За что теперь смогут оштрафовать владельца сайта?

Депутаты Государственной Думы в третьем чтении одобрили законопроект, который способен перевернуть российский сегмент интернета с ног на голову. Документ с безобидным номером 1069392-8 вводит такие драконовские штрафы за нарушение правил авторизации и работы алгоритмов, что многим владельцам сайтов проще будет закрыть свои проекты, чем пытаться соответствовать новым требованиям. Но самое пикантное в этой истории не размер санкций, а то, как ловко законодатели замаскировали инструмент тотальной слежки под заботу о правах граждан.

Кто попал под раздачу: от гигантов до стартапов

Поправки касаются абсолютно всех владельцев интернет-ресурсов, работающих на территории РФ и использующих системы авторизации или рекомендательные алгоритмы. Звучит достаточно узко, но дьявол кроется в деталях. Под эту категорию попадают не только очевидные игроки вроде крупных маркетплейсов и технологических гигантов, но и средние онлайн-магазины, корпоративные порталы с личными кабинетами сотрудников, облачные сервисы, образовательные платформы и даже небольшие тематические форумы с регистрацией.

Получается, что владелец скромного интернет-магазина по продаже винтажных виниловых пластинок с сотней зарегистрированных пользователей теперь находится в одной юридической плоскости с корпорациями, оборот которых исчисляется миллиардами. Масштаб бизнеса законодателей не интересует, зато размер штрафов впечатляет одинаково всех.

Миллионные санкции за невидимое нарушение

Новая статья Кодекса об административных правонарушениях устанавливает штрафы, способные похоронить средний бизнес. За первичное нарушение требований к авторизации компании заплатят от 500 тысяч до 700 тысяч рублей. Должностные лица отделаются суммой от 30 до 50 тысяч. При повторном нарушении ставки удваиваются: для юридических лиц верхняя планка достигает полутора миллионов рублей, для должностных лиц – 100 тысяч.

Идентичные санкции предусмотрены за нарушения в сфере рекомендательных технологий. Причем ответственность наступает независимо от того, требуется ли на ресурсе авторизация. Достаточно использовать любой алгоритм подбора контента, и вы уже в зоне риска.

Но что именно считается нарушением? Закон обязывает проводить авторизацию одним из четырех предусмотренных способов: через Единую систему идентификации и аутентификации, единую биометрическую систему, идентификацию через операторов связи или иные утвержденные механизмы. Формулировка последнего пункта настолько размыта, что оставляет простор для произвольного толкования контролирующими органами.

Алгоритмы под микроскопом: новая эра цифровой прозрачности

Отдельная глава кошмара – требования к рекомендательным технологиям. К административным правонарушениям теперь относятся применение алгоритмов, ущемляющих права и законные интересы граждан и юридических лиц, сокрытие факта использования рекомендательных технологий от пользователей, а также отсутствие на ресурсе правил использования алгоритмов и обязательных сведений об их работе.

Формулировка про ущемление прав настолько оценочная, что любой владелец сайта становится потенциальным нарушителем. Рекомендательный алгоритм показал одному пользователю товар дешевле, чем другому? Возможное нарушение. Выдал в ленте новостей материал, который кому-то показался оскорбительным? Под вопросом. Не показал рекламу определенной категории товаров конкретному сегменту аудитории? Риск есть.

Владельцы ресурсов теперь обязаны не просто использовать алгоритмы, но и публично раскрывать принципы их работы, описывать критерии формирования выдачи, объяснять порядок учета пользовательских предпочтений. По сути, компании должны рассекретить собственные ноу-хау и выложить в открытый доступ логику работы систем, в которые вложены миллионы на разработку.

Десять дней до катастрофы

Самый циничный момент – сроки вступления закона в силу. Поправки начнут действовать через 10 календарных дней после официального опубликования. 10 дней – это срок, за который средний бизнес едва успеет осознать масштаб проблемы, не говоря уже о том, чтобы провести полноценный технический и юридический аудит, переписать пользовательские соглашения, внедрить новые механизмы авторизации и подготовить документацию по алгоритмам.

Для сравнения: европейский регламент по защите данных GDPR давал компаниям 2 года на подготовку к его введению. Российские законодатели решили, что отечественному бизнесу хватит полутора недель. Либо это свидетельствует о полном непонимании реальных процессов в IT-сфере, либо является сознательным созданием ловушки, в которую попадут практически все.

Что скрывается за заботой о пользователях

Официальная риторика вокруг законопроекта строится на защите прав пользователей и обеспечении прозрачности работы цифровых сервисов. Звучит благородно, но реальность выглядит иначе. Обязательное использование государственных систем идентификации вроде ЕСИА означает, что каждое действие пользователя в интернете потенциально может быть привязано к его реальной личности и отслежено.

Единая система идентификации и аутентификации – это портал госуслуг, через который граждане получают доступ к государственным сервисам. Теперь этот же механизм должен использоваться для входа на коммерческие сайты. Удобно для пользователей? Сомнительно. Удобно для тех, кто хочет знать, какие товары вы покупаете, какие новости читаете, в каких дискуссиях участвуете? Безусловно.

Требование раскрывать логику работы рекомендательных алгоритмов тоже имеет двойное дно. С одной стороны, это действительно может помочь бороться с манипуляциями и необъективной выдачей контента. С другой – создает прецедент вмешательства государства в коммерческую тайну компаний и открывает путь для давления на бизнес через произвольное толкование того, что именно ущемляет права пользователей.

Неожиданный поворот: кто на самом деле выиграет

Парадокс ситуации в том, что новый закон может привести к результату, прямо противоположному декларируемым целям. Крупные игроки рынка, обладающие ресурсами для быстрой адаптации к новым требованиям, юридическими департаментами и техническими мощностями, переживут эти изменения. Да, им придется потратиться на доработку систем и подготовку документации, но это не критично для бизнеса с миллиардными оборотами.

А вот средний и малый бизнес окажется перед выбором: либо вкладывать непропорциональные своим доходам средства в соответствие новым нормам, либо закрываться. Многие выберут второй вариант. Результат – укрупнение рынка, снижение конкуренции, усиление позиций крупных игроков. Пользователи получат меньше выбора, меньше альтернативных площадок, меньше инноваций от стартапов, которые просто не смогут потянуть новые требования.

Владельцам интернет-ресурсов теперь предстоит в авральном режиме проводить технический аудит для проверки механизмов идентификации, юридический аудит для разработки и размещения публичных правил использования алгоритмов, внедрять механизмы уведомления пользователей о работе рекомендательных систем и создавать инструменты для влияния на логику рекомендаций. Все это – за 10 дней и под угрозой штрафов, способных обанкротить компанию.

Самое пикантное, что формулировка про алгоритмы, ущемляющие права, настолько оценочная, что практически любое действие можно подвести под нарушение. Показали рекламу не тому человеку – нарушение. Не показали контент, который пользователь хотел увидеть – нарушение. Показали то, что он не хотел – тоже нарушение. В условиях такой правовой неопределенности каждый владелец сайта становится заложником субъективной оценки чиновника, который будет решать, нарушены права пользователей или нет.

Закон уже принят, и машина запущена. Остается наблюдать, как российский интернет будет трансформироваться под давлением новых норм, сколько интересных проектов закроется, не выдержав административного прессинга, и насколько действительно улучшится защита прав пользователей, ради которой все это затевалось. Судя по опыту предыдущих законодательных инициатив в цифровой сфере, оптимизма это не внушает.