|
В редакцию Бизнес ФМ обратились предприниматели, которые не понимают, что считается нарушением закона об авторизации через российские сервисы. Компании опасаются, что вход по ссылке, отправленной на иностранную электронную почту, может повлечь штрафы.
Компания «Конверста» занимается пропусками на инфраструктурные объекты — аэропорты и морские порты. За год оформляют более 5 млн разрешений. Клиенты — юрлица. В информационной системе больше 25 тысяч активных пользователей. Многие из них регистрировались с использованием иностранных адресов электронной почты либо адресов, чье российское происхождение неочевидно. Например, у отечественной организации может быть домен в зоне .com, соответственно, и корпоративные адреса тоже будут заканчиваться на .com.
После того как Госдума ввела штрафы за авторизацию пользователей через иностранные сервисы, в компании задумались о том, не нарушают ли они закон. Потому что при каждом входе в систему используется адрес электронной почты пользователя. Продолжает исполнительный директор компании «Конверста» Максим Максимов:
Максим Максимов исполнительный директор компании «Конверста» «Он вводит адрес электронной почты, на эту электронную почту приходит ссылка для входа уже в сервис. И, когда человек переходит по ссылке, мы понимаем, что вот этот пользователь привязан к такому-то адресу электронной почты. В данном законе можно по-разному трактовать — это авторизация, аутентификация, еще что-нибудь. Но, по крайней мере, в тех статьях, которые мы читали в интернете, которые пытаются также объяснить действия этого закона, написано, что нельзя регистрироваться, в том числе через электронную почту на Gmail, допустим. И получается, что, если мы отправляем для авторизации ссылку на Gmail, то таким образом мы через какой-то иностранный сервис идентифицируем этого пользователя. По идее, мы нарушаем закон».
Тот же самый вопрос — как понять, что электронная почта российская, — волнует владельца интернет-магазина, жителя Уфы Александра:
«Мне в итоге что нужно сделать для того, чтобы точно соблюдать вот эти законы авторизации и регистрации? Как я должен определить российскость почты? Я должен где-то найти белый правильный список Минцифры, реестр отечественных почт? Где мне его взять? Я такой не видел. Дальше, стоит не забывать, что B2B-клиенты — они могут регистрироваться с помощью корпоративной почты, а корпоративная почта может быть поднята на собственном сервере организации. Как я должен понять, что она действительно российская?»
С электронной почтой вообще не очень понятно. В законе, который вступил в силу в декабре 2023 года, говорится, что авторизация пользователей на территории России должна проводиться с использованием российского номера телефона, портала «Госуслуги», единой биометрической системы или другого сервиса с российским владельцем. По словам главы думского комитета по информполитике Сергея Боярского, пользователи могут и дальше авторизовываться на российских сайтах через иностранную почту, если они использовали ее при регистрации. Закон о штрафах за нарушения правил авторизации не запрещает этого, уточнил депутат. Получается, что штрафовать будут только тех владельцев сайтов, кто до сих пор не отключил возможность авторизации через функции «Войти с Apple» или «Войти с Google». При этом некоторые СМИ и телеграм-каналы сообщали, что теперь и регистрация пользователей с иностранной электронной почтой запрещена.
Этот вопрос редакция Бизнес ФМ попросила прояснить управляющего RTM Group, эксперта в области информационной безопасности и права в IT Евгения Царева:
Евгений Царев управляющий RTM Group, эксперт в области информационной безопасности и права в IT «Конечно, иностранную электронную почту пока не запрещали. Речь все-таки идет о сервисах, которые передают дополнительную аутентификационную информацию. Этим пользовались большое количество в том числе и крупных проектов. Например, они использовали Google ID. То есть Google подтверждал, что да, это вот этот пользователь, вот его данные, я его знаю, и сервис, который настраивал у себя аутентификацию через Google, доверял Google. И запрещена сегодня вот такая передача данных о пользователе. Другой вопрос, что судебная практика, как мы много раз видели, может сформироваться не совсем правильно, поэтому нужны какие-то дополнительные пояснения, разъяснения, которые появятся, я думаю, в ближайшее время, когда статья начнет работать».
Отдельный вопрос — о самих штрафах. Из поправок, принятых Госдумой, не очень понятно: будут штрафовать за каждый случай нарушения требований закона? То есть, если десять разных пользователей авторизовались через Google, выпишут десять штрафов? Или будет один штраф за то, что в системе используется авторизация через иностранные сервисы? Однозначного ответа на этот вопрос пока нет, говорит медиаюрист Светлана Кузеванова:
Светлана Кузеванова медиаюрист «Как будет работать этот механизм, будут ли привлекать за каждый случай или по совокупности, мы пока знать не можем. Но в практике привлечения к ответственности по административным спорам бывает и так, и так. То есть мы можем говорить о том, что в случае, если будет зафиксирован один случай, будет составлен один протокол, это может быть зафиксировано как одно нарушение и, соответственно, один штраф. А может быть ситуация, что в рамках одного протокола фиксируют сразу несколько случаев, и это тоже будут рассматривать как одно общее нарушение с одним-единственным штрафом. Бывает по-разному. Поэтому точно, с уверенностью сказать, что это будет много штрафов или мало, мы пока, к сожалению, не можем».
Вопрос с иностранной электронной почтой, наверное, мог бы прояснить зампред комитета по информполитике Антон Горелкин, который, собственно, и вносил в Госдуму поправки о запрете авторизации через иностранные сервисы. Но связаться с ним радиостанции Бизнес ФМ не удалось.
Текст: Михаил Задорожный
|