Борис, вы правы, но в законе написано «авторизация». Какой технический процесс имеют в виду, не уточняется.

«Как определять российскость пользователя? По ip?» — в законе про это ничего не сказано, но мы думаем, что это единственный рабочий вариант, потому что речь идёт о местоположении, а не гражданстве.

«Как определить российскость стороннего сервиса авторизации?» — только по структуре собственности. Реестра нет.

«Российским считается сервис, который принадлежит юрлица, находящемуся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства. Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.»

Верно отмечено, запрещена авторизация, а ее никто с помощью Gmail и не делал, только аутентификацию.

.. с другой стороны.. любое физ лицо и даже IoT девайс, выходящий через gprs, lte связь уже выполнил авторизацию через номер телефона опсоса в момент подключения к сети и получил права на скачивание публичных материалов.

Идентификация, она же аутентификация - пользователь уже есть в системе, его надо узнать и предоставить соответствующие сервисы.
Авторизация - пользователя нет в системе, надо создать и предоставить новому пользователю соответствующие сервисы.

Согласен с вами. Авторы владеют семантикой терминов на бытовом уровне.
Исходя из базового опредления термина "авторизация" (предоставление прав для выполнения каких-либо действий) необходимо осуществить идентификацию субъекта получения этих прав.
Просмотр любого содержимого любого сайта в сети "Интернет" это уже предоставление таковых прав.
Таким обрзом, чтобы правильно исполнить требования предлагаемого закона нужно при любом входе любого субъекта идентифицировать его, аутентифицировать и уже на этом основании предоставить какие-либо права (получение доступа к материалам на чтение, отпавку и т.д. и т.п.)

Я почитал "Закон о связи". Может быть я плохо смотрел, но там нет четкого разъяснения что такое авторизация, что есть идентификация. (в законе мелькает слово "аутентификация", а также "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" )
Более того в поправках по духу подразумевается именно "идентификация", а на "авторизация". Правоохранительные органы хотят иметь возможность быстро выстроить связь user78654211 - это Василий Кузьмич Пупкин, дата рождения, паспорт серия номер, место регистрации.
Если в офисе (допустим речь про университет и студентов) я имею возможность видеть людей лично, подтверждать их личности. То нет разницы как студенты авторизуются на институтском портале. Если кто в форуме ВУЗа напишет плохие призывы, к нему в гости быстро придет товарищ майор.
Договоры регистраторов доменных имен - давно по паспортным данным! Сделано было давно, чтобы владельцев сайтов в зоне RU с плохим содержимым быстро находить. И какой там логин, авторизация, у регистратора, не важно.
Надо было четко прописать, что речь идет про идентификацию, что такое идентификация, и что есть 2 вида идентификации - прямая, когда владелец сайта, приложения сам знает персональные данные своих пользователей. И вторичная, когда используется сторонний сервис, и сторонний сервис знает данные пользователей. Сторонний сервис - это оператор мобильной связи, или сервис типа Яндекса, Вконтакте, Гоуслуги, и т.д. который также может деанонимизировать пользователя. Госуслуги деанинимизируют напрямую, ВК, Яндекс - через операторов мобильной связи. Нужно было еще ЭЦП в поправки добавить.
Очень низкое качество поправок к закону на мой взгляд. Другие места в законе были прописаны очень качественно и подробно.