С 1 декабря 2023 года вступил в силу
Федеральный закон от 31.07.2023 № 406-ФЗ - он дополняет законы "Об информации, информационных технологиях и о защите информации" и "О связи" новыми требованиями к авторизации пользователей в российском сегменте интернета. Закон также дает основания для запрета на регистрацию пользователей на сайтах рунета с помощью иностранных сервисов электронной почты.
Пока что требования закона исполнять не обязательно - так как не все российские компании и предприниматели успели перестроиться, в декабре 2023 года был введен переходный период до 1 января 2025 года.
Новый закон вызывает множество вопросов. Многие определения не раскрыты, а механизмы его реализации требуют дополнительных разъяснений от государственных органов. И, несмотря на заявления отдельных депутатов о том, что в законе нет запрета на авторизацию через иностранные сервисы (например, gmail), этот риск лучше тоже предусмотреть.
Мы ознакомились с нововведениями и готовы рассказать подробно (насколько это возможно) о том, что нужно сделать бизнесу, чтобы соответствовать новым требованиям.
На кого распространяются новые правила? Прежде всего на владельцев российских сайтов и приложений - они прямо указаны в законе. Кроме них, указаны владельцы “информационных систем”. Что под этим подразумевал законодатель до конца не ясно, обсудим это далее.
Поэтому, если у вас есть интернет-магазин на отдельном сайте, и вы регистрируете пользователей - новые требования к вам точно применимы. Но если вы владелец телеграмм-канала, или чат-бота, в котором есть регистрация - возникают вопросы.
Например, телеграм-канал не является программой или сайтом, а значит его можно отнести только к информационным системам. На данный момент судебной практики признания каналов или групп в соцсетях и мессенджерах информационной системой нет, однако такая практика может появиться, так как вопрос стал актуальным, а определение позволяет трактовать “информационные системы” практически как угодно.
А вот с чат-ботом ситуация чуть проще, так как они являются примером программ для ЭВМ и на них требования нового закона с высокой долей вероятности будут распространяться.
А как это работало раньше? До 1 декабря 2023 года закон не регламентировал способы авторизации пользователей. Кто-то регистрировал людей по электронной почте, кто-то по номеру телефона - каждый предприниматель сам выбирал, какие данные собирать. Единственное, что нужно было сделать -
оформить должным образом работу с персональными данными пользователя.
Что меняет закон? Новый закон вводит 4 обязательных способа авторизации пользователей:
- С использованием номера телефона. При этом для такого способа регистрации недостаточно будет просто взять номер телефона у пользователя - закон предусматривает заключение специального договора об идентификации между владельцем ресурса и оператором связи. Что из себя представляет данный договор, какие он должен содержать условия и когда его нужно заключать - не указано.
Судя по всему, имеется в виду “мобильный ID” - пользователь вводит на ресурсе номер телефона, а оператор в рамках договора предоставляет владельцу ресурса все необходимые персональные данные. Однако точно утверждать, что имеется в виду именно такой способ взаимодействия, нельзя.
Ближайший аналог новых требований -
правила идентификации пользователей сервиса обмена мгновенных сообщений, которые вступили в силу в 2021 году. Согласно этим правилам мессенджеры при регистрации пользователя по номеру телефона должны подтверждать номер (как правило, с помощью СМС), после чего направлять оператору запрос. Оператор должен подтвердить данные пользователя в течение 20 минут. Если данные не подтверждены - сервис отказывает в регистрации. Однако утвержденные правила касаются только мессенджеров - для целей нового закона такие правила не разработаны.
2. С использованием системы ЕСИА (Госуслуги). Для пользователя это простой способ - он входит в аккаунт на госуслугах и автоматически авторизуется на ресурсе. Однако для владельца ресурса этот вариант вызовет немало сложностей. Тем более, не всем пользователям захочется авторизоваться через Госуслуги. Для подключения к Госуслугам нужно выполнить несколько последовательных действий:
- Администратор или сам владелец ресурса должен быть зарегистрирован на Госуслугах как физическое лицо;
- Он должен получить квалифицированную электронную подпись и установить плагин для работы с ней;
- Далее нужно зарегистрировать компанию или ИП на госуслугах;
- Нужно зарегистрировать IT-систему сайта или приложения на технологическом портале ЕСИА.
- Нужно получить собственный криптографический ключ и его сертификат;
- Сертификат с заявкой на подключение нужно направить в Минцифры. Это нужно для получения тестового доступа к ЕСИА;
- После всего этого нужно настроить взаимодействие между ресурсом и Госуслугами - это не самая простая техническая задача, особенно с условием того, что для интеграции используются криптографические программы, которые могут конфликтовать с другими элементами системы;
- После проверки работы в тестовом режиме можно будет подавать заявку в Минцифры для полноценного подключения.
Как видно, подключение Госуслуг к ресурсу - трудоемкий процесс, поэтому такой вариант подойдет не всем.
3. С использованием Единой биометрической системы (ЕБС). ЕБС появилась в 2018 году и используется для идентификации человека по голосу и лицу. Подключение к этой системе является еще более сложным и запутанным процессом и не подходит большинству ресурсов, так как требует, чтобы пользователь дал согласие на обработку его биометрических данных. Далеко не все пользователи на это согласны. Поэтому данный вариант можно рассматривать только как вспомогательный и заострять на нем внимание мы не будем.
4. С использованием иной информационной системы. Самый загадочный пункт нового закона. Понятие “иная информационная система” никак не раскрывается, поэтому остается использовать определение, данное в Законе N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Далее - Закон № 149-ФЗ):
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Определение крайне общее и при желании под него можно подвести практически любой ресурс. Кроме этого, у “иной информационной системы” есть несколько критериев, которым она должна соответствовать:
- Она должна обеспечивать авторизацию пользователей;
- Она должна соответствовать требованиям о защите информации, установленным ст.16 Закона N 149-ФЗ. Если кратко, то в такой системе должна быть обеспечена защита от доступа к данным пользователей третьих лиц, контроль за уровнем защищенности и соблюдение конфиденциальности.
- Владельцем такой системы может быть только гражданин РФ или российское юридическое лицо.
Именно из этого пункта можно сделать вывод, что идентифицировать пользователей с помощью иностранной электронной почты больше нельзя. Более того, нельзя точно сказать, будет ли идентификация с помощью электронной почты, даже российской, отвечать требованиям этого пункта. На данный момент ответ скорее утвердительный, но разъяснения госорганов, которые точно еще будут, могут все поменять.
Нужно выбрать один способ идентификации? Можно использовать указанные способы в любой комбинации, важно чтобы идентификация пользователя осуществлялась только с помощью этих способов.
А старых пользователей нужно перерегистрировать? Нет, обратной силы закон не имеет - заново регистрироваться никому не нужно.
Идентифицировать пользователей обязательно? Нет, это остается на усмотрение владельца ресурса. Если у вас нет идентификации, то вводить ее вы не обязаны и требования нового закона на вас не распространяются.
Что будет, если не соблюдать новые правила? Кажется, что пока ничего - закон не содержит никаких санкций за нарушение. Это может привести к нескольким исходам:
- Закон не будет работать. История российского законодательства в сфере интернета знает несколько примеров, когда закон без санкций просто игнорировался. В таком случае законодатель или благополучно забывает про него, или принимает новый закон, в котором санкция уже есть;
- Появление разъяснений или утверждение дополнительных правил для исполнения закона. Как правило, этим занимаются профильные министерства, в данном случае это будет Минцифры;
- Санкцию найдут в общих нормах. Вместо того, чтобы устанавливать новые штрафы, суды могут воспользоваться общими нормами административного законодательства. Первый претендент - п. 6 ст. 13.12 КоАП РФ - Нарушение требований о защите информации. Штрафы по этой статье сравнительно небольшие - для граждан в размере от пятисот до одной тысячи рублей; на должностных лиц и ИП - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
Подводя итог, можно сказать, что изменения не продуманы до конца и в них много “белых пятен”. Новые правила не только неудобны владельцам ресурсов, требующих авторизации пользователей, но и самим пользователям, которые не готовы к предлагаемым способам аутентификации. До вступления закона в силу осталось немного времени, поэтому мы ждем разъяснений от уполномоченных органов. Мы будем внимательно следить за данным вопросом и обязательно поделимся с вами новой информацией.