Авторизация через иностранные сервисы: новые требования и штрафы

Госдума одобрила законопроект, который вводит ответственность для владельцев российских сайтов и приложений за использование иностранных сервисов при авторизации пользователей. Разберём суть нововведений подробнее.

Суть законодательных изменений

В 2023 году начал действовать закон, регламентирующий способы авторизации на российских интернет‑ресурсах. Согласно ему, владельцы сайтов и приложений должны обеспечить возможность регистрации и входа одним или несколькими из разрешённых способов. В их числе:

• использование номера телефона от российского оператора связи;
• авторизация через портал «Госуслуги» (ЕСИА);
• вход по данным Единой биометрической системы (ЕБС);
• применение систем быстрого входа от российских юридических лиц — например, VK ID или «Яндекс ID».

Авторы инициативы уточняют: правила касаются только способов регистрации без логина и пароля. Если сервис позволяет использовать адрес электронной почты в качестве идентификатора, пользователи вправе указывать иностранные почтовые сервисы (например, Gmail или Outlook).

Стоит отметить терминологическую неточность в тексте закона: депутаты употребляют слово «авторизация», хотя, по сути, речь идёт об аутентификации — то есть о проверке подлинности пользователя или устройства.

Ранее за нарушение этих требований не предусматривалось никаких санкций. Теперь же законодатели ввели систему штрафов:

На текущий момент документ ещё не прошёл все этапы утверждения: он ожидает одобрения Совета Федерации и подписи президента. Точные сроки вступления закона в силу пока неизвестны.

Кто может попасть под действие закона

Штрафы грозят владельцам сайтов и приложений, которые являются российскими гражданами либо юридическими лицами, — независимо от того, в какой доменной зоне размещён ресурс. При этом на практике не всегда просто установить реального владельца сервиса.

Важно, что закон не предусматривает ответственности для пользователей. Если российский сайт продолжает предлагать авторизацию через, например, Google Sign‑In, ответственность несёт исключительно его владелец. Штрафы для физических лиц рассчитаны на тех, кто управляет ресурсами без статуса юридического лица.

Как соответствовать новым требованиям

Чтобы избежать возможных санкций, владельцы ресурсов могут рассмотреть несколько вариантов адаптации. Один из наиболее простых путей — внедрить авторизацию через электронную почту, если функционал сервиса это позволяет.

Кроме того, в России доступно множество OAuth‑сервисов для быстрого входа «одной кнопкой»: помимо уже упомянутых «Яндекс ID» и VK ID, к ним относятся Sber ID, T‑ID и другие решения.

Однако у такого подхода есть нюанс: подобные сервисы нередко используются для сбора данных о поведении пользователей в интернете. Оператор получает сведения о том, на каких сайтах вы зарегистрированы. Эта информация может применяться для более точной оценки интересов аудитории и настройки рекламного таргетинга.