Авторизация с помощью сервисов VK, Mail.ru, OK

Discourse
,
1

С конца 2025 года VK перешел на домен .ru и изменилось приложение для использования при входе на сайт. В настройках добавили возможность также подключить авторизацию с помощью Mail.ru и OK. В связи с этим ниже разобраны юридически значимые изменения.

:red_circle: 1. Обязанность предоставить документы в течение 3 календарных дней

Пункты:

  • В PDF (Одноклассники): п. 3.3.1
  • В текстовом соглашении (Mail.ru): п. 3.3.1

«В срок, не превышающий 3 (трёх) календарных дней с момента получения запроса Компании, предоставить надлежаще заверенные копии документов, подтверждающие информацию, предоставленную Партнером при регистрации приложения».

:magnifying_glass_tilted_left: Что это значит на практике:

  • При регистрации приложения (например, здесь ) вы указываете данные:
    • Для физлица: ФИО, паспортные данные, контактная информация.
    • Для юрлица: наименование, ОГРН/ИНН, адрес и т.д.
  • Если VK/Mail.ru попросит подтвердить эти данные (например, при подозрении в мошенничестве, массовой регистрации, нарушении правил), вы обязаны выслать сканы документов (паспорт, выписка из ЕГРЮЛ, доверенность и т.п.) в течение 3 дней.
  • Риск: неисполнение → приостановка или блокировка доступа к API и OAuth в одностороннем порядке (п. 3.2.2 обоих соглашений), без предварительного предупреждения, только с уведомлением после.

:white_check_mark: Рекомендация:

  • Заранее подготовьте комплект документов.
  • Убедитесь, что при регистрации приложения вы указали актуальные и проверяемые данные — иначе запрос подтверждения почти неизбежен.

:red_circle: 2. Требование получить явное согласие пользователей на передачу персональных данных

Пункты:

  • OK PDF: п. 3.3.4
  • Mail.ru: п. 3.3.4

Партнер обязан получить согласие пользователей (в т.ч. по ФЗ-152), на передачу их данных из сервисов Компании → явное согласие, с указанием:

  • объёма запрашиваемых данных (email, имя, фото и т.п.)
  • целей их обработки
  • ссылки на вашу политику конфиденциальности

:warning: Критично:

  • Вы не можете автоматически передавать данные (например, email) без отдельного, информированного согласия пользователя — даже если он нажал «Войти через OK/Mail».
  • Согласие должно быть оформлено как отдельный чекбокс перед или вместе с кнопкой входа, с понятной формулировкой, например:

«Я согласен на передачу моих данных (имя, email, фото профиля) из Одноклассников/Mail.ru для входа на сайт example.com и обработку в соответствии с Политикой конфиденциальности

  • Вы не вправе запрашивать избыточные данные (п. 3.3.5): например, запрашивать дату рождения, если она не нужна для авторизации.

:red_circle: 3. Запрет на модификацию логотипов, кнопок и UI-элементов

Пункты:

Запрещено:

  • скрывать/менять логотипы («Войти через OK» → нельзя переименовать в «Быстрый вход»),
  • убирать гиперссылки на OK/Mail,
  • использовать неофициальные кнопки и изображения.

:white_check_mark: Решение:

:red_circle: 4. Ограничения на использование данных пользователей

Пункты:

Запрещено:

  • хранить/обрабатывать/передавать третьим лицам данные пользователей (email, имя и т.п.), полученные через OAuth, если это не требуется для авторизации и не оговорено в соглашении.
  • использовать данные для рассылок, аналитики, рекламных профилей — без дополнительного согласия.

:warning: Пример риска:

Если вы получили email через OAuth и сразу добавили его в рассылку — это нарушение.

:white_check_mark: Решение:

  • Чётко разделяйте:
    • данные для входа (только для аутентификации),
    • данные для дальнейшего использования (рассылки, профиль и пр.) → должны собираться отдельно, с отдельным согласием.

:red_circle: 5. Соглашение действует «как есть» — без гарантий и ответственности

Пункт:

Компания не гарантирует бесперебойную работу, не несёт ответственности за сбои, утечки, блокировки и т.п.

:shield: Что сделать:

  • Не полагайтесь на OAuth как на единственный способ входа. Всегда держите резервный (например, email + пароль).
  • В UI сообщайте: «Вход через OK временно недоступен — попробуйте позже или используйте другой способ».

:pushpin: Итог: Критические пункты, требующие вашего немедленного внимания
1 Подготовить и при необходимости отправить заверенные документы 3 дня с момента запроса Блокировка API/OAuth
2 Получить явное согласие пользователей на передачу ПД до авторизации Штрафы по ФЗ-152, блокировка по жалобам
3 Использовать только официальные кнопки и UI сразу Отказ в аккредитации приложения
4 Не использовать полученные данные сверх авторизации постоянно Блокировка + претензии от регуляторов
5 Следовать официальным инструкциям и правилам постоянно Риск приостановки без предупреждения