ГрамотаИБ ГрамотаИБ

Запрет авторизации через иностранные сервисы и российская почта оператора ПДн

Редакция ГрамотаИБ · Опубликовано 05.07.2026

Российским сайтам с 1 декабря 2023 года запрещено авторизовать пользователей через иностранные сервисы (вход через Google, Apple и подобные): допустимы номер телефона российского оператора, ЕСИА, ЕБС и иные информационные системы, соответствующие требованиям. Разбираем это требование 406-ФЗ и отдельно — почему оператору персональных данных стоит использовать электронную почту российских провайдеров: локализация данных, трансграничная передача, устойчивость к ограничениям и импортозамещение.

Для российских операторов персональных данных есть два связанных вопроса: чем авторизовать пользователей на своём сайте и какой электронной почтой пользоваться самому оператору. По первому есть прямой запрет на иностранные сервисы авторизации, по второму — совокупность требований и рисков, которые делают российскую почту предпочтительной. Разберём оба.

Запрет авторизации через иностранные сервисы

Федеральный закон от 31 июля 2023 года №406-ФЗ внёс изменения в закон «Об информации, информационных технологиях и о защите информации» (149-ФЗ). С 1 декабря 2023 года российские владельцы сайтов, информационных систем и приложений, работающих в интернете на территории России, если предоставляют доступ к информации авторизованным пользователям, должны авторизовать пользователей, находящихся в России, только установленными способами (часть 10 статьи 8 149-ФЗ):

  • по абонентскому номеру оператора подвижной радиотелефонной связи;
  • через Единую систему идентификации и аутентификации (ЕСИА, «Госуслуги»);
  • через Единую биометрическую систему (ЕБС);
  • через иную информационную систему, которая соответствует требованиям к защите информации и владельцем которой является гражданин России без гражданства другого государства либо российское юридическое лицо под предусмотренным законом контролем.

Авторизация через иностранные сервисы (например, вход через аккаунт Google или Apple ID) в этот перечень не входит и в отношении пользователей, находящихся в России, к разрешённым способам не относится. Практический вывод для оператора: если на вашем сайте есть регистрация или вход, уберите кнопки «войти через» иностранные аккаунты и оставьте разрешённые способы — как правило, это подтверждение по номеру телефона, а для части сервисов — вход через «Госуслуги».

Почему оператору лучше российская электронная почта

Прямого запрета пользоваться зарубежным почтовым сервисом для внутренней переписки закон не устанавливает, однако для оператора персональных данных использование иностранной почты создаёт правовые и организационные риски:

  • Локализация персональных данных. Часть 5 статьи 18 152-ФЗ требует при сборе персональных данных граждан России вести их запись, систематизацию, накопление и хранение с использованием баз данных, находящихся на территории России. Если оператор через зарубежный почтовый сервис собирает и первично накапливает такие данные без базы данных в России, возникает риск нарушения этого требования.
  • Трансграничная передача. Использование иностранного почтового сервиса может квалифицироваться как трансграничная передача персональных данных (статья 12 152-ФЗ) и требует предварительного уведомления Роскомнадзора, оценки получателя и соблюдения установленного режима.
  • Устойчивость и контроль. Доступ к зарубежным сервисам может ограничиваться, аккаунты — блокироваться без объяснения причин; потеря корпоративной почты парализует работу. Российский провайдер или корпоративная почта на российском хостинге снижают эти риски и оставляют данные под вашим контролем.
  • Импортозамещение. Для адресатов Указа Президента №250 (госорганы, субъекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ., системообразующие и стратегические организации) переход на отечественное программное обеспечение — обязательное требование; для остального бизнеса это разумная мера снижения зависимости — см. статью об импортозамещении СЗИ и ПО.

На практике оператору стоит вести деловую переписку с персональными данными через российского провайдера или на собственном домене, размещённом на российском хостинге. Подходящие варианты (в том числе с бесплатными тарифами) есть у российских почтовых сервисов и облачных офисов.

Что сделать оператору

  • убрать на сайте авторизацию через иностранные сервисы, оставить разрешённые способы (телефон, ЕСИА);
  • перевести деловую переписку, содержащую персональные данные, на российский почтовый сервис или корпоративную почту на российском хостинге;
  • проверить локализацию: где фактически хранятся базы с персональными данными граждан России, включая почту и внешние формы — см. статью о сайте и внешних хранилищах;
  • если трансграничная передача всё же нужна — оформить её по статье 12 152-ФЗ с уведомлением Роскомнадзора (см. разбор трансграничной передачи).

Главное

С 1 декабря 2023 года российские владельцы сайтов и приложений не вправе авторизовать пользователей, находящихся в России, через иностранные сервисы: допустимы абонентский номер оператора связи, ЕСИА, ЕБС и соответствующие требованиям информационные системы (часть 10 статьи 8 149-ФЗ). Общего запрета на зарубежную корпоративную почту закон не вводит, но если через неё собираются, хранятся или передаются персональные данные граждан России, оператору нужно проверить локализацию (часть 5 статьи 18 152-ФЗ), трансграничную передачу (статья 12) и меры защиты — поэтому российская почта не всегда обязательна, но часто снижает юридические и организационные риски (а для адресатов Указа №250 переход на отечественное ПО обязателен). Базовые меры защиты рабочих процессов — в статье об угрозах для малого бизнеса. Проверить состав обязанностей и сформировать документы можно в сервисе ГрамотаИБ.

Частые вопросы

Можно ли на российском сайте оставить вход через Google или Apple?

Нет. С 1 декабря 2023 года (Федеральный закон №406-ФЗ, поправки в 149-ФЗ) российские владельцы сайтов и приложений должны авторизовать пользователей, находящихся в России, только по абонентскому номеру оператора связи, через ЕСИА («Госуслуги»), через ЕБС или через иную соответствующую требованиям информационную систему (часть 10 статьи 8 149-ФЗ). Вход через иностранные сервисы к разрешённым способам не относится.

Запрещено ли оператору пользоваться зарубежной почтой вроде Gmail?

Общего запрета нет, но для оператора персональных данных это создаёт риски. Если через зарубежную почту собираются и первично накапливаются персональные данные граждан России без базы данных в России, возникает риск нарушения локализации (часть 5 статьи 18 152-ФЗ); использование иностранного сервиса может квалифицироваться как трансграничная передача (статья 12); плюс риск ограничения доступа. Поэтому деловую переписку с персональными данными лучше вести через российского провайдера или корпоративную почту на российском хостинге.

Какие способы авторизации на сайте разрешены?

Абонентский номер оператора подвижной радиотелефонной связи, ЕСИА («Госуслуги»), Единая биометрическая система (ЕБС) и иные информационные системы, соответствующие требованиям к защите информации, владелец которых — гражданин России без гражданства другого государства либо российское юридическое лицо (часть 10 статьи 8 149-ФЗ).

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Новые правила обезличивания персональных данных с 1 сентября 2025 года

Что изменилось в обезличивании персональных данных с 1 сентября 2025 года: обновлённые требования к обезличиванию, обработка обезличенных данных для формирования составов данных в государственной информационной системе и обязанности оператора по обезличиванию и предоставлению данных по требованию уполномоченного органа. Что это значит для операторов на практике.

Биометрия и ЕБС: сбор, хранение и согласие по 152-ФЗ и 572-ФЗ

Как организации законно работать с биометрическими персональными данными: биометрия как отдельная категория ПДн (статья 11 152-ФЗ), письменное согласие и добровольность, Единая биометрическая система (ЕБС) и Федеральный закон №572-ФЗ, требования к носителям биометрии (ПП-512). Когда вправе собирать биометрию и что нельзя делать.

Персональные данные: итоги 2025 и что делать в 2026

Что изменилось в регулировании персональных данных в 2025 году и что нужно сделать оператору в 2026: крупные и оборотные штрафы за утечки (с 30 мая 2025), новые правила обезличивания (с 1 сентября 2025), уведомление Роскомнадзора об инцидентах, локализация и уведомление об обработке. Сводка изменений и практический чек-лист.

Достаточность и обоснованность персональных данных: как понять, сколько собирать

Что такое достаточность и обоснованность персональных данных с точки зрения Роскомнадзора: принципы статьи 5 152-ФЗ (соответствие объёма целям и недопустимость избыточности, достаточность данных для цели) и как оператору понять, в каком объёме собирать данные. Практический алгоритм определения состава под цель, частые ошибки избыточного сбора и как обосновать состав документально.