Дума ввела штрафы за авторизацию пользователей через иностранные сервисы
Из последних новостей. Госдума приняла во втором и третьем чтениях законопроект, который вводит штрафы для владельцев российских интернет-ресурсов за нарушения правил авторизации пользователей. Если говорить точнее:
Ст. 13.53. Неисполнение владельцем сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, осуществляющим свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязанности проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из способов, предусмотренных Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в случае, если такая обязанность предусмотрена указанным Федеральным законом.
За нарушение правил установлены следующие возможные штрафы: Граждане от 10 000 до 20 000 руб. Должностные лица от 30 000 до 50 000 руб. Юридические лица от 500 000 до 700 000 руб.
С самим законопроектом можно ознакомиться здесь: https://sozd.duma.gov.ru/bill/1110676-8
Так как указанная статья ссылается на 149-ФЗ, нужно ознакомиться и с её нормой - что именно подразумевается под обязанностью проводить авторизацию. Её суть содержится в статье 8 и является крайне неоднозначным. Если кратко изложить текст, то получается, что владельцы сайтов с регистрацией пользователей должны обеспечить возможность осуществить эту регистрацию с использованием номера телефона или с помощью Госуслуг или через единую биометрическую систему или с помощью иной системы, находящейся под контролем резидента РФ и выполняющей требования законодательства РФ.
Полный текст статьи
Владелец сайта и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети "Интернет" на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети "Интернет", и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов: Владелец сайта и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети "Интернет" на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети "Интернет", и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:
1) с использованием абонентского номера оператора подвижной радиотелефонной связи;
2) с использованием федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - единая система идентификации и аутентификации);
3) с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" в порядке, предусмотренном статьями 9 и 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации";
4) с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети "Интернет", и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо. Если иное не предусмотрено международным договором Российской Федерации, российским юридическим лицом, указанным в настоящем пункте, является юридическое лицо, находящееся под контролем Российской Федерации, и (или) субъекта Российской Федерации, и (или) муниципального образования, и (или) гражданина Российской Федерации, не имеющего гражданства другого государства, и (или) контролируемых ими совместно или по отдельности лиц. При этом под контролем понимается возможность определять решения, принимаемые указанным юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица.
1) с использованием абонентского номера оператора подвижной радиотелефонной связи;
2) с использованием федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - единая система идентификации и аутентификации);
3) с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" в порядке, предусмотренном статьями 9 и 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации";
4) с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети "Интернет", и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо. Если иное не предусмотрено международным договором Российской Федерации, российским юридическим лицом, указанным в настоящем пункте, является юридическое лицо, находящееся под контролем Российской Федерации, и (или) субъекта Российской Федерации, и (или) муниципального образования, и (или) гражданина Российской Федерации, не имеющего гражданства другого государства, и (или) контролируемых ими совместно или по отдельности лиц. При этом под контролем понимается возможность определять решения, принимаемые указанным юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица.
Эта норма закона «Об информации, информационных технологиях и о защите информации» действует уже давно - с 2023 года, но санкций за её не соблюдение не было. Теперь они появились. Штрафы действуют в отношении владельцев сайтов, не пользователей.
Сейчас в интернете можно найти утверждения о том, что в Рунете запретили регистрацию с указанием иностранных email. Это не совсем так, по крайней мере прямого утверждения о таком нет. Однако, что точно уже понятно: теперь потенциальному административному наказанию могут подвергнуться владельцы сайтов, на которых организован вход через такие сервисы, как Google, Apple ID, Microsoft Account, GitHub.
У нас на Лиспублике, кстати, используется Google, так что я сделаю вот так: @NapalmRain (собственно, ради этого и начал писать статью)
Чуть детальнее поговорим о четвёртом варианте - с использованием иной информационной системы, отвечающей предъявленным нормам. Очевидно, что в первую очередь это Яндекс ID, VK ID. Однако, эксперты предполагают, что любая самостоятельная система регистрации на самом сайте, не использующая внешних иностранных источников, отвечает таким требованиям. Имеются разъяснения, что если email используется лишь как логин, то "это другое", т.е. даже если почта с иностранного домена, сама аутентификация осуществляется непосредственно на сайте. Однако я бы не стал 100% доверять таким заверениям, пока не появится реальная правоприменительная практика.
Также более оптимистично настроенные эксперты считают, что под штрафы попадают только сайты с обязательной авторизацией, то есть когда доступ к информации предоставляется только после регистрации. Это косвенно подтверждается расплывчатыми формулировками закона, но я бы опять же с опаской относился бы к такой трактовке: лица, которые будут этот закон применять, могут считать иначе.
Мы с советом этот вопрос уже обсуждали и уже работаем в эту сторону.
Позвольте поинтересоваться:
Депутаты или их помощники сами будут писать запросы в БД чтобы выявлять списки пользователей, у которых e-mail "некошерный" или возложат это бремя на администраторов сайтов?
А если возложат, то что мешает админам сообщить, что всё нормально?
"Строгость законов компенсируется"?
Или очередная демонстрация интеллекта троечников?
Позвольте поинтересоваться: Депутаты или их помощники сами будут писать запросы в БД чтобы выявлять списки пользователей, у которых e-mail "некошерный" или возложат это бремя на администраторов сайтов...
Заходишь на сайт - ищешь кнопку "Авторизироваться через Google" - нарушение зафикисировано.
Так-с, нужны разъяснения для тупых: Если я уже 15+ лет использую только гугл аккаунт/почту для регистрации абсолютно на всех ресурсах - мне теперь могут вхерачить 10 к штрафа? Это только если я на новом ресурсе теперь из под гугла зарегаюсь? Или за любую существующую регистрацию может прилететь?
Так-с, нужны разъяснения для тупых: Если я уже 15+ лет использую только гугл аккаунт/почту для регистрации абсолютно на всех ресурсах - мне теперь могут вхерачить 10 к штрафа? Это только если я на нов...
Как я написал, это касается владельцев сайтов, а не пользователец
Комментарий