Как подружиться с иностранной юрисдикцией, если задумал масштабироваться? AVITAR.legal и его юридическая помощь с человеческим лицом

Когда стартап начинает свою работу он, конечно, имеет амбиции стать международным и выйти на IPO. Но одно дело во сне видеть статус «единорога», а другое — делать первые шаги на международном рынке. Одна из первых сложностей на этом пути — правовой фундамент, который позволит избежать нежелательных исков в суд от пользователей и внимания со стороны местных регуляторов. На помощь IT-компаниям приходит юридическая компания AVITAR.legal, которая сопровождает их во время выхода на рынки ЕС и США и помогает соблюсти все местные требования перед законом. Мирослав Хмарский, управляющий партнер AVITAR.legal, рассказал о работе проекта и принципах заботы о пользователе, а заодно дал несколько рекомендаций тем, кто только задумал масштабироваться.

До AVITAR.legal мы с партнером  работали на стороне продукта, но нам захотелось попробовать запустить собственное дело, проверить, справимся ли с этой ответственностью — своеобразный личный челлендж. Плюс, мы с ним уперлись в потолок в плане гибкости принятия решений. Ведь когда ты не просто сотрудник в компании, который подчиняется в конечном итоге решению собственника, а владелец всего проекта, то несешь всю финальную ответственность за любое решение сам. Но при этом все равно зависишь от других людей — будет иллюзией считать, что в своем деле ты полностью самостоятелен: есть обстоятельства, рынок, клиенты, партнеры, коллеги, — все они вносят коррективы в твое видение и решения.

Работая еще юристами в IT-компании, мы видели существование большой болевой точки — точки соприкосновения продукта и юридической регуляции западных стран, в первую очередь США и ЕС. У нашей компании был продукт, нацеленный на американский рынок, и она получила иск на несколько миллионов долларов. Причина — «введение пользователей в заблуждение». Продукт своим дизайном и использованными формулировками создавал sense of false urgency — ощущение ложной тревоги — из-за которого человек в состоянии своеобразного аффекта покупал, но не получал то, что ожидал. Собрав таких недовольных пользователей, был составлен и подан коллективный иск в суд. 

Это частая история для продукта, который находится на территории США, потому что опека локальных пользователей там находится на высоком уровне: люди знают, что их права будут защищены, поэтому борются за них. Иногда это доходит до абсурда, но часто встречаются и интересные кейсы. 

Например, существует компания Triangle Media Corporation, которая продает различные БАДы. Они использовали в своих коммуникациях формулировку risk-free trial — «попробуй без риска». Но восприятие человека устроено таким образом, что он видит только слово «free» — это и послужило фундаментом для коллективного иска. По его итогу компанию изначально оштрафовали на $37 млн, сократив затем штраф до $3 млн с условием, что она больше не будет использовать в своих маркетинговых коммуникациях ничего, обозначающее бесплатность (подробнее об этом кейсе можно узнать здесь – Startup Jedi).

Запрос 70% клиентов, которые приходят к нам, связан с грядущим для них сотрудничеством с Facebook — последний для партнеров предоставляет опросник на 185 вопросов. Они начинают его заполнять, и оказывается, что «плюсики» можно поставить напротив 10 вопросов, а все остальное — это «минус» или требует уточнения. 

И здесь начинается целый процесс: мы начинаем углубляться внутрь компании, внутрь процессов. Дело в том, что, например, любой email, который был оставлен в форме обратной связи, должен куда-то прийти — и куда-то он по-любому приходит. А раз так, то кто-то его по-любому видит. Вопрос: кто его видит? Кто имеет к нему доступ? Где он хранится? Зачем используется? Сколько хранится? Как пользователь может его удалить? Насколько компания готова принять от пользователя такой запрос? И готова ли быстро на него отреагировать: быстро и правильно ответить?

На уровне государственной юрисдикции в США и в ЕС действительно очень много внимания к персональным данным гражданам этих стран. Так они обеспечивают лояльность и доверие к собственной власти, но важнее просто иметь это в виду, если вы планируете выходить на эти рынки. Пользовательские данные в бизнесе — один из первых и крупнейших активов, которыми обладает компания.

Если говорить не на частных примерах, с тем же Facebook, а более глобально, то есть общие рекомендации для тех компаний, которые планируют масштабироваться со своим продуктом на рынки ЕС и США и не хотят получить иск от местных регуляторов:

1. Говорите то, что есть, и не говорите о том, чего нет.

Это самый простой принцип, который чаще всего и игнорируют. Стараются приукрасить, преувеличить важность, сказать цифры, которые гипотетически могут быть, но их нет. Грубо говоря: говорите правду. На это обращают внимание.

2. Как можно внимательнее обращайтесь со всеми персональными данными.

Вы как компания должны обладать полным пониманием, какие данные вы собираете, и четко отдавать себе отчет: зачем вы их собираете, и нужны ли они вам в таком объеме. Если действительно нужны, то проверьте, насколько надежно они хранятся и попробуйте обосновать вашу нужду именно в таком объеме (из близких и интересных примеров — кейс беларуского приложения Flo, которое FTC обвинила в неподобающем хранении персональных данных, – Startup Jedi).

3. Обеспечьте контроль для пользователей.

Если пользователь создает собственный профиль, контрольную панель или что-то подобное, он должен полностью понимать, где находится и какие у него есть права и обязательства внутри этого пространства. Не стоит скрывать возможность удалить собственные данные с сайта, из сервиса или приложения. Чем больше пользователь знает о ресурсе и чем больше ощущает свой контроль, тем меньше у него вопросов к вам, а значит меньше и риск его обращения в суд.

4. Документы, документы, документы.

Да, мы привыкли пролистывать большинство документов и зачастую не читать все эти пользовательские соглашения и политики приватности. Однако их наличие обязательно, чтобы формализовать взаимоотношения и договоренности между сторонами. Заходя в любое приложение и принимая его условия использования, вы, грубо говоря, подписываете договор между компанией и собой. И в случае вашей претензии, компания будет ссылаться в первую очередь на этот договор — в США и ЕС это широко применимая практика.

Не думайте, что можно на эти простые пункты прикрыть где-то глаза и в целом избежать внимания от местных регуляторов, если у вас в планах бизнес-рост и амбиции на международную экспансию. 

Мой партнер по AVITAR.legal был в зале заседания во время разбора кейса выше упомянутой IT-компании, в которой мы на тот момент работали. И прокурор на заседании суда озвучил, что следить за нашей компанией начали еще 4 года назад — и тогда же начали делать скриншоты всего, что происходило в продукте, и подшивать в дело. В общем, там неглупые ребята сидят, они подкованы в теме бизнеса и понимают, кто имеет потенциал на рост. Как только появился первый иск, они просто подняли уже существующую базу данных. 

В общем, вы никогда не знаете, в какой момент на ваш продукт обратят внимание и «возьмут под карандаш». 

Существуют три принципа, которые были выведены организацией Clean Software Alliance. Это принцип трех «С»: Clarity, Consent, Control (подробнее обо всех трех принципах на сайте организации – Startup Jedi). Если коротко, то:

• Clarity = все должно быть прозрачно и понятно для пользователя.

• Consent = я, как пользователь, даю согласие на все, что происходит со мной внутри продукта.

• Control = я могу отозвать любое свое действие, а любое сделанное — делаю осознанно, и передо мной стоит минимум преград.

Это то, как базово можно себя нормировать, когда создаешь любой диджитал-продукт — от дизайна до финальных формулировок каждого экрана.

Наша задача в AVITAR.legal, чтобы бизнес априори включал в себя заботу о пользователе с самого своего старта, и чтобы это не было для него скучно и болезненно. В долгосрочной перспективе мы хотим, чтобы компания, задумываясь о юридической части дела, не думала, что это слишком напряжно, скучно и тяжело, и не откладывала решение этих вопросов на потом. 

Тем более, что мир и обстоятельства подталкивают к этому: договоры и в общем юридические документы становятся все более простыми для восприятия. Делается это, в том числе, для того, чтобы стартаперы сразу понимали: если мы хотим быть большими и богатыми, то давайте сразу решим вот эти вопросы, чтобы не решать их потом, потратив в сто раз больше усилий. Ведь чем больше данных вы соберете несанкционированно, тем больше вам придется разгребать проблем, с этим связанных, в будущем.

Суперкризисных кейсов с утечкой данных у нас еще не было, мы сталкивались с ними, когда были продуктовыми юристами. Но у нас был кейс, когда из-за неправильного способа сбора данных и отсутствия корректных дисклеймеров, приложение удалили из AppStore — нужно было срочно переделывать политику приватности, чтобы возобновить работу. В общем, такие, казалось бы, мелочи, могут остановить ход всего бизнеса — и лучше о них позаботиться заранее.

Сегодня, по нашему опыту взаимодействия с масштабирующимися компаниями, на рынках ЕС и США в почете любой продукт, который упрощает жизнь пользователей. Еще обращают большое внимание на продукты, которые также упрощают и делают более интересной коммуникацию: мы живем в ковидную эпоху, и в условиях самоизоляции это становится как никогда важно. И на уровне продукта уже не так важно, местный это диджитал-продукт или пришедший из другой страны.

В целом, за рубежом сильно ценится, если вы как компания уважаете права не только пользователей, но и людей, которые работают вместе с вами — от клиентов до команды. Если вы заботитесь о них, и об этом знает ваш зарубежный клиент, то это действительно имеет значение. Пользователям это не безразлично и может повлиять на выбор в пользу вашего продукта.

Это ложится и в повестку не-дискриминации: сегодня слишком много того, что нас разъединяет как людей, а COVID-19 только усугубляет этот процесс. Наша задача и наше внутреннее стремление как компании — создавать атмосферу объединения и взаимопонимания между людьми абсолютно разных классификаций (в своей компании AVITAR.legal привлекает к работе в команде людей пенсионного возраста, помогает социальным проектам, а также призывает клиентов к использованию стандарта веб-сайтов «User Friendly 3.0» – Startup Jedi). 

И на сегодняшний день наш проект — это самый яркий кейс, которым мы действительно гордимся. Важнейший показатель лично для меня в этом — люди. И те, которые с нами работают, и наши клиенты, и их фидбэк на нашу работу — прежде всего человеческий.