Запрет авторизации через иностранные сервисы: как работает и касается ли электронной почты
1 декабря в России вступил в силу закон о запрете регистрации и авторизации на отечественных сайтах через иностранные сервисы.
Поправки внесли в закон «Об информации, информационных технологиях и защите информации» в июле 2023 года. Во время обсуждения и принятия проекта с ним было много путаницы. Сначала СМИ представляли его как закон о запрете авторизации через иностранные почты, а затем сообщали, что его вступление в силу отложено.
Расскажу, в чем суть закона и как он будет работать.
Что меняется
Теперь владельцы российских сайтов и программ, где предусмотрена авторизация пользователей, должны проводить ее одним из четырех способов:
- По номеру мобильного телефона. Оператор связи может быть нероссийским — требований к нему в законе не предъявляется.
- Через ЕСИА — проще говоря, с помощью госуслуг.
- Через ЕБС , где хранятся биометрические данные россиян. Это изображения лица и образцы голоса, с помощью которых можно подтвердить свою личность.
- С помощью иной информационной системы, которой владеет гражданин России без второго гражданства или российское юрлицо. Таким условиям отвечают SSO, они же — системы авторизации, например VK ID и Яндекс ID.
Из нового закона следует, что часть популярных способов авторизации на российских сайтах перестанет работать. Под запрет попадают все иностранные сервисы, к которым относятся Apple ID, Google Account и другие.
Ограничения не касаются зарубежных сайтов: если владелец платформы — гражданин другой страны или иностранная организация, то он может сохранить авторизацию через Google, Apple и любые другие SSO.
Можно ли использовать для входа иностранную почту
Запрет не касается иностранных электронных почт. Их по-прежнему можно использовать для регистрации или авторизации. Если вы привыкли пользоваться почтой Gmail, то вам не нужно создавать новую на Яндексе и менять данные в профиле. Все продолжит работать, как раньше.
Закон касается только систем авторизации, или SSO, позволяющих заходить на сайты через учетную запись в сторонней экосистеме. К таковым относятся Apple ID, Google ID и другие. Ограничение распространяется именно на зарубежные сервисы авторизации.
Если пользователь заходит на сайт через электронную почту — даже иностранную, — все происходит иначе. Его аутентификация проводится не на стороне почтового сервиса, а на самом российском сайте, где хранится электронный адрес, он же логин, — и пароль. Именно программное обеспечение российского сайта будет «информационной системой, обеспечивающей авторизацию». И это соответствует требованиям закона.
Путаница возникла из-за того, что СМИ массово использовали формулировки типа «запрет регистрации с иностранной почты», подразумевая именно сервисы авторизации. Неясно выражались и чиновники, в том числе автор закона — депутат Антон Горелкин.
В интервью «Ведомостям» в июле Горелкин заявлял, что авторизацию можно будет проходить только по «отечественной электронной почте». О том же говорил и глава комитета Госдумы по информационной политике Александр Хинштейн: в комментариях СМИ он отмечал, что «регистрироваться с помощью электронных почтовых адресов иностранных сервисов» будет нельзя.
Позднее Горелкин говорил уже об отсутствии запрета на иностранные почты при регистрации и авторизации. В своем телеграм-канале он отмечал, что требований к стране регистрации почты нет, если она используется в качестве логина.
«Существует ошибочное утверждение, что зарубежная почта скоро окажется под запретом. Некоторые российские почтовые сервисы уже начали использовать этот миф в своих целях, убеждая людей переносить к ним аккаунты с Gmail», — написал Горелкин.
Как будет работать запрет
Владельцы российских сайтов должны убрать возможность SSO через иностранные сервисы. Вероятно, это произойдет не сразу и не везде, ведь ответственности за нарушение закона нет. По словам Горелкина, пока планируется «следить за правоприменительной практикой», а уже после ее оценки принять решение по нормам ответственности.
Но российские сайты уже начали убирать авторизацию через иностранные системы. К примеру, так поступил маркетплейс «Озон»: теперь на сайт нельзя зайти через Apple ID. Пользователям советуют проверить адрес электронной почты или номер телефона: если они будут неактуальными, то войти в личный кабинет не получится.
Об изменениях предупредил и Т—Ж: скоро на сайте нельзя будет авторизоваться через аккаунт в Google. Пользователям рекомендуют добавить адрес электронной почты, чтобы не потерять доступ к профилю. Полную инструкцию можно прочитать по ссылке.
Что произойдет с учетной записью, если пользователь не поменял способ входа, а сайт его убрал, — неизвестно. В законе об этом ничего не говорится. Вероятно, людям, которые не успели добавить почту или номер телефона, придется решать вопрос о доступе к аккаунту через службы поддержки.
Переносили ли вступление закона на 2025 год
Запрет авторизаций через иностранные сервисы начал действовать 1 декабря 2023 года без отсрочек. В ноябре в Госдуму действительно внесли, а затем приняли в трех чтениях законопроект, который откладывает некоторые требования к авторизации до 2025 года.
Второй закон разрешает владельцам российских сайтов и приложений использовать другие SSO, кроме перечисленных. Но только если эти сайты отвечают одному из условий: например, у системы авторизации и платформы общий контрольный владелец — и это российская организация.
По словам автора законопроекта Антона Горелкина, отсрочка нужна, чтобы помочь российским цифровым платформам выполнить требования законодательства без дискомфорта для пользователей. Мораторий не касается зарубежных систем.
Новости, которые касаются всех, — в нашем телеграм-канале. Подписывайтесь, чтобы быть в курсе происходящего: @t_jrnl