Надо ли сайтам и приложениям срочно менять авторизацию

Законопроект №570420-7 сначала касался только новостных агрегаторов, но во втором чтении стал регулировать и деятельность хостеров, и авторизацию в интернет-сервисах.

А 31 июля президент подписал Федеральный закон от 31.07.2023 N 406-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи»» (406-ФЗ).

Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.

Почему в законе использовано слово «авторизация»?

Когда система взаимодействует с пользователем, она может его идентифицировать, аутентифицировать и авторизовать. Дадим определения этим процессам.

Идентификация. Передача недостоверных данных о том, кто обратился в систему. Например, когда вы вводите «https://somesystem.ru/profile?my_user_id=15616», вы пытаетесь зайти в профиль пользователя, имеющего ID 15616. Система не знает, являетесь ли вы на самом деле этим пользователем или вы злоумышленник, который хочет получить чужие данные. Тут в дело включается...

Аутентификация. Проверка пользователя на достоверность (логин/пароль, телефон+код подтверждения, email, код из push сообщения, ввод отпечатка пальца, считывание лица и т.д.)

Система спрашивает: «Подтверди-ка, что ты — это и есть 15616». Вы вводите нечто однозначно определяющее вас, как пользователя 15616. Система сверяет это с данными, которые есть у нее, и, если данные совпадают, процедура аутентификации пройдена, и мы переходим к...

Авторизации. Это разрешение пользователю, успешно прошедшему аутентификацию, определенных действий в системе: просмотр страницы, изменения и т.д.

Система знает, кто вы и какие у вас права. Если права есть, то авторизация пройдена, вы можете что-то делать. Если нет — система об этом скажет.

Скорее всего, в законе речь про аутентификацию, как первую из процедур, при которой происходит попытка входа в защищенную зону системы, проверка валидности и т.д.

На кого распространяется действие нового закона?

С 1 декабря 2023 года владельцы российских сайтов, программ и других интернет-ресурсов обязаны «авторизовывать» пользователей следующими способами:

1. С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет.
2. Через единую систему идентификации и аутентификации — ЕСИА или Госуслуги.
3. С помощью единой биометрической системы по нормам об идентификации и аутентификации физлиц (Госуслуги с биометрией; ст. 9 и 10 Федерального закона от 29.12.2022 N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
4. С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.

На наш взгляд, именно к четвертому способу можно отнести «авторизацию» через электронную почту и ID-системы. Главное, чтобы владельцем сервиса было российское юрлицо или гражданин РФ.

Что такое российское юридическое лицо?

На этот вопрос отвечает сам 406-ФЗ:

Это юридическое лицо, находящееся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства.

Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.

Из привычных нам способов авторизации станет незаконным, например, Gmail. А Яндекс и Mail.ru? У них же есть иностранные совладельцы. Есть, но на них приходится меньше 50% акций. Так что без паники.

Кто не сможет авторизоваться на российских интернет-сервисах с помощью иностранной электронной почты?

Пользователи, которые находятся в России.

Внимание, вопрос: что значит «находятся в России»? Про это закон ничего не говорит.

Мы предполагаем, что речь об IP-адресах. Не физическое же местоположение они будут проверять.

Но тут есть проблема. Пока, на наш взгляд, нет технических средств массового использования, позволяющих однозначно определить, находится человек на территории РФ или нет.

Есть такая штука — РАНР. Это клон RIPE, но содержащий очень неполные данные. Непонятно, по какому принципу ресурсы попадают или не попадают в РАНР. Например, там есть Хабр с кипрским юридическим лицом. Плюс непонятно, как скачать его базу, и о публичном API тоже ничего неизвестно.

Есть список всех адресов РФ. Возможно, рано или поздно нам придется опираться на него.

А если я сделаю свою почту?

Создать свой почтовый сервер — элементарно. Покупаете домен, арендуете сервер, ставите на него почтовый сервер — и вот вы уже email-провайдер, не нарушающий закон.

Но вот в момент, когда к зарегистрированному email вы добавите имя и фамилию, вы станете оператором персональных данных, который по закону не может хостить почтовый сервер за границей.

Еще есть вопрос с доменом. Он влияет на «российскость» сервиса или нет? Если да, то какие домены считать российскими — только .рф и .ru, потому что они управляются «АНО Координационный центр национального домена сети Интернет»? Или все кириллические?

Любой домен за пределами РФ регистрируется чужими организациями, а наши регистраторы — это посредники, получившие аккредитацию в ICANN Пока нет каких-то внятных разъяснений я бы опирался на то, что почта — это практически всегда ПДн, а обработка ПДн — это несколько понятнее в случае.

Если вы — владелец домена в зоне .ru, но используете Gmail-почту, вы передаете им персональные данные, то есть нарушаете закон. Даже обычное транзакционное письмо с текстом «Иванов Иван Иваныч, ваш заказ создан», отправленное на ящик Gmail, уже нарушает закон, потому что ФИО — это персональные данные.

Так какую почту считать «российской»? Если максимально перестраховаться, критерии будут такими:

1. домен почты .ru или .рф,
2. есть подтверждение, что сервис хранит информацию на территории РФ.

А использование почтового адреса для входа является «авторизацией» через почту?

Система хранит email в качестве логина. Это обычная аутентификация по паре логин-пароль, email-сервис в этом процессе не используется. Почта является в общении системы с пользователем исключительно каналом нотификации.

Причем, даже если пользователь регистрируется с подтверждением через электронную почту, жмет на ссылку, переходит на сайт, и он подтверждает email, но при этом не авторизует, а просит ввести логин (email) и пароль, система чисто перед законом: отправили пользователю уведомление, он на него среагировал — точка.

Что будет, если нарушить требования

Пока ничего. Законом ответственность не предусмотрена (вспоминаем маркировку рекламы).

Депутат Горелкин А.В. написал в своем телеграм-канале следующее:

… Мы будем внимательно следить за правоприменительной практикой и только после ее оценки могут быть приняты какие-то решения по нормам ответственности… Те, кто зарегистрировался ранее, сохраняют свой доступ. Новая норма касается только ресурсов, где есть регистрация. ...

Так что делать, господа юристы?

Бежать и срочно менять способы авторизации НЕ нужно.

Можно задуматься о разделении пользователей и способов авторизации для тех, кто авторизуется с территории РФ и с территории иностранного государства.

Ждем разъяснений от Минцифры и Роскомнадзора. И, конечно, развития российских ID-сервисов.

Подписывайтесь на наш Телеграм-канал, чтобы не пропустить новые статьи.