Почтовы ящики

2023 год выдался достаточно жарким в плане нововведений и изменений, касающихся регламентирования систем связи, работы с персональными данными и всего того, с чем работают IT-шники. Так, в июле был представлен федеральный закон, фактически запрещающий регистрацию на территории России с использованием почтовых ящиков, принадлежащих иностранным компаниям – это 406-ФЗ.

К слову, вступил он в действие сразу, но отдельные пункты предполагались к введению поэтапно: с 1 декабря 2023 года, в январе, феврале и в сентябре 2024 года.

Ниже постараемся разобраться во всех требованиях закона и дать понимание того, что теперь делать с регистрациями новых клиентов на своих сайтах, а также с аккаунтами подписчиков email-рассылок.

Для чего принимался закон 406-ФЗ

Основная его задача – борьба со средствами для обхода блокировок и повышение безопасности при хранении персональных данных. Но мало просто взять и запретить VPN, нужно понимать, что технические средства и соответствующие решения ещё нужно как-то популяризировать (рекламировать, продвигать, показывать, как настроить и т.п.). Плюс, для работы большинства профильного софта нужны опорные точки – в роли последних обычно выступают серверы хостинг-провайдеров.

Как итог, большая часть изменений, описываемых в 406-ФЗ от 31.07.2023 года, как раз касается провайдеров связи и хостеров. Но не остались в стороне и владельцы сайтов (web-сервисов).

В частности, с 1 декабря 2023 года все российские сайты обязаны проводить авторизацию пользователей только с помощью следующих способов:

  1. На базе номера мобильного телефона (напомним, регистрация самих SIM-карт тоже усложнилась и невозможна без паспортных данных).
  2. На базе данных ЕСИА (то есть на базе аккаунтов в Госуслугах, напомним, что в Госуслугах теперь тоже невозможно работать без второго фактора безопасности, то есть без номера телефона).
  3. На базе данных Единой биометрической системы (ЕБС).
  4. На базе данных идентификации других информационных систем, обязательно принадлежащих российским юридическим лицам. Под это требование как раз подходят сервисы общей электронной почты (email-сервисы, такие как Яндекс.Почта или Mail.ru), а также сервисы идентификации банков (Сбер ID), соцсетей (VK ID) и пр.

Дальнейшие правки касаются ответственности хостинг-провайдеров.

406-ФЗ фактически актуализирует два основных закона: «О связи» и «Об информации, информационных технологиях и о защите информации».

Что делать со старыми пользователями?

Если на момент вступления закона в силу на российском сайте уже были пользователи, зарегистрированные с помощью аккаунтов иностранных сервисов, то их изменения по идее коснуться не должны (ведь закон не имеет обратной силы).

Тем не менее, многие крупные российские интернет-проекты постепенно стали отказываться от технической возможности авторизации в аккаунтах через SSO иностранных провайдеров. Формулировка закона такова, что никаких альтернатив здесь не предполагается (речи о старых пользователях не идёт, описывается только общий для всех способ авторизации).

SSO – сокращение от слов Same Sign-On, дословно «тот же вход/авторизация», более правильный перевод «технология единого входа», это специальные сервисы, отвечающие за переход пользователя между разными сайтами и информационными системами без необходимости повторной авторизации. Совсем «по-простому» – это хранилище всех ваших авторизаций.

К иностранным SSO, например, относятся такие решения, как Google ID, Microsoft ID и Apple ID.

Без SSO ранее на сайтах регистрация проводилась через подтверждение email-адреса.

Соответственно, если вам нужно авторизовать старого пользователя, вы по-прежнему можете принимать пару «логин+пароль», а также вместо логина использовать email-адрес любой почтовой службы (хоть российской, хоть иностранной).

А вот регистрировать новых пользователей можно только способами, обозначенными в 406-ФЗ.

Пока нет комментариев от ответственных ведомств и представителей власти, чёткой позиции по старым пользователям нет.

Если вы хотите обезопасить себя по максимуму, попросите всех своих клиентов добавить актуальный номер телефона. Такой подход исключит любые потенциальные вопросы.

И что, теперь нужно менять Gmail на российскую почту?

Что интересно, Mail.ru сориентировался достаточно быстро и на волне нового закона оперативно предложил сервис для полного переезда с Gmail в свою инфраструктуру – называется он xmail.ru.

Но не нужно расстраиваться, ведь никаких причин для паники нет. По факту, вы как пользовались, так и можете продолжать пользоваться всеми своими почтовыми аккаунтами. Их никто не запрещал и запрещать не будет.

Единственная ситуация, когда вам потребуется обязательный «российский» email-адрес – при создании нового аккаунта на российском сайте.

Естественно, никто не будет проверять с помощью каких email регистрируют блоги или малые инфо-сайты. Это просто нереально технически.

Плюс, много других вопросов к действию закона:

  • Какие вообще сайты считать российскими?
  • А если сайт работает с российскими пользователями, но зарегистрирован в иностранной доменной зоне?
  • Если сайт работает в зоне .ru/.рф, но все серверные мощности расположены вне России?
  • И т.п.

Естественно, пока ответы есть не на все из них.

А как поступать с корпоративными адресами? Как проверять их принадлежность?

На этот счёт в текущей редакции закона чётких ответов нет. Хотя, есть указание на то, как будет проверяться принадлежность системы авторизации российскому правовому полю:

  • информационная система, используемая для авторизации, должна либо принадлежать российскому гражданину;
  • либо российскому юридическому лицу, в уставной доле которого менее 50% иностранного капитала (или менее 50% голосов/голосующих акций).

Как можно догадаться, проверить документы владелец сайта всё равно ни у кого не сможет.

А считается ли подписка на email-рассылки фактом регистрации пользователя?

Нет. Закон 406-ФЗ описывает действия только в отношении владельцев сайтов и информационных систем.

Email-рассылки – это канал распространение рекламы.

Поэтому при оформлении подписки клиент может предоставить вам те контактные данные, на которые хочет получать рекламу.

В формах подписки вы смело можете собирать те адреса почты, которыми пользователи посчитают нужным с вами поделиться: как российские, так и иностранные.

Главное, соответствовать остальным требованиям законов, касающихся рассылок.

Единственное исключение – когда у вас форма регистрации совмещена с согласием на получение рекламных писем. Ведь, если email будет использоваться для авторизации, то уже срабатывают требования 406-ФЗ.

Какие наказания и санкции предусмотрены за нарушение?

На текущий момент единственная явно прописанная законом санкция предусматривает удаление хостинг-провайдера из специального реестра. Тут логично отметить, что эта часть требований закона пока ещё в стадии внедрения. Недавно ответственные ведомства попытались организовать перепись всех российских хостеров, но столкнулись с рядом технических проблем. Соответственно, применение закона пока забуксовало.

Непосредственно для владельцев сайтов и других информационных систем никаких санкций нет.

Но не исключено, что со временем на интернет-площадки, отказавшиеся ввести регистрацию на базе российских SSO, будет оказываться реальное давление. Например, за счёт штрафов за несоблюдение требований, касающихся работы с персональными данными.

Выводы и рекомендации

Если вы владелец сайта, работающего на территории России, то вам необходимо подключить один из способов авторизации, обозначенный в 406-ФЗ от 31.07.2023. В частности, можно использовать только услуги российских SSO-провайдеров: VK ID, Яндекс ID, Сбер ID, Госуслуги и т.п.

Физическим лицам, имеющим аккаунты в иностранных почтовых сервисах (Gmail, Microsoft и т.п.), переживать не о чем. Они как пользовались любимыми почтовиками, так могут и продолжать это делать. Переносить письма «срочно-обморочно» в российские почтовики не нужно!

Если вы собираете базу подписчиков для рекламных рассылок, тоже можете не волноваться – вас требования закона не касаются. Маркетинговые письма можно по-прежнему рассылать на любые email-адреса.

Дата публикации: 28 декабря 2023