Надо ли бизнесу менять процесс регистрации пользователей на сайте?
Последнее время все чаще в СМИ появляется информация о том, что регистрироваться на российских ресурсах можно будет только при помощи российских почтовых сервисов. Другими словами, принимать регистрации, если у пользователя адрес почты на иностранном почтовом сервисе будет запрещено. Поводом послужил законопроект законопроект №570420-7, который изначально относился только к новостным агрегаторам, но уже во втором чтении стал распространяться на все Российские интернет-ресурсы.
А после этого, 31 июля Президент подписал Федеральный закон от 31.07.2023 N 406-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О связи" (406-ФЗ).
Итак, давайте разбираться как же все это влияет на требования к авторизации. За разъяснениями мы обратились к специалистам компании Runetlex:
С 1 Декабря 2023 года владельцы сайтов и иных онлайн-ресурсов (десктопных и мобильных приложений, например) обязаны авторизовывать пользователей только способами, указанными в законе 406-ФЗ:
- с использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи (требования о том, что оператор связи должен быть российским ЮЛ, закон не содержит)
- через единую систему идентификации и аутентификации (ЕСИА или Госуслуги)
- с помощью единой биометрической системы по нормам об идентификации и аутентификации физических лиц (Госуслуги с биометрия)
- с использованием иной информационной системы или программы, которая отвечает требованиям к защите информации. Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское ЮЛ.
Четвертый способ авторизации является самым объемным. На наш взгляд, к нему можно отнести и авторизацию через электронную почту, и ID-системы. Главное, чтобы владельцем таких систем было российское ЮЛ или гражданин РФ.
Получается, что из привычных нам способов авторизации станет незаконным, например, аккаунт google.
Тут важно отметить, что перечисленные способы авторизации распространяются исключительно на пользователей, находящихся в России, а обязанность по соблюдению ограничений распространяется, соответственно, только на компании, находящиеся в России. Иностранцы и граждане РФ, не находящиеся в России могут авторизовываться любым способом. Однако, способы определения местонахождения Закон не определяет. Мы можем предположить, что определять будет возможно по IP. Что делать с пользователями, которые пользуются VPN также не уточняется.
Как надзорные органы будут осуществлять контроль за новыми правилами пока не понятно.
Получается, что из привычных нам способов авторизации станет незаконным, например, аккаунт google.
Тут важно отметить, что перечисленные способы авторизации распространяются исключительно на пользователей, находящихся в России, а обязанность по соблюдению ограничений распространяется, соответственно, только на компании, находящиеся в России. Иностранцы и граждане РФ, не находящиеся в России могут авторизовываться любым способом. Однако, способы определения местонахождения Закон не определяет. Мы можем предположить, что определять будет возможно по IP. Что делать с пользователями, которые пользуются VPN также не уточняется.
Как надзорные органы будут осуществлять контроль за новыми правилами пока не понятно.
Депутат Горелкин А.В. в своем Telegram-канале написал следующий комментарий:
"В законе не прописаны санкции для владельцев интернет-ресурсов, которые не обеспечат возможность регистрации нужными способами (номер телефона российского оператора связи; через портал «Госуслуг»; через ЕБС; через российскую информсистему)
Мы будем внимательно следить за правоприменительной практикой и только после ее оценки могут быть приняты какие-то решения по нормам ответственности.
Закон не имеет обратной силы. Те, кто зарегистрировался ранее, сохраняют свой доступ. Новая норма касается только ресурсов, где есть регистрация."
Юристы из Runetlex дали следующий комментарий:
"Сейчас же ограничивать способы авторизации на сервисе не стоит.
Однако, можно задуматься о способах разделения пользователей на тех, кто авторизуется в интернет-сервисе с территории РФ и с территории иностранного государства, а также о разных вариантах авторизации для этих двух категорий. Конечно, при использовании VPN сложно говорить о корректности такого разделения пользователей, но и у надзорных органов нет возможности проверять фактическое местонахождение пользователя.
Как контролировать владельцев информационных систем (четвертый способ авторизации из 406-ФЗ), пока тоже непонятно.
Поэтому ожидаем разъяснений о новом порядке авторизации от Минцифры и Роскомнадзора и, конечно же, развития российских ID-сервисов."
Другими словами, чистить базу от пользователей с иностранными адресами не стоит, потому что новые правила не распространяются на уже зарегистрированных пользователей, но вот подключать дополнительные возможность авторизации через госуслуги, российский номер телефона, иные российские ID-сервисы и т.д. уже стоит. А также ввести проверку на доменное окончание и выводить предупреждение тоже.