Кто такой самозанятый?
Что поменять в работе своего ресурса, чтобы избежать претензий госорганов
С 1 декабря 2023 года вступил в силу Федеральный закон от 31.07.2023 № 406-ФЗ - он дополняет законы "Об информации, информационных технологиях и о защите информации" и "О связи" новыми требованиями к авторизации пользователей в российском сегменте интернета. Закон также дает основания для запрета на регистрацию пользователей на сайтах рунета с помощью иностранных сервисов электронной почты.
Пока что требования закона исполнять не обязательно - так как не все российские компании и предприниматели успели перестроиться, в декабре 2023 года был введен переходный период до 1 января 2025 года.
Новый закон вызывает множество вопросов. Многие определения не раскрыты, а механизмы его реализации требуют дополнительных разъяснений от государственных органов. И, несмотря на заявления отдельных депутатов о том, что в законе нет запрета на авторизацию через иностранные сервисы (например, gmail), этот риск лучше тоже предусмотреть.
Мы ознакомились с нововведениями и готовы рассказать подробно (насколько это возможно) о том, что нужно сделать бизнесу, чтобы соответствовать новым требованиям.
На кого распространяются новые правила? Прежде всего на владельцев российских сайтов и приложений - они прямо указаны в законе. Кроме них, указаны владельцы “информационных систем”. Что под этим подразумевал законодатель до конца не ясно, обсудим это далее.
Поэтому, если у вас есть интернет-магазин на отдельном сайте, и вы регистрируете пользователей - новые требования к вам точно применимы. Но если вы владелец телеграмм-канала, или чат-бота, в котором есть регистрация - возникают вопросы.
Например, телеграм-канал не является программой или сайтом, а значит его можно отнести только к информационным системам. На данный момент судебной практики признания каналов или групп в соцсетях и мессенджерах информационной системой нет, однако такая практика может появиться, так как вопрос стал актуальным, а определение позволяет трактовать “информационные системы” практически как угодно.
А вот с чат-ботом ситуация чуть проще, так как они являются примером программ для ЭВМ и на них требования нового закона с высокой долей вероятности будут распространяться.
А как это работало раньше? До 1 декабря 2023 года закон не регламентировал способы авторизации пользователей. Кто-то регистрировал людей по электронной почте, кто-то по номеру телефона - каждый предприниматель сам выбирал, какие данные собирать. Единственное, что нужно было сделать - оформить должным образом работу с персональными данными пользователя.
Что меняет закон? Новый закон вводит 4 обязательных способа авторизации пользователей:
Судя по всему, имеется в виду “мобильный ID” - пользователь вводит на ресурсе номер телефона, а оператор в рамках договора предоставляет владельцу ресурса все необходимые персональные данные. Однако точно утверждать, что имеется в виду именно такой способ взаимодействия, нельзя.
Ближайший аналог новых требований - правила идентификации пользователей сервиса обмена мгновенных сообщений, которые вступили в силу в 2021 году. Согласно этим правилам мессенджеры при регистрации пользователя по номеру телефона должны подтверждать номер (как правило, с помощью СМС), после чего направлять оператору запрос. Оператор должен подтвердить данные пользователя в течение 20 минут. Если данные не подтверждены - сервис отказывает в регистрации. Однако утвержденные правила касаются только мессенджеров - для целей нового закона такие правила не разработаны.
2. С использованием системы ЕСИА (Госуслуги). Для пользователя это простой способ - он входит в аккаунт на госуслугах и автоматически авторизуется на ресурсе. Однако для владельца ресурса этот вариант вызовет немало сложностей. Тем более, не всем пользователям захочется авторизоваться через Госуслуги. Для подключения к Госуслугам нужно выполнить несколько последовательных действий:
3. С использованием Единой биометрической системы (ЕБС). ЕБС появилась в 2018 году и используется для идентификации человека по голосу и лицу. Подключение к этой системе является еще более сложным и запутанным процессом и не подходит большинству ресурсов, так как требует, чтобы пользователь дал согласие на обработку его биометрических данных. Далеко не все пользователи на это согласны. Поэтому данный вариант можно рассматривать только как вспомогательный и заострять на нем внимание мы не будем.
4. С использованием иной информационной системы. Самый загадочный пункт нового закона. Понятие “иная информационная система” никак не раскрывается, поэтому остается использовать определение, данное в Законе N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Далее - Закон № 149-ФЗ):
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Определение крайне общее и при желании под него можно подвести практически любой ресурс. Кроме этого, у “иной информационной системы” есть несколько критериев, которым она должна соответствовать:
Нужно выбрать один способ идентификации? Можно использовать указанные способы в любой комбинации, важно чтобы идентификация пользователя осуществлялась только с помощью этих способов.
А старых пользователей нужно перерегистрировать? Нет, обратной силы закон не имеет - заново регистрироваться никому не нужно.
Идентифицировать пользователей обязательно? Нет, это остается на усмотрение владельца ресурса. Если у вас нет идентификации, то вводить ее вы не обязаны и требования нового закона на вас не распространяются.
Что будет, если не соблюдать новые правила? Кажется, что пока ничего - закон не содержит никаких санкций за нарушение. Это может привести к нескольким исходам:
Пока что требования закона исполнять не обязательно - так как не все российские компании и предприниматели успели перестроиться, в декабре 2023 года был введен переходный период до 1 января 2025 года.
Новый закон вызывает множество вопросов. Многие определения не раскрыты, а механизмы его реализации требуют дополнительных разъяснений от государственных органов. И, несмотря на заявления отдельных депутатов о том, что в законе нет запрета на авторизацию через иностранные сервисы (например, gmail), этот риск лучше тоже предусмотреть.
Мы ознакомились с нововведениями и готовы рассказать подробно (насколько это возможно) о том, что нужно сделать бизнесу, чтобы соответствовать новым требованиям.
На кого распространяются новые правила? Прежде всего на владельцев российских сайтов и приложений - они прямо указаны в законе. Кроме них, указаны владельцы “информационных систем”. Что под этим подразумевал законодатель до конца не ясно, обсудим это далее.
Поэтому, если у вас есть интернет-магазин на отдельном сайте, и вы регистрируете пользователей - новые требования к вам точно применимы. Но если вы владелец телеграмм-канала, или чат-бота, в котором есть регистрация - возникают вопросы.
Например, телеграм-канал не является программой или сайтом, а значит его можно отнести только к информационным системам. На данный момент судебной практики признания каналов или групп в соцсетях и мессенджерах информационной системой нет, однако такая практика может появиться, так как вопрос стал актуальным, а определение позволяет трактовать “информационные системы” практически как угодно.
А вот с чат-ботом ситуация чуть проще, так как они являются примером программ для ЭВМ и на них требования нового закона с высокой долей вероятности будут распространяться.
А как это работало раньше? До 1 декабря 2023 года закон не регламентировал способы авторизации пользователей. Кто-то регистрировал людей по электронной почте, кто-то по номеру телефона - каждый предприниматель сам выбирал, какие данные собирать. Единственное, что нужно было сделать - оформить должным образом работу с персональными данными пользователя.
Что меняет закон? Новый закон вводит 4 обязательных способа авторизации пользователей:
- С использованием номера телефона. При этом для такого способа регистрации недостаточно будет просто взять номер телефона у пользователя - закон предусматривает заключение специального договора об идентификации между владельцем ресурса и оператором связи. Что из себя представляет данный договор, какие он должен содержать условия и когда его нужно заключать - не указано.
Судя по всему, имеется в виду “мобильный ID” - пользователь вводит на ресурсе номер телефона, а оператор в рамках договора предоставляет владельцу ресурса все необходимые персональные данные. Однако точно утверждать, что имеется в виду именно такой способ взаимодействия, нельзя.
Ближайший аналог новых требований - правила идентификации пользователей сервиса обмена мгновенных сообщений, которые вступили в силу в 2021 году. Согласно этим правилам мессенджеры при регистрации пользователя по номеру телефона должны подтверждать номер (как правило, с помощью СМС), после чего направлять оператору запрос. Оператор должен подтвердить данные пользователя в течение 20 минут. Если данные не подтверждены - сервис отказывает в регистрации. Однако утвержденные правила касаются только мессенджеров - для целей нового закона такие правила не разработаны.
2. С использованием системы ЕСИА (Госуслуги). Для пользователя это простой способ - он входит в аккаунт на госуслугах и автоматически авторизуется на ресурсе. Однако для владельца ресурса этот вариант вызовет немало сложностей. Тем более, не всем пользователям захочется авторизоваться через Госуслуги. Для подключения к Госуслугам нужно выполнить несколько последовательных действий:
- Администратор или сам владелец ресурса должен быть зарегистрирован на Госуслугах как физическое лицо;
- Он должен получить квалифицированную электронную подпись и установить плагин для работы с ней;
- Далее нужно зарегистрировать компанию или ИП на госуслугах;
- Нужно зарегистрировать IT-систему сайта или приложения на технологическом портале ЕСИА.
- Нужно получить собственный криптографический ключ и его сертификат;
- Сертификат с заявкой на подключение нужно направить в Минцифры. Это нужно для получения тестового доступа к ЕСИА;
- После всего этого нужно настроить взаимодействие между ресурсом и Госуслугами - это не самая простая техническая задача, особенно с условием того, что для интеграции используются криптографические программы, которые могут конфликтовать с другими элементами системы;
- После проверки работы в тестовом режиме можно будет подавать заявку в Минцифры для полноценного подключения.
3. С использованием Единой биометрической системы (ЕБС). ЕБС появилась в 2018 году и используется для идентификации человека по голосу и лицу. Подключение к этой системе является еще более сложным и запутанным процессом и не подходит большинству ресурсов, так как требует, чтобы пользователь дал согласие на обработку его биометрических данных. Далеко не все пользователи на это согласны. Поэтому данный вариант можно рассматривать только как вспомогательный и заострять на нем внимание мы не будем.
4. С использованием иной информационной системы. Самый загадочный пункт нового закона. Понятие “иная информационная система” никак не раскрывается, поэтому остается использовать определение, данное в Законе N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Далее - Закон № 149-ФЗ):
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Определение крайне общее и при желании под него можно подвести практически любой ресурс. Кроме этого, у “иной информационной системы” есть несколько критериев, которым она должна соответствовать:
- Она должна обеспечивать авторизацию пользователей;
- Она должна соответствовать требованиям о защите информации, установленным ст.16 Закона N 149-ФЗ. Если кратко, то в такой системе должна быть обеспечена защита от доступа к данным пользователей третьих лиц, контроль за уровнем защищенности и соблюдение конфиденциальности.
- Владельцем такой системы может быть только гражданин РФ или российское юридическое лицо.
Нужно выбрать один способ идентификации? Можно использовать указанные способы в любой комбинации, важно чтобы идентификация пользователя осуществлялась только с помощью этих способов.
А старых пользователей нужно перерегистрировать? Нет, обратной силы закон не имеет - заново регистрироваться никому не нужно.
Идентифицировать пользователей обязательно? Нет, это остается на усмотрение владельца ресурса. Если у вас нет идентификации, то вводить ее вы не обязаны и требования нового закона на вас не распространяются.
Что будет, если не соблюдать новые правила? Кажется, что пока ничего - закон не содержит никаких санкций за нарушение. Это может привести к нескольким исходам:
- Закон не будет работать. История российского законодательства в сфере интернета знает несколько примеров, когда закон без санкций просто игнорировался. В таком случае законодатель или благополучно забывает про него, или принимает новый закон, в котором санкция уже есть;
- Появление разъяснений или утверждение дополнительных правил для исполнения закона. Как правило, этим занимаются профильные министерства, в данном случае это будет Минцифры;
- Санкцию найдут в общих нормах. Вместо того, чтобы устанавливать новые штрафы, суды могут воспользоваться общими нормами административного законодательства. Первый претендент - п. 6 ст. 13.12 КоАП РФ - Нарушение требований о защите информации. Штрафы по этой статье сравнительно небольшие - для граждан в размере от пятисот до одной тысячи рублей; на должностных лиц и ИП - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
23 МАРТА / 2024
