Штрафы за авторизацию через Google/Apple
Вчера по ведущим СМИ прокатилась волна публикаций, о том, что Госдума приняла сразу в двух чтениях закон, по которому теперь владельцев сайтов будут штрафовать на 700к за авторизацию через зарубежные сервисы.
Давайте вместе разбираться, что случилось и нужно ли нам с вами что-то предпринимать в этой связи?
Что случилось?
Во-первых, требование авторизовывать российских пользователей только определенными способами действует аж с 1 декабря 2023 года — это поправки в 149-ФЗ «Об информации». До сих пор не было административной ответственности за нарушение этого требования. Вчера, 9 июня, Госдума приняла в третьем чтении именно поправки в КоАП — то есть ввела штрафы за то, что и так уже три года было незаконно.
Это вообще меня касается?
Если у вас на сайте нет авторизации — то есть это простой лендинг или информационный сайт, без функционала, закрытого регистрацией/авторизацией — дальше можете не читать.
А вот если в какой-то момент на вашем сайте, портале, интернет-магазине, в вашем мобильном приложении возникает окошко регистрации пользователя, без которой невозможен доступ к части функционала (например, доступ в личный кабинет или оформление заказа), то эти поправки касаются вас самым непосредственным образом.
За что будут штрафовать?
Нет, вопреки разлетевшемуся вчера мнению, штрафовать будут НЕ пользователей, которые авторизуются с помощью учеток Google или Apple, а владельцев сайтов, которые такую авторизацию допускают для российских пользователей.
Запрещена только сама авторизация (OAuth-вход) через иностранный сервис. Закон обязывает обеспечивать аутентификацию граждан РФ через один из четырех описанных способов:
— номер мобильного телефона;
— ЕСИА (Госуслуги);
— ЕБС (биометрию);
— либо сервис авторизации, владелец которого — гражданин России без иного гражданства или российское юрлицо (например, Яндекс.ID, VK, Сбер, и т.д.).
Использовать сам адрес @gmail.com как логин/идентификатор при регистрации — можно, это не запрещено.
Чем грозит нарушение?
Для физических лиц предусмотрена ответственность до 20к рублей, для юридических лиц — до 700к.
На момент написания этого поста, поправки еще должны пройти оставшиеся этапы законодательной процедуры: одобрение Советом Федерации, подпись президента и официальную публикацию перед тем, как по ним можно будет начать штрафовать. Однако рассчитывать на то, что проблему можно отложить на потом, я бы не рекомендовал.
Ладно, что делать-то?
Разумным выглядит примерно такой план действий:
1. Провести аудит, выявить, в каких ваших системах и сервисах используются зарубежные сервисы авторизации пользователей. Тут важно понимать, что речь идет не только о Google и Apple, но и о других распространенных службах (Firebase, Auth0, и т.д.)
2. Отключить возможность авторизации через таких сервисы для новых пользователей.
3. Добавить (если еще не было) один из разрешенных способов авторизации.
4. Легализовать ранее зарегистрировавшихся через Google/Apple пользователей. Это ключевой и недешёвый пункт. Раньше запрет де-факто касался новых регистраций; теперь его распространяют и на ранее зарегистрированных. При следующем входе пользователя, привязанного к Google/Apple, придется заставить привязать телефон или российский метод.
5. Сделать рассылку текущим пользователям с просьбой уточнить регистрационные данные и установленным дедлайном для этой процедуры.
6. По истечение дедлайна — деактивировать тех пользователей, кто не перешел на новые способы авторизации и окончательно удалить из сервиса возможность авторизации через зарубежные сервисы.
Если вы не уверены, затрагивает ли новый закон ваш сайт или приложение, мы можем провести технический аудит и подготовить план миграции: проверим риски, оценим объем работ и при необходимости переведем проект на новые способы авторизации без потери пользователей и данных. Пишите мне в личку.