Proright проанализировал законодательство России по авторизации на сайтах и подготовил для вас справки по типичным вопросам. С 01 декабря 2023 года исполнение Федерального закона от 31.07.2023 № 406-ФЗ, в части авторизации на сайтах и её проведения в соответствии с частью 10 статьи 8 ФЗ РФ “Об информации, информационных технологиях и о защите информации” возложено на администраторов сайтов, приложений и владельцев сервисов.
Изменения закона в части способов авторизации распространяется только на пользователей из России. Под исполнением понимается, добавление, при необходимости, типов проведения авторизации на сайтах перечисленными в законе способами:
- Через номер мобильного телефона, с исключениями;
- ЕСИА;
- ЕСИА с использованием биометрических данных (ЕБС);
- Через российское программное обеспечение имеющего соответствующую защиту.
Законом прямо не предусмотрена авторизация на сайтах и сервисах через ЭЦП, несмотря на высокое распространение такого типа авторизации, идентификации и доступности для бизнес пользователей. Использование ЭЦП, как квалифицированной, так и неквалифицированной на сайтах для авторизации законно, так как средства ЭЦП являются, как правило, очень защищенным программным и технических решением.
Российским программным обеспечением имеющего защиту и используемому для авторизации являются программы, разработанные российскими компаниями (или с российским участием более 50%), соответствующие правовым, организационным и техническим мерам определенным законом «Об информации, информационных технологиях и о защите информации”. К таким программам авторизации относиться, например, авторизация Nethouse, VK, Yandex, Tinkoff, 1C, СберID и другие.
Обратите внимание, что после 1 декабря 2023 года, для пользователей из других стран, должны быть доступны сервисы авторизации через Google и Apple ID. Закон не запрещает авторизацию через иностранные сервисы для пользователей из других стран. Место, откуда зашел пользователь, определяется самим пользователем, его оператором, сервисной компанией, или владельцем сайта, на котором пользователь авторизуется.
Корпоративные и технические авторизации.
Положения закона не распространяются на корпоративную авторизацию, то есть авторизацию на сайтах и в сервисах для юридических лиц и программного обеспечения, ботов и соединений. Компании вправе использовать любые доступные методы авторизации, а для корпоративной авторизации использовать технологию единого входа (SSO), например, от компании Тензор, Azure Active Directory или Keycloak.
Можно ли использовать авторизацию через иностранные сервисы на сайте, такие как Google, Apple ID, X, Reddit и прочие?
Да можно, но только для пользователей, находящихся на территории иностранных государств. Так как иностранные пользователи не имеют аккаунтов в российских социальных сетях, не имеют аккаунтов на Госуслугах и соответственно номеров российских операторов связи, иной возможности авторизации у них нет. Мы рекомендуем добавить в ваши соглашения о использовании сайтов положение о разграничении способа авторизации для пользователей из России и других государств.
Можно ли использовать иностранную электронную почту для авторизации на Российских сайтах?
Можно использовать любую учетную запись электронной почты, из любой страны. Государство не вправе запретить частным лицам использовать электронную почту, то есть пользоваться связью, какой любо страны. Владельцы сайтов, при авторизации должны соблюдать принцип – Авторизация должна осуществляться через российское программное обеспечение, для пользователей из России.
Будет ли доступна Авторизация на интимных сайтах через Госуслуги?
Да, владельцы сайтов продающих интимные товары и контент обязаны использовать авторизацию через ЕСИА и/или ЕСИА с биометрическими данными. Эта инициировано государственной домой в России для контроля над пользователями Интернета в России. Несмотря на новый закон, любой пользователь интернета, покупатель интимных товаров вправе отказаться от предоставления своих персональных данных магазину, а также вправе запретить ЕСИА использовать для интимных сайтов. Для этого нужно обратиться с заявлением в ЕСИА.
Подскажите, каждый пользователь сайта должен проходить авторизацию на сайте?
Текст закона регулирует только авторизацию, которая осуществляется для доступа к информации и данным, например, на сайте Госуслуг или в Вконтакте. Обязательная авторизация на всех сайтах законом не предусмотрена. Вы не обязаны, как владелец сайта, делать обязательную авторизацию для свободной информации, которая находиться в свободном доступе, открыта для всех пользователей.
Является ли направление заявки на сайте (форму обратной связи) авторизацией на сайте?
Такой обязанности для пользователя нет.Направление заявки через сайт, формой авторизации не является. Заявка — это запрос предложения, оферты, сделки, связи или поддержки, которая не связанна с организацией доступа к информации (взаимодействия с ней) через системы авторизации и аутентификации.
“10. Владелец сайта и (или) страницы сайта в сети “Интернет”, и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети “Интернет” на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети “Интернет”, и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:
