9 июня Госдума приняла закон об установлении административной ответственности за отдельные нарушения в сфере связи и информации (законопроект № 1069392-8).
Закон дополняет гл. 13 КоАП РФ новой ст. 13.55 «Неисполнение обязанности по проведению авторизации пользователей сети “Интернет” при предоставлении доступа к информации». Данной нормой устанавливается ответственность за неисполнение владельцем информационного ресурса обязанности проводить авторизацию пользователей, находящихся на территории РФ, одним из способов, предусмотренных Законом об информации. На сегодняшний день предусмотрены следующие способы авторизации: через номер телефона, биометрию, портал госуслуг и другие российские сервисы. За нарушение этого требования, т.е. за использование зарубежных сервисов авторизации, в том числе иностранной электронной почты, предусмотрены штрафы: для граждан – от 10 тыс. до 20 тыс. руб.; для должностных лиц – от 30 тыс. до 50 тыс. руб.; для юридических лиц – от 500 тыс. до 700 тыс. руб.
Также законом вводится ст. 13.56 КоАП, предусматривающая ответственность за неисполнение владельцем информационного ресурса, на котором применяются рекомендательные технологии, требований законодательства РФ к их применению. Согласно Закону об информации рекомендательные технологии – это технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей интернета, находящихся на территории РФ.
Штраф грозит в нескольких случаях: если такие технологии применяются с нарушением прав и законных интересов граждан или организаций либо в целях предоставления информации вопреки законодательству РФ; если владелец не информирует пользователей о том, что на его ресурсе используются рекомендательные технологии; если он не разместил на ресурсе документ с правилами применения этих технологий и не указал адрес электронной почты для юридически значимых сообщений, а также свои фамилию и инициалы или наименование. Также ответственность предусмотрена за неисполнение требования Роскомнадзора о прекращении предоставления информации с применением рекомендательных технологий. За первичные нарушения штраф для граждан составляет от 10 тыс. до 20 тыс. руб., для должностных лиц – от 30 тыс. до 50 тыс. руб., для юридических лиц – от 500 тыс. до 700 тыс. руб. При повторных нарушениях суммы растут. Так, для граждан штраф увеличивается от 20 тыс. до 40 тыс. руб., для должностных лиц – от 60 тыс. до 100 тыс. руб., а для юридических лиц – от 1 млн руб. до 1,4 млн руб.
Ко второму чтению в закон внесли поправки, предусматривающие введение административной ответственности операторов связи за нарушение требований взаимодействия с органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности РФ при установке комплекса технических средств для обеспечения функций оперативно-розыскных мероприятий. За первичное административное правонарушение предусмотрен штраф для юридических лиц в размере от 3 млн до 5 млн руб. Повторное нарушение требований повлечет штраф в 10 млн руб. При определении штрафа за повторные нарушения финансовые показатели будут оцениваться исходя из общего дохода компании от всех услуг связи, оказываемых на территории действия лицензии. Соответствующие изменения будут внесены в ст. 13.46 КоАП.
Комментируя закон, адвокат LEbEdEV & barristers Антон Лебедев отметил, что в целом регулирование интернет-отношений отличается повышенной активностью законодателя. «Непонятно, зачем россиян лишать возможности авторизации через те учетные записи, которые они используют. Если использовать логику: учетные записи уже созданы и сведения заполнены, таким образом, авторизация на российских сайтах через отечественные сервисы никак не прибавит секретности пользователям РФ. Фактически в России создана система запретов технологий, которые позволяют россиянам получить доступ к технологиям, запрещенным для Россиян западными странами. Сейчас у нас борются с ВПН-сервисами, а когда начнем бороться с proxy, onion? При всех заявлениях о движении к цифровизации и широкому использованию ИИ фактически наблюдаются скорее отрицательные тенденции», – считает адвокат.
Антон Лебедев подчеркнул, что с изменениями в ст. 13.46 КоАП можно согласиться, поскольку речь идет об ответственности за нарушение взаимодействия с правоохранителями, однако новая ст. 13.55 Кодекса вызывает много вопросов в части смыслового значения ее введения. Так, адвокат обратил внимание, что в законе не поясняется, как должно определяться нахождение «на территории Российской Федерации» пользователя: «Это один из начальных вопросов, поскольку россиян уже приучили к “миграции” из России путем использования ВПН».
Как полагает Антон Лебедев, навязывание авторизации через российские сервисы может привести к исчезновению приложений таких сервисов, по аналогии с национальным мессенджером, который более недоступен в App Store. «С учетом того что многие граждане используют ВПН и их данные проходят через различные, в том числе иностранные, серверы, текущий акцент на обязательную авторизацию через отечественные сервисы представляется по меньшей мере странным», – заключил адвокат.
Адвокат КА Республики Марий Эл «Тезис» Оксана Ухова считает, что закон, вводящий административные штрафы за нарушение правил авторизации пользователей на российских сайтах, в очередной раз усиливает нагрузку на бизнес, в том числе и в контексте соблюдения требований законодательства о персональных данных. По ее словам, исполнение закона неизбежно связано с необходимостью адаптации ИТ-инфраструктуры, пересмотра договорных отношений организации и повышения контроля за соблюдением новых норм.
Как подчеркнула Оксана Ухова, запрет на регистрацию на российских сайтах через иностранные почтовые сервисы и аккаунты уже действовал в стране с 1 декабря 2023 г., но ответственность за нарушение этого требования законодательством не предусматривалась. Новый закон восполняет этот пробел, устанавливая существенные штрафы для владельцев сайтов и приложений. При этом, заметила она, закон неизбежно увеличивает технические требования к владельцам сайтов, которым необходимо обеспечить авторизацию пользователей только через российские системы. Это требует интеграции с российскими платформами, что, в свою очередь, может потребовать значительных временных и финансовых затрат на разработку, тестирование и внедрение новых решений.
«Возникают и дополнительные риски при работе с подрядчиками. Если обработка данных передана обработчику, например облачному провайдеру, ответственность все равно несет оператор – компания, инициирующая сбор информации. Следовательно, компаниям необходимо тщательно проверять соответствие подрядчиков требованиям закона и включать в договоры обязательства по соблюдению введенных ограничений. Также видится, что введенные поправки будут предметом усиленного контроля со стороны Роскомнадзора. Регулятор уже активно использует автоматизированные системы мониторинга сайтов, что повышает вероятность выявления нарушений. Бизнес должен быть готов к внеплановым проверкам, инициированным по жалобам пользователей или в результате автоматического выявления нарушений», – прокомментировала Оксана Ухова.
Также адвокат пояснила, что неизбежно потребуется обновление документации (актуализация политики обработки персональных данных, формы согласия и других документов), чтобы она соответствовала новым требованиям. Особое внимание следует уделить прозрачности процессов и четкому описанию способов авторизации. Ограничение способов авторизации, вероятно, снизит удобство для пользователей, что потенциально повлияет на трафик и конверсию сайтов. «Самыми очевидными рисками для бизнеса кроме штрафа являются риск блокировки сайта и ухудшение доверия со стороны пользователей. Таким образом, на первый взгляд введенное законодательное требование демонстрирует явную сложность соблюдения баланса между требованиями законодательства и пользовательским опытом бизнеса и клиента», – поделилась мнением Оксана Ухова.
Адвокат АК «Кожанов и партнеры» Виктор Кожанов отметил, что логика законодателя относительно введения штрафов за авторизацию пользователя на российском интернет-сервисе с функцией регистрации и аутентификации пользователей с помощью зарубежных сервисов объясняется введением в действие закона, установившего с 1 декабря 2023 г. обязанность владельцев российских сайтов проводить регистрацию и авторизацию пользователя одним из нескольких способов: мобильного номера телефона, портала госуслуг, единой биометрической системы или российского сервиса авторизации, к примеру Яндекс ID. «Введение данной ответственности прежде всего направлено на должное исполнение владельцами российских интернет-сервисов ранее установленной обязанности, которую за более чем два года многие так и не желают исполнять», – пояснил он.
Виктор Кожанов подчеркнул, что штрафы не затрагивают рядовых пользователей интернет-сервисов, а только их владельцев, будь то физическое или юридическое лицо. При этом адвокат обратил внимание, что требования к владельцам интернет-ресурсов о блокировке или удалении ранее созданных аккаунтов пользователей, зарегистрированных через иностранные сервисы, не устанавливались, а поскольку использовать их не запрещено, представляется, что с введением штрафов на начальном этапе доступ к таким аккаунтам будет осуществляться последовательно, через логин, привязанный к иностранной почте, с добавлением одного из допустимых законом способов авторизации, который определит владелец интернет-ресурса.
«Представляет интерес не введение штрафов для владельцев интернет-ресурсов, где применяются рекомендательные технологии за неинформирование пользователей о применении этих технологий и неразмещение адреса электронной почты и/или имени владельца, а ответственность за невыполнение требования Роскомнадзора о прекращении предоставления информации с применением рекомендательных технологий. Возникает вопрос: не вводится ли законодателем двойная ответственность за невыполнение требования Роскомнадзора, где в отношении интернет-ресурса, на котором применяются рекомендательные технологии, наравне с назначением штрафа могут быть введена в административном порядке санкция в виде ограничения доступа к этому ресурсу? Привлечение к ответственности в этом случае, думается, может привести к нарушению конституционных прав владельца интернет-ресурса, и здесь законодателю все-таки стоило тщательнее проработать этот вопрос», – считает Виктор Кожанов.
