Госдума приняла во втором и третьем чтениях закон об административной ответственности за авторизацию пользователей на российских сайтах через зарубежные сервисы. Документ, внесённый группой депутатов во главе с первым заместителем председателя комитета по информполитике Антоном Горелкиным, вводит штрафы для владельцев интернет-ресурсов – от 10 до 700 тысяч рублей. При этом, как подчёркивают эксперты, санкции не коснутся рядовых пользователей, однако их ждут определённые неудобства.

– Интернет заполонили сообщения о штрафах для россиян за авторизацию через зарубежные сервисы. Правда ли это? И насколько страшно для человека, у которого только почта Gmail, например?

– Правда в том, что Госдума приняла в третьем чтении законопроект о штрафах за нарушение правил авторизации пользователей на российских интернет-ресурсах. Но неверно говорить, что обычных граждан будут штрафовать за то, что у них есть почта на Gmail или что они когда-то входили на сайт через систему авторизации Google. Ответственность адресована владельцам сайтов, приложений и информационных ресурсов, а не рядовому пользователю. В новостях фигурируют суммы до 700 тыс. рублей для юридических лиц, но это санкции для владельцев ресурсов, которые продолжают использовать запрещённые способы авторизации.

Человек может продолжать пользоваться почтовым ящиком, получать письма, хранить переписку. Есть практический риск: некоторые российские сервисы могут попросить привязать к аккаунту российский номер телефона, Госуслуги, VK ID, Яндекс ID, Сбер ID или другой  «разрешённый» способ входа (провайдер аутентификации). То есть речь скорее о возможном неудобстве и миграции аккаунтов, а не о штрафе для пользователя. Председатель думского комитета Сергей Боярский отдельно пояснял, что штрафовать обычных пользователей за авторизацию через Gmail, Hotmail, Apple ID или Google ID не будут.

Формулировка в законе о штрафе «для граждан» не значит «для любого пользователя». Гражданин может быть владельцем сайта или приложения как физическое лицо. Например, человек сделал собственный сервис, форум, личный коммерческий сайт с регистрацией пользователей и нарушил правила авторизации. В таком случае он выступает не как обычный пользователь, а как владелец информационного ресурса. Именно на эту категорию и рассчитан штраф для граждан.

– Что именно считается авторизацией через иностранный аккаунт?

– В законе термин «авторизация» используется шире, чем в строгой ИТ-терминологии. В классической информационной безопасности мы различаем идентификацию, аутентификацию и авторизацию: кто пользователь, как он это доказал и какие права получил, соответственно. В бытовом и юридическом контексте эти этапы часто объединяют словом «вход». Поэтому под ограничения, скорее всего, попадут все схемы, где доступ в личный кабинет, закрытый раздел, подписку, заказ, профиль или иной функционал предоставляется через внешний иностранный аккаунт.

Отдельный нюанс – электронная почта. Просто указать Gmail как контактный адрес для получения уведомлений – это не то же самое, что авторизоваться через иностранный аккаунт. Но если иностранная почта используется как основной идентификатор для входа, особенно если вход подтверждается через инфраструктуру иностранного сервиса, для владельца ресурса это уже зона правового риска. Юристы обращают внимание, что само понятие авторизации в регулировании сформулировано не идеально чётко, поэтому на практике многое будет зависеть от позиции РКН и судов.

– Подпадает ли под новые ограничения вход через Google, Apple ID, Microsoft, Telegram или речь идёт только об отдельных способах идентификации пользователей?

– Вход через Google, Apple ID, Microsoft и аналогичные иностранные сервисы следует считать рискованным и, скорее всего, недопустимым для российских ресурсов, которые подпадают под требования закона.

Юридическая логика здесь не в названии конкретной компании, а в том, соответствует ли сервис авторизации установленным критериям: российский номер телефона, ЕСИА («Госуслуги»), Единая биометрическая система или иная информационная система, владелец которой является российским гражданином без иностранного гражданства либо российским юридическим лицом. Именно такой перечень следует из закона «Об информации, информационных технологиях и о защите информации».

Telegram я бы выделил отдельно. Если сайт использует Telegram Login как самостоятельный способ входа, то это, по сути, тоже внешний сервис авторизации. То обстоятельство, что Telegram-аккаунт часто привязан к номеру телефона, не делает сам Telegram российской системой авторизации в смысле закона. Но если Telegram используется только как канал уведомлений – например, прислать сообщение после того, как пользователь уже авторизовался законным способом, – это другая ситуация.

– Как новые требования изменят работу российских сайтов и приложений? Насколько сложно технически отказаться от иностранных систем авторизации и какие сервисы окажутся затронуты в первую очередь?

– Важно уточнить: сами требования к способам авторизации появились не сейчас. Они были заложены в закон об информации раньше, а новое – это появление административной ответственности за их нарушение. Иными словами, раньше у рынка был период адаптации, а теперь появляется реальный риск штрафа. Юристы также отмечают, что запрет на регистрацию и вход через иностранные почтовые сервисы и аккаунты уже действовал, а новый закон восполняет пробел именно в части санкций.

Для крупных российских платформ это, как правило, не революция: многие уже давно используют телефон, собственный ID или российские партнёрские ID. Некоторые сервисы начали предупреждать пользователей и отключать вход через Apple и Google ещё в 2024 году. Например, сообщалось о таких уведомлениях у Литрес и VK Play, а Ozon уже тогда говорил, что отключил «зарубежный вход», поскольку большинство пользователей использовали Ozon ID.

Сложнее будет небольшим и средним сервисам: интернет-магазинам, форумам, образовательным платформам, медиасервисам, подписочным сервисам, игровым и развлекательным приложениям, корпоративным порталам, где когда-то поставили «Войти через Google» или «Войти через Apple» как удобный и дешёвый способ регистрации. Технически убрать кнопку входа несложно. Сложность – в миграции учётных записей: нужно не потерять пользователей, не создать дубли аккаунтов, не открыть возможность захвата чужой учётной записи, корректно перенести историю заказов, подписок, бонусов, учебного прогресса, платежей.

Для разработчиков это означает несколько задач: отключить иностранные OAuth/SSO-сценарии для пользователей из России, внедрить разрешённые способы входа, связать старые аккаунты с новыми способами авторизации, обновить пользовательские соглашения и политику обработки персональных данных, протестировать восстановление доступа и работу мобильных приложений. При этом очевидно, что нагрузка на держателей ресурсов вырастет не только технически, но и с точки зрения персональных данных, договоров с подрядчиками и контроля со стороны РКН.

– Что грозит обычным пользователям? Если человек привык входить на сайт через Google или Apple ID, сможет ли он продолжить пользоваться сервисом после вступления закона в силу или изменения коснутся только владельцев ресурсов?

– Пользователь может столкнуться с практическими ограничениями. Сервис может убрать кнопку «Войти через Google» или «Войти через Apple» и предложить добавить новый способ входа: телефон, пароль, российский ID («Госуслуги» или иной разрешённый вариант). Если сервис всё сделает грамотно, пользователь просто пройдёт миграцию и продолжит пользоваться аккаунтом. Если сервис подготовится плохо, возможны обращения в поддержку, временная потеря доступа, необходимость подтверждать владение аккаунтом через почту, телефон, чек, историю заказов или иные данные.

– На Ваш взгляд, возникнут ли сложности с доступом к уже существующим аккаунтам?

Да, точечные сложности возможны, но массовой катастрофы я бы не ожидал. Закон не требует автоматически удалять уже созданные аккаунты. Требований блокировать или удалять ранее созданные учётные записи через иностранные сервисы не вводилось. Наиболее вероятный сценарий развития событий – постепенное добавление разрешённого способа входа к уже существующему аккаунту.

Проблемы могут возникнуть там, где у пользователя был только один способ входа – например, исключительно Apple ID, причём с закрытым relay-адресом Apple, или Google-аккаунт без установленного локального пароля на сайте. Тогда сервису придётся предложить сценарий восстановления: подтвердить почту, телефон, платёж, историю действий или обратиться в поддержку. Для держателей информационных ресурсов и сервисов это как раз самая чувствительная часть миграции: не потерять легитимного пользователя и одновременно не дать злоумышленнику «перепривязать» чужой аккаунт.

С точки зрения правоприменения пока надо быть осторожными с категоричными выводами: новая статья КоАП только вводится, устойчивой судебной и административной практики по ней ещё нет. Но уже можно ожидать, что проверять будут не намерения пользователей, а фактическую возможность войти на российский ресурс через запрещённый способ: видна ли кнопка, проходит ли сценарий входа, можно ли получить доступ в личный кабинет через иностранный сервис аутентификации. Вероятно, будет постепенное усиление контроля Роскомнадзора, в том числе через автоматизированный мониторинг сайтов и проверки по жалобам пользователей.

Читайте новости Саратовского университета в MAX. Подписывайтесь на канал Минобрнауки России в MAX.