Депутаты Госдумы решили поменять правила авторизации пользователей на российских сайтах. Для этого они в ускоренном порядке приняли поправки к закону «Об информации, информационных технологиях и о защите информации», которые многие истолковали как запрет на «регистрацию по иностранной почте». Поправки уже подписал президент — они вступят в силу через четыре месяца, 1 декабря 2023 года. На самом деле к запрету на «регистрации по иностранной почте» изменения не приведут. А вот реально запретить могут использование в России единой системы входа во все сервисы, разработанной компанией «Яндекс», то есть «Яндекс ID». Он попал под тот же запрет, что и авторизация с помощью учетных записей в сервисах Google, Apple, Microsoft.

Почему электронная почта тут ни при чем?

Электронная почта вообще не упоминается в тексте поправок. Речь в них о правилах авторизации российских пользователей на всех российских сайтах, в сервисах и в программах.

Такую авторизацию, то есть вход на сайт с использованием своей учетной записи, теперь можно будет проводить только четырьмя способами:

1. С использованием номера мобильного телефона (пока это касается только мессенджеров)
2. Через «Госуслуги»
3. С помощью единой биометрической системы
4. С использованием другой российской «информационной системы, обеспечивающей авторизацию пользователей»

Обратите внимание на четвертый пункт: электронная почта — это не то же самое, что система авторизации. Система авторизации занимается рассылкой писем, которые пользователи, зарегистрировавшиеся на сайте или в программе, получают на свою почту. В этих письмах содержатся ссылки, по которым пользователям нужно пройти для подтверждения, что почтовый ящик действительно принадлежит им, или одноразовые коды, которые также обрабатывает система авторизации. И эта система действительно должна быть российской.

Депутаты могли запретить отправлять подтверждающие письма на зарубежные почтовые ящики (то есть, по сути, запретить регистрироваться с их помощью), но не сделали этого. Иными словами, создавать учетную запись на российском сайте и в дальнейшем можно будет с помощью почты на Google или, например, Yahoo.

В поправках вообще детально не оговаривается, как должна быть устроена система авторизации пользователей, которая не только обрабатывает данные пользователей при регистрации, но и проверяет их при каждом следующем входе. А кроме привычного введения логина и пароля это могут быть самые разные схемы. Вроде физического токена в виде USB-брелока или смарт-карты, которые нужно вставить в устройство, после чего система авторизации считывает все нужные данные для входа. Или вообще просто сгенерированной последовательности слов — как в виртуальной приемной Службы внешней разведки РФ или в SecureDrop «Медузы» для анонимной связи с редакцией.

При этом новые поправки не запрещают российским сайтам авторизовывать любым способом своих зарубежных пользователей или пользователей, которых они считают такими (если те всегда используют иностранный VPN). Для иностранных сайтов и сервисов вообще не вводится никаких ограничений по авторизации российских пользователей.

Почему же тогда все говорили именно про электронную почту?

Потому что так интерпретировали поправки депутаты Госдумы из «Единой России»: Антон Горелкин, значащийся их автором, и глава комитета по информполитике Александр Хинштейн, одобривший проект своего коллеги.

Это не первый случай, когда депутаты вносят в Госдуму законопроекты, которые они, по-видимому, не писали самостоятельно. Это видно как раз по ошибкам в их комментариях к «своим» инициативам. Например, Дмитрий Вяткин, «автор» законопроекта об эксперименте с интернет-голосованием на выборах в Москве в 2019 году, очень странно объяснял, как там будут использовать блокчейн.

Хинштейн сначала привел в качестве примера российской системы авторизации сервисы компаний «ВКонтакте» и Mail.ru, уточнив, что последняя — российская почта. И, видимо, сделал из этого вывод, что запрещено будет регистрироваться с помощью зарубежных сервисов почтовых адресов. Позже он привел Google и Apple ID в качестве примеров иностранных сервисов, которые попадут под запрет.

На самом деле «ВКонтакте», Mail.ru, Google и Apple и правда предлагают услуги авторизации, но электронная почта тут ни при чем. Все эти компании используют открытый протокол авторизации OAuth, который позволяет владельцам других сайтов и программ упростить доступ для новых пользователей. Им не нужно заводить отдельный аккаунт, придумывать новые логины и пароли — вместо этого можно использовать существующую учетную запись в Mail.ru, «ВКонтакте», Google, Apple, X (Twitter) или Microsoft. Достаточно быть залогиненным в тот сервис, с учетной записью которого пользователь заходит на сторонний сайт, разрешающий этот вид авторизации (например, на сайт по продаже билетов в кино с помощью своего логина в Google).

Таким образом, действительно, поправки запретят авторизовываться с использованием учетных записей в сервисах Google, Apple, Microsoft и других зарубежных компаний. Если вы, к примеру, заходили в какой-то российский интернет-магазин с помощью вашей учетной записи в Google, то после 1 декабря 2023 года все может сломаться. Мы не знаем, будут ли все российские сервисы соблюдать новые правила авторизации, предупредят ли они своих пользователей о возможных проблемах и предложат ли пути их решения. В крайнем случае можно будет завести новые учетные записи для российских сайтов, сервисов и программ.

Но одна из активно используемых россиянами систем авторизации — это «Яндекс ID». Он предлагает единый аккаунт как для всех сайтов и сервисов «Яндекса», так и для сторонних сайтов и приложений, которые поддерживают его авторизацию. Но в отличие от других российских сервисов, новые поправки могут поставить его вне закона — запретить использование для российских пользователей.

Что за проблемы у «Яндекса»?

Поправки написаны таким образом, что «Яндекс» одновременно считается и не считается российской компанией.

Головное юридическое лицо «Яндекса» зарегистрировано в Нидерландах и является публичной компанией. Из документов, поданных компанией в Комиссию по ценным бумагам и биржам США (SEC), следует, что «Яндекс» находится под контролем иностранцев и россиян с гражданством других государств.

Поэтому с точки зрения принятых поправок «Яндекс» — не российская компания, когда речь идет о его системе авторизации и праве на использование этой системы в России. Чтобы такая система считалась российской, физлицо, владеющее ею, не должно иметь гражданства других государств, помимо России. А если владелец — юрлицо, то необходимо, чтобы его прямо или опосредованно контролировали только власти РФ или граждане России без второго гражданства. «Яндекс» этим требованиям не соответствует, и значит, его системой авторизации пользоваться нельзя.

В то же время «Яндекс», по тому же закону, — это российская компания с точки зрения обязанности авторизовывать своих пользователей из РФ только строго определенным образом. Тут достаточно, чтобы владелец был российским гражданином или российским юрлицом — не важно, есть у него в дополнение иностранный паспорт или нет.

То есть, с одной стороны, «Яндекс» обязан будет соблюдать новые требования к авторизации российских пользователей на своих сайтах и сервисах. А с другой — пользователи не смогут использовать его систему авторизации из-за недостатка «российскости». То есть если компания будет соблюдать российский закон, то войти в «Яндекс Почту», «Яндекс Go» или «Яндекс Еду» (и в любые другие сервисы) по «Яндекс ID» больше не получится.

Может ли «Яндекс» избежать проблем?

Да. Есть несколько разных вариантов.

Во-первых, власти могут признать ошибку (если это была ошибка) и до 1 декабря 2023 года изменить поправки, которые еще не успеют вступить в силу.

Во-вторых, владельцы «Яндекса» могут стать более «российскими». Для этого компанию можно национализировать — и она будет принадлежать российским властям. Или продать российским предпринимателям, у которых нет иностранного гражданства.

В «Яндексе» отказались отвечать на вопросы «Медузы».

Что грозит за «неправильную» авторизацию?

Пока ничего. Пользователь вообще ничего не нарушит, если будет спокойно регистрироваться и логиниться любым способом, который ему предложит владелец сайта, сервиса или программы.

Владелец ресурса даже в случае нарушения установленных законом правил авторизации не понесет никакой ответственности. Она пока не предусмотрена. «Меры ответственности действительно не прописаны, это случится позже, после оценки правоприменительной практики», — так комментировал свои поправки Горелкин.

Зачем все это властям?

Мы не знаем. Возможно, это подготовка к ситуации, когда российские власти решат отключить страну от глобального интернета. Если пользователи из РФ перейдут на разрешенные законом способы авторизации, у них не пропадет доступ к российским сервисам, в которые они ранее заходили через Apple ID или свою учетную запись в Google.