Сайтам и приложениям нужно срочно менять авторизацию? Gmail и другие иностранные сервисы с 1 декабря — под запретом
Летом появились новости о запрете авторизации через иностранные сервисы. Причина — законопроект №570420-7. Разбираемся с Викторией Стальмаковой, юристом из Рунетлекса, кого касается этот закон, как он будет применяться и что грозит владельцам российских сервисов за его нарушение.
Законопроект №570420-7 сначала касался только новостных агрегаторов, но во втором чтении стал регулировать и деятельность хостеров, и авторизацию в интернет-сервисах.
А 31 июля президент подписал Федеральный закон от 31.07.2023 N 406-ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации” и Федеральный закон “О связи”» (406-ФЗ).
Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.
Почему в законе использовано слово «авторизация»?
Когда система взаимодействует с пользователем, она может его идентифицировать, аутентифицировать и авторизовать. Дадим определения этим процессам.
Идентификация. Передача недостоверных данных о том, кто обратился в систему. Например, когда вы вводите https://somesystem.ru/profile?my_user_id=15616, вы пытаетесь зайти в профиль пользователя, имеющего ID 15616. Система не знает, являетесь ли вы на самом деле этим пользователем или вы злоумышленник, который хочет получить чужие данные. Тут в дело включается...
Аутентификация. Проверка пользователя на достоверность (логин/пароль, телефон+код подтверждения, email, код из push сообщения, ввод отпечатка пальца, считывание лица и т.д.)
Система спрашивает: «Подтверди-ка, товарищ что ты — это и есть 15616». Вы вводите нечто однозначно определяющее вас, как пользователя 15616. Система сверяет это с данными, которые есть у неё, и, если данные совпадают, процедура аутентификации пройдена, и мы переходим к...
Авторизации. Это разрешение пользователю, успешно прошедшему аутентификацию, определённых действий в системе: просмотр страницы, изменения и т.д.
Система знает, кто вы и какие у вас права. Если права есть, то авторизация пройдена, вы можете что-то делать. Если нет — система об этом скажет.
Скорее всего, в законе речь про аутентификацию, как первую из процедур, при которой происходит попытка входа в защищённую зону системы, проверка валидности и т.д.
На кого распространяется действие нового закона?
С 1 декабря 2023 года владельцы российских сайтов, программ и других интернет-ресурсов обязаны «авторизовывать» пользователей следующими способами:
- С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет.
- Через единую систему идентификации и аутентификации — ЕСИА или Госуслуги.
- С помощью единой биометрической системы по нормам об идентификации и аутентификации физлиц (Госуслуги с биометрией; ст. 9 и 10 Федерального закона от 29.12.2022 N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
- С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.
На наш взгляд, именно к четвёртому способу можно отнести «авторизацию» через электронную почту и ID-системы. Главное, чтобы владельцем сервиса было российское юрлицо или гражданин РФ.
Что такое российское юридическое лицо?
На этот вопрос отвечает сам 406-ФЗ:
Это юридическое лицо, находящееся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства.
Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.
Из привычных нам способов авторизации станет незаконным, например, Gmail. А Яндекс и Mail.ru? У них же есть иностранные совладельцы. Есть, но на них приходится меньше 50% акций. Так что без паники.
Кто не сможет авторизоваться на российских интернет-сервисах с помощью иностранной электронной почты?
Пользователи, которые находятся в России.
Внимание, вопрос: что значит «находятся в России»? Про это закон ничего не говорит ¯\_(ツ)_/¯
Мы предполагаем, что речь об IP-адресах. Не физическое же местоположение они будут проверять.
Но тут есть проблема. Пока, на наш взгляд, нет технических средств массового использования, позволяющих однозначно определить, находится человек на территории РФ или нет.
Есть такая штука — РАНР. Это клон RIPE, но содержащий очень неполные данные. Непонятно, по какому принципу ресурсы попадают или не попадают в РАНР. Например, там есть Хабр с кипрским юридическим лицом. Плюс непонятно, как скачать его базу, и о публичном API тоже ничего неизвестно.
Есть вот такой список всех адресов РФ: https://lite.ip2location.com/russian-federation-ip-address-ranges?lang=ru. Возможно, рано или поздно нам придётся опираться на него.
А если я сделаю свою почту?
Создать свой почтовый сервер — элементарно. Покупаете домен, арендуете сервер, ставите на него почтовый сервер — и вот вы уже email-провайдер, не нарушающий закон.
Но вот в момент, когда к зарегистрированному email вы добавите имя и фамилию, вы станете оператором персональных данных, который по закону не может хостить почтовый сервер за границей.
Ещё есть вопрос с доменом. Он влияет на «российскость» сервиса или нет? Если да, то какие домены считать российскими — только .рф и .ru, потому что они управляются «АНО Координационный центр национального домена сети Интернет»? Или все кириллические?
Любой домен за пределами РФ регистрируется чужими организациями, а наши регистраторы — это посредники, получившие аккредитацию в ICANN Пока нет каких-то внятных разъяснений я бы опирался на то, что почта - это практически всегда ПДн, а обработка ПДн - это несколько понятнееВ случае е
Если вы — владелец домена в зоне .ru, но используете Gmail-почту, вы передаёте им персональные данные, то есть нарушаете закон.Даже обычное транзакционное письмо с текстом «Иванов Иван Иваныч, ваш заказ создан», отправленное на ящик Gmail, уже нарушает закон, потому что ФИО — это персональные данные.
Так какую почту считать «российской»? Если максимально перестраховаться, критерии будут такими:
1. домен почты .ru или .рф,
2. есть подтверждение, что сервис хранит информацию на территории РФ.
А использование почтового адреса для входа является «авторизацией» через почту? Ээээ...
Система хранит email в качестве логина. Это обычная аутентификация по паре логин-пароль, email-сервис в этом процессе не используется. Почта является в общении системы с пользователем исключительно каналом нотификации.
Причём, даже если пользователь регистрируется с подтверждением через электронную почту, жмёт на ссылку, переходит на сайт, и он подтверждает email, но при этом не авторизует, а просит ввести логин (email) и пароль, система чисто перед законом: отправили пользователю уведомление, он на него среагировал — точка.
Что будет, если нарушить требования
Пока ничего. Законом ответственность не предусмотрена (хе-хе, вспоминаем маркировку рекламы).
Депутат Горелкин А.В. написал в своём телеграм-канале следующее:
… Мы будем внимательно следить за правоприменительной практикой и только после ее оценки могут быть приняты какие-то решения по нормам ответственности… Те, кто зарегистрировался ранее, сохраняют свой доступ. Новая норма касается только ресурсов, где есть регистрация. ...
Так что делать-то, господа юристы?
Бежать и срочно менять способы авторизации НЕ нужно.
Можно задуматься о разделении пользователей и способов авторизации для тех, кто авторизуется с территории РФ и с территории иностранного государства.
Ждём разъяснений от Минцифры и Роскомнадзора. И, конечно, развития российских ID-сервисов.
Это наша седьмая юридическая статья. Остальные — здесь.
Чтобы не пропускать свежие статьи, подпишитесь:
Ну КАК можно начинать правовой анализ, не определившись со смыслом терминов? А в терминах вся загвоздка и заключается?
Что означает «авторизация»? Технически - это предоставление определенного набора прав УЖЕ идентифицированному и аутентифицированному пользователю.
Итак, имеются понятия: идентификация (определение КТО входит в систему), аутентификация (подтверждение, что входит идентифицированный пользователь, а не кто то другой), авторизация (предоставление набора прав вошедшему пользователю).
Предполагаю, что законодатели под авторизацией подразумевают не авторизацию в буквальном смысле. Но что?
Навскидку предполагаю пару вариантов:
1) Имеется ввиду идентификация при регистрации с аутентификацией через сторонний правильный сервис. Типа при регистрации сайт должен проверять email по белому списку, причем подтверждать через письмо с кодом.
2) Имеется ввиду именно авторизация. Тогда это означает, что через логин/пароль входить на сайты будет нельзя, входить придется через сторонние сервисы, предварительно пройдя там идентификацию и аутентификацию. Имхо, мало кто сможет это реализовать. Да и будет полная зависимость всех сайтов от нескольких сервисов.
И еще несколько проблем:
1) Как определять российскость пользователя? По ip? Но это ненадежный метод. По сути, это кустарный метод. Тогда нужна официальная государственная система, предоставляющая соответствующую информацию, т.е. белый список ip.
2) Как определить российскость стороннего сервиса авторизации? По моему, это без белого (официального) списка невозможно. Еще недавно, если не ошибаюсь, и яндекс и мэйл, и вк формально не были российскими. Уже стали? Как это отслеживать? Имхо, без белого списка нереально.
Я почитал "Закон о связи". Может быть я плохо смотрел, но там нет четкого разъяснения что такое авторизация, что есть идентификация. (в законе мелькает слово "аутентификация", а также "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" )
Более того в поправках по духу подразумевается именно "идентификация", а на "авторизация". Правоохранительные органы хотят иметь возможность быстро выстроить связь user78654211 - это Василий Кузьмич Пупкин, дата рождения, паспорт серия номер, место регистрации.
Если в офисе (допустим речь про университет и студентов) я имею возможность видеть людей лично, подтверждать их личности. То нет разницы как студенты авторизуются на институтском портале. Если кто в форуме ВУЗа напишет плохие призывы, к нему в гости быстро придет товарищ майор.
Договоры регистраторов доменных имен - давно по паспортным данным! Сделано было давно, чтобы владельцев сайтов в зоне RU с плохим содержимым быстро находить. И какой там логин, авторизация, у регистратора, не важно.
Надо было четко прописать, что речь идет про идентификацию, что такое идентификация, и что есть 2 вида идентификации - прямая, когда владелец сайта, приложения сам знает персональные данные своих пользователей. И вторичная, когда используется сторонний сервис, и сторонний сервис знает данные пользователей. Сторонний сервис - это оператор мобильной связи, или сервис типа Яндекса, Вконтакте, Гоуслуги, и т.д. который также может деанонимизировать пользователя. Госуслуги деанинимизируют напрямую, ВК, Яндекс - через операторов мобильной связи. Нужно было еще ЭЦП в поправки добавить.
Очень низкое качество поправок к закону на мой взгляд. Другие места в законе были прописаны очень качественно и подробно.