«Закон об авторизации»: разъяснения от Кластера «РАЭК / Privacy & Legal Innovation»
Дата публикации: 22 августа 2023
Кластер «РАЭК / Privacy & Legal Innovation» подготовил разъяснения к Федеральному закону от 31.07.2023 № 406-ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О связи"».
Что случилось?
В конце июля был принят и опубликован Федеральный закон от 31.07.2023 № 406-ФЗ, одно из неофициальных названий которого — «Закон об авторизации», так как он вводит жесткие требования к возможности авторизации на российских сайтах.
А вступит в силу он уже с 1 декабря 2023 года.
Сами требования можно кратко сформулировать так:
Российские компании и физические лица, владеющие сайтами, информационными системами, программным обеспечением, предоставляющие доступ к информации в них только «авторизованным» пользователям и осуществляющие деятельность на территории Российской Федерации, обязаны проводить «авторизацию» в отношении российских пользователей одним из следующих способов:
- Через т. н. «мобильный ID» [например, МТС , Мегафон ], предоставляемый на основании договора с оператором связи [пользователь вводит номер мобильного телефона, оператор предоставляет необходимые для использования сервисов данные][1]
- Через интеграцию с ЕСИА;
- Через интеграцию с ЕБС;
- Через «иную информационную систему, обеспечивающую авторизацию», которая соответствует требованиям ст. 16 149-ФЗ и владельцем которой является российское юридическое или физическое лицо [лицо, находящееся под 50%+ контролем гражданина без гражданства другого государства]
Требования установлены достаточно широко, чтобы применяться ко всем без исключения сайтам, информационным системам и программному обеспечению, владельцы которых осуществляют деятельность на территории Российской Федерации.
То есть, ограничения по «авторизации» пользователей могут распространяться и на операционные системы, и на любые мобильные устройства, в которых на любом уровне реализовано управление доступами, и даже, например, на Microsoft Office, в котором тоже можно «авторизоваться».
Критерий «предоставления доступа к информации пользователям, прошедшим авторизацию» также может вызывать ряд вопросов на практике. В частности, применяется ли закон к случаям, когда авторизованным пользователям предоставляется часть информации, а другая часть – всем пользователям, независимо от авторизации? Распространяются ли требования на всю информацию или только на информацию ограниченного доступа в соответствии с иными положениями российского законодательства?
Широко обсуждается и такой «побочный эффект» закона, как запрет регистрации с помощью «иностранных» электронных почт. При этом ни прямого указания в законе на подобный запрет, ни пояснений относительно того, что является «иностранной» почтой, на данный момент нет.
Что такое «авторизация»?
Закон ответа на этот вопрос не дает, а из 149-ФЗ пропали термины «идентификация» и «аутентификация», но авторы законопроекта говорят о «регистрации» и привязке пользователей к отечественным идентификаторам.
Таким образом, в отсутствие официальных разъяснений, требования могут распространяться как на регистрацию (первичный вход), так и на последующее использования тех или иных сервисов и информационных систем, например, каждый на аутентификацию в операционной системе персонального компьютера с помощью пароля учетной записи.
Что такое «иные информационные системы…»?Это различные ID-сервисы, например, Sber ID, Apple ID, Яндекс ID и другие, если, конечно, они попадают под критерий владения российским юридическим или физическим лицом.
Очевидным последствием является невозможность прямого использования иностранных сервисов, таких как Apple ID, Google Sign-In и т. д.
Еще одним «подводным камнем» закона является прямой конфликт с правилами, установленными Apple для приложений, публикуемых в Appstore. Так, п. 4.8 правил публикации приложений в AppStore прямо установлено, что если вход в приложение возможен с использованием любого стороннего сервиса, Apple ID встраивать также обязательно. При этом устройствами на базе IOS владеет чуть более 25% российских пользователей.
Получается, российским компаниям придется сделать выбор между публикацией приложений в AppStore, соблюдением закона и использованием государственных ID-сервисов (ЕСИА, ЕБС).
Что делать с уже зарегистрированными пользователями?По общему правилу, закон обратной силы не имеет и те, кто успеет зарегистрироваться до 1 декабря 2023 года, не должны потерять доступ к любимым сервисам. Тем не менее, полагаем, что даже в случае, если уже зарегистрированных пользователей придется «перерегистрировать», для этого будет введен дополнительный «переходный» период.
Что будет, если не исполнять эти требования?Ответственности за нарушение описанных требований тоже пока не установлено, однако это наверняка лишь вопрос времени, если законодатели не найдут отклика у рынка и не увидят добровольного исполнения требований.
Что делать российским компаниям?Исходя из описанных проблем, представителям рынка остается лишь надеяться на возможные официальные разъяснения от отраслевого регулятора — Министерства цифрового развития, связи и массовых коммуникаций или даже изменения закона до его вступления в силу – такие случаи встречались в истории российского законодательства в области персональных данных.
Но, как говорится, надейся на лучшее, готовься к худшему: российские компании уже должны делать предварительные шаги, которые позволят обеспечить соответствие новым требованиям в случае, если 1 декабря 2023 года закон вступит в силу без изменений и разъяснений.
Кластер «РАЭК / Privacy & Legal Innovation», в свою очередь, готов принять участие в диалоге с регулятором как представитель рынка.
[1]По некоторым данным к формулировкам данного способа «авторизации» ожидаются дополнения, которые позволят использовать не только классический Mobile ID, но и любой сервис OTP [направление СМС-сообщений через стороннего провайдера].
О кластере «РАЭК / Privacy & Legal Innovation»
Кластер нацелен на организацию тематических форумов, конференций и вебинаров для освещения трудностей, с которым сталкивается бизнес, изменений и нововведений в нормах права и обсуждение самых острых вопросов, которые регулярно касаются компаний.
Подробнее: https://raec.ru/clusters/privacy-legal-tech/