Все это — онлайн, с заботой о вас и по отличным ценам.
Не будет ли это считаться нарушением законодательства?
Добрый день!
Я хочу добавить на сайт авторизацию через сервисы google и telegram, при этом данные, полученные после авторизации, будут храниться на серверах РФ, авторизация используется как вход для получения данных о пользователе. Не будет ли это считаться нарушением законодательства?
Здравствуйте.
Это будет считаться нарушением.
В соответствии с ч. 10 ст. 8 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ:
10. Владелец сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям,прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:
далее идут допустимые способы авторизации:
- Номер телефона (российского оператора).
- Портал Госуслуги (ЕСИА).
- Единую биометрическую систему (ЕБС).
- Иную информационную систему, которой владеет гражданин РФ (без иного гражданства) или российское юрлицо.
Google — это стопроцентно иностранная система, контролируемая иностранным юрлицом.
Telegram также принадлежит иностранному юрлицу.
Поэтому, на мой взгляд, такую авторизацию, как у Вас, предусматривать нельзя.
День добрый Александр.
Не будет ли это считаться нарушением законодательства?
Полагаю, что будет, поскольку ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ устанавливает закрытый перечень способов авторизации исходя из положений ст. 8:
-По номеру мобильного телефона (российского оператора).
-Через Госуслуги (ЕСИА).
-Через Единую биометрическую систему (ЕБС).
-Через иную информационную систему, владельцем которой является гражданин РФ или российское юрлицо.
Использование Google и Telegram в данном контексте нелегитимно, так как эти платформы не являются российскими информационными системами.
Предложенный Вами алгоритм нарушает требования о технологическом суверенитете РФ в части идентификации пользователей.
Чтобы избежать санкций со стороны Роскомнадзора, необходимо исключить данные методы входа для пользователей из РФ, заменив их на отечественные аналоги (например, VK ID, Yandex ID или подтверждение по российскому номеру телефона).
Здравствуйте.
авторизацию через сервисы google и telegram
Да, это будет нарушением.
Авторизация допускается через те информационные системы, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо.
Нет, у нас не проходят никакие данные ни через гугл, ни через телеграм — мы забираем данные от них по запросу, ничего им не отправляя. После чего храним полученные данные у нас
Это не имеет значения для вышеуказанного запрета.
Введённая норма не допускает такую авторизация независимо от фактической передачи или не передачи персональных данных:
Федеральный закон от 27.07.2006 N 149-ФЗ
«Об информации, информационных технологиях и о защите информации»
4) с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо.
Ключевое — кто является владельцем информационной системы, через которую проходит авторизация.
У нас есть и аналоги РФ, и вход через зарубежные сервисы.
Наличие аналогов РФ не даёт права использовать ещё и зарубежные информационные системы.
Всё верно, я обязан авторизовывать пользователей одним из перечисленных способов, что я и делаю, но где указано, что мне запрещено авторизовывать их другими способами? Где в формулировках прямой запрет на использование сторонних способов авторизации?
В приведённом пункте.
Закон указывает только на 4 способа.
10. Владелец сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:
Других способов быть не может, перечень исчерпывающий
Что касается обработки информации на иностранных серверах.
В соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ:
У Вас же при авторизации пользователя персональные данные первично будут проходить через сервера Гугла и Телеграма за пределами РФ, что уже будет нарушать это требование.