Comments 56
Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.
Для защиты детей, очевидно же. У нас все запреты вводят для защиты детей.
на российских интернет-сервисах
Есть определение того, что это такое?
вы забываете про экстремистов, их тоже нужно защищать им может оказаться кто угодно в каждом заронил он зерно темноты, может быть он - это я или ты (ц)
Есть:
Российским считается сервис, который принадлежит юрлица, находящемуся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства. Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.
Т.е. россиянин на ПМЖ (но без второго гражданства) в какой-нибудь Португалии, который сделал сайт про портвейны в домене .pt и разместил его на сервере в Германии, должен будет вот так вот приседать?
Домен и сервер не имеют значения. Важно, кому принадлежит сервис, где происходит авторизация, сервиса, через который идёт авторизация, и местонахождение пользователя.
осуществляющий свою деятельность в сети "Интернет" на территории Российской Федерации, .... в отношении пользователей, находящихся на территории Российской Федерации,
осуществляющий свою деятельность в сети "Интернет" на территории Российской Федерации
Что значит этот бессмысленный набор слов? Если на сайт про портвейны в домене .pt, размещенном на сервере в Германии заходят, в том числе, россияне, живущие в Урюпинске и регистрируются там и получают информацию с него, то сайт осуществляет деятельность на территории РФ или нет?
что-то это мне не нравится. пожалуйста, заминусуйте меня и скажите мне, что я всё выдумываю, но мне это всё очень напоминает движение к обязательной авторизации под паспортными данными (сначала залогиньтесь под настоящим ФИО, затем сможете читать и писать), и что-то иностранцы тоже в пролёте (а хотя стоп, иностранцы вообще не смогут даже сайт открыть, если будет чебурнет).
эх, прощай анонимный (хотя бы условно) интернет, мне было уютно писать от имени выдуманного персонажа, а не чтоб в каждом комментарии была фота с паспорта, ФИО и адрес прописки.
ладно, посмотрим, пока всё не так печально, а может и не дойдет до подобного. поживём, и если доживём, то увидим.
Этого нельзя исключать.
Скажите, а почему это плохо? В реальности мы знаем или можем узнать, кто с нами говорит, а в интернете — нет. Может, нужно знать? Это просто вопрос, не называйте меня «товарищем майором» :)
Потому что возникнут очень простые ситуации - аля "мне не понравился твой коммент и я пришёл и разбил тебе окно."
Ну, знать ФИО и где человек живёт — не одно и то же. Но аргумент.
А как насчёт не писать оскорбления, на которые не решишься в реальной жизни, за которые могут прийти и разбить окно?
а как насчёт того, что в реальности ты общаешься только с теми, с кем хочешь общаться, а комментарии более или менее публичные.
и мне не очень бы понравилось, если бы какой-нибудь отбитый мусульманин услышал меня в другой стране, телепортировался, разбил мне лицо окно - с той же лёгкостью, как это происходит в интернете.
так ведь в реальной жизни мы вежливы и учитываем то, что стоящий перед нами человек, будучи введён в состояние аффекта, может атаковать. Разве не так?
Почему общаясь в очереди в супермаркете с соседом мы вежливы, а в интернете нас должно что-то защищать от "мне не понравился твой коммент и я пришёл и разбил тебе окно"?
Вот, кстати, стоя в очереди в супермаркете мы гораздо реже наблюдаем ситуации, когда кто-то нагло ломится вперёд.
Почему? Да потому что огрести проще.
А в очереди на съезде с трассы/у светофора/итп - такое поведение видим гораздо чаще. Почему? А потому что наказать наглеца гораздо сложнее и наглецов поэтому больше.
PS: Вы не подумайте, что я агитирую за интернет по паспорту. Я пытаюсь с вашим аргументом работать :)
Так ведь в реальной жизни есть куча психов способных стриггерится на "неправильный" цвет волос, или например худобу/толщину.
В интернете же подобный псих может стриггерится даже на альтернативную точку зрения, например на утверждение что земля круглая.
Почему все упирают на вежливость? Я встречал уже кучу бабахов именно на вежливо высказанную точку зрения которая чем то не нравится человеку, например не вписывается в его картину мира.
Ответ прост: комменты публичнее разговора в очереди с одним конкретным человеком. Коммент увидят тысячи других людей. И среди этих тысяч может найтись кто то, кому ваш коммент так не понравится, что он очень захочет нанести вам телесные повреждения или еще чего. а зная реальные ФИО это сделать уже намного проще.
А еще этим самым "кому ваш коммент так не понравился" может оказаться государство. Тогда вообще пиши пропало.
а если я собака? Причём кусачая и злопамятная. Захотите делиться со мной своими данными в интернете?
Есть тематические сайты и на некоторых из них не хотелось бы видеть свои ФИО
Настоящие ФИО везде - это просто находка для сталкера
Утечки данных
Разумно.
Интернет слишком открытый.
не только ФИО, но и оглашение факта, что ты занимаешься И этим И этим. будто бы мало учительниц за фото в купальнике увольняли, и подобное.
В реальности мы знаем или можем узнать, кто с нами говорит, а в интернете — нет.
вот именно, если в реальности не мы выбирали, кем родиться, то интернет давал отличную возможность быть кем ты хочешь.
отдельный вопрос, что под любой маской ты все тот же человек, но хотя бы маска - устраивала.
В реальности, вы не можете узнать, как зовут человека, если он не представится, и где он живет, если он сам не рассказал. Это вопрос личной безопасности, который сегодня особенно актуален.
Могу, если он сделает что-то плохое. Камеры, полиция.
вот именно - камеры, полиция, и если он сделал что-то ОЧЕНЬ плохое. вы не можете позвонить "алло, полиция, мне не нравятся ромашки, что сосед у себя выращивает - избейте его, пожалуйста" - конечно, если эти ромашки не конопля (но это другой вопрос)
Для того, чтобы нарваться на неадеквата, не нужно делать что-то плохое. Хотели бы видеть у себя под окнами странных людей, которые делают непристойные предложения вашей жене, например?
В последнее время участились случаи групповой травли людей за то, что они высказывают своё мнение. Ничего плохого они, при этом, не делают.
групповая травля. не совсем поняла, травля группой или группы.
но на всякий, упомяну некую "культуру отмены" - да, то самое явление, когда тебя за что-то (даже относительно безобидное, но осуждаемое) начинают "отменять" прямо везде - и родня отворачивается, и с работы увольняют, и вообще везде.
и в этом самое гадкое то, что твоё поведение может быть совершенно безобидным, и даже во многих странах кроме текущей совершенно нормальным, но не в текущем окружении.
и даже никто не ответит на вопрос "что в этом плохого?" - ответом будет игнор, агрессия, абстрактные обвинения от "это великий грех!" до "что люди подумают?" и вариации "ну ты дурак такое спрашивать, сам должен понимать?!". вот абсолютное, каноничное зло и даже сомнению в этом, не то что попранию, не подлежит.
и история полна примеров подобного.
Группой. Человек высказывает свою позицию, его данные сливаются в сеть и появляется большое количество странных индивидов, которые начинают писать и звонить ему с оскорблениями и угрозами.
в этом явлении интересно то, что кто бы ты ни был, но уже своим существованием бесишь много кого.
люди настолько недовольны собой и жизнью, что их бесит вообще всё, даже то, что им нравится (ты слишком хорош, аж бесишь)
а потому им всё равно на кого сливать своё внутреннее говно. им надо, чтобы плохо было тебе, ты был ещё хуже - вот это их радует.
а оттого под раздачу попадали и Задорнов (рассказывал, как комментарий типа "ты дурак" появился через минуту под большим постом - который даже не читали) и Мягкова (стендап-комик, кажется, она рассказывала, что на неё наезд был за внешность - "глаза слишком друг от друга посажены").
ну а уж если найдется хоть милипусенький повод, то всё, держись...
и да, при этом хейтеры обожают как шакалы нападать стаей - один выльет помои, так набегает сразу десяток "да-да, он чмо, а ещё и..."
и ещё интересное явление, когда такое жывотнае фантазирует всякое невероятное ("да я тебя имел", "иди занимайся любимым делом - соси" и т.д.) и опровергнуть это никак невозможно, оно генерирует ещё десяток подобных "общеизвестных фактов", равно как вообще изменить эту тему или остановить этот поток оскорблений, кроме - или игнорировать и/или уйти, или припугнуть или причинить вред сильнее.
явления разные, но корень один - никто не хочет думать, никто не хочет делать (что-то полезное), а удобно ненавидеть и завидовать при нулевых прочих затратах.
Приватность. Не буду долго объяснять, зачем она, т.к. если это сразу не понятно, то объяснять придется очень уж долго. Достаточно сказать, что многим так хочется.
Разборки неадекватов. Причем для этого вовсе не надо делать что-то сомнительное. триггернуть у "Наполеона" может рассуждение о битве при Ватерлоо.
Криминал. Очень удобно узнать, что вы уехали в отпуск и обчистить квартиру. Или продать данные о привычках и психотипе мошенникам.
Травля за взгляды. Надо было это, пожалуй, вторым пунктом написать.
Ну и насчет реальности. Вы далеко не всегда знаете, с кем говорите. Иногда это потом можно узнать, приложив усилия. Иногда - нет. В интернете ситуация такая же.
Я еще не касался громадного пласта проблем, связанных с взаимоотношениями человек-государство, т.к. вы этот вопрос не затронули.
Помнится, детальный разбор понятий "Анонимность", "Конфиденциальность" и "Приватность" довелось читать в одной из статей Павла Протасова из "старой Компьютерры" (ещё бумажной). Попробовал найти (для ссылки) — не удалось. Однако Яндекс (он с русскоязычным поиском справляется лучше Гугла) показал, что на эту тему много чего написали и другие авторы.
Пока нет связи с российскими рублями, не вижу смысла заморачиваться. Есть рубли -> есть юрлицо со счётом в банке -> тогда опасно. А так вон Викимедиа вся штрафами облеплена, но как-то справляется.
А применимо это на всех сайтах, где требуется регистрация? А если мне нужна идентификация пользователя, а просто логин/пароль нужен, даже без почты например? То я теперь обязан буду делать авторизацию по этим правилам или нет?
На всех российских сайта, где требуется авторизация (так написано в законе). Думаем, авторизация по логину и паролю относятся к пункту 4:
«С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.»
Господа юристы, а скажите пожалуйста, использование простой пары логин/пароль, без всех этих ваших новомодных логин-по-емаил, подподает под пункт 4? А то может и переживать-то на самом деле не о чем?
Я не юрист, но подпадает.
Похоже, что подпадает под пункт 4:
С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.
Выводы не очень-то понятные.
Уважаемые юристы не хотят дать определение авторизации?
А то в двух вариантах из четырех указана ЕСИА+/-ЕБС, т.е. идентификация и аутентификация, без всяких авторизации.
Если я "авторизируюсь" с помощью телефона это даст мне права одмина?
Пока ничего. Законом ответственность не предусмотрена (хе-хе, вспоминаем маркировку рекламы).
Легким движением руки неугодным вменяется нарушение общерасплывчатых иных требований или что там содержится в подходящей по формулировке статье КоАП или УК. Например, простор для применения ст.272-274 УК РФ вижу тут я...
Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.
Ну может потом добавят закон что пришедшая на электропочту повестка считается доставленной. С зарубежными почтовыми сервисами ведь можно было пошланговать что ничего не было, а если сервисы будут под их контролем, то отвертеться сложнее.
Алсо там формулировки такие что создаётся впечатление что тупо логин/пароль теперь тоже будет нельзя?
А если комменты можно оставлять без авторизации, с этим как? Ну вот например если к постам блога можно было оставлять комменты через ActivityPub (технически там правда, комменты отправляют с другого сервиса, по принципу email).
обязаны авторизовывать пользователей
Кто есть пользователи? Для чтения тоже обязан авторизовывать?
В законе ни слова про обязанность авторизации и действия без авторизации. Только про то, как кого авторизовывать, если авторизация есть.
И под запретом только иностранные сервисы и только, если человек находится в России. Логин и пароль, кажется, таковым не являются, если вы их просто в базе создаёте без использования иностранного сервиса.
Очень расстраивает устоявшаяся практика принятия насквозь кривых законов с формулировкой, посмотрим на правоприменение.
Если читать букву закона, то фактически необходимо остановить применение большей части информационных систем на территории РФ, а так же полностью прекратить использование различных стандартов SSO.
Далее измышления которые основаны на ТЕКСТЕ закона.
Первое, на кого распространяется этот закон. Если кратко, то практически на всех. Если вы ведете свою деятельность в сети интернет, т.е. по идее даже если у вас там просто есть сайт, то закон распространяется на все ваши информационные системы, даже на те, которые ни к каким сетям не подключены, если в них есть авторизация пользователей( даже без аутентификации, например если у вас используется скуд, то с помощью карт, даже анонимных карт, вы выполняете авторизацию, а значит и на этот случай закон распространяется ). Единственный спорный момент в данном месте, это формулировка "владелец". Т.е. гипотетически владельцем и эксплуатант, это могут быть разные лица и владелец может не вести деятельность в сети интернет.
Второе, закон регулирует не аутентификацию, а именно авторизацию, т.е. по большому счету ставит вне закона любые устоявшиеся стандарты авторизации, будь это упомянуты скуд с его mifare, JWT с его токкенами или kerberos, все это нельзя.
Но тут у нас есть последний пункт. Можно авторизоваться, еще раз обращаю внимание не аутентифицироваться, а авторизоваться, т.е. по идее вам нужно будет вообще все у себя внутри переработать именно на авторизацию с помощью внешних сервисов( т.е. внешний сервис должен управлять правами ваши пользователей и выдавать им право, а не подтверждать, что вот этот пользователь и есть Васили Пупкин ). И тут тоже есть вопросы, первое эти сервис авторизации должны быть в РФ, т.е. всякие войти с помощью Google точно сразу отпадают, но там есть пункт, про то, что данные сервисы должны работать в соответствии со статьей 16. И вот тут есть вопросы. По идее под такое определение подпадают только системы имеющие аттестацию и совершенно не понятно какую именно. Но есть и послабление, логин вида vasilypupkin@gmail.com по факту не запрещены, т.е. менять все логины не нужно. Вопрос только в том, где эту самую неизвестно как аттестованную систему взять.
И еще момент, депутаты успели подсуетиться и появились заявления, что текущих пользователей это не касается. Из закона такая штука не следует, это касается всех пользователей и новых и текущих. А так же, вероятно, этот закон фактически делает невозможным использование систем размещенных в РФ за рубежом, поскольку скорее всего вступит в конфликт с их локальными актами, а пункта на сайте вы находитесь в РФ или нет явно будет не достаточно, т.е. вы должны будете по умолчанию рассчитывать, что все ваши пользователи из РФ.
Цели закона вполне прозрачны "Интернет по паспорту". Т.е. по запросу к любому сервису с авторизацией должно быть возможно проследить все до конкретного гражданина. Т.е. например нужно установить ваше местонахождение, направляем запрос к сервисам авторизации, где может авторизоваться такой-то, а потом ко всем сервисам которые есть в полеченном списке и вот мы уже видим в какой именно пятерочке вы наличными с использование вашей скидочной карты рассчитывались и на какой адрес заказывали доставку воздушных шариков к дню рождения.
Как тогда определить принадлежность сервиса? Приходит ко мне на форум новый пользователь регистрироваться, а регистрация - с подтверждением по электронной почте (это, кстати, не авторизация, а аутентификация, если быть точным в формулировках). Вводит свою почту. Как мне узнать, что владелец домена - гражданин РФ или российское юрлицо? По имени домена - нет. У меня, к примеру, рабочий адрес в зоне .com, а владелец - российское юрлицо. Брать из whois информацию о владельце? Так там для физлиц - "Private Person", а у юрлиц - называние, не всегда однозначно определяющее владельца. У того же Яндекса, например, в поле org стоит YANDEX LLC, а в базе егрюл такого названия нет. В то же время - в том же егрюл целая куча юриц со словом Яндекс в названии (даже Яндекс Антон Антонович есть), как определить, кому из них домен принадлежит? И вообще - принадлежит ли кому-либо из них или какому-то YANDEX LLC из Нидерландов?
А что, если пользователь - не гражданин РФ, но находится на территории РФ? Приехал, например, человек из Казахстана в командировку, и срочно ему потребовалось зарегистрироваться на моём форуме. А почта у него - только рабочая в зоне .kz. И других вариантов регистрации у меня нет. Ему что, временный ящик на Яндексе создавать?
По первому пункту. Не имеет значения какая у пользователя электронная почта, вы должны использовать российский сервис авторизации. Адрес электронной почты, это всего лишь логин, он может быть вообще не адресом электронной почты, а произвольная строка. А вот сервис авторизации вам нужно выбрать или готовы в РФ, или создать свои работающий в соответствии со статьей 16.
Сайтам и приложениям нужно срочно менять авторизацию? Gmail и другие иностранные сервисы с 1 декабря — под запретом