Хостинг по паспорту все ближе: новые изменения в законодательстве
Всем привет! Меня зовут Леонид, я — владелец проекта по подбору виртуальных серверов Поиск VPS, и внимательно слежу за рынком хостинга. В декабре вступил в силу федеральный закон, регламентирующий работу провайдеров хостинга, и организации, в том числе зарубежные, не вошедшие в соответствующий реестр, будут нарушать законодательство после 1 февраля 2024 года, оказывая услуги хостинга. Кроме того, идентификация клиентов становится обязательной, а оказывать услуги можно будет только верифицированным пользователям (верификация проводится методом подтверждения российского номера мобильного телефона или оплаты картой, выпущенной российским банком, или через СБП — систему быстрых переводов, возможны также, например, авторизация через Госуслуги или личная явка с паспортом). Вскоре после этого Hetzner (крупный европейский провайдер хостинга) и GoDaddy (один из крупнейших регистраторов доменных имен и хостинговая компания) начали рассылать своим клиентам из России письма с сообщением о прекращении обслуживания.
Учитывая большие изменения в законодательстве, я решил побеседовать с руководителем LITE.HOST — Евгением @Yoh, чтобы узнать его мнение по этому поводу.
Молча-а-а-ать!
В последнее время в СМИ говорят, что РКН взялся за хостеров, создает новые реестры, и теперь всем придется жить по-другому. Расскажите, что с вашей стороны как хостера поменялось и поменяется.
Хостинг‑провайдеры теперь должны уведомлять Роскомнадзор о ведении деятельности с последующим включением в соответствующий реестр, проводить идентификацию пользователей, а также обеспечить взаимодействие с уполномоченными государственными органами по вопросам оперативно‑розыскных мероприятий (СОРМ) и выполнить подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
С идентификацией пользователей сложностей нет, на мой взгляд это давно нужно было закрепить на законодательном уровне. В текущий момент есть вопросы по оказанию услуг зарубежным пользователям, так как текущие методы идентификации подходят только для стран ЕАЭС.Основные вопросы возникают в отношении СОРМ и ГосСОПКА, особенно для хостинг-провайдеров, которые используют сеть от дата-центра или занимаются перепродажей. Личный кабинет от Роскомнадзора с API для передачи данных упростит выполнение требований, но текущая редакция закона не предусматривает такой вариант взаимодействия.
Поменялось ли на текущий момент что-то со стороны пользователей?
Согласно новым требованиям мы не можем оказывать услуги клиентам до прохождения ими идентификации. Соответственно, теперь при заказе хостинга нужно подтвердить номер телефона или произвести оплату через систему быстрых переводов либо банковской картой. На мой взгляд, для большинства пользователей ничего не изменится, так как они ранее уже использовали эти способы оплаты.
Если следовать логике, то зарубежные хостеры не смогут оказывать услуги хостинга пользователям из России, верно?
Деятельность зарубежных хостинг-провайдеров регулируется Федеральным законом № 236-ФЗ «О деятельности иностранных лиц в сети «Интернет» на территории РФ», согласно которому провайдер должен создать представительство в России, а также исполнять иные требования, предусмотренные законодательством Российской Федерации. То есть, выполнив все действующие требования, зарубежный провайдер сможет оказывать услуги хостинга пользователям из России.
Помимо информирования пользователей о том, что сайт нарушает законодательство, и дальнейшего исключения из поисковой выдачи были ли уже прецеденты с иностранными хостерами?
В текущий момент мне неизвестны иные прецеденты с иностранными хостингами.
В данный момент в поисковой выдаче ссылка на сайт Hetzner отсутствует
А что если хостер арендует или имеет свое оборудование в дата-центрах за пределами России, там тоже нужно будет ставить СОРМ или подобное?
Согласно текущей редакции Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в реестр хостинг-провайдеров может попасть только лицо, которое размещает оборудование на территории Российской Федерации. Соответственно, компания с оборудованием, размещенным за пределами России, не сможет попасть в реестр, и не допускается к оказанию услуг хостинга с 1 февраля 2024 года.
Как с точки зрения закона определяется, что пользователь из России? По IP адресу, номеру телефона? Или он сам должен сказать об этом?
Определение страны происходит по номеру телефона, либо банку, который выпустил карту.
То есть, если я оплачиваю услуги банковской картой, означает, что меня уже идентифицировали, и больше делать ничего не нужно?
Да, оплата картой выпущенной банком страны ЕАЭС считается прохождением идентификации, и делать больше ничего не нужно.
Если я зарегистрируюсь у вас, указав не российский номер телефона, вы будете считать меня иностранцем, и на меня требования распространяться не будут?
Иностранный пользователь не сможет пройти идентификацию, и оказание услуг будет невозможно.
Правильно ли я понимаю, что, если у Вас были существующие клиенты не из России, то Вам придется отказать им в предоставлении услуг, чтобы соответствовать новому закону?
Да, если они не смогут пройти идентификацию, то им придется отказать в предоставлении услуг.
Как вы оцениваете вероятность того, что пользователи начнут уходить к иностранным хостерам после такого закручивания гаек со стороны российских хостеров?
Большинство наших пользователей уже идентифицированы, так как ранее оплачивали услуги через систему быстрых платежей или банковской картой. Проблемы могут возникнуть только у зарубежных пользователей, которые использовали посредников или электронные кошельки для оплаты услуг — такие клиенты не смогут пройти идентификацию и будут вынуждены перейти в зарубежные компании.
Кто с точки зрения закона является провайдером хостинга? Есть ли какие-то критерии (например, свой блок IP адресов), чтобы с точки зрения закона компания стала хостингом? Допустим, я купил виртуальный сервер, и размещаю на нем сайты друзей. Я — хостер?
С точки зрения закона хостингом будет являться любое лицо, которое оказывает услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».
Размещение сайтов друзей на своём сервере будет являться услугой хостинга. Наличие блока IP-адресов не является основанием для признания вас хостинг-провайдером. Если простыми словами, то предоставление доступа в какую-либо панель с возможностью публикации сайтов будет являться услугами хостинга (на мой взгляд под новый закон попадают и сервисы наподобие Тильда и Wix).
В законе четко указано, как нужно подтвердить номер телефона? Достаточно ли, чтобы клиент принял SMS? Номер обязательно должен быть российский?
Изначально в проекте была возможность идентификации клиентов из стран ЕАЭС, однако в итоговой версии идентификацию по номеру телефона сохранили только для операторов из Российской Федерации.
Основные способы подтверждения номера телефона — это звонок или сообщение с кодом подтверждения. Как именно проводить верификацию в законе не указано.
Однако, исходя из того, что в законе указано «Идентификация … может осуществляться посредством использования абонентского номера, выделенного оператором подвижной радиотелефонной связи», то стационарные телефоны нужно исключать, и остается возможность проведения идентификации только путем отправки сообщения с кодом.
А с картой есть какие-то особые требования? Например, вы принимаете оплату через шлюз, а этот шлюз может получать средства от клиента разными способами. Вам нужно переписать биллинг, чтобы он понял, чем оплачивал клиент, и, если это карта, проверить, что она российская, и в этом случае позволить клиенту использовать услуги?
Банковская карта должна быть выпущена банком страны ЕАЭС и не должна быть предоплаченной. Сейчас в России невозможно оплатить услуги картами Visa / MasterCard зарубежных банков, поэтому какие-либо доработки со стороны биллинга не требуются.
При использовании платежных агрегаторов, которые позволяют оплачивать счета разными способами, нужно будет выполнить доработку формы оплаты с целью ограничения доступных способов.
Кто-то может проконтролировать, что вы реально идентифицировали пользователя? Есть ли ответственность за то, что вы оказали услугу пользователю, который не прошел идентификацию?
В текущий момент мне неизвестно о каком-либо контроле, также КоАП не предусматривает ответственности за оказание услуг хостинга клиентам, которые не прошли идентификацию. Я думаю, что в ближайшие месяцы это доработают, и будет установлена определенная ответственность за оказание услуг хостинга без идентификации клиентов.
А что с клиентами, являющимися юридическими лицами? Для них правила отличаются от правил для физических лиц? Оплата со счета юридического лица считается идентификацией?
Оплата со счета организации считается идентификацией. С юридическими лицами работаем на основании публичной оферты и не допускаем оплату от третьих лиц, то есть, в нашем случае, ничего не меняется.
Сейчас у большинства российских хостеров, в том числе и довольно крупных (например, RUVDS или Timeweb), есть услуги с размещением вне России. Получается, что с 1-го февраля работа таких хостингов будет вне закона? Возможно Вы слышали о том, что планируют что-то поменять?
В моем понимании, в текущий момент предоставление услуг российской компанией возможно только на оборудовании внутри страны. С учетом того, что это крупные компании, скорее всего они находятся в контакте с правительством для доработки закона или готовят иные решения для продолжения оказания услуг в зарубежных локациях.
Слышали ли вы о том, что у других российских хостеров уже что-то изменилось с 1-го декабря в связи с новыми законами?
У меня есть услуги хостинга в 5 крупных компаниях, в текущий момент изменения были только в одной. Было произведено разделение на две организации — одна оказывает услуги клиентам в России, другая оказывает услуги зарубежным пользователям. Вместе с этим данная компания попросила заполнить персональные данные (в том числе паспортные данные).
Поменялось ли что-нибудь у вас после 1-го декабря?
Да, конечно. С целью проведения идентификации пользователей, первый платеж может быть совершен только через систему быстрых платежей, банковской картой или переводом на расчетный счет. Последующие счета можно оплачивать через ЮMoney и QIWI. Вместе с этим сейчас прорабатываем систему идентификации через подтверждение номера телефона.
Есть ли статистика, по которой можно было бы сказать, что после введения этого правила клиенты перестали покупать услуги?
Введение ограничений на способы оплаты первого счета для прохождения идентификации никак не повлияло на продажи.
Есть ли в законе какие-нибудь ограничения на то, чтобы несколько пользователей проходили идентификацию с одним и тем же номером телефона?
Таких ограничений нет, в системе хостинг-провайдера может быть несколько учетных записей с одним номером телефона.
Правильно ли я понимаю, что в будущем можно ожидать услугу «Подтвержу ваш аккаунт у хостера»? Ведь для этого нужна будет всего одна симка, с ее помощью можно будет подтвердить неограниченное количество аккаунтов у любого хостера?
Вполне, но никто в здравом уме не должен так делать, так как вся ответственность будет ложиться на человека, с помощью которого произвели идентификацию.
Интересуются ли пользователи изменениями?
За прошедшие месяцы интересовались всего несколько человек.
На прошлой неделе две крупных иностранных компании (Hetzner и GoDaddy) разослали письма клиентам из России и сообщили, что более не будут оказывать услуги. Как вы считаете: это из-за новых законов в России или наоборот из-за санкций со стороны других стран?
С учетом того, что в последние месяцы не вводили новые санкции по оказанию услуг пользователям из России, то, скорее всего, на решение по отказу в предоставлении услуг повлияли новые законы.
Письмо из GoDaddy о прекращении работы с пользователями из России
А что могло бы грозить зарубежным хостерам, если бы они не отказались предоставлять пользователям из России услуги? Формально им бы запретили оказывать услуги, но они и так прекратили их оказывать, зачем это делать добровольно?
Как мы уже обсуждали ранее, Федеральный закон № 236-ФЗ «О деятельности иностранных лиц в сети «Интернет» на территории РФ» предусматривает исключение сайта из поисковой выдачи, запрет на рекламу услуг данной компании, перевод денежных средств, а также частичное или полное ограничение доступа к сайту.
Также есть мнение, что вместо ограничения доступа к сайту организации могут заблокировать все подсети хостинг-провайдера. Это в свою очередь создает риски доступа к сайтам зарубежных клиентов, размещенных на данном хостинге, и вполне может являться веским аргументом для отказа в предоставлении услуг пользователям из России, чтобы не исполнять требования закона.
В комментариях к статьям пользователи предполагали вариант, что можно просто поменять страну в профиле таких хостеров, и тогда пользователь не будет россиянином с точки зрения этого хостера, и можно будет продолжать им пользоваться. Что думаете по этому поводу?
Зависит от компании, где такое предлагалось. Кто-то на это может закрыть глаза, кто-то потребует документы для подтверждения указанного адреса в профиле, и, если их не предоставить, то аккаунт будет заблокирован.
Последний вопрос: каковы ваши прогнозы о рынке хостинга в России?
Прогноз вполне положительный.
Требования по идентификации клиентов уместны, этого давно не хватало, но хотелось бы иметь варианты подтверждения личности зарубежных клиентов. Число компаний, предоставляющих услуги хостинга, скорее всего сократится, так как не все смогут выполнить требования по СОРМ и ГосСОПКА.
Компании, которые выполнят все требования, должны будут только выиграть за счет притока клиентов с зарубежных хостингов, которые отказывают в предоставлении услуг, а также от закрывающихся российских компаний.
Ссылки на законодательную базу
https://www.consultant.ru/document/cons_doc_LAW_61798/ (Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (последняя редакция))
https://www.consultant.ru/document/cons_doc_LAW_388781/ (Федеральный закон «О деятельности иностранных лиц в информационно-телекоммуникационной сети «Интернет» на территории Российской Федерации» от 01.07.2021 N 236-ФЗ (последняя редакция))
https://www.consultant.ru/document/cons_doc_LAW_220885/ (Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ (последняя редакция))
https://www.consultant.ru/document/cons_doc_LAW_463747/ (Приказ Минцифры России от 01.11.2023 N 935 «Об утверждении требований к вычислительной мощности, используемой провайдером хостинга, для проведения уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач» (Зарегистрировано в Минюсте России 01.12.2023 N 76230))
https://www.consultant.ru/document/cons_doc_LAW_462755/ (Постановление Правительства РФ от 22.11.2023 N 1952 «Об утверждении Правил взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации»)
https://www.consultant.ru/document/cons_doc_LAW_463127/ (Постановление Правительства РФ от 29.11.2023 N 2011 «Об утверждении Правил прохождения идентификации и (или) аутентификации лицами, обратившимися к провайдеру хостинга в целях получения вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети «Интернет»)