Проект не планируется на широкий охват.
Не важно, что планируется. Количество пользователей вообще в законах не упоминается.
Если у тебя интерфейс сделан так, чтобы возможен был "неопределённый круг лиц" (например возможность зарегистироваться), то ты уже по определению будешь ОРИ и обязан будешь о себе уведомить, иначе штраф.
должным образом шифруется и защищается.
С точки зрения закона - скорее всего нет. То что ты не зарегистрировал себя как оператор ПД, не составил все нужные регламенты, не купил сертифицированные СКЗИ и так далее - это уже основание, что ты неправильно хранишь данные.
Собираются следующие данные: username, password, email и история сообщений
В сообщении пользователь может отправить все свои ПД и вот ты уже и оператор ПД, а значит обязан соблюдать ФЗ об обработке ПД.
Даже ip адреса сейчас являются "техническими ПД" и при сочетании с другими данными позволяют идентифицировать человека, а раз у тебя веб-сервис, то ip адреса ты обрабатывать будешь по определению.
Если в твой месенджер сможет хоть какими-то окольными путями зайти хотябы один гражданин РФ и сможет отправить сообщение со своими ПД, то тогда ты уже нарушишь закон.
Так что ответственность при создании месенджера - это вопрос рвения спецслужб и того, на сколько сильно ты спрятал его.
Можно, конечно, очень сильно снизить шансы на любое преследование:
1. Никому и никогда не говорить про то что ты сделал свой месенджер
2. Блокировать любые запросы по geoip, чтобы из россии нельзя было открыть твой сайт
3. Регистрировать домен анонимно и за крипту, будто ты какой-то наркобарон (или вообще не регистрировать домен).
4. Хоститься также за крипту где-нибудь на карибах, без KYC со стороны хостера.
5. Подключаться к своему хостингу только через цепочку проксей/впнов (и чтобы каждый прокси был у совсем разных провайдеров в разных юрисдикциях, которые, желательно, не сотрудничают с россией и/или интерполом)
6. Трафик с месенджером шифровать и обфусцировать, чтобы он вообще совсем не выглядел как трафик меседжера.
(например сделать протокол как для какой-нибудь игры типа agario и при помощи методов стеганографии прятать текст сообщений во вполне обычные с виду события в рамках игры, типа небольшой дрожи играбельного персонажа из стороны в сторону при движении). Для надёжности - сделать заглушку с такой игрой, чтобы эксперт со стороны ничего странного не увидел (а реальный интерфейс чата распространяй отдельно)
Тогда в принципе можно будет уйти от ответственности, так как расследование заглохнет, если, конечно, ты реально нигде не спалишься. (например в рамках какого-нибудь другого угловного/административного дела у тебя могут конфисковать компьютер и найти исходники твоего меседжера и креды от хостинга)
