Мы проанализировали свежие трактовки 152-ФЗ «О персональных данных» и 149-ФЗ «Об информации, информационных технологиях и о защите информации» и готовы разложить по полочкам, что теперь легально, а что — нет.
Запрет на иностранные сервисы: в чем логика регулятора?
Ключевой документ, на который опирается Роскомнадзор в этом вопросе — 149-ФЗ. Согласно его положениям, организатор распространения информации (ОРИ) не имеет права использовать для идентификации пользователей информационные системы иностранных организаций, если их серверная инфраструктура не размещена на территории РФ.
Механизм OAuth-авторизации (кнопки соцсетей) работает следующим образом: пользователь покидает ваш сайт, проходит аутентификацию на стороне иностранного сервиса, после чего тот передает вашему сайту данные (как минимум, уникальный ID пользователя). Именно этот акт передачи данных пользователя с одного ресурса на другой для целей идентификации и попадает под прямой запрет. Ссылка на публикацию нормативного акта ( http://publication.pravo.gov.ru/document/0001202606260053?index=7) не оставляет пространства для двойных толкований.
Собственная форма регистрации: ваш главный щит
Здесь кроется самый важный нюанс, который часто вызывает споры. Закон не запрещает пользователю регистрироваться с использованием иностранного e-mail-адреса.
Если вы используете штатную форму регистрации и авторизации на своем домене, вы остаетесь единственным оператором персональных данных. Вы собираете данные пользователя (имя, телефон, почту) и берете на себя полную ответственность за их обработку и хранение в соответствии с 152-ФЗ. Тот факт, что пользователь для регистрации указал почту на @yahoo.com или @gmail.com, не является нарушением. Вы не передаете эти данные сервису Yahoo или Google. Вы лишь получаете от них письма или используете их как идентификатор в своей базе данных.
Легальные альтернативы: ЕСИА и Сбер ID
Поскольку популярные иностранные шлюзы теперь под запретом, фокус сместился на отечественные решения. На рынке есть два основных игрока:- ЕСИА (Госуслуги). Это государственная система идентификации. Ее использование гарантирует полное соответствие законодательству. Однако процесс интеграции может быть достаточно сложным и долгим из-за строгих требований к безопасности.
- Сбер ID. Это продукт от крупнейшей экосистемы страны. Его главное преимущество — простота интеграции (часто это самый быстрый способ добавить кнопку «Войти») и надежность. При использовании Сбер ID данные передаются внутри российской юрисдикции, что полностью снимает вопросы у регулятора.
Пример модуля авторизации для 1С-Битрикс. Недешево
У Сбера модуль бесплатный.
Итоговая схема: что можно, а что нельзя
Чтобы окончательно закрыть вопрос, приведем простую шпаргалку для вашего технического задания:| Способ регистрации | Статус | Комментарий |
|---|---|---|
| Собственная форма (Email + Пароль) | РАЗРЕШЕНО | Вы - опреатор данных. Пользователь может использовать любую почту. |
| Кнопки "Войти через Google/Apple/Facebook) | ЗАПРЕЩЕНО | Нарушение 149-ФЗ: передача данных пользователя иностранному сервису для идентификации |
| ЕСИА | РАЗРЕШЕНО | Государственная система. Полное соответствие закону |
| Сбер ID | РАЗРЕШЕНО | Самый простой способ легальной интеграции кнопки входа от российской компании |
Таким образом, отказ от иностранных кнопок входа и переход на собственную форму регистрации или интеграцию российских сервисов идентификации — это не просто рекомендация, а необходимое условие для стабильной работы вашего веб-проекта в правовом поле РФ.