149-ФЗ?

(3 ответа)

Добрый день! у ООО есть интернет магазин, регистрация и авторизация на котором проходит только посредством ввода логина (электронный адрес) и пароля. Идентификация личности (её подтверждение) не осуществляется. При регистрации пользователями используется иностранные почтовые адреса. Нужно ли для исполнения закона от 27 июля 2006 г. № 149-ФЗ менять способ авторизации и только делать его только через телефон/госуслуги/биометрия/электронные почты рф? или если НЕ происходит идентификации, то не обязательно? (Авторизации через Google ID и прочее не осуществляется). Заранее благодарим за ответ.

Грачёв Георгий Владимирович
  • Быстрый ответ - ответ в течение 15 минут
  • Высокий рейтинг - юрист с рейтингом от 9 баллов
  • Активный юрист - юрист ответивший более 50 вопросов за 7 дней
  • Подробный ответ - ответ более 350 символов
Отвечает юрист
Стаж 7 лет

Требование об идентификации через телефон, госуслуги или биометрию распространяется на организаторов распространения информации и мессенджеры, а не на интернет-магазины в общем случае. Если идентификация личности не проводится, обязанность менять способ авторизации из указанного закона не следует. Ваш интернет-магазин осуществляет обработку персональных данных пользователей при регистрации? На практике именно этот вопрос становится ключевым: операторы персональных данных, работающие с иностранными адресами, нередко нарушают требования о локализации данных и трансграничной передаче, не осознавая, что регулятор - Роскомнадзор - за последние 12 месяцев существенно усилил проверочную активность в отношении интернет-торговли, а административные санкции в ряде дел достигают значительных сумм при повторных нарушениях. Желаю удачи в решении вопроса! С уважением, юрист Грачёв Георгий!

ОТВЕТ НА УТОЧНЯЮЩИЙ ВОПРОС ПРИСЫЛАЙТЕ В МЕССЕНДЖЕР (указано в профиле)! Консультация/составление документов/ведение дела под ключ (платно)! MAX/WA/TG - отвечаю сразу!
Юристы по прочим услугам

Подборка юристов, которые специализируются на вопросах этой категории и помогут в вашей ситуации.

Открыть список
Арзуманян Раксана Владимировна
  • Высокий рейтинг - юрист с рейтингом от 9 баллов
  • Активный юрист - юрист ответивший более 50 вопросов за 7 дней
  • Подробный ответ - ответ более 350 символов
Отвечает юрист
Стаж 13 лет

Менять способ авторизации не нужно, если ваш интернет-магазин использует собственную внутреннюю систему проверки пары «логин-пароль». Требования Федерального закона № 149-ФЗ (ст. 8, Ч. 10) Нарушаются только тогда, когда сайт делегирует вход внешним иностранным сервисам через кнопки быстрых авторизаций (OAuth-протоколы Google ID, Apple ID). Поскольку ООО самостоятельно хранит базу данных и проверяет пароли на своих серверах, ваша система полностью признается законным «иным российским сервисом авторизации»

❤️ если мой ответ вам помог - напишите пожалуйста отзыв в знак благодарности 🙏
Разумовская София Дмитриевна
  • Быстрый ответ - ответ в течение 15 минут
  • Высокий рейтинг - юрист с рейтингом от 9 баллов
  • Активный юрист - юрист ответивший более 50 вопросов за 7 дней
  • Подробный ответ - ответ более 350 символов
Отвечает юрист
Стаж 8 лет

Да, авторизацию нужно менять. По ч. 10 Ст. 8 Закона №149-ФЗ, если сайт использует авторизацию, она должна проходить только через номер телефона РФ, ЕСИА (Госуслуги), биометрию или иные российские системы. Идентификация через иностранную почту или Google ID не допускается. Исключений для отсутствия идентификации нет. Если не измените – будет административный штраф по ст. 13.30 КоАП РФ.

✅КРУГЛОСУТОЧНО ♻️ Консультации и составление документов - в ТГ, Мах, ВК, Whats'App (контакты в профиле) (ПЛАТНО). Отзывы о работе - в ТГ-канале Буду рада Вам помочь!
На ваш вопрос ответил искусственный интеллект, вы можете уточнить детали или задать другой вопрос
Сообщаем, что искусственный интеллект не является квалифицированным юристом, и его ответы не могут заменить консультацию у специалиста, могу содержать ошибки. Его функцией является лишь предоставление общей информации.
Ответ нейросети:
Суть ситуации и правовая оценка
Ваша компания — оператор интернет-магазина, где регистрация и авторизация пользователей происходит по электронной почте (логин-пароль), при этом идентификация личности не проводится, и используются, в том числе, иностранные почтовые сервисы. Вопрос касается необходимости менять способ авторизации в связи с требованиями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Какие нормы права применимы
С 1 декабря 2023 года в закон № 149-ФЗ внесены изменения, касающиеся идентификации пользователей на интернет-ресурсах (статья 10.2). В частности, для «информационных ресурсов, предназначенных для распространения информации неограниченному кругу лиц», если на них осуществляется идентификация/аутентификация пользователей, введены новые требования к способам идентификации — через российские сервисы (например, ЕСИА/Госуслуги, российские почтовые сервисы, телефонные номера российских операторов и др.).

Риски, нюансы и ответственность
Ключевой момент: требования распространяются только на случаи, когда интернет-ресурс осуществляет идентификацию пользователей (то есть устанавливает их личность, ФИО и т.п.). Если ваш магазин не требует подтверждения личности (например, паспортных данных), а только регистрация по e-mail и пароль, и не сопоставляет e-mail с конкретным физическим лицом, то это не считается идентификацией в смысле закона. В этом случае, строго по букве закона, менять способ авторизации не требуется.

Однако, если вы начнете собирать дополнительные данные для установления личности (например, ФИО, паспорт, телефон с подтверждением через российскую сим-карту и т.д.), или если ваш ресурс будет признан организатором распространения информации (например, если есть публичные чаты, форумы, мессенджеры), то требования станут обязательными.

Что делать клиенту пошагово
1. Оцените, действительно ли ваш интернет-магазин не осуществляет идентификацию пользователей — не запрашиваются ли иные данные, кроме e-mail, нет ли иных способов установить личность пользователя.
2. Проверьте, не подпадает ли ваш сайт под понятие «организатора распространения информации» (например, наличие публичных коммуникаций между пользователями).
3. Если идентификация не производится, менять способ авторизации не требуется.
4. Если планируете вводить идентификацию или дополнительные сервисы — заранее ознакомьтесь с новыми требованиями и подготовьте соответствующую политику работы с данными пользователей.

Что нужно уточнить
Для точного вывода важно знать:
— Какие еще данные (помимо e-mail) запрашиваются при регистрации?
— Есть ли на сайте функции, позволяющие пользователям обмениваться сообщениями или публиковать информацию публично?
— Планируется ли в будущем вводить идентификацию личности?

Если у вас есть сомнения по деталям или планируются изменения в функционале, рекомендую проконсультироваться с юристом для оценки рисков и корректной настройки процессов.
Остались вопросы?

Задайте вопрос всем юристам на сайте
508 юристов отвечают
3 минуты среднее время ответа
238 вопросов за сутки
Опишите ваш вопрос или ситуацию простыми словами. Начните с вопросительных слов, таких как «Что», «Как», «Можно ли» и т.д.

Юристы рядом