Ни дня без новостях о новых штрафах и ограничениях.
9 июня во всех порталах разлетелась новость о том, что Госдума одобрила штрафы за авторизацию пользователей через иностранные сервисы. Что с этой новостью не так? В тексте была указана ссылка на законопроект № 1110676-8 вот с таким текстом. При этом текст, действительно, вносит изменения в ряд федеральных законов, но ни о каких штрафах речи там не было.
Однако в этот же день Госдума приняла в третьем чтении законопроект №1069392-8 вот с таким текстом - и про штрафы речь шла именно в нем.
Вероятно, одни журналисты ошиблись, поставили ссылку не на тот законопроект, а затем ссылку репостнули все остальные.
Законопроект ввел в КоАП новую статью 13.55 «Неисполнение обязанности по проведению авторизации пользователей сети “Интернет” при предоставлении доступа к информации», которая предусматривает следующие штрафы:
Граждане от 10 000 до 20 000 руб.
Должностные лица от 30 000 до 50 000 руб.
Юридические лица от 500 000 до 700 000 руб.
Закон ничего не говорит об увеличении суммы за повторное нарушение. Но есть риск, что вас могут оштрафовать несколько раз за одно и то же, если РКН проведет несколько "контрольных закупок", то есть несколько сессий авторизации на вашем портале.
При этом законопроект не вводит новые нормы про авторизацию (они уже были предусмотрены п. 10 ст. 8 149-ФЗ), а только предусматривает ответственность (причем, достаточно суровую) за неисполнение.
Итак, начнем с того, что в законодательстве вообще отсутствует норма, которая определяет, что такое авторизация (это значит, что ведомства при принятии решений о фактах нарушений и назначении штрафов будут руководствоваться общедоступными источниками - словарями, какими-нибудь локальными актами и т.д.).
Например, по энциклопедии Касперского, авторизация - процесс предоставления пользователю или группе пользователей определенных разрешений, прав доступа и привилегий в компьютерной системе.
Т.к. в законе нет отсылок к терминам “регистрация”, “аутентификация”, “идентификация”, то РКН будет смотреть на процесс авторизации - то есть как пользователь получает доступ к закрытой части сайта.
Из забавного: по идее, пользователь может зарегистрироваться с применением каких угодно данных, а вот авторизацию нужно будет проводить уже только с применением нормы закона.
Исходя из п. 10 ст. 8 149-ФЗ, у нас осталось только 4 законных способа авторизации пользователя:
Что получается после анализа способов:
Судя по всему, любая авторизация с использованием электронной почты (даже на Яндексе - без подключения их сервиса авторизации или Mail.ru) - недопустима, т.к. этого варианта нет в списке.
В списке способов нет мессенджера Макс, но с натяжкой этот способ подходит, т.к. в мессенджере нельзя зарегистрироваться без номера телефона. Возможно, для него будет сделано какое-то отдельное разъяснение.
Нормы закона касаются и публичных и корпоративных сервисов. Если читать норму буквально, работодателя можно оштрафовать за то, что сотрудники заходят в корпоративную систему, используя выданные им логины/пароли, без "обычной" авторизации. Почему не сделано исключение для корпоративных систем - непонятно...
Судя по всему, теперь самый рабочий способ авторизации - это использование номера телефона (что повлечет дополнительные затраты, которые нужно заложить в бюджет проекта) или использование Яндекс ID
Владельцам сайтов, порталов, интернет-магазинов и любых ресурсов (приложений, сервисов), которые предусматривают авторизацию, нужно просмотреть свои формы авторизации и скорректировать пользовательское (лицензионное) соглашение - ту часть, где описан способ авторизации.
Закон не описывает, что вы должны делать с пользователями, которые ранее зарегистрировались/авторизовывались с использованием ныне "запрещенных" способов. Тут сам владелец ресурса должен принять решение и, например, разослать оповещения об изменении способа авторизации.
На кого распространяется закон?
Вы - владелец ПО/сайта - гражданин РФ или российское юридическое лицо
Ваш пользователь находится на территории Российской Федерации (неизвестно, как вы должны определить, где находится ваш пользователь, но РКН будет проводить “контрольные закупки”, находясь в РФ, поэтому лучше учесть эти нормы, если вы работаете (хотя бы частично) с русскоязычной аудиторией тут либо определять по гео или перед показом формы авторизации вешать плашку с вопросом вы находитесь в РФ? и в зависимости от ответа показывать форму (это даст хотя бы какую-то позицию в споре с РКН)
На какие сервисы распространяется закон?
Я видела в сети позицию, что нормы распространяются только на сайты, а на десктопные/мобильные приложения - нет, но я с ней не согласна.
Читаем п. 10 ст. 8: Владелец сайта / Страницы сайта в сети “Интернет” / Информационной системы /Программы для электронных вычислительных машин
Термин "программа для ЭВМ" раскрыт в ст. 1261 ГК РФ, это - представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата. Термин специально сформулирован так широко, чтобы все разнообразие программ охранялось авторским правом.
Поэтому, фактически, под действие п. 10 ст. 8 попадают вообще все сервисы - сайты, порталы, мобильные приложения, десктопные приложения, SaaS и т.д. Если вы считаете, что ваш проект не попадает - напишите в комментариях, что у вас за сервис - будем разбирать, подходит к нему термин "сайт" или "программа для ЭВМ" или нет.
Кстати, закон вступит в силу через 10 дней после официального опубликования (поскольку в тексте проекта не предусмотрена специальная дата вступления в силу), то есть у всех есть около 2-х недель, чтобы избежать ситуации возможного получения штрафов.
Кстати, вот примеры довольно крупных сервисов, которые позволяют авторизоваться через иные способы
