
В последнее время в медиапространстве активно циркулирует тезис о том, что российское законодательство запрещает использование иностранной электронной почты при регистрации на отечественных сайтах. Эта идея стремительно распространяется через новостные порталы и телеграм-каналы. Проблема, однако, состоит в том, что данный тезис является фактической ошибкой, возникшей вследствие элементарной путаницы в понятиях.
Закон не запрещает использование иностранной электронной почты в качестве логина. Закон запрещает совершенно другое — использование систем авторизации, принадлежащих иностранным лицам. Разница между этими двумя вещами огромна, и именно её непонимание порождает правовые мифы, вводящие в заблуждение как рядовых граждан, так и бизнес.
Данная статья ставит своей задачей последовательно и детально разобрать, что именно установлено действующим законодательством, как соотносятся понятия электронной почты и системы авторизации, за что именно введены административные штрафы и почему журналисты и блогеры продолжают смешивать принципиально разные вещи.
Что именно запрещает закон: разбираем норму
Пункт 10 статьи 8 Федерального закона № 149-ФЗ
Ключевая норма, породившая всю дискуссию, была введена в статью 8 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» 31 июля 2023 года, а вступила в силу 1 декабря 2023 года. Именно она регулирует порядок авторизации пользователей на российских интернет-ресурсах.
Норма адресована конкретному субъекту — владельцу сайта, страницы сайта, информационной системы или программы для электронных вычислительных машин, который является российским юридическим лицом или гражданином Российской Федерации и осуществляет деятельность в российском сегменте сети Интернет. Обязанность возникает лишь в одном случае: если доступ к размещённой на ресурсе информации предоставляется пользователям, прошедшим авторизацию.
Иными словами, если ваш сайт вообще не предусматривает авторизации и доступен всем без ограничений, данная норма к вам не применяется. Если же авторизация есть — возникает обязанность проводить её одним из строго определённых способов.
Допустимые способы авторизации
Закон устанавливает закрытый перечень допустимых методов авторизации пользователей, находящихся на территории Российской Федерации.
Первый — использование абонентского номера оператора подвижной радиотелефонной связи, то есть привязка к российскому номеру телефона.
Второй — использование федеральной государственной информационной системы «Единая система идентификации и аутентификации» (ЕСИА), широко известной под брендом «Госуслуги».
Третий — использование Единой системы идентификации и аутентификации физических лиц с применением биометрических персональных данных.
Наконец, четвёртый способ — использование иной информационной системы, обеспечивающей авторизацию пользователей, при условии, что её владельцем является гражданин Российской Федерации, не имеющий гражданства другого государства, либо российское юридическое лицо в том смысле, который закон вкладывает в это понятие.
При этом закон весьма подробно расшифровывает, кого именно следует считать таким российским юридическим лицом. Это юридическое лицо, находящееся под контролем Российской Федерации, субъекта федерации, муниципального образования, гражданина России без иностранного гражданства либо юридических лиц, совместно или раздельно ими контролируемых. Под контролем при этом понимается возможность определять решения юридического лица в силу права прямо или косвенно распоряжаться более чем пятьюдесятью процентами голосующих акций или долей.
Что стоит за четвёртым допустимым способом
Четвёртый способ имеет принципиальное значение для понимания сути запрета. Он легализует использование собственных систем авторизации российских компаний. Примером здесь может служить авторизация через аккаунт Яндекса, ВКонтакте или другого отечественного сервиса. Именно такие системы — так называемый OAuth, Single Sign-On (SSO) и иные технологии единого входа — и являются предметом регулирования.
Закон запрещает использование аналогичных систем, принадлежащих иностранным лицам. Кнопки «Войти через Google», «Войти через Apple ID», авторизация через иностранные социальные сети — вот что оказывается под ограничением. Не адрес электронной почты как таковой, а именно технология делегированной аутентификации, реализованная иностранным владельцем.
Электронная почта и система авторизации: в чём принципиальная разница
Адрес электронной почты как логин
Адрес электронной почты — это идентификатор. Строка вида user@gmail.com или petrov@mail.ru — это просто набор символов, указывающих на конкретный почтовый ящик. Когда пользователь вводит этот адрес в поле «логин» на каком-либо сайте вместе с паролем, происходит обычная парольная аутентификация.
С точки зрения закона здесь важно следующее: сам адрес электронной почты не является информационной системой. Это просто условный идентификатор пользователя, выбранный им в качестве имени учётной записи. То обстоятельство, что этот идентификатор содержит домен иностранного почтового провайдера — gmail.com, yahoo.com, outlook.com — не превращает его в иностранную систему авторизации. Пользователь вводит логин и пароль, а проверку этих данных осуществляет собственная система сайта, принадлежащая российскому владельцу. Никакого обращения к серверам Google, Apple или любой другой иностранной компании при этом не происходит.
Система OAuth и делегированная авторизация
Принципиально иначе устроена технология, которую закон действительно ограничивает. OAuth — это протокол, позволяющий пользователю авторизоваться на одном сайте через учётную запись, созданную на другом ресурсе. Когда пользователь нажимает кнопку «Войти через Google», его браузер перенаправляется на серверы Google, где происходит проверка учётных данных. Google подтверждает личность пользователя и возвращает сайту соответствующий токен. Всё это время именно Google управляет процессом авторизации, именно Google является оператором этой информационной системы.
Вот эта система — информационная система, обеспечивающая авторизацию, принадлежащая иностранному лицу, — и есть предмет запрета. Разница между двумя описанными сценариями огромна. В первом случае иностранный сервис лишь предоставил пользователю почтовый ящик, а вся авторизация происходит внутри российской системы. Во втором случае иностранный сервис непосредственно управляет процессом аутентификации.
Почему это разграничение имеет практическое значение
Путаница между двумя описанными понятиями влечёт совершенно неверные практические выводы. Если принять на веру ошибочный тезис о запрете иностранной почты, то получается, что российские сайты должны отказывать пользователям, указывающим gmail.com или yahoo.com в качестве логина.
Это означало бы колоссальные ограничения для пользователей и огромные технические сложности для операторов: ведь один лишь адрес электронной почты не позволяет однозначно определить, является ли её владелец российским лицом или иностранцем. Более того, домен, например, live.ru принадлежит Microsoft, тогда как yandex.com — Яндексу. Как технически разграничить «иностранную» и «российскую» почту, если исходить из принадлежности домена, — вопрос без ответа.
Верное же понимание нормы приводит к совершенно иному набору требований: уберите кнопку «Sign in with Google», замените авторизацию через Apple ID на один из допустимых российских методов. Адрес электронной почты как логин при этом никуда не девается.
Административная ответственность: что говорит КоАП РФ
Новая статья 13.55 КоАП РФ
Параллельно с существованием обязывающей нормы в Законе об информации законодатель ввёл административную ответственность за её неисполнение. Статья 13.55 Кодекса об административных правонарушениях Российской Федерации, введённая Федеральным законом от 26 июня 2026 года № 199-ФЗ, устанавливает ответственность за неисполнение обязанности по проведению авторизации пользователей сети Интернет при предоставлении доступа к информации.
Диспозиция статьи воспроизводит логику пункта 10 статьи 8 Закона об информации: ответственность наступает за неисполнение обязанности проводить авторизацию пользователей, находящихся на территории Российской Федерации, одним из способов, предусмотренных законом, если такая обязанность установлена.
Размеры штрафов
Санкция дифференцирована в зависимости от субъекта правонарушения. Для граждан штраф составляет от 10 000 до 20 000 рублей. Для должностных лиц — от 30 000 до 50 000 рублей. Для юридических лиц предусмотрены наиболее существенные санкции — от 500 000 до 700 000 рублей.
Последняя цифра весьма значительна и свидетельствует о том, что законодатель рассматривает данное правонарушение как серьёзное. Именно поэтому бизнесу крайне важно правильно понимать, что именно является предметом запрета, — чтобы не тратить ресурсы на исполнение несуществующих требований и при этом не упустить реально существующие.
Что именно является составом правонарушения
Критически важно подчеркнуть: состав правонарушения, предусмотренного статьёй 13.55 КоАП РФ, — это применение ненадлежащей системы авторизации, а не использование иностранного адреса электронной почты пользователем или приём таких адресов в качестве логинов. Нигде в тексте статьи нет ни слова про электронную почту.
Нет и не должно быть — потому что электронная почта как способ идентификации пользователя не является предметом данного регулирования.
Новый закон в контексте уже существующего регулирования
Принципиальная новизна отсутствует
Важно понимать, что новая статья КоАП РФ не вводит принципиально новых правил поведения. Обязанность проводить авторизацию установленными способами существует с 1 декабря 2023 года — с момента вступления в силу пункта 10 статьи 8 Закона об информации. Статья 13.55 КоАП лишь снабжает уже существующую обязанность санкцией, делая её исполнение обязательным под угрозой конкретного денежного наказания. Само по себе содержание запретов и обязанностей не изменилось. Просто теперь их игнорирование обходится значительно дороже.
Это означает, что компании, которые к 2026 году ещё не привели свои системы авторизации в соответствие с требованиями 2023 года, оказываются в зоне повышенного риска. Введение административной ответственности — это логичный следующий шаг после установления самой обязанности.
Проблема терминологической путаницы и её последствия
Почему путают журналисты
Ошибка, о которой идёт речь, имеет вполне объяснимые корни. Для неспециалиста связка «иностранный сервис — электронная почта» кажется естественной, поскольку наиболее заметным элементом иностранных интернет-сервисов, с которыми повседневно сталкивается рядовой пользователь, является именно почтовый ящик. Gmail — это Google. Outlook — это Microsoft. Неудивительно, что журналист, не погружённый в технические и правовые тонкости, видит «запрет на иностранные сервисы» и немедленно транслирует это как «запрет на иностранную почту».
Между тем разница между почтовым сервисом как таковым и функцией OAuth-авторизации, которую этот сервис может предоставлять, является принципиальной с технической точки зрения и не менее принципиальной — с правовой.
Практические последствия для бизнеса
Ошибочное понимание закона влечёт неверные бизнес-решения. Одни компании могут тратить ресурсы на техническую реализацию ненужных ограничений — например, на фильтрацию почтовых доменов при регистрации пользователей.
Другие, напротив, могут решить, что обязанности, о которых говорит закон, их не касаются, поскольку они «и так не используют иностранную почту», — и пропустить реально существующее требование об отказе от иностранных OAuth-сервисов.
Корректное понимание нормы позволяет сформулировать задачу точно: проверьте, используете ли вы авторизацию через иностранные системы единого входа, и при необходимости замените их на допустимые альтернативы. Адрес электронной почты пользователя — в любом домене — к этому вопросу отношения не имеет.
Заключение: читайте закон, а не заголовки
Правовая грамотность предполагает обращение к первоисточнику — тексту нормы, а не к её пересказу в медиа. Пункт 10 статьи 8 Федерального закона № 149-ФЗ и статья 13.55 КоАП РФ говорят об одном и том же: российские владельцы сайтов обязаны использовать только допустимые системы авторизации при организации доступа для пользователей из России. Ни в одной из этих норм нет ни слова о запрете использования иностранного адреса электронной почты в качестве логина.
Если пользователь создал учётную запись на российском сайте, указав в качестве логина адрес gmail.com, и использует для входа пароль, — он пользуется российской системой авторизации. Это не нарушение. Если же тот же пользователь входит на сайт, нажав кнопку «Войти через Google», — вот здесь используется иностранная система авторизации, и именно она попадает под запрет.
Граница проходит не по доменному имени почтового ящика, а по тому, чьи серверы проверяют подлинность пользователя. Это разграничение просто, логично и чётко вытекает из текста закона. Остаётся лишь пожелать, чтобы те, кто пишет о законе, давали себе труд его прочитать.
|
Хотите узнать больше? Нужна юридическая помощь? Звоните и пишите нам, не откладывая! Телефон: +7-495-201-68-31 Электронная почта: inbox@shewzov.ru |