сервисы с 1 декабря — под запретом

Летом появились новости о запрете авторизации через иностранные сервисы. Причина — законопроект №570420-7. Разбираемся с Викторией Стальмаковой, юристом из Рунетлекса, кого касается этот закон, как он будет применяться и что грозит владельцам российских сервисов за его нарушение.

Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.

Когда система взаимодействует с пользователем, она может его идентифицировать, аутентифицировать и авторизовать. Дадим определения этим процессам.

Идентификация. Передача недостоверных данных о том, кто обратился в систему. Например, когда вы вводите https://somesystem.ru/profile?my_user_id=15616, вы пытаетесь зайти в профиль пользователя, имеющего ID 15616. Система не знает, являетесь ли вы на самом деле этим пользователем или вы злоумышленник, который хочет получить чужие данные. Тут в дело включается...

Аутентификация. Проверка пользователя на достоверность (логин/пароль, телефон+код подтверждения, email, код из push сообщения, ввод отпечатка пальца, считывание лица и т.д.)

Система спрашивает: «Подтверди-ка, товарищ что ты — это и есть 15616». Вы вводите нечто однозначно определяющее вас, как пользователя 15616. Система сверяет это с данными, которые есть у неё, и, если данные совпадают, процедура аутентификации пройдена, и мы переходим к...

Авторизации. Это разрешение пользователю, успешно прошедшему аутентификацию, определённых действий в системе: просмотр страницы, изменения и т.д.

Система знает, кто вы и какие у вас права. Если права есть, то авторизация пройдена, вы можете что-то делать. Если нет — система об этом скажет.

Скорее всего, в законе речь про аутентификацию, как первую из процедур, при которой происходит попытка входа в защищённую зону системы, проверка валидности и т.д.

С 1 декабря 2023 года владельцы российских сайтов, программ и других интернет-ресурсов обязаны «авторизовывать» пользователей следующими способами:

1. С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет.
2. Через единую систему идентификации и аутентификации — ЕСИА или Госуслуги.
3. С помощью единой биометрической системы по нормам об идентификации и аутентификации физлиц (Госуслуги с биометрией; ст. 9 и 10 Федерального закона от 29.12.2022 N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
4. С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.

На наш взгляд, именно к четвёртому способу можно отнести «авторизацию» через электронную почту и ID-системы. Главное, чтобы владельцем сервиса было российское юрлицо или гражданин РФ.

На этот вопрос отвечает сам 406-ФЗ:

Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.

Из привычных нам способов авторизации станет незаконным, например, Gmail. А Яндекс и Mail.ru? У них же есть иностранные совладельцы. Есть, но на них приходится меньше 50% акций. Так что без паники.

Пользователи, которые находятся в России.

Внимание, вопрос: что значит «находятся в России»? Про это закон ничего не говорит ¯\_(ツ)_/¯

Мы предполагаем, что речь об IP-адресах. Не физическое же местоположение они будут проверять.

Но тут есть проблема. Пока, на наш взгляд, нет технических средств массового использования, позволяющих однозначно определить, находится человек на территории РФ или нет.

Есть такая штука — РАНР. Это клон RIPE, но содержащий очень неполные данные. Непонятно, по какому принципу ресурсы попадают или не попадают в РАНР. Например, там есть Хабр с кипрским юридическим лицом. Плюс непонятно, как скачать его базу, и о публичном API тоже ничего неизвестно.

Есть вот такой список всех адресов РФ: https://lite.ip2location.com/russian-federation-ip-address-ranges?lang=ru. Возможно, рано или поздно нам придётся опираться на него.

Создать свой почтовый сервер — элементарно. Покупаете домен, арендуете сервер, ставите на него почтовый сервер — и вот вы уже email-провайдер, не нарушающий закон.

Но вот в момент, когда к зарегистрированному email вы добавите имя и фамилию, вы станете оператором персональных данных, который по закону не может хостить почтовый сервер за границей.

Ещё есть вопрос с доменом. Он влияет на «российскость» сервиса или нет? Если да, то какие домены считать российскими — только .рф и .ru, потому что они управляются «АНО Координационный центр национального домена сети Интернет»? Или все кириллические?

Любой домен за пределами РФ регистрируется чужими организациями, а наши регистраторы — это посредники, получившие аккредитацию в ICANN Пока нет каких-то внятных разъяснений я бы опирался на то, что почта - это практически всегда ПДн, а обработка ПДн - это несколько понятнееВ случае е

Если вы — владелец домена в зоне .ru, но используете Gmail-почту, вы передаёте им персональные данные, то есть нарушаете закон.Даже обычное транзакционное письмо с текстом «Иванов Иван Иваныч, ваш заказ создан», отправленное на ящик Gmail, уже нарушает закон, потому что ФИО — это персональные данные.

Так какую почту считать «российской»? Если максимально перестраховаться, критерии будут такими:
1. домен почты .ru или .рф,
2. есть подтверждение, что сервис хранит информацию на территории РФ.

Система хранит email в качестве логина. Это обычная аутентификация по паре логин-пароль, email-сервис в этом процессе не используется. Почта является в общении системы с пользователем исключительно каналом нотификации.

Причём, даже если пользователь регистрируется с подтверждением через электронную почту, жмёт на ссылку, переходит на сайт, и он подтверждает email, но при этом не авторизует, а просит ввести логин (email) и пароль, система чисто перед законом: отправили пользователю уведомление, он на него среагировал — точка.

Пока ничего. Законом ответственность не предусмотрена (хе-хе, вспоминаем маркировку рекламы).

Депутат Горелкин А.В. написал в своём телеграм-канале следующее:

Бежать и срочно менять способы авторизации НЕ нужно.

Можно задуматься о разделении пользователей и способов авторизации для тех, кто авторизуется с территории РФ и с территории иностранного государства.

Ждём разъяснений от Минцифры и Роскомнадзора. И, конечно, развития российских ID-сервисов.

Это наша седьмая юридическая статья. Остальные — здесь.

Чтобы не пропускать свежие статьи, подпишитесь:

Телеграм

ВК