Авторизация пользователей через Google, Apple и другие иностранные сервисы запрещена с 1 декабря

Правовая основа

Для начала давайте разберемся, с чего все началось.

Изначально Законопроект №570420-7 касался только новостных агрегаторов, владельцы других сайтов могли продолжать использовать любой удобный тип авторизации пользователей. Во втором чтении закон стал регулировать уже деятельность хостеров, и авторизацию в интернет-сервисах.

После этого 31 июля 2023 года президент подписал Федеральный закон от 31.07.2023 N 406-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи» (406-ФЗ). Именно он привел к изменениям, о которых мы говорим в текущей статье.

Что вы больше не можете предложить пользователям?

Здесь все очень просто: вы больше не можете предлагать авторизацию через любые иностранные сервисы, включая Apple, Google и другие. При этом речь идет именно о системах авторизации, которые позволяют заходить на сайт через учетную запись в собственной экосистеме. Иностранных электронных ящиков запрет не касается.

Проще говоря, пользователь может указывать почту gmail.com для регистрации, но не может пользоваться Google ID для входа. То же самое касается и других иностранных систем. Дело в том, что в первом случае почта используется в качестве логина или для подтверждения регистрации, но авторизацию в этом случае обеспечивает не экосистема гугл, а российские сервера. Что полностью соответствует требованиям закона.

Кого не касаются ограничения?

Ограничения не касаются иностранных сайтов. Если владелец сайта не является российским физическим или юридическим лицом, то он может продолжать использовать удобные ему способы авторизации пользователей. Разрешенные законодательством его страны, разумеется.

Какую авторизацию вы можете теперь предлагать пользователям?

У вас остается 4 законных способа авторизации пользователей:

1. При помощи мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом на настоящий момент в законе нет.
2. Через единую систему идентификации и аутентификации — ЕСИА или Госуслуги.
3. Через единую биометрическую систему.
4. Через любую другую информационную систему или программу, отвечающую требованиям к защите информации, но принадлежащее российскому юридическому лицу или физическому лицу, имеющему российское гражданство (строго без второго гражданства). Для примера, вы вполне можете предложить пользователям авторизацию через VK ID и Яндекс ID.

Что делать дальше?

На настоящий момент ответственности за нарушение нет, но мы берем на себя смелость не ждать ее наступления, а начинать переводить пользователей на новые способы авторизации или, по крайней мере, прорабатывать план максимально эффективного перехода. Обязательно будем следить за новостями о законе и сообщать вам о нововведениях.