Запрет авторизации через иностранные сервисы и российская почта оператора ПДн
Российским сайтам с 1 декабря 2023 года запрещено авторизовать пользователей через иностранные сервисы (вход через Google, Apple и подобные): допустимы номер телефона российского оператора, ЕСИА, ЕБС и иные информационные системы, соответствующие требованиям. Разбираем это требование 406-ФЗ и отдельно — почему оператору персональных данных стоит использовать электронную почту российских провайдеров: локализация данных, трансграничная передача, устойчивость к ограничениям и импортозамещение.
Для российских операторов персональных данных есть два связанных вопроса: чем авторизовать пользователей на своём сайте и какой электронной почтой пользоваться самому оператору. По первому есть прямой запрет на иностранные сервисы авторизации, по второму — совокупность требований и рисков, которые делают российскую почту предпочтительной. Разберём оба.
Запрет авторизации через иностранные сервисы
Федеральный закон от 31 июля 2023 года №406-ФЗ внёс изменения в закон «Об информации, информационных технологиях и о защите информации» (149-ФЗ). С 1 декабря 2023 года российские владельцы сайтов, информационных систем и приложений, работающих в интернете на территории России, если предоставляют доступ к информации авторизованным пользователям, должны авторизовать пользователей, находящихся в России, только установленными способами (часть 10 статьи 8 149-ФЗ):
- по абонентскому номеру оператора подвижной радиотелефонной связи;
- через Единую систему идентификации и аутентификации (ЕСИА, «Госуслуги»);
- через Единую биометрическую систему (ЕБС);
- через иную информационную систему, которая соответствует требованиям к защите информации и владельцем которой является гражданин России без гражданства другого государства либо российское юридическое лицо под предусмотренным законом контролем.
Авторизация через иностранные сервисы (например, вход через аккаунт Google или Apple ID) в этот перечень не входит и в отношении пользователей, находящихся в России, к разрешённым способам не относится. Практический вывод для оператора: если на вашем сайте есть регистрация или вход, уберите кнопки «войти через» иностранные аккаунты и оставьте разрешённые способы — как правило, это подтверждение по номеру телефона, а для части сервисов — вход через «Госуслуги».
Почему оператору лучше российская электронная почта
Прямого запрета пользоваться зарубежным почтовым сервисом для внутренней переписки закон не устанавливает, однако для оператора персональных данных использование иностранной почты создаёт правовые и организационные риски:
- Локализация персональных данных. Часть 5 статьи 18 152-ФЗ требует при сборе персональных данных граждан России вести их запись, систематизацию, накопление и хранение с использованием баз данных, находящихся на территории России. Если оператор через зарубежный почтовый сервис собирает и первично накапливает такие данные без базы данных в России, возникает риск нарушения этого требования.
- Трансграничная передача. Использование иностранного почтового сервиса может квалифицироваться как трансграничная передача персональных данных (статья 12 152-ФЗ) и требует предварительного уведомления Роскомнадзора, оценки получателя и соблюдения установленного режима.
- Устойчивость и контроль. Доступ к зарубежным сервисам может ограничиваться, аккаунты — блокироваться без объяснения причин; потеря корпоративной почты парализует работу. Российский провайдер или корпоративная почта на российском хостинге снижают эти риски и оставляют данные под вашим контролем.
- Импортозамещение. Для адресатов Указа Президента №250 (госорганы, субъекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ., системообразующие и стратегические организации) переход на отечественное программное обеспечение — обязательное требование; для остального бизнеса это разумная мера снижения зависимости — см. статью об импортозамещении СЗИ и ПО.
На практике оператору стоит вести деловую переписку с персональными данными через российского провайдера или на собственном домене, размещённом на российском хостинге. Подходящие варианты (в том числе с бесплатными тарифами) есть у российских почтовых сервисов и облачных офисов.
Что сделать оператору
- убрать на сайте авторизацию через иностранные сервисы, оставить разрешённые способы (телефон, ЕСИА);
- перевести деловую переписку, содержащую персональные данные, на российский почтовый сервис или корпоративную почту на российском хостинге;
- проверить локализацию: где фактически хранятся базы с персональными данными граждан России, включая почту и внешние формы — см. статью о сайте и внешних хранилищах;
- если трансграничная передача всё же нужна — оформить её по статье 12 152-ФЗ с уведомлением Роскомнадзора (см. разбор трансграничной передачи).
Главное
С 1 декабря 2023 года российские владельцы сайтов и приложений не вправе авторизовать пользователей, находящихся в России, через иностранные сервисы: допустимы абонентский номер оператора связи, ЕСИА, ЕБС и соответствующие требованиям информационные системы (часть 10 статьи 8 149-ФЗ). Общего запрета на зарубежную корпоративную почту закон не вводит, но если через неё собираются, хранятся или передаются персональные данные граждан России, оператору нужно проверить локализацию (часть 5 статьи 18 152-ФЗ), трансграничную передачу (статья 12) и меры защиты — поэтому российская почта не всегда обязательна, но часто снижает юридические и организационные риски (а для адресатов Указа №250 переход на отечественное ПО обязателен). Базовые меры защиты рабочих процессов — в статье об угрозах для малого бизнеса. Проверить состав обязанностей и сформировать документы можно в сервисе ГрамотаИБ.