Новости Comply.

Новые правила авторизации на сайтах и в приложениях

2023-12-04 20:57 Pulse

Новые правила авторизации на сайтах и в приложениях

1 декабря 2023 вступили в силу поправки в ФЗ «Об информации»[1], которые устанавливают обязательные требования к системам авторизации на российских сайтах.
Обновленный закон затронет практически все сайты и приложения в российском сегменте Интернета. Так, требования применяются к владельцам сайтов и приложений, которые одновременно:
  • являются российскими гражданами или юридическими лицами, в том числе с иностранным участием и
  • осуществляют деятельность в Интернете на территории России, то есть информационный ресурс направлен на российскую аудиторию в силу языка, региона доставки товаров, географии рекламного таргетинга и т.д.
Теперь закон запрещает использование иностранных сервисов Google и Apple ID. Авторизацию можно проводить только:
  • По номеру телефона (если только номер телефона не используется как логин – тогда речь будет идти о последнем в списке способе).
  • Через ЕСИА («Госуслуги»).
  • Через Единую биометрическую систему.
  • Через систему авторизации под российским контролем, которая должна соответствовать требованиям к защите информации, установленным статьей 16 ФЗ «Об информации».

Давайте разберемся, что имеется в виду под системой авторизации под российским контролем

Система авторизации — это элемент любого сайта, на котором есть, например, корзина покупателя или личный кабинет. Наличие российского контроля проверяется через принадлежность такой системы:
  • Гражданину РФ без второго гражданства.
  • Российской компании под контролем таких граждан, государства или муниципалитета.
Вопреки расхожему мнению закон не запрещает регистрировать пользователей с зарубежным адресом электронной почты. Например, почта на Gmail или Yahoo может использоваться в связке «логин-пароль».

Исключения из правил

30 ноября Госдума в третьем чтении приняла поправки[2], которые устанавливают ряд временных исключений из этих правил. Они временно устраняют проблему, которая есть у российских юридических лиц с подавляющим иностранным участием.
До 1 января 2025 года владельцами систем авторизации могут быть сами владельцы информационных ресурсов, даже если это компании под иностранным контролем или россияне с двойным гражданством. Это очень важное изменение для всех российских офисов глобальных компаний.

Последствия

Конкретные санкции, в том числе в виде блокировки или штрафа, за нарушение закона пока что отсутствуют. Однако нужно помнить, что в будущем законодатель может быстро принять такие санкции.
Отсутствие санкций не исключает общего правила о возмещении убытков третьих лиц, если вдруг к ним приведет нарушение закона.

Рекомендации

Российскому бизнесу (особенно компаниям с иностранным участием) стоит проверить, попадают ли его сервисы под новые ограничения, и адаптировать работу под них.
Может потребоваться:
  • Проверить, какие способы и системы авторизации используются, кому они принадлежат.
  • Оформить внутригрупповые отношения по передаче прав на системы авторизации. Не забыть оформить лицензии на право их использования компаниями с иностранным участием.
  • Проверить наличие необходимых поручений на обработку персональных данных и другие нюансы их защиты.
В любом случае следует постепенно уходить от иностранных сервисов авторизации, не дожидаясь введения жестких санкций со стороны государства. Это поможет не лишиться пользователей из-за экстренного отключения им входа через зарубежные сервисы, когда такие санкции появятся.
[1] Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
[2] Проект федерального закона № 487343-8.