Госдума приняла проект о новых штрафах для владельцев сайтов
Для владельцев сайтов, приложений и онлайн-сервисов вводят санкции до 1,4 млн руб. за несоблюдение правил идентификации пользователей и использования рекомендательных технологий
Госдума в окончательном чтении одобрила законопроект № 1069392-8, который вводит административную ответственность для владельцев сайтов, приложений, программ и иных интернет-ресурсов. Поправки касаются сразу двух блоков: соблюдения правил авторизации пользователей и использования рекомендательных технологий.
Если документ будет окончательно принят и опубликован, новые нормы начнут действовать уже через 10 календарных дней после официального опубликования. Для бизнеса это означает весьма короткий срок на адаптацию внутренних процедур, интерфейсов и пользовательской документации.
За что вводят ответственность
Первый блок изменений затрагивает ресурсы, на которых предусмотрена авторизация пользователей и которые функционируют на территории России. За нарушение обязанности проводить такую авторизацию одним из предусмотренных законом способов предлагается штрафовать:
- должностных лиц — на сумму от 30 000 до 50 000 руб.;
- юридических лиц — от 500 000 до 700 000 руб..
За повторное нарушение санкции возрастают:
- для должностных лиц — от 60 000 до 100 000 руб.;
- для компаний — от 1 млн до 1,4 млн руб..
Из пояснений к проекту следует, что речь идет об использовании только тех механизмов идентификации, которые прямо допускаются законодательством. В публичном обсуждении таких норм обычно упоминаются ЕСИА, единая биометрическая система, идентификация через операторов связи и другие установленные способы.
Отдельные штрафы — за рекомендательные алгоритмы
Второй блок поправок касается рекомендательных технологий. Причем эти положения шире по охвату: они распространяются не только на ресурсы с авторизацией, но и на сервисы, где пользовательский вход не обязателен.
Наказывать предлагается за следующие нарушения:
- применение алгоритмов, которые ущемляют права и законные интересы граждан или организаций;
- использование рекомендательных технологий без уведомления пользователей;
- отсутствие на ресурсе правил использования алгоритмов и иных обязательных сведений об их работе.
Размер санкций здесь такой же, как и за нарушения правил авторизации:
при первом нарушении:
- должностные лица — от 30 000 до 50 000 руб.;
- компании — от 500 000 до 700 000 руб.;
при повторном нарушении:
- должностные лица — от 60 000 до 100 000 руб.;
- компании — от 1 млн до 1,4 млн руб.
Кого затронут новые требования
Формально нормы адресованы владельцам интернет-ресурсов, работающих в РФ. На практике под регулирование могут подпасть не только крупные цифровые платформы, но и значительная часть среднего бизнеса, использующего онлайн-инфраструктуру.
Риски возможны для:
- маркетплейсов и агрегаторов;
- интернет-магазинов с личным кабинетом;
- SaaS-платформ;
- сервисов подписки;
- корпоративных порталов с регистрацией пользователей;
- мобильных приложений с персонализированной выдачей;
- контентных платформ, где используются механизмы рекомендаций.
Иначе говоря, речь идет не только о технологических гигантах. Под новые требования могут попасть и нишевые проекты, если на них есть регистрация, персонализированная выдача, подбор контента, товаров, услуг или иная алгоритмическая сортировка.
Что именно вызывает вопросы у бизнеса
Наиболее чувствительной для рынка может оказаться не столько сама идея регулирования, сколько формулировки отдельных составов. В частности, оценочный характер имеет положение об алгоритмах, которые «ущемляют права и законные интересы» граждан и компаний.
Такая конструкция почти неизбежно поставит перед бизнесом вопросы:
- какие именно критерии будут использоваться для оценки алгоритмов;
- достаточно ли уведомления пользователя о наличии рекомендаций;
- какой объем информации нужно раскрыть в правилах работы алгоритмов;
- как подтвердить, что компания исполнила обязанность по информированию;
- какие внутренние документы смогут снизить риск претензий со стороны контролирующих органов.
Для многих участников рынка это означает необходимость заранее документировать принципы работы рекомендательных систем, включая общую логику выдачи, источники данных и способы учета поведения пользователей.
Какие действия, вероятно, придется предпринять
С учетом содержания проекта компаниям, владеющим интернет-ресурсами, уже сейчас имеет смысл провести внутреннюю проверку по нескольким направлениям.
Во-первых, техническому.
Нужно определить, какие способы авторизации используются на сайте, в приложении или в сервисе, и соотнести их с требованиями законодательства.
Во-вторых, юридическому.
Потребуется проверить пользовательские соглашения, политики, правила платформы и иные документы на предмет описания рекомендательных технологий и порядка их применения.
В-третьих, интерфейсному.
Если сервис использует алгоритмическую выдачу, важно оценить, достаточно ли явно пользователь уведомляется о том, что рекомендации формируются автоматически.
В-четвертых, комплаенс-направлению.
Бизнесу, вероятно, придется формировать внутренние процедуры оценки рисков, связанных с дискриминационным или непрозрачным поведением алгоритмов.
Короткий срок на подготовку
Отдельное значение имеет порядок вступления поправок в силу. Законодатель предлагает минимальный переходный период — всего 10 дней после официального опубликования. Для цифровых сервисов, особенно с распределенной архитектурой и большим количеством пользовательских сценариев, этого срока может оказаться недостаточно.
Фактически компаниям придется в ускоренном режиме:
- обновлять документы;
- дорабатывать интерфейсы;
- пересматривать механизмы логина;
- описывать принципы работы рекомендаций;
- координировать изменения между юристами, IT-командами и подразделениями по продукту.
Что означает проект для правоприменения
Принятый Госдумой законопроект показывает, что регулирование цифровых платформ в России последовательно смещается от общих требований к более детализированным обязанностям с прямыми санкциями. Если раньше для бизнеса главным риском была неопределенность регулирования, то теперь акцент делается на формализованный контроль: каким способом проводится авторизация, как описаны алгоритмы, уведомлен ли пользователь и можно ли усмотреть в работе системы нарушение его прав.
Для рынка это сигнал к тому, что рекомендательные механизмы перестают быть исключительно технологическим инструментом и становятся объектом самостоятельного юридического контроля.
А. Селютин, юрист.
Проект Федерального закона N 1069392-8
