2023 год выдался достаточно жарким в плане нововведений и изменений, касающихся регламентирования систем связи, работы с персональными данными и всего того, с чем работают IT-шники. Так, в июле был представлен федеральный закон, фактически запрещающий регистрацию на территории России с использованием почтовых ящиков, принадлежащих иностранным компаниям – это 406-ФЗ.
К слову, вступил он в действие сразу, но отдельные пункты предполагались к введению поэтапно: с 1 декабря 2023 года, в январе, феврале и в сентябре 2024 года.
Ниже постараемся разобраться во всех требованиях закона и дать понимание того, что теперь делать с регистрациями новых клиентов на своих сайтах, а также с аккаунтами подписчиков email-рассылок.
Для чего принимался закон 406-ФЗ
Основная его задача – борьба со средствами для обхода блокировок и повышение безопасности при хранении персональных данных. Но мало просто взять и запретить VPN, нужно понимать, что технические средства и соответствующие решения ещё нужно как-то популяризировать (рекламировать, продвигать, показывать, как настроить и т.п.). Плюс, для работы большинства профильного софта нужны опорные точки – в роли последних обычно выступают серверы хостинг-провайдеров.
Как итог, большая часть изменений, описываемых в 406-ФЗ от 31.07.2023 года, как раз касается провайдеров связи и хостеров. Но не остались в стороне и владельцы сайтов (web-сервисов).
В частности, с 1 декабря 2023 года все российские сайты обязаны проводить авторизацию пользователей только с помощью следующих способов:
- На базе номера мобильного телефона (напомним, регистрация самих SIM-карт тоже усложнилась и невозможна без паспортных данных).
- На базе данных ЕСИА (то есть на базе аккаунтов в Госуслугах, напомним, что в Госуслугах теперь тоже невозможно работать без второго фактора безопасности, то есть без номера телефона).
- На базе данных Единой биометрической системы (ЕБС).
- На базе данных идентификации других информационных систем, обязательно принадлежащих российским юридическим лицам. Под это требование как раз подходят сервисы общей электронной почты (email-сервисы, такие как Яндекс.Почта или Mail.ru), а также сервисы идентификации банков (Сбер ID), соцсетей (VK ID) и пр.
Дальнейшие правки касаются ответственности хостинг-провайдеров.
406-ФЗ фактически актуализирует два основных закона: «О связи» и «Об информации, информационных технологиях и о защите информации».
Что делать со старыми пользователями?
Если на момент вступления закона в силу на российском сайте уже были пользователи, зарегистрированные с помощью аккаунтов иностранных сервисов, то их изменения по идее коснуться не должны (ведь закон не имеет обратной силы).
Тем не менее, многие крупные российские интернет-проекты постепенно стали отказываться от технической возможности авторизации в аккаунтах через SSO иностранных провайдеров. Формулировка закона такова, что никаких альтернатив здесь не предполагается (речи о старых пользователях не идёт, описывается только общий для всех способ авторизации).
SSO – сокращение от слов Same Sign-On, дословно «тот же вход/авторизация», более правильный перевод «технология единого входа», это специальные сервисы, отвечающие за переход пользователя между разными сайтами и информационными системами без необходимости повторной авторизации. Совсем «по-простому» – это хранилище всех ваших авторизаций.
К иностранным SSO, например, относятся такие решения, как Google ID, Microsoft ID и Apple ID.
Без SSO ранее на сайтах регистрация проводилась через подтверждение email-адреса.
Соответственно, если вам нужно авторизовать старого пользователя, вы по-прежнему можете принимать пару «логин+пароль», а также вместо логина использовать email-адрес любой почтовой службы (хоть российской, хоть иностранной).
А вот регистрировать новых пользователей можно только способами, обозначенными в 406-ФЗ.
Пока нет комментариев от ответственных ведомств и представителей власти, чёткой позиции по старым пользователям нет.
Если вы хотите обезопасить себя по максимуму, попросите всех своих клиентов добавить актуальный номер телефона. Такой подход исключит любые потенциальные вопросы.
И что, теперь нужно менять Gmail на российскую почту?
Что интересно, Mail.ru сориентировался достаточно быстро и на волне нового закона оперативно предложил сервис для полного переезда с Gmail в свою инфраструктуру – называется он xmail.ru.
Но не нужно расстраиваться, ведь никаких причин для паники нет. По факту, вы как пользовались, так и можете продолжать пользоваться всеми своими почтовыми аккаунтами. Их никто не запрещал и запрещать не будет.
Единственная ситуация, когда вам потребуется обязательный «российский» email-адрес – при создании нового аккаунта на российском сайте.
Естественно, никто не будет проверять с помощью каких email регистрируют блоги или малые инфо-сайты. Это просто нереально технически.
Плюс, много других вопросов к действию закона:
- Какие вообще сайты считать российскими?
- А если сайт работает с российскими пользователями, но зарегистрирован в иностранной доменной зоне?
- Если сайт работает в зоне .ru/.рф, но все серверные мощности расположены вне России?
- И т.п.
Естественно, пока ответы есть не на все из них.
А как поступать с корпоративными адресами? Как проверять их принадлежность?
На этот счёт в текущей редакции закона чётких ответов нет. Хотя, есть указание на то, как будет проверяться принадлежность системы авторизации российскому правовому полю:
- информационная система, используемая для авторизации, должна либо принадлежать российскому гражданину;
- либо российскому юридическому лицу, в уставной доле которого менее 50% иностранного капитала (или менее 50% голосов/голосующих акций).
Как можно догадаться, проверить документы владелец сайта всё равно ни у кого не сможет.
А считается ли подписка на email-рассылки фактом регистрации пользователя?
Нет. Закон 406-ФЗ описывает действия только в отношении владельцев сайтов и информационных систем.
Email-рассылки – это канал распространение рекламы.
Поэтому при оформлении подписки клиент может предоставить вам те контактные данные, на которые хочет получать рекламу.
В формах подписки вы смело можете собирать те адреса почты, которыми пользователи посчитают нужным с вами поделиться: как российские, так и иностранные.
Главное, соответствовать остальным требованиям законов, касающихся рассылок.
Единственное исключение – когда у вас форма регистрации совмещена с согласием на получение рекламных писем. Ведь, если email будет использоваться для авторизации, то уже срабатывают требования 406-ФЗ.
Какие наказания и санкции предусмотрены за нарушение?
На текущий момент единственная явно прописанная законом санкция предусматривает удаление хостинг-провайдера из специального реестра. Тут логично отметить, что эта часть требований закона пока ещё в стадии внедрения. Недавно ответственные ведомства попытались организовать перепись всех российских хостеров, но столкнулись с рядом технических проблем. Соответственно, применение закона пока забуксовало.
Непосредственно для владельцев сайтов и других информационных систем никаких санкций нет.
Но не исключено, что со временем на интернет-площадки, отказавшиеся ввести регистрацию на базе российских SSO, будет оказываться реальное давление. Например, за счёт штрафов за несоблюдение требований, касающихся работы с персональными данными.
Выводы и рекомендации
Если вы владелец сайта, работающего на территории России, то вам необходимо подключить один из способов авторизации, обозначенный в 406-ФЗ от 31.07.2023. В частности, можно использовать только услуги российских SSO-провайдеров: VK ID, Яндекс ID, Сбер ID, Госуслуги и т.п.
Физическим лицам, имеющим аккаунты в иностранных почтовых сервисах (Gmail, Microsoft и т.п.), переживать не о чем. Они как пользовались любимыми почтовиками, так могут и продолжать это делать. Переносить письма «срочно-обморочно» в российские почтовики не нужно!
Если вы собираете базу подписчиков для рекламных рассылок, тоже можете не волноваться – вас требования закона не касаются. Маркетинговые письма можно по-прежнему рассылать на любые email-адреса.
Дата публикации: 28 декабря 2023