Дата подписания: 31.07.2023
Опубликован: 02.08.2023
Вступает в силу: 31.07.2023, 01.12.2023, 01.02.2024, 01.09.2024
Принят Государственной Думой 26 июля 2023 года
Одобрен Советом Федерации 28 июля 2023 года
Статья 1
Внести в Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2012, № 31, ст. 4328; 2013, № 14, ст. 1658; № 23, ст. 2870; № 52, ст. 6963; 2014, № 30, ст. 4223; 2015, № 1, ст. 84; № 29, ст. 4390; 2016, № 26, ст. 3877; № 52, ст. 7491; 2017, № 18, ст. 2664; № 24, ст. 3478; № 31, ст. 4827; № 48, ст. 7051; 2018, № 18, ст. 2572; № 27, ст. 3956; № 49, ст. 7523; № 52, ст. 8101; 2019, № 18, ст. 2214; № 49, ст. 6986; 2020, № 14, ст. 2035; 2021, № 1, ст. 18; № 11, ст. 1704; № 27, ст. 5059, 5094, 5116, 5183; 2022, № 50, ст. 8772; 2023, № 1, ст. 19, 32, 51) следующие изменения:
1) в пункте 18 статьи 2 слова «оказывающее услуги» заменить словами «осуществляющее деятельность»;
2) статью 8 дополнить частью 10 следующего содержания:
«10. Владелец сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:
1) с использованием абонентского номера оператора подвижной радиотелефонной связи в порядке, установленном Правительством Российской Федерации, на основании договора об идентификации, заключенного владельцем сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин с оператором подвижной радиотелефонной связи, за исключением случаев, предусмотренных настоящим Федеральным законом;
2) с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее — единая система идентификации и аутентификации);
3) с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» в порядке, предусмотренном статьями 9 и 10 Федерального закона от 29 декабря 2022 года № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;
4) с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо. Если иное не предусмотрено международным договором Российской Федерации, российским юридическим лицом, указанным в настоящем пункте, является юридическое лицо, находящееся под контролем Российской Федерации, и (или) субъекта Российской Федерации, и (или) муниципального образования, и (или) гражданина Российской Федерации, не имеющего гражданства другого государства, и (или) контролируемых ими совместно или по отдельности лиц. При этом под контролем понимается возможность определять решения, принимаемые указанным юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица.»;
3) дополнить статьей 102-1 следующего содержания:
«Статья 102-1. Особенности регулирования деятельности провайдера хостинга
1. Провайдер хостинга обязан в установленном Правительством Российской Федерации порядке направить уведомление в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, о начале осуществления деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».
2. Провайдер хостинга обязан обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».
3. Провайдер хостинга обязан обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, требований к вычислительной мощности, используемой провайдером хостинга, для проведения этими органами в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач, а также принимать меры по недопущению раскрытия организационных и тактических приемов проведения данных мероприятий. Порядок взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, устанавливается Правительством Российской Федерации.
4. Провайдер хостинга обязан выполнять требования и обязанности, предусмотренные пунктом 3 статьи 561, подпунктами 1-3 пункта 8 статьи 562 и пунктом 4 статьи 651 Федерального закона от 7 июля 2003 года № 126-ФЗ «О связи».
5. Провайдер хостинга вправе осуществлять деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», лицам, обратившимся к провайдеру хостинга, только после прохождения указанными лицами идентификации и (или) аутентификации в порядке, устанавливаемом Правительством Российской Федерации.
6. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, ведет реестр провайдеров хостинга. Сведения о провайдере хостинга включаются в реестр провайдеров хостинга на основании уведомления, указанного в части 1 настоящей статьи. Правила формирования и ведения реестра провайдеров хостинга, состав сведений, включаемых в реестр провайдеров хостинга, порядок включения таких сведений в реестр провайдеров хостинга и исключения их из реестра провайдеров хостинга, порядок предоставления сведений, содержащихся в реестре провайдеров хостинга, устанавливаются Правительством Российской Федерации.
7. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в соответствии с критериями, определенными Правительством Российской Федерации, может привлечь к формированию и ведению реестра провайдеров хостинга оператора такого реестра — организацию, зарегистрированную на территории Российской Федерации.
8. В случае выявления федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, нарушения требований, указанных в частях 1-5 настоящей статьи, и (или) получения указанной информации от федерального органа исполнительной власти в области связи, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, направляет провайдеру хостинга требование принять меры по устранению выявленных нарушений, в котором указываются сроки устранения выявленных нарушений и представления информации о принятых мерах, составляющие не более чем десять рабочих дней.
9. Провайдер хостинга в сроки, указанные в требовании федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, направляемом в соответствии с частью 8 настоящей статьи, принимает меры по устранению выявленных нарушений, а также представляет информацию о принятых мерах в указанный орган.
10. Неустранение провайдером хостинга выявленных нарушений, указанных в требовании федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, направленном в соответствии с частью 8 настоящей статьи, либо непредставление провайдером хостинга в указанный орган информации о принятых мерах в соответствии с частью 9 настоящей статьи является основанием для исключения сведений о провайдере хостинга из реестра провайдеров хостинга.
11. Не допускается осуществление деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», провайдерами хостинга, сведения о которых не включены в реестр провайдеров хостинга.»;
4) в статье 104:
а) в части 1:
в абзаце первом слова «программы для электронных вычислительных машин, владелец сайта и (или) страницы сайта в сети «Интернет» заменить словами «сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин»;
в пункте 1 слова «программы для электронных вычислительных машин, сайта и (или) страницы сайта в сети «Интернет» заменить словами «сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин»;
б) часть 12 изложить в следующей редакции:
«12. Владельцем новостного агрегатора может выступать гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо. Если иное не предусмотрено международным договором Российской Федерации, российским юридическим лицом, указанным в настоящей части, является юридическое лицо, находящееся под контролем Российской Федерации, и (или) субъекта Российской Федерации, и (или) муниципального образования, и (или) гражданина Российской Федерации, не имеющего гражданства другого государства, и (или) контролируемых ими совместно или по отдельности лиц. При этом под контролем понимается возможность определять решения, принимаемые российским юридическим лицом, указанным в настоящей части, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица.»;
5) статью 13:
а) дополнить частями 21-1 и 21-2 следующего содержания:
«21-1. Операторы государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений при эксплуатации информационных систем обязаны использовать вычислительные мощности провайдера хостинга, предоставляемые для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», сведения о котором включены в перечень провайдеров хостинга, утверждаемый Правительством Российской Федерации. Порядок включения сведений о провайдере хостинга в указанный перечень, а также порядок исключения таких сведений из него устанавливается Правительством Российской Федерации.
21-2. В перечень провайдеров хостинга, указанный в части 21-1 настоящей статьи, включаются сведения о провайдере хостинга, соответствующем следующим требованиям:
1) является российским юридическим лицом. Если иное не предусмотрено международным договором Российской Федерации, российским юридическим лицом, указанным в настоящем пункте, является юридическое лицо, находящееся под контролем Российской Федерации, и (или) субъекта Российской Федерации, и (или) муниципального образования, и (или) гражданина Российской Федерации, не имеющего гражданства другого государства, и (или) контролируемых ими совместно или по отдельности лиц. При этом под контролем понимается возможность определять решения, принимаемые российским юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица;
2) в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице;
3) обеспечивает реализацию требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», операторам государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений. Указанные требования устанавливаются федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации;
4) размещает технические средства, используемые при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», на территории Российской Федерации;
5) сведения о провайдере хостинга включены в реестр провайдеров хостинга, указанный в части 6 статьи 102-1 настоящего Федерального закона.»;
б) дополнить частью 24 следующего содержания:
«24. Операторы государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений при создании и эксплуатации информационных систем, а также при осуществлении взаимодействия в электронной форме, в том числе с гражданами (физическими лицами) и организациями, не вправе использовать принадлежащие иностранным юридическим лицам и (или) иностранным гражданам информационные системы и (или) программы для электронных вычислительных машин, функционирование которых осуществляется посредством сети «Интернет», за исключением случаев, установленных Правительством Российской Федерации.»;
6) пункт 1 части 5 статьи 151 дополнить подпунктом «м» следующего содержания:
«м) информации о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации.».
Статья 2
Внести в Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи» (Собрание законодательства Российской Федерации, 2003, № 28, ст. 2895; 2019, № 18, ст. 2214; 2021, № 24, ст. 4188; № 27, ст. 5147; 2023, № 12, ст. 1888) следующие изменения:
1) в статье 561:
а) пункт 1 дополнить словами «, а также иными лицами, указанными в статье 102-1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
б) пункт 3 после слова «закона,» дополнить словами «а также лица, указанные в статье 102-1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,»;
2) статью 562 дополнить пунктом 81 следующего содержания:
«81. Обязанности, предусмотренные подпунктами 1-3 пункта 8 настоящей статьи, также распространяются на лиц, указанных в статье 102-1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».»;
3) пункт 4 статьи 651 после слова «системы» дополнить словами «, а также иным лицам, указанным в статье 102-1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Статья 3
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением положений, для которых настоящей статьей установлены иные сроки вступления их в силу.
2. Пункт 2, абзацы первый — двенадцатый пункта 3 статьи 1 и статья 2 настоящего Федерального закона вступают в силу с 1 декабря 2023 года.
3. Абзац тринадцатый пункта 3 статьи 1 настоящего Федерального закона вступает в силу с 1 февраля 2024 года.
4. Пункт 5 статьи 1 настоящего Федерального закона вступает в силу с 1 сентября 2024 года.
5. К нормативным правовым актам, устанавливающим обязательные требования и предусмотренным пунктом 1 части 10 статьи 8, частями 1 — 3, 5 — 7 статьи 102-1, частью 21-1, пунктом 3 части 21-2 и частью 24 статьи 13 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и пунктом 3 статьи 561 Федерального закона от 7 июля 2003 года № 126-ФЗ «О связи» (в редакции настоящего Федерального закона), не применяются положения частей 1 и 4 статьи 3 Федерального закона от 31 июля 2020 года № 247-ФЗ «Об обязательных требованиях в Российской Федерации».
6. Провайдеры хостинга, которые до дня вступления в силу настоящего Федерального закона осуществляли деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет», и продолжают осуществлять указанную деятельность после дня вступления в силу настоящего Федерального закона, обязаны в порядке, установленном в соответствии с частью 1 статьи 102-1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», не позднее 15 декабря 2023 года направить в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, уведомление о начале осуществления деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».
А вот для чего принят данный закон. Например,ЛК рассылает сообщения следующего содержания:
«1 декабря 2023 г. в России вступил в силу новый закон. Следуя ему, мы ограничили возможность входа в учетные записи Kaspersky с помощью Google. Чтобы восстановить доступ к вашему аккаунту, вам нужно создать пароль и использовать его для входа».
А РКН теперь будет еще вести реестр интернет-провайдеров и контролировать все, что у них там размещается.
Очень похоже, что в этом законе перепутаны понятия авторизация и аутентификация. Речь фактически ведётся о запрете использования на российских сайтах систем аутентификации, принадлежащих иностранцам, а употребляется понятие авторизация. Это может вызвать юридические споры.
Хорошая новость для юристов и плохая новость для владельцев сайтов.
А как же тогда приложение Госуслуги, работающее через ЕСИА, использует OTP Google Authenticator? Сами же свой закон нарушают? Причем и закон и TFA были введены в действие примерно в одно время.
Се ложный вопрос для простого смертного. Даже не пытайтесь его решить в позитивном ключе 🙂
Бесплодная борьба с иностранными сервисами. А ну ка, законодатели, повыкинули быстро все эти свои иностранные девайсы с иностранными микросхемами и софтом, на которых вы эти законы по импортозамещению строчите!