Соответствие законодательству: авторизация пользователей

Эта статья носит информационный характер и не является юридической консультацией. При разработке Authoriza мы отслеживаем изменения законодательства и своевременно обновляем платформу, чтобы наши клиенты могли сосредоточиться на своем продукте.

Кратко

Если вы разрабатываете сайт или приложение для пользователей из России:

  • не используйте Google, Apple, GitHub, Telegram и другие иностранные сервисы в качестве способа входа;
  • используйте только способы авторизации, соответствующие требованиям российского законодательства;
  • предоставьте существующим пользователям возможность перейти на разрешенный способ входа;
  • при использовании Authoriza поддержка требований законодательства и развитие механизмов авторизации выполняются на стороне платформы.

Когда применяются требования закона

Требования законодательства применяются, если одновременно выполняются следующие условия:

  • владелец сайта, приложения или информационной системы — российское юридическое лицо либо гражданин Российской Федерации;
  • деятельность осуществляется на территории Российской Федерации;
  • доступ к части функциональности предоставляется только после авторизации;
  • пользователь находится на территории Российской Федерации.

Если ваш сервис доступен без регистрации и входа в систему, требования статьи о способах авторизации не применяются.

Ответственность за нарушение требований

За несоблюдение требований к способам авторизации предусмотрена административная ответственность в соответствии со статьей 13.55 Кодекса Российской Федерации об административных правонарушениях.

Размер штрафов составляет:

НарушительРазмер штрафа
Гражданеот 10 000 до 20 000 ₽
Должностные лицаот 30 000 до 50 000 ₽
Юридические лицаот 500 000 до 700 000 ₽

Ответственность несет владелец сайта, приложения или иной информационной системы, предоставляющей доступ авторизованным пользователям.

Штрафы применяются за использование способов авторизации, не соответствующих требованиям законодательства. Например, если для пользователей, находящихся на территории Российской Федерации, продолжает использоваться вход через Google, Apple ID, Telegram Login или другие иностранные сервисы авторизации. Вынесение и оплата штрафа не отменяют требований закона, и не защищают от повторных санкций при неустранении нарушений.

Важно

Ответственность наступает для владельца сервиса, а не для его пользователей. Пользователи не несут ответственности за использование сайта или приложения, если способ авторизации реализован с нарушением требований законодательства.

Для большинства компаний стоимость устранения нарушения значительно ниже возможного штрафа, поэтому рекомендуется заранее провести аудит используемых способов входа и привести их в соответствие с требованиями законодательства.

Что считается авторизацией

Авторизация — это процесс подтверждения личности пользователя при входе в систему.

Разрешено:

  • собственная регистрация по email и паролю;
  • вход по номеру телефона;
  • вход через российские системы идентификации.

Не рекомендуется использовать для пользователей из Российской Федерации:

  • Google Sign-In;
  • Apple ID;
  • GitHub Login;
  • Facebook Login;
  • Telegram Login Widget;
  • Discord Login;
  • Microsoft Account;
  • LinkedIn Login;
  • другие иностранные Identity Provider.

Важно понимать, что закон регулирует способ входа, а не используемые пользователем контактные данные.

Например, пользователь может зарегистрироваться с адресом user@gmail.com — это не является нарушением законодательства. Ограничения касаются только сервиса, который подтверждает личность пользователя.

Разрешенные способы авторизации

Статья 8 Федерального закона №149-ФЗ допускает использование следующих способов авторизации:

  • номер мобильного телефона;
  • ЕСИА (Госуслуги);
  • Единая биометрическая система;
  • российские информационные системы авторизации, соответствующие требованиям законодательства.

Например, VK ID или Яндекс ID.

Что делать владельцам сайтов

Если вы используете иностранные способы авторизации:

  1. Проведите аудит всех сценариев входа.
  2. Отключите иностранные Identity Provider.
  3. Подключите разрешенные способы авторизации.
  4. Сообщите пользователям о предстоящих изменениях.
  5. Предоставьте возможность привязать новый способ входа к существующей учетной записи.

Удалять существующие учетные записи пользователей не требуется.

Что делать разработчикам мобильных приложений

Требования законодательства распространяются не только на веб-сайты, но и на мобильные приложения.

При разработке приложений для Android и iOS рекомендуется:

  • отказаться от входа через Google Sign-In, Sign in with Apple и другие иностранные Identity Provider для пользователей, находящихся на территории Российской Федерации;
  • использовать собственную страницу авторизации приложения либо доверить процесс специализированной российской системе авторизации;
  • не реализовывать отдельную бизнес-логику авторизации внутри мобильного приложения — приложение должно использовать единый сервер авторизации по протоколу OpenID Connect или OAuth 2.0.

Использование единого сервера авторизации позволяет одновременно обслуживать веб-сайт, мобильные приложения и другие клиенты без дублирования логики и значительно упрощает адаптацию к изменениям законодательства.

Authoriza полностью поддерживает стандартный Authorization Code Flow с PKCE, рекомендованный для мобильных приложений.

Как Authoriza помогает соблюдать требования законодательства

Authoriza разрабатывается как российская платформа аутентификации и авторизации с учетом требований российского законодательства.

Мы:

  • отслеживаем изменения нормативных требований;
  • своевременно обновляем платформу;
  • поддерживаем разрешенные способы авторизации;
  • исключаем необходимость использования иностранных Identity Provider для пользователей из России;
  • предоставляем единый сервер авторизации для веб-сайтов, мобильных приложений и других клиентов.

Благодаря этому вам не требуется самостоятельно отслеживать изменения законодательства и вносить изменения в каждое приложение отдельно.

Часто задаваемые вопросы

Можно ли использовать Gmail в качестве логина?

Да. Закон не ограничивает использование иностранных почтовых сервисов в качестве адреса электронной почты пользователя. Ограничения относятся только к механизму авторизации.

Нужно ли удалять существующие аккаунты?

Нет. Закон не требует удаления учетных записей. Пользователям необходимо предоставить возможность перейти на разрешенный способ входа.

Можно ли использовать разные способы авторизации для разных стран?

Да. Требования статьи распространяются на пользователей, находящихся на территории Российской Федерации. Международные сервисы могут использовать различные способы авторизации в зависимости от региона пользователя.

Авториза

© 2026 ООО "Авториза"
ОГРН: 1265400016419
ИНН: 5473026131
Россия, Новосибирск