Регулирование авторизации пользователей на информационных ресурсах в РФ

# Авторизация пользователей

## 🔍Что регулируется

### Авторизация пользователей информационных ресурсов (сайтов, мобильных приложений, информационных систем, программного обеспечения), необходимая для предоставления доступа к информации, размещенной на таких ресурсах

### Регулирование может распространяться на операционные системы и прикладное программное обеспечение (например, Microsoft Office), публичные точки wi-fi, мобильные устройства, в которых на реализовано разграничение доступа к информации

### Понятие «авторизация» законом не установлено, но авторы законопроекта говорят о «регистрации» пользователей, т.е., в отсутствие официальных разъяснений, требования могут распространяться как на регистрацию (первичный вход), так и на последующее использования тех или иных ресурсов [t.me/Hinshtein/4209]

## 👤Кого касается

### Российские компании и физические лица – владельцы информационных ресурсов, предоставляющие доступ к информации в них только «авторизованным» пользователям и осуществляющие деятельность на территории РФ

### Регулирование не распространяется

- иностранные ресурсы: если владелец ресурса – гражданин другой страны или иностранная организация, то он может сохранить авторизацию через Google, Apple и любые другие SSO

- на адреса иностранных электронных почт – их по-прежнему можно использовать в качестве пользовательских идентификаторов для авторизации, т.к. именно программное обеспечение российского ресурса будет «информационной системой, обеспечивающей авторизацию» [автор законопроекта, t.me/webstrangler/3008]

### Регулирование обратной силы не имеет и те, кто зарегистрировался до 01.12.2023, сохраняют свой доступ к ресурсам [автор законопроекта, t.me/webstrangler/2700]

## 🧩Декларируемый мотив

### «Закон направлен на защиту персональных данных наших граждан, с учетом, что многие иностранные сервисы явно или неявно участвуют в информационной войне». [автор законопроекта, t.me/webstrangler/2700]

## 🎯Требования

### Проводить «авторизацию» российских пользователей ресурсов одним из следующих способов

- по номеру мобильного телефона (оператор связи может быть нероссийским – в законе нет прямого запрета)

- через ЕСИА (проще говоря, с помощью портала Госуслуг)

- через ЕБС (где хранятся биометрические данные россиян)

- с помощью иной информационной системы, которой владеет гражданин РФ без второго гражданства или российское юрлицо (например, собственная система авторизации ресурса или SSO – VK ID, Яндекс ID и т.п.)

- *Правительство РФ может установить случаи авторизации с использованием адреса электронной почты, доменное имя которой должно быть в российской национальной доменной зоне [sozd.duma.gov.ru/bill/1110676-8]*

### На российских ресурсах теперь запрещены все иностранные сервисы авторизации – Apple ID, Google Sign-In и т.п.

## 🏛️Чем регулируется

### ч.10 ст.8 149-ФЗ от 27.07.2006 «Об информации» (в ред. 406-ФЗ от 31.07.2023)

## ⚖️Ответственность

### Юридическая ответственность за нарушение описанных требований прямо не установлена

### КоАП РФ ст.13.29.2: Передача информации, необходимой для регистрации и (или) авторизации пользователя сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса, иному лицу без поручения или согласия пользователя на такую передачу [штраф ФЛ - 30-50К ₽; ИП - 50-100К ₽; ЮЛ - 100-200К ₽]

### УК РФ ст.274.5: Организация или участие в деятельности по передаче информации, необходимой для регистрации и (или) авторизации пользователя сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса [штраф до 700К ₽ или в размере дохода до 2 лет; лишение права занимать должности или вести деятельность до 2 лет; принудительные работы до 3 лет; лишение свободы до 3 лет]

### *Неисполнение обязанности по проведению авторизации пользователей сайта, информационной системы и (или) программного обеспечения [КоАП ст.13.53*, sozd.duma.gov.ru/bill/1069392-8]*

- ЮЛ: штраф до 700К ₽

- ДЛ: штраф до 50К ₽

## 🚦Проблематика

### Неизвестно, что произойдет с учетной записью пользователя, если он не поменял способ входа с использованием иностранной SSO, а российский ресурс убрал такой способ

### Прямой конфликт с правилами, установленными Apple для приложений, публикуемых в Appstore: п. 4.8 правил публикации приложений в AppStore прямо установлено, что если вход в приложение возможен с использованием любого стороннего сервиса, Apple ID встраивать также обязательно [developer.apple.com/app-store/review/guidelines/#sign-in-with-apple]

## 💡Рыночные практики

### В «Литрес» и VK Play пропадет возможность авторизации через Apple и Google ID. Некоторые сервисы уже отключили возможность входа через Apple или Google ID, например Ozon [www.rbc.ru/technology_and_media/18/04/2024/661fd34b9a79470ca4e1066a]