Кнопка «Войти через Google» грозит штрафом до 1,4 млн рублей за иностранную авторизацию

Госдума 9 июня приняла во втором и третьем чтениях законопроект о штрафах за нарушение правил авторизации пользователей на российских интернет-ресурсах. Документ закрывает пробел, который оставался после ограничений 2023 года: требование уже действовало, но отдельной административной ответственности за его нарушение не было.

Теперь для владельцев ресурсов появляется денежный риск. За первый случай нарушения штраф составит от 10 тыс. до 20 тыс. рублей для граждан, от 30 тыс. до 50 тыс. рублей для должностных лиц и от 500 тыс. до 700 тыс. рублей для юридических лиц. За повторное нарушение суммы выше: для юрлиц — до 1,4 млн рублей.

Речь идёт не о пользователях, которые когда-то зарегистрировались через Gmail или Apple ID. Законопроект адресован владельцам информационных ресурсов: сайтов, сервисов, платформ и приложений, где есть регистрация или вход в аккаунт. Обычный посетитель сайта штраф за кнопку «Войти через Google» не получит.

С декабря 2023 года российские ресурсы должны авторизовать пользователей, находящихся в России, только через разрешенные законом способы. К ним относятся российский номер телефона, ЕСИА — система входа через «Госуслуги», Единая биометрическая система и российские информационные системы, которые соответствуют требованиям по защите данных.

На практике это означает, что сайту нельзя оставлять единственный или основной вход через иностранный сервис авторизации. Под такие сценарии попадают кнопки вроде «Войти через Google», «Войти через Apple», «Войти через Microsoft» и вход через иностранную почту, если именно она используется как внешний механизм регистрации или подтверждения.

Многие сайты годами использовали иностранные OAuth- и SSO-механизмы. OAuth — это протокол, который позволяет войти на сайт через уже существующую учётную запись. SSO — единый вход, когда один аккаунт открывает доступ к разным сервисам. Для пользователя это удобно: нажал кнопку, подтвердил вход, получил аккаунт.

Для владельца сайта такая схема тоже была простой: меньше паролей, затрат на собственную регистрацию, быстрее запуск продукта. Теперь этот путь для российских ресурсов оборачивается административным риском.

Проблема особенно заметна для старых сайтов, форумов, интернет-магазинов, медиа, образовательных платформ и корпоративных порталов. Там кнопки входа через Google или Apple могли остаться в шаблоне, плагине, мобильном SDK или старой версии личного кабинета. Владелец ресурса может даже не считать это активной функцией, но кнопка на странице регистрации уже даёт повод для проверки.

Разрешённые варианты выглядят так:

— вход по российскому номеру телефона;
— вход через ЕСИА, то есть через «Госуслуги»;
— вход через Единую биометрическую систему;
— вход через российскую информационную систему, которая соответствует требованиям к защите информации.

Законопроект вводит ответственность не только за нарушения авторизации. Отдельный блок касается рекомендательных технологий — алгоритмов, которые подбирают пользователю товары, видео, статьи, фильмы, музыку или другой контент.

Владельцы ресурсов с такими алгоритмами должны информировать пользователей об их применении и соблюдать требования к правилам работы рекомендаций. За нарушения тоже предусмотрены штрафы. Для юрлиц суммы по базовым составам доходят до 700 тыс. рублей, при повторных нарушениях — выше.