Авторизация и персональные данные в РФ: где у вашего входа серые зоны
Технический разбор для владельцев сайтов и приложений — где вход через иностранный OAuth, 2FA на зарубежную почту и сброс пароля создают риск по 149-ФЗ и 152-ФЗ, и как привести реализацию в соответствие
О чём этот разбор
Вход через Google, код двухфакторной аутентификации на Gmail, сброс пароля по ссылке на иностранный почтовый ящик — три типовые реализации, каждая из которых создаёт измеримый риск для владельца ресурса, работающего с пользователями на территории РФ.
Это технико-архитектурный разбор, а не юридическое заключение. Задача — определить, где механизм входа и восстановления доступа опирается на иностранную инфраструктуру, оценить риск инженерно и дать дорожную карту приведения в соответствие. Документ помогает приоритизировать работы и поставить профильному юристу предметные вопросы.
Понятие «авторизация» сформулировано в законе размыто, а правоприменительной практики по пограничным сценариям пока нет. Окончательную квалификацию конкретного флоу даёт юрист, специализирующийся на ИТ и персональных данных. Ниже — инженерная оценка риска и архитектурные рекомендации.
Три правовых режима: смешивать нельзя
Большинство ошибок в обсуждении темы возникает из-за того, что три независимых требования сводят к одному «нельзя иностранную почту». Это три разных режима с разным предметом регулирования, разными последствиями и разными способами устранения.
| Режим | Предмет | Базовый акт | Последствия |
|---|---|---|---|
| A. Авторизация | Способ подтверждения личности на входе и регистрации | Требование с 01.12.2023 (149-ФЗ); штрафы в КоАП — закон подписан 26.06.2026 | Штраф владельцу ресурса; без обратной силы |
| B. Трансграничная передача ПД | Получатель и территория, куда уходят данные | ст. 12 152-ФЗ (ред. с 01.03.2023) | Уведомление РКН до начала передачи; ст. 13.11 КоАП |
| C. Локализация | Место первичного сбора и хранения данных россиян | ч. 5 ст. 18 152-ФЗ | Существенные штрафы; смягчающие разъяснения 2025 г. |
Вход через иностранный OAuth, 2FA-код на зарубежный ящик и сброс пароля письмом — режим A, механизм идентификации. Уведомления на иностранную почту, зарубежный почтовый сервис, аналитика и хостинг — режимы B и C, потоки и место обработки данных.
Один сервис способен задевать несколько режимов одновременно. Корпоративный вход через Google Workspace — это делегированная идентификация (A) и обработка данных за рубежом (B/C).
Режим A: запреты и допустимые способы
Требование действует с 1 декабря 2023 года, но до недавнего времени не имело санкции. Закон, подписанный 26 июня 2026 года, вводит в КоАП штрафы. Ответственность ложится на владельца ресурса, а не на пользователя, и не имеет обратной силы: требование распространяется только на новые регистрации, существующие учётные записи сохраняют работоспособность.
Подтверждение личности
Допустимые способы (закрытый перечень)
Номер телефона российского оператора связи. Госуслуги (ЕСИА). Единая биометрическая система (ЕБС). Иная информационная система, владелец которой — гражданин РФ или российское юрлицо: на практике VK ID, Яндекс ID, Сбер ID.
Прямо запрещено
Делегирование проверки личности зарубежному сервису: вход «через Google / Apple / Facebook», то есть OAuth через иностранного провайдера идентификации.
Иностранный e-mail как логин допустим
Иностранный e-mail в роли логина-идентификатора не нарушает режим A при условии, что верификация выполняется российским фактором. Допустимая последовательность: пользователь вводит e-mail и пароль, затем подтверждает вход кодом из СМС на российский номер. В этой схеме почта — строка-идентификатор, а не доказательство личности.
Ориентировочные размеры штрафов
Суммы в публикациях расходятся — перед использованием в договорной коммуникации сверьте с финальным опубликованным текстом КоАП.
| Субъект | Первичное нарушение | Повторное |
|---|---|---|
| Граждане | 10 000 – 20 000 ₽ | вдвое |
| Должностные лица | 30 000 – 50 000 ₽ | вдвое |
| Юридические лица | 500 000 – 700 000 ₽ | до 1 000 000 – 1 400 000 ₽ |
Стойкость аутентификации равна стойкости самого слабого пути к учётной записи. Российский фактор должен закрывать не только первичный вход, но и каждый альтернативный способ получить или вернуть доступ.
Принцип «recovery is auth»
Если первичный вход защищён СМС на российский номер, но пароль сбрасывается одной ссылкой на Gmail, фактический якорь идентификации остаётся в иностранном почтовом ящике. Доступ к ящику равен доступу к учётной записи. Это не обход требования регулятором — это обход требования самим владельцем ресурса.
Правило проектирования: перечислите все способы получить или вернуть доступ и убедитесь, что каждый в критической точке упирается в российский фактор. Минимальный перечень узлов — первичный вход, второй фактор, сброс пароля, восстановление при потере второго фактора, смена привязанного e-mail или телефона.
Роль иностранного сервиса
Зарубежный сервис допустим в роли транспорта сообщения и канала связи, но не в роли фактора, доказывающего личность. Это граница, по которой проходит весь аудит режима A.
Каталог паттернов и оценка риска
Оценка инженерная: степень противоречия сути требования и вероятность попадания под санкцию. Это не юридическая квалификация.
| Паттерн в продукте | Режим | Риск | Действие |
|---|---|---|---|
| Вход «через Google / Apple / Facebook» | A | Высокий | Убрать для новых регистраций → VK ID / Яндекс ID / ЕСИА / телефон |
| Иностранный e-mail как логин + проверка российским фактором | A | Низкий | Оставить без изменений |
| 2FA-код на иностранный e-mail | A | Средний/высокий | Перевести 2FA на СМС РФ или TOTP |
| Сброс пароля только письмом на иностранный ящик | A | Средний/высокий | Гейтировать сброс российским фактором |
| Корпоративный SSO через Azure AD / Google Workspace | A + B/C | Высокий | Российский IdP или собственная система |
| Уведомления и письма на иностранный ящик | B (возможно C) | Зависит от сценария | Оценить как ТППД, при необходимости — уведомление РКН |
| Зарубежный ESP (SendGrid, Mailgun) | B/C | Средний | Российский ESP либо уведомление РКН и проверка локализации |
| Google Analytics и аналогичная аналитика | B | Средний/высокий | Российская аналитика либо легализация передачи |
| Хостинг или логи за рубежом | C | Высокий | Проверить локализацию первичного сбора в РФ |
По серым зонам — 2FA на почту и восстановление только по e-mail — на сегодня нет ни разъяснений, ни практики, где эти паттерны квалифицировались бы как самостоятельный состав нарушения. Формальное прочтение «почта — лишь транспорт, логику проверки исполняет сайт» теоретически возможно, но рискованно: суть требования — удерживать идентификацию в российской юрисдикции, и опора на иностранный инбокс как на фактор доступа этому противоречит. С точки зрения управления риском такие флоу следует считать несоответствующими.
Если для доступа к информации авторизация не требуется в принципе — например, подписка на рассылку через открытую форму, — режим A, вероятнее всего, не применяется. Режимы B/C по передаче данных при этом сохраняются.
Чек-лист аудита
Три блока по группам рисков. Прохождение сверху вниз закрывает большинство технических вопросов до привлечения юриста.
Что проверить
Блок 1. Пути доступа (режим A)
Все точки входа и регистрации: веб, мобайл, API. OAuth-кнопки иностранных провайдеров. Фактор первичной верификации и второго фактора. Сброс пароля — наличие пути только через иностранную почту. Восстановление при потере второго фактора. Смена e-mail и телефона — требование российского фактора.
Блок 2. Потоки данных (B/C)
Инвентаризация исходящих потоков ПД: почта, рассылки, аналитика, платежи, чаты, поддержка. Провайдер и юрисдикция по каждому потоку. Место первичного сбора данных россиян. Уведомление РКН об обработке (ст. 22) и отдельное о трансграничной передаче (ст. 12). Маршрут логов и бэкапов.
Блок 3. Зависимости от SaaS
Инвентаризация критичных зарубежных сервисов: почта, облако, IdP, аналитика. Риск разрыва канала оплаты и доступа, наличие плана миграции. Документальная обоснованность платежей: договор, счёт, акт.
Паттерны исправления
Режим A — российский фактор на каждом критическом узле:
- заменить иностранный OAuth на VK ID, Яндекс ID, Сбер ID, ЕСИА или вход по телефону;
- перевести второй фактор с e-mail на СМС российского оператора или TOTP-приложение — коды вычисляются локально на устройстве и в момент входа не передаются за рубеж;
- гейтировать восстановление пароля и смену контактов тем же российским фактором, а не письмом со ссылкой;
- оставить почту в роли логина и канала уведомлений, но не единственного ключа от учётной записи.
Режимы B/C — локализация либо легализация:
- перенести рассылки, аналитику и хостинг на российских провайдеров, где это применимо;
- где зарубежный сервис остаётся — обеспечить первичный сбор в базы на территории РФ и подать в РКН уведомление о трансграничной передаче. Для стран из перечня РКН с адекватной защитой передачу допустимо начинать сразу после подачи уведомления; для прочих — дождаться решения РКН, который вправе её ограничить или запретить.
Открытые вопросы
- Понятие «авторизация» в законе размыто; правоприменение по пограничным сценариям (2FA на почту, восстановление по e-mail) пока непредсказуемо.
- Порядок работы с существующими аккаунтами, привязанными к иностранным сервисам, может уточняться подзаконными актами.
- Трактовка локализации (ч. 5 ст. 18) развивается: разъяснения 2025 года смягчают радикальное прочтение, контроль РКН усиливается.
По этим пунктам окончательную позицию подтверждает профильный юрист. Назначение разбора — поставить вопросы предметно и заранее закрыть очевидные технические риски.
Разберём авторизацию, восстановление доступа и зарубежные зависимости вашего продукта и подготовим техническую дорожную карту приведения в соответствие