О чём этот канал
Всем привет! Я простой юрист из сибирской глубинки волею случая попавший в прекрасный мир международных крипто и финтех компаний (и соответствующих регуляций). Кроме того, сейчас я работаю в консалтинге и помогаю самым различным ИТ-проектам, от интернет СМИ до геймдева. Я решил рассказывать как выживает юрист-релокант, а также как за рубежом решаются правовые вопросики, связанные с ИТ. На канале я буду писать про тренды и события в международном IT-праве, делиться знаниями об удобных юрисдикциях для разных проектов, рассказывать про релокацию, зарплату в евро, иммиграционные программы, учёбу в европейском университете и о том, как связаны право и информационные технологии.
Всем привет! Я простой юрист из сибирской глубинки волею случая попавший в прекрасный мир международных крипто и финтех компаний (и соответствующих регуляций). Кроме того, сейчас я работаю в консалтинге и помогаю самым различным ИТ-проектам, от интернет СМИ до геймдева. Я решил рассказывать как выживает юрист-релокант, а также как за рубежом решаются правовые вопросики, связанные с ИТ. На канале я буду писать про тренды и события в международном IT-праве, делиться знаниями об удобных юрисдикциях для разных проектов, рассказывать про релокацию, зарплату в евро, иммиграционные программы, учёбу в европейском университете и о том, как связаны право и информационные технологии.
Миграционные вопросы
Когда я изучал IT-право, я думал что буду давать заключения по всяким нетипичным вопросам, типа: "кому принадлежит интеллектуальная собственность на произведение, созданное искусственным интеллектом?" Или: "как перенести существенные условия договора в смарт-контракт?" Я этим и занимаюсь, но не в том объёме, в котором хотелось бы. Потому что много времени отнимают миграционные вопросы.
Вообще, вопросы релокации в ИТ отрасли остро стояли ещё до 2022 года. Ценных специалистов часто релоцировали поближе к головному офису, а они были не против. Но после того, как в феврале 2022 что-то случилось, началось великое переселение айтишников. Многие их тех, кто раньше работал на удаленке, вдруг решили воссоединиться с командами за рубежом. Все резко напринимали офферы в иностранные компании. А те, кто раньше развивал бизнес в России, решили что и за границей его развивать тоже в принципе можно.
В общем, современный ИТ-юрист, особенно работающий на компании с российскими корнями, должен как минимум на базовом уровне разбираться в миграционных, и связанных с ними трудовых и налоговых вопросах. Также, он должен знать основные иммиграционные программы стран, куда чаще всего едут айтишники (есть даже такие, которые подходят для юристов).
Я, например, довольно плотно работал с миграционным законодательством и программами Португалии, Испании, Хорватии, Сербии, Черногории, Кипра, ОАЭ, Турции, ну и конечно же Грузии, Армении и Казахстана. Так или иначе я про них напишу здесь под тегом #релокация
Когда я изучал IT-право, я думал что буду давать заключения по всяким нетипичным вопросам, типа: "кому принадлежит интеллектуальная собственность на произведение, созданное искусственным интеллектом?" Или: "как перенести существенные условия договора в смарт-контракт?" Я этим и занимаюсь, но не в том объёме, в котором хотелось бы. Потому что много времени отнимают миграционные вопросы.
Вообще, вопросы релокации в ИТ отрасли остро стояли ещё до 2022 года. Ценных специалистов часто релоцировали поближе к головному офису, а они были не против. Но после того, как в феврале 2022 что-то случилось, началось великое переселение айтишников. Многие их тех, кто раньше работал на удаленке, вдруг решили воссоединиться с командами за рубежом. Все резко напринимали офферы в иностранные компании. А те, кто раньше развивал бизнес в России, решили что и за границей его развивать тоже в принципе можно.
В общем, современный ИТ-юрист, особенно работающий на компании с российскими корнями, должен как минимум на базовом уровне разбираться в миграционных, и связанных с ними трудовых и налоговых вопросах. Также, он должен знать основные иммиграционные программы стран, куда чаще всего едут айтишники (есть даже такие, которые подходят для юристов).
Я, например, довольно плотно работал с миграционным законодательством и программами Португалии, Испании, Хорватии, Сербии, Черногории, Кипра, ОАЭ, Турции, ну и конечно же Грузии, Армении и Казахстана. Так или иначе я про них напишу здесь под тегом #релокация
Эстония как юрисдикция для криптокомпаний
Эстония когда-то была очень привлекательной для всего, что связано с криптой. Это одна из первых стран, которая прописала у себя в законодательстве определение криптовалют и начала выдавать лицензии на оказание криптовалютных услуг. На этом страна очень хайпанула и сотни проектов стали регистрироваться в этой юрисдикции.
Бонусом Эстонии были также развитые цифровые государственные услуги, когда можно получить любую справку и документ не выходя из дома. Лично мне UX их системы показался слегка устаревшим и проигрывающим тем же российским Госуслугам. Но свои функции система выполняет безупречно. А ещё в Эстонии действует программа e-residency, которая позволяет иностранцам открывать и управлять компанией в Эстонии полностью удалённо.
Что пошло не так?
Начнём с того, что в 2022 году что-то случилось и Эстония практически перестала выдавать ВНЖ гражданам России и больше не рассматривает заявления россиян в рамках программы e-residency. И хотя среди криптокомпаний многие с российскими корнями, я думаю данное обстоятельство не сильно повлияло на эстонскую криптоиндустрию.
А вот что повлияло очень сильно так это ужесточение законодательства. Если раньше для получения лицензии уставной капитал компании должен был составлять €12 000, то с 2022 года требования к нему повышены в 10 раз: теперь он должен составлять от €100 000 до €250 000, в зависимости от вида услуг. Кроме того, ужесточены требования к верификации пользователей, лицензии теперь нужны на бОльшее количество услуг, а регуляторы получили дополнительные основания отклонять заявления на лицензию.
Чтобы понять, почему это произошло, придётся углубиться в историю. Так, в 2018 году Эстонию сотряс скандал, связанный с отмыванием средств. В период с 2007-го по 2015 год через эстонское подразделение датского Danske Bank было отмыто порядка $234 миллиардов. Поэтому с тех пор Эстония старается действовать максимально аккуратно в отношении рискованных финансовых индустрий. И тут внезапно выясняется, что власти привлекли в свою страну очень мутную по своей природе крипту, которая потенциально может выступить источником подобных скандалов.
Галя, отмена!
В начале мая появилась информация, что большинство криптокомпаний, привлеченных прежде выгодными эстонскими условиями, либо забросили свою деятельность, либо потеряли свои лицензии. Большинство из лицензий истекло и компании не стали их продлевать. Были случаи, когда лицензии аннулировались на основании заявлений владельцев. Согласно последним официальным данным только 100 компаний в настоящее время имеют криптовалютные лицензии.
В целом можно отметить, что юрисдикция стремительно теряет свою популярность. Криптаны релоцируются в страны с более привлекательными условиями. Например в Литву, Польшу или Чехию, где пока действуют более благоприятные регуляторные режимы.
#крипта
Эстония когда-то была очень привлекательной для всего, что связано с криптой. Это одна из первых стран, которая прописала у себя в законодательстве определение криптовалют и начала выдавать лицензии на оказание криптовалютных услуг. На этом страна очень хайпанула и сотни проектов стали регистрироваться в этой юрисдикции.
Бонусом Эстонии были также развитые цифровые государственные услуги, когда можно получить любую справку и документ не выходя из дома. Лично мне UX их системы показался слегка устаревшим и проигрывающим тем же российским Госуслугам. Но свои функции система выполняет безупречно. А ещё в Эстонии действует программа e-residency, которая позволяет иностранцам открывать и управлять компанией в Эстонии полностью удалённо.
Что пошло не так?
Начнём с того, что в 2022 году что-то случилось и Эстония практически перестала выдавать ВНЖ гражданам России и больше не рассматривает заявления россиян в рамках программы e-residency. И хотя среди криптокомпаний многие с российскими корнями, я думаю данное обстоятельство не сильно повлияло на эстонскую криптоиндустрию.
А вот что повлияло очень сильно так это ужесточение законодательства. Если раньше для получения лицензии уставной капитал компании должен был составлять €12 000, то с 2022 года требования к нему повышены в 10 раз: теперь он должен составлять от €100 000 до €250 000, в зависимости от вида услуг. Кроме того, ужесточены требования к верификации пользователей, лицензии теперь нужны на бОльшее количество услуг, а регуляторы получили дополнительные основания отклонять заявления на лицензию.
Чтобы понять, почему это произошло, придётся углубиться в историю. Так, в 2018 году Эстонию сотряс скандал, связанный с отмыванием средств. В период с 2007-го по 2015 год через эстонское подразделение датского Danske Bank было отмыто порядка $234 миллиардов. Поэтому с тех пор Эстония старается действовать максимально аккуратно в отношении рискованных финансовых индустрий. И тут внезапно выясняется, что власти привлекли в свою страну очень мутную по своей природе крипту, которая потенциально может выступить источником подобных скандалов.
Галя, отмена!
В начале мая появилась информация, что большинство криптокомпаний, привлеченных прежде выгодными эстонскими условиями, либо забросили свою деятельность, либо потеряли свои лицензии. Большинство из лицензий истекло и компании не стали их продлевать. Были случаи, когда лицензии аннулировались на основании заявлений владельцев. Согласно последним официальным данным только 100 компаний в настоящее время имеют криптовалютные лицензии.
В целом можно отметить, что юрисдикция стремительно теряет свою популярность. Криптаны релоцируются в страны с более привлекательными условиями. Например в Литву, Польшу или Чехию, где пока действуют более благоприятные регуляторные режимы.
#крипта
Защита персональных данных
Одним из самых главных нормативных актов, которые должен знать IT-юрист работающий на иностранные компании, является General Data Protection Regulation. В универе на первом курсе это был по сути основной предмет, а экзамен по нему был очень суров и сложен.
Почему GDPR так важен? Потому чтоприватность это базовое право, предусмотренное статьёй 8 Европейской конвенции о правах человека КОНСКИЕ ШТРАФЫ. Совсем недавно (считающаяся в России экстремистской организацией) Meta была оштрафована на рекордные 1,2 миллиарда евро за нарушение правил трансграничной передачи персональных данных в США.
Да, кстати, европейцы считают, что в США не обеспечивается должная защита их персональных данных из-за всемогущих американских спецслужб, которые могут получить к ним доступ по щелчку пальцев. Как-нибудь напишу об этом поподробнее.
Итак штрафы. Они могут составлять до 20 миллионов евро или до 4% от общего годового мирового оборота за предыдущий финансовый год. Штрафы грозят не только компаниям, зарегистрированным в ЕС, но и вообще всем, кто собирает и обрабатывает данные жителей Европы. Так что стартапы в США, ОАЭ, да даже в Китае, если они хотят выходить на европейский рынок или привлекать европейскую аудиторию, должны соблюдать требования GDPR.
В крупных компаниях обязательно есть data protection officer (иногда даже в составе целого отдела) - сотрудник, который следит за соблюдением GDPR, общается с регуляторами, отвечает на запросы граждан и так далее. Обычно у него есть юридический бэкграунд, хотя конкретных требований к образованию нет. Стартапы чаще всего отдельных специалистов по защите данных себе позволить не могут, поэтому либо (торжественно) возлагают эти функции на юриста, либо пользуются услугами специалистов на аутсорсе.
В общем тема защиты персональных данных дико важная, буду к ней неоднократно возвращаться под тегом #прайваси
Одним из самых главных нормативных актов, которые должен знать IT-юрист работающий на иностранные компании, является General Data Protection Regulation. В универе на первом курсе это был по сути основной предмет, а экзамен по нему был очень суров и сложен.
Почему GDPR так важен? Потому что
Да, кстати, европейцы считают, что в США не обеспечивается должная защита их персональных данных из-за всемогущих американских спецслужб, которые могут получить к ним доступ по щелчку пальцев. Как-нибудь напишу об этом поподробнее.
Итак штрафы. Они могут составлять до 20 миллионов евро или до 4% от общего годового мирового оборота за предыдущий финансовый год. Штрафы грозят не только компаниям, зарегистрированным в ЕС, но и вообще всем, кто собирает и обрабатывает данные жителей Европы. Так что стартапы в США, ОАЭ, да даже в Китае, если они хотят выходить на европейский рынок или привлекать европейскую аудиторию, должны соблюдать требования GDPR.
В крупных компаниях обязательно есть data protection officer (иногда даже в составе целого отдела) - сотрудник, который следит за соблюдением GDPR, общается с регуляторами, отвечает на запросы граждан и так далее. Обычно у него есть юридический бэкграунд, хотя конкретных требований к образованию нет. Стартапы чаще всего отдельных специалистов по защите данных себе позволить не могут, поэтому либо (торжественно) возлагают эти функции на юриста, либо пользуются услугами специалистов на аутсорсе.
В общем тема защиты персональных данных дико важная, буду к ней неоднократно возвращаться под тегом #прайваси
Санкционные вопросы
Санкционные вопросы занимают значительную часть моих рабочих будней. Пока европейская санкционная регуляция (Council Regulation (EU) No 833/2014 of 31 July 2014 concerning restrictive measures in view of Russia's actions destabilising the situation in Ukraine) всё пухнет и пухнет от новых ограничений, мой мозг пухнет от задач, связанных с анализом санкционных рисков. А они с каждым новым пакетом всё серьёзнее.
Чтобы иметь представление о том, как санкции влияют на работу ИТ-компаний с российскими корнями, расскажу об одной ситуации. Инвестор некоего стартапа выяснил, что у одного из его фаундеров двойное гражданство (РФ и страны ЕС). Инвестор себе что-то напридумывал, испугался и в итоге новый раунд инвестиций оказался под угрозой (как и судьба стартапа).
Благо юристы доходчиво объяснили комплаенсу инвестора, что такие граждане под ограничения не подпадают (если их нет в санкционных списках). В санкционной регуляции есть исключения: санкции не распространяются на граждан государств-членов ЕС или физических лиц, имеющих временное или постоянное разрешение на проживание в государстве-члене ЕС. То есть лица с двойным гражданством РФ и стран ЕС (а также с временным или постоянным видами на жительство) напрямую исключены из ограничений, налагаемых на граждан РФ.
Так как тема санкций стоит очень остро, буду тут периодически писать по ней под тегом #санкции
Санкционные вопросы занимают значительную часть моих рабочих будней. Пока европейская санкционная регуляция (Council Regulation (EU) No 833/2014 of 31 July 2014 concerning restrictive measures in view of Russia's actions destabilising the situation in Ukraine) всё пухнет и пухнет от новых ограничений, мой мозг пухнет от задач, связанных с анализом санкционных рисков. А они с каждым новым пакетом всё серьёзнее.
Чтобы иметь представление о том, как санкции влияют на работу ИТ-компаний с российскими корнями, расскажу об одной ситуации. Инвестор некоего стартапа выяснил, что у одного из его фаундеров двойное гражданство (РФ и страны ЕС). Инвестор себе что-то напридумывал, испугался и в итоге новый раунд инвестиций оказался под угрозой (как и судьба стартапа).
Благо юристы доходчиво объяснили комплаенсу инвестора, что такие граждане под ограничения не подпадают (если их нет в санкционных списках). В санкционной регуляции есть исключения: санкции не распространяются на граждан государств-членов ЕС или физических лиц, имеющих временное или постоянное разрешение на проживание в государстве-члене ЕС. То есть лица с двойным гражданством РФ и стран ЕС (а также с временным или постоянным видами на жительство) напрямую исключены из ограничений, налагаемых на граждан РФ.
Так как тема санкций стоит очень остро, буду тут периодически писать по ней под тегом #санкции
DAO
Какое-то время было модно запускать блокчейн проекты через DAO (decentralized autonomous organization/децентрализованная автономная организация). Сейчас этот хайп вроде прошёл, но иногда появляются запросы, по типу подобрать юрисдикцию, лучше всего подходящую для DAO. Позже я про них расскажу, но для начала давайте немного о том, что такое DAO и в чём его фишка.
Если коротко и опуская некоторые нюансы, DAO - это такое АО, в котором все голосующие акции заменяются токенами на блокчейне, собрание акционеров действует постоянно и обладает безграничными полномочиями.
К примеру, компания выпустила 5000 токенов, раздала/продала их пользователям и теперь каждый из них может участвовать в управлении компанией, предлагая те или иные решения и голосуя за или против них. Все механизмы голосования и принятия решений реализованы через смарт-контракты на блокчейне и, соответственно, риск их фальсификаций минимален. Известными примерами являются The DAO, MakerDAO, Uniswap.
Есть три концепции DAO:
1. Чистое DAO, которое существует исключительно в блокчейне. У него нет ни юр. лица, ни формальной корпоративной структуры.
2. DAO + юр. лицо, где юр лицо выполняет часть функций для DAO. Например, на юр. лицо может открываться счёт, оно может привлекать инвестиции, являться юридическим представителем DAO при взаимодействии с различными субъектами и так далее.
3. DAO как юр лицо, где DAO - это обычная компания, которая управляется способом, описанным выше.
У этих концепций есть свои плюсы и минусы. Про них я тоже как-нибудь расскажу. Мне лично второй вариант в различных конфигурациях видится наиболее оптимальным. Первый какой-то слишком панковский, да и как показывает практика отсутствие формальной структуры не освобождает фаундеров (или тех, кого таковыми посчитает суд) от ответственности. А для последнего практически нет полноценной нормативной базы, за исключением пары-тройки юрисдикций.
#крипта
Какое-то время было модно запускать блокчейн проекты через DAO (decentralized autonomous organization/децентрализованная автономная организация). Сейчас этот хайп вроде прошёл, но иногда появляются запросы, по типу подобрать юрисдикцию, лучше всего подходящую для DAO. Позже я про них расскажу, но для начала давайте немного о том, что такое DAO и в чём его фишка.
Если коротко и опуская некоторые нюансы, DAO - это такое АО, в котором все голосующие акции заменяются токенами на блокчейне, собрание акционеров действует постоянно и обладает безграничными полномочиями.
К примеру, компания выпустила 5000 токенов, раздала/продала их пользователям и теперь каждый из них может участвовать в управлении компанией, предлагая те или иные решения и голосуя за или против них. Все механизмы голосования и принятия решений реализованы через смарт-контракты на блокчейне и, соответственно, риск их фальсификаций минимален. Известными примерами являются The DAO, MakerDAO, Uniswap.
Есть три концепции DAO:
1. Чистое DAO, которое существует исключительно в блокчейне. У него нет ни юр. лица, ни формальной корпоративной структуры.
2. DAO + юр. лицо, где юр лицо выполняет часть функций для DAO. Например, на юр. лицо может открываться счёт, оно может привлекать инвестиции, являться юридическим представителем DAO при взаимодействии с различными субъектами и так далее.
3. DAO как юр лицо, где DAO - это обычная компания, которая управляется способом, описанным выше.
У этих концепций есть свои плюсы и минусы. Про них я тоже как-нибудь расскажу. Мне лично второй вариант в различных конфигурациях видится наиболее оптимальным. Первый какой-то слишком панковский, да и как показывает практика отсутствие формальной структуры не освобождает фаундеров (или тех, кого таковыми посчитает суд) от ответственности. А для последнего практически нет полноценной нормативной базы, за исключением пары-тройки юрисдикций.
#крипта
Налоги и релокация
Я писал, что современный ИТ юрист должен шарить в миграционных вопросах. Так вот, ещё ИТ юрист должен шарить во всяких налоговых и околоналоговых вопросах, связанных с физиками и с их релокацией. Причём как в России, так и в стране, куда эти физики уезжают. По крайней мере в той части, которая связана с элементарными вопросами налогового резидентства, основных принципах соглашений об избежании двойного налогообложения, декларирования зарубежных счетов и так далее.
Кстати, на декларировании зарубежных счетов хочется остановиться поподробнее, так как недавно был кейс на эту тему.
Условные ребятушки-разработчики в сентябре 2022 года переехали с семьями в Казахстан. Ну и начали там обживаться: сделали себе налоговые номера, открыли банковские счета, оформили скидочные карточки в местных супермаркетах. А потом решили, что с Казахстаном мэтч у них не случился и разъехались кто-куда: кто на Бали, кто в Европу, а кто-то вернулся обратно.
Спустя полгода возник у них вопрос: нужно ли им уведомлять родную налоговую о счетах в Kaspi банке? Изначально они прочитали, что так как банк находится в стране ЕАЭС ничего делать не нужно.
Так, вот, пришлось их расстроить. Декларировать счета нужно всегда, если вы резидент РФ. Иначе штраф (весьма символический с их то зарплатами) до 5000 рублей. А ещё надо отчитываться о движениях средств по зарубежным счётам. Там тоже штрафы за непредставление и просрочку, до 3000 рублей.
Эти отчёты можно не подавать если счёт открыт в государствах-членах ЕАЭС или странах, обменивающихся налоговой информацией с РФ и (не или!) если сумма по таким счетам в год не превышает 600 000 рублей. При этом речь идет не об общей сумме на всех зарубежных счетах, а о каждом зарубежном счете в отдельности. Видимо как раз эту инфу и нашли разработчики, но досконально её так и не разработали...
Последний штрих: нерезидентам РФ ничего из вышеперечисленного делать не нужно. А вот тему резидентства-нерезидентства я раскрою как нибудь потом.
#налоги
Я писал, что современный ИТ юрист должен шарить в миграционных вопросах. Так вот, ещё ИТ юрист должен шарить во всяких налоговых и околоналоговых вопросах, связанных с физиками и с их релокацией. Причём как в России, так и в стране, куда эти физики уезжают. По крайней мере в той части, которая связана с элементарными вопросами налогового резидентства, основных принципах соглашений об избежании двойного налогообложения, декларирования зарубежных счетов и так далее.
Кстати, на декларировании зарубежных счетов хочется остановиться поподробнее, так как недавно был кейс на эту тему.
Условные ребятушки-разработчики в сентябре 2022 года переехали с семьями в Казахстан. Ну и начали там обживаться: сделали себе налоговые номера, открыли банковские счета, оформили скидочные карточки в местных супермаркетах. А потом решили, что с Казахстаном мэтч у них не случился и разъехались кто-куда: кто на Бали, кто в Европу, а кто-то вернулся обратно.
Спустя полгода возник у них вопрос: нужно ли им уведомлять родную налоговую о счетах в Kaspi банке? Изначально они прочитали, что так как банк находится в стране ЕАЭС ничего делать не нужно.
Так, вот, пришлось их расстроить. Декларировать счета нужно всегда, если вы резидент РФ. Иначе штраф (весьма символический с их то зарплатами) до 5000 рублей. А ещё надо отчитываться о движениях средств по зарубежным счётам. Там тоже штрафы за непредставление и просрочку, до 3000 рублей.
Эти отчёты можно не подавать если счёт открыт в государствах-членах ЕАЭС или странах, обменивающихся налоговой информацией с РФ и (не или!) если сумма по таким счетам в год не превышает 600 000 рублей. При этом речь идет не об общей сумме на всех зарубежных счетах, а о каждом зарубежном счете в отдельности. Видимо как раз эту инфу и нашли разработчики, но досконально её так и не разработали...
Последний штрих: нерезидентам РФ ничего из вышеперечисленного делать не нужно. А вот тему резидентства-нерезидентства я раскрою как нибудь потом.
#налоги
Знаковое для криптоиндустрии решение суда
Вчера суд в США вынес решение по эпичному делу "Комиссия по ценным бумагам и биржам США (SEC) против Ripple Labs". Процесс этот длился аж с 2020 года и все в индустрии внимательно за ним следили.
Итак, в чём суть. SEC подает иск против компании Ripple Labs, Inc. и двух ее топ-менеджеров, обвиняя их в предложении и продаже ценных бумаг в нарушение Закона о ценных бумагах 1933 года. То есть SEC считает что токены Ripple (XPR) являются ценными бумагами и подпадают под строгие правила защиты инвесторов.
В ходе разбирательств суд пришёл к выводу, что продажи токенов XRP на криптовалютных биржах не являются продажей ценных бумаг, поскольку у покупателей не было разумных ожиданий получить прибыль, связанную с действиями Ripple Labs. Суд указал, что покупатели не знают и не могут знать, идут ли их деньги Ripple Labs или другому продавцу XRP.
Кроме того суд признал, что продажи XRP на криптовалютных платформах генеральным директором и бывшим генеральным директором Ripple Labs, а также иные способы распространения токенов, включая компенсации сотрудникам, тоже не являются продажей ценных бумаг.
Но есть в этой бочке мёда и ложка дёгтя. Суд посчитал, что продажи XRP в размере $728,9 миллиона хедж-фондам и другим квалифицированным покупателям являются незарегистрированными продажами ценных бумаг.
В общем, решение действительно очень важное. Если его не удастся обжаловать, то оно, в теории, применимо и к искам SEC к биржам и прочим подобным делам. Оно во многом снимает опасения криптокомпаний в связи с работой на американском рынке. Как говорится, это историческая фигня.
#крипта
Вчера суд в США вынес решение по эпичному делу "Комиссия по ценным бумагам и биржам США (SEC) против Ripple Labs". Процесс этот длился аж с 2020 года и все в индустрии внимательно за ним следили.
Итак, в чём суть. SEC подает иск против компании Ripple Labs, Inc. и двух ее топ-менеджеров, обвиняя их в предложении и продаже ценных бумаг в нарушение Закона о ценных бумагах 1933 года. То есть SEC считает что токены Ripple (XPR) являются ценными бумагами и подпадают под строгие правила защиты инвесторов.
В ходе разбирательств суд пришёл к выводу, что продажи токенов XRP на криптовалютных биржах не являются продажей ценных бумаг, поскольку у покупателей не было разумных ожиданий получить прибыль, связанную с действиями Ripple Labs. Суд указал, что покупатели не знают и не могут знать, идут ли их деньги Ripple Labs или другому продавцу XRP.
Кроме того суд признал, что продажи XRP на криптовалютных платформах генеральным директором и бывшим генеральным директором Ripple Labs, а также иные способы распространения токенов, включая компенсации сотрудникам, тоже не являются продажей ценных бумаг.
Но есть в этой бочке мёда и ложка дёгтя. Суд посчитал, что продажи XRP в размере $728,9 миллиона хедж-фондам и другим квалифицированным покупателям являются незарегистрированными продажами ценных бумаг.
В общем, решение действительно очень важное. Если его не удастся обжаловать, то оно, в теории, применимо и к искам SEC к биржам и прочим подобным делам. Оно во многом снимает опасения криптокомпаний в связи с работой на американском рынке. Как говорится, это историческая фигня.
#крипта
GDPR и США
Передача персональных данных за пределы ЕС чревата штрафами, если не соблюдать ряд условий. Эти условия гарантируют сохранность и безопасность данных за границей. К ним относятся специальные контрактные условия, корпоративные правила и так далее. Европейцы очень ревностно относятся к своим данным и опасаются, что они попадут не в те руки.
При этом не требуется никаких дополнительных условий, если Еврокомиссией в отношении страны, в которую передаются данные, принято так называемое “решение об адекватности”. Этими решениями ЕС признаёт, что страна обеспечивает адекватный уровень защиты информации о пользователях. Такие решения приняты в отношении Аргентины, Канады, Израиля, Японии, Новой Зеландии, Кореи, Швейцарии, Великобритании и Уругвая (и ещё ряда мелких территорий типа Андорры). Но не США. Ситуация с экономической точки зрения странная, ведь США это один из крупнейших рынков. Да и большинство самых продвинутых технологических компаний зарегистрировано в Америке.
Вообще что-то типа решения об адекватности существовало с 2000 года, ещё даже до принятия GDPR. Называлось оно “Принципы безопасной гавани” (Safe Harbour Privacy Principles) и разрешало обмен персональными данными между европейскими и американскими компаниями. Но в 2013 году на сцену вышел молодой австрийский юрист Макс Шремс. В студенческие годы он один семестр проучился в Силиконовой долине и крайне офигел от того, как Facebook обращается с данными европейских пользователей. Шремс подал в суд на ирландское подразделение компании Цукерберга с требованием прекратить передачу данных из Ирландии в США, учитывая предполагаемую причастность Facebook к программе массовой слежки.
В ходе судебных процессов ему удалось доказать, что в США не обеспечивается должная защита персональных данных из-за слежки со стороны спецслужб, о которой стало известно из разоблачений Эдварда Сноудена. В 2015 году Суд Европейского союза признал Принципы безопасной гавани недействительными.
Но экономика должна работать, поэтому уже в 2016 году на смену отменённому Safe Harbour пришёл новый механизм под названием EU–US Privacy Shield. Цель его была аналогичной предыдущему: позволить американским компаниям получать персональные данные из ЕС в упрощённом порядке. Но просуществовал этот механизм недолго, так как неугомонный Макс Шремс вновь его оспорил. В 2020 году по его заявлению всё тот же Суд Европейского союза признал этот механизм обмена данными недействительным практически по тем же основаниям: он не обеспечивает адекватной защиты данных граждан ЕС от государственной слежки при передаче их в США.
Но эпопея продолжается. В следующем посте я расскажу о новом механизме, на этот раз со скучным названием EU-US Data Privacy Framework, который вот буквально неделю назад приняла Еврокомиссия.
#прайваси
Передача персональных данных за пределы ЕС чревата штрафами, если не соблюдать ряд условий. Эти условия гарантируют сохранность и безопасность данных за границей. К ним относятся специальные контрактные условия, корпоративные правила и так далее. Европейцы очень ревностно относятся к своим данным и опасаются, что они попадут не в те руки.
При этом не требуется никаких дополнительных условий, если Еврокомиссией в отношении страны, в которую передаются данные, принято так называемое “решение об адекватности”. Этими решениями ЕС признаёт, что страна обеспечивает адекватный уровень защиты информации о пользователях. Такие решения приняты в отношении Аргентины, Канады, Израиля, Японии, Новой Зеландии, Кореи, Швейцарии, Великобритании и Уругвая (и ещё ряда мелких территорий типа Андорры). Но не США. Ситуация с экономической точки зрения странная, ведь США это один из крупнейших рынков. Да и большинство самых продвинутых технологических компаний зарегистрировано в Америке.
Вообще что-то типа решения об адекватности существовало с 2000 года, ещё даже до принятия GDPR. Называлось оно “Принципы безопасной гавани” (Safe Harbour Privacy Principles) и разрешало обмен персональными данными между европейскими и американскими компаниями. Но в 2013 году на сцену вышел молодой австрийский юрист Макс Шремс. В студенческие годы он один семестр проучился в Силиконовой долине и крайне офигел от того, как Facebook обращается с данными европейских пользователей. Шремс подал в суд на ирландское подразделение компании Цукерберга с требованием прекратить передачу данных из Ирландии в США, учитывая предполагаемую причастность Facebook к программе массовой слежки.
В ходе судебных процессов ему удалось доказать, что в США не обеспечивается должная защита персональных данных из-за слежки со стороны спецслужб, о которой стало известно из разоблачений Эдварда Сноудена. В 2015 году Суд Европейского союза признал Принципы безопасной гавани недействительными.
Но экономика должна работать, поэтому уже в 2016 году на смену отменённому Safe Harbour пришёл новый механизм под названием EU–US Privacy Shield. Цель его была аналогичной предыдущему: позволить американским компаниям получать персональные данные из ЕС в упрощённом порядке. Но просуществовал этот механизм недолго, так как неугомонный Макс Шремс вновь его оспорил. В 2020 году по его заявлению всё тот же Суд Европейского союза признал этот механизм обмена данными недействительным практически по тем же основаниям: он не обеспечивает адекватной защиты данных граждан ЕС от государственной слежки при передаче их в США.
Но эпопея продолжается. В следующем посте я расскажу о новом механизме, на этот раз со скучным названием EU-US Data Privacy Framework, который вот буквально неделю назад приняла Еврокомиссия.
#прайваси
GDPR и США
Итак, 10 июля Еврокомиссия приняла решение об адекватности в отношении США в рамках механизма EU-US Data Privacy Framework.
Европейцы проанализировали крайнее решение Суда Европейского союза по заявлению Шремса и потребовали от США урезонить свои спецслужбы, запускающие грязные руки в их персональные данные. США пообещали, что теперь всё будет по красоте и в подтверждение приняли соответствующий указ (Executive Order "Enhancing Safeguards for United States Signals Intelligence Activities").
Среди прочего там предусмотрено, что американские спецслужбы будут иметь доступ к данным только в той мере, в которой это необходимо для защиты национальной безопасности. Кроме того, в США создаётся независимый и непредвзятый механизм для рассмотрения и разрешения жалоб связанных с доступом к данным европейцев со стороны американских служб национальной безопасности.
Механизм предусматривает для европейцев возможность подавать такие жалобы в орган по защите данных своей страны на родном языке. Для того чтобы жалоба была принята не требуется доказывать, что данные фактически собирались американскими спецслужбами. Национальный орган по защите данных должен передать жалобу в США и информировать заявителя о её статусе.
Далее, в США жалоба рассматриваются должностным лицом - Офицером по защите гражданских свобод ("Civil Liberties Protection Officer"). По результатам её рассмотрения он выносит решение, которое можно обжаловать в специально созданном Суде по защите данных (‘Data Protection Review Court‘).
Этот суд такой весь из себя независимый, состоит из лиц, не принадлежащих к американскому правительству, которые могут быть уволены только по специальным основаниям (например, в связи с приговором). Суд имеет полномочия рассматривать жалобы от европейцев, получать информацию от спецслужб и принимать обязательные для исполнения решения по устранению нарушений. В каждом судебном процессе заявителю должен быть предоставлен защитник.
Для того, чтобы получать данные европейцев в упрощённом порядке, компании из США должны пройти специальную сертификацию в Министерстве торговли США. Контроль за сертифицированными американскими компаниями осуществляет Федеральная торговая комиссия США.
В целом на бумаге всё действительно красиво. Посмотрим как это будет работать. Во всяком случае Макс Шремс уж точно посмотрит.
#прайваси
Итак, 10 июля Еврокомиссия приняла решение об адекватности в отношении США в рамках механизма EU-US Data Privacy Framework.
Европейцы проанализировали крайнее решение Суда Европейского союза по заявлению Шремса и потребовали от США урезонить свои спецслужбы, запускающие грязные руки в их персональные данные. США пообещали, что теперь всё будет по красоте и в подтверждение приняли соответствующий указ (Executive Order "Enhancing Safeguards for United States Signals Intelligence Activities").
Среди прочего там предусмотрено, что американские спецслужбы будут иметь доступ к данным только в той мере, в которой это необходимо для защиты национальной безопасности. Кроме того, в США создаётся независимый и непредвзятый механизм для рассмотрения и разрешения жалоб связанных с доступом к данным европейцев со стороны американских служб национальной безопасности.
Механизм предусматривает для европейцев возможность подавать такие жалобы в орган по защите данных своей страны на родном языке. Для того чтобы жалоба была принята не требуется доказывать, что данные фактически собирались американскими спецслужбами. Национальный орган по защите данных должен передать жалобу в США и информировать заявителя о её статусе.
Далее, в США жалоба рассматриваются должностным лицом - Офицером по защите гражданских свобод ("Civil Liberties Protection Officer"). По результатам её рассмотрения он выносит решение, которое можно обжаловать в специально созданном Суде по защите данных (‘Data Protection Review Court‘).
Этот суд такой весь из себя независимый, состоит из лиц, не принадлежащих к американскому правительству, которые могут быть уволены только по специальным основаниям (например, в связи с приговором). Суд имеет полномочия рассматривать жалобы от европейцев, получать информацию от спецслужб и принимать обязательные для исполнения решения по устранению нарушений. В каждом судебном процессе заявителю должен быть предоставлен защитник.
Для того, чтобы получать данные европейцев в упрощённом порядке, компании из США должны пройти специальную сертификацию в Министерстве торговли США. Контроль за сертифицированными американскими компаниями осуществляет Федеральная торговая комиссия США.
В целом на бумаге всё действительно красиво. Посмотрим как это будет работать. Во всяком случае Макс Шремс уж точно посмотрит.
#прайваси
США хотят регулировать DeFi проекты
В последнее время США главный генератор новостей. И хороших, и не очень. Вот как раз одна из "не очень" новостей подоспела на прошлой неделе.
В сенат внесён законопроект под названием Crypto-Asset National Security Enhancement and Enforcement Bill. Он направлен на регулирование децентрализованных финансовых сервисов (DeFi). Если коротко, то сенаторы очень озабочены тем, что всякие наркоманы, торговцы оружием, северокорейские шпионы и русские олигархи пользуются этими сервисами чтобы обходить законы, санкции и прочие ограничения.
Сенаторы хотят чтобы DeFi проекты соблюдали антиотмывочное и санкционное законодательство в той же мере, в которой его соблюдают централизованные проекты, такие как криптобиржи, казино и ломбарды. То есть осуществляли KYC, санкционный скрининг, риск скоринг и другие комплаенс процедуры.
Это конечно всё прекрасно, но в термине DeFi есть слово “децентрализованный” и оно на первом месте. То есть суть большинства таких проектов это код. Зачастую, после деплоя в алгоритмы уже нельзя вносить изменения. Тем более уже существующий автономно код невозможно обязать выполнять требования закона. А ещё у многих DeFi проектов нет юридического лица (помните я писал про DAO?). То есть непонятно кто вообще будет обязан соблюдать новые требования и кого наказывать за их нарушения.
Так вот, сенаторы предлагают интересное “решение”. В случае отсутствия у DeFi проекта централизованного контроля ответственность за соблюдение требований будет нести лицо, инвестировавшее в его разработку более 25 миллионов долларов. Почему именно 25 миллионов, что делать с проектами, у которых нет таких инвесторов, а также как будет распределяться ответственность между несколькими инвесторами, вложившими такую сумму - неясно.
В общем криптосообщество негодует. Сенаторы твердят о национальной безопасности. Инвесторы выжидают. А я считаю, что если где-то появляются финансовые потоки - государство рано или поздно обязательно возьмёт их под контроль.
#крипта
В последнее время США главный генератор новостей. И хороших, и не очень. Вот как раз одна из "не очень" новостей подоспела на прошлой неделе.
В сенат внесён законопроект под названием Crypto-Asset National Security Enhancement and Enforcement Bill. Он направлен на регулирование децентрализованных финансовых сервисов (DeFi). Если коротко, то сенаторы очень озабочены тем, что всякие наркоманы, торговцы оружием, северокорейские шпионы и русские олигархи пользуются этими сервисами чтобы обходить законы, санкции и прочие ограничения.
Сенаторы хотят чтобы DeFi проекты соблюдали антиотмывочное и санкционное законодательство в той же мере, в которой его соблюдают централизованные проекты, такие как криптобиржи, казино и ломбарды. То есть осуществляли KYC, санкционный скрининг, риск скоринг и другие комплаенс процедуры.
Это конечно всё прекрасно, но в термине DeFi есть слово “децентрализованный” и оно на первом месте. То есть суть большинства таких проектов это код. Зачастую, после деплоя в алгоритмы уже нельзя вносить изменения. Тем более уже существующий автономно код невозможно обязать выполнять требования закона. А ещё у многих DeFi проектов нет юридического лица (помните я писал про DAO?). То есть непонятно кто вообще будет обязан соблюдать новые требования и кого наказывать за их нарушения.
Так вот, сенаторы предлагают интересное “решение”. В случае отсутствия у DeFi проекта централизованного контроля ответственность за соблюдение требований будет нести лицо, инвестировавшее в его разработку более 25 миллионов долларов. Почему именно 25 миллионов, что делать с проектами, у которых нет таких инвесторов, а также как будет распределяться ответственность между несколькими инвесторами, вложившими такую сумму - неясно.
В общем криптосообщество негодует. Сенаторы твердят о национальной безопасности. Инвесторы выжидают. А я считаю, что если где-то появляются финансовые потоки - государство рано или поздно обязательно возьмёт их под контроль.
#крипта
GDPR и 152-ФЗ
Когда я первый раз открыл GDPR, то испытал лёгкое дежавю. Многие принципы и термины были мне знакомы по родному закону “О персональных данных” или 152-ФЗ. Затем возникла необходимость сравнить концепции “законного интереса” как основания для обработки персональных данных в обоих нормативных актах. Внешне они похожи, но это впечатление обманчиво. Собственно, хочу с вами поделиться тем, что я обнаружил.
Начнём с текстов. В 152-ФЗ (статья 6) концепция законного интереса звучит следующим образом: обработка персональных данных допускается в если она необходима для осуществления прав и законных интересов оператора или третьих лиц… либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Открываем статью 6 GDPR (даже номер статьи тот же!): обработка считается законной когда она необходима для целей, вытекающих из законных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.
Понятие законного интереса в 152-ФЗ не раскрывается. И оно довольно широкое. Поэтому только толкование этого понятия судами может определять его границы. К сожалению, судебной практики по данной теме не то чтобы много. Можно выделить только несколько дел когда суды решили, что конкретные случаи обработки данных подпадают под концепцию законного интереса. Например, суд признал право банка получать и обрабатывать персональные данные лиц, зарегистрированных в жилом доме, принадлежащем этому банку. Причиной этому был законный интерес банка, связанный с необходимостью внесудебного урегулирования споров, связанных с выселением этих лиц.
На основе анализа норм и судебной практики можно выделить следующие сходства между понятиями "законный интерес" в GDPR и в 152-ФЗ.
Во-первых, и там и там статья 6 :)
Во-вторых, как и в GDPR, в 152-ФЗ законный интерес является самостоятельным основанием для обработки персональных данных.
В-третьих, в обоих актах обработка персональных данных возможна на основе законного интереса не только контролёра (оператора), но и третьих лиц.
В-четвёртых, и в 152-ФЗ и в GDPR при обработке данных на этом основании требуется учитывать как это будет влиять на права и свободы субъекта данных.
И, наконец, в обоих актах законный интерес не может быть основанием для обработки особых категорий персональных данных.
Получается слишком объёмно, поэтому о различиях напишу в следующем посте.
#прайваси
IT-юрист в эмиграции
Когда я первый раз открыл GDPR, то испытал лёгкое дежавю. Многие принципы и термины были мне знакомы по родному закону “О персональных данных” или 152-ФЗ. Затем возникла необходимость сравнить концепции “законного интереса” как основания для обработки персональных данных в обоих нормативных актах. Внешне они похожи, но это впечатление обманчиво. Собственно, хочу с вами поделиться тем, что я обнаружил.
Начнём с текстов. В 152-ФЗ (статья 6) концепция законного интереса звучит следующим образом: обработка персональных данных допускается в если она необходима для осуществления прав и законных интересов оператора или третьих лиц… либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Открываем статью 6 GDPR (даже номер статьи тот же!): обработка считается законной когда она необходима для целей, вытекающих из законных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.
Понятие законного интереса в 152-ФЗ не раскрывается. И оно довольно широкое. Поэтому только толкование этого понятия судами может определять его границы. К сожалению, судебной практики по данной теме не то чтобы много. Можно выделить только несколько дел когда суды решили, что конкретные случаи обработки данных подпадают под концепцию законного интереса. Например, суд признал право банка получать и обрабатывать персональные данные лиц, зарегистрированных в жилом доме, принадлежащем этому банку. Причиной этому был законный интерес банка, связанный с необходимостью внесудебного урегулирования споров, связанных с выселением этих лиц.
На основе анализа норм и судебной практики можно выделить следующие сходства между понятиями "законный интерес" в GDPR и в 152-ФЗ.
Во-первых, и там и там статья 6 :)
Во-вторых, как и в GDPR, в 152-ФЗ законный интерес является самостоятельным основанием для обработки персональных данных.
В-третьих, в обоих актах обработка персональных данных возможна на основе законного интереса не только контролёра (оператора), но и третьих лиц.
В-четвёртых, и в 152-ФЗ и в GDPR при обработке данных на этом основании требуется учитывать как это будет влиять на права и свободы субъекта данных.
И, наконец, в обоих актах законный интерес не может быть основанием для обработки особых категорий персональных данных.
Получается слишком объёмно, поэтому о различиях напишу в следующем посте.
#прайваси
IT-юрист в эмиграции
GDPR и 152-ФЗ
Перейдём к различиям концепций законного интереса в российском и европейском законодательстве.
Первое. В GDPR чётко обозначено что обрабатывать данные на этом основании нельзя если интересы или фундаментальным права и свободы субъекта данных, которые требуют защиты персональных данных, "перевешивают" законные интересы контролёра. В частности, когда субъект данных - ребенок или когда субъекты данных не ожидают такой обработки их данных.
Схожее положение имеется и в 152-ФЗ, но оно сформулировано иначе. Так, обработка персональных данных допускается на этом основании при условии, что при этом не нарушаются права и свободы субъекта персональных данных. То есть российское законодательство, в отличие от GDPR, явно не требует оценивать баланс интересов контролёра и интересов, прав и свобод субъекта данных (проводить "balancing test"), а требует только воздержаться от их нарушения. В целом, этот принцип в 152-ФЗ допускает большое количество интерпретаций, включая наиболее широкие.
Далее, как в GDPR, так и в 152-ФЗ имеется термин "третьи лица", чей законный интерес также может быть основанием для обработки персональных данных. Однако, в отличие от GDPR, понятие третьих лиц в российском законе не раскрывается и может трактоваться шире, чем в GDPR.
Также, GDPR обязывает контролера предоставить субъекту данных информацию о содержании законных интересов, которые преследуются контролёром или третьими лицами, на момент получения персональных данных как от субъекта данных, так и без его участия. При этом, 152-ФЗ не содержит прямых требований предоставлять информацию именно о законном интересе оператора, а только информацию о целях обработки персональных данных и её основании.
Ну и наконец следует отметить совершенно противоположный подход в GDPR и 152-ФЗ к прямому маркетингу (под которым подразумевается, например, рекламная email рассылка) как законному интересу для обработки персональных данных.
В GDPR явно указано, что обработка персональных данных для целей прямого маркетинга может осуществляться на основании законного интереса контролёра. В то же время в 152-ФЗ обработка персональных данных с целью продвижения товаров, работ, услуг на рынке с привлечением потенциального потребителя с помощью средств коммуникации допускается только с предварительного согласия субъекта персональных данных. Поэтому обработку персональных данных для целей прямого маркетинга нельзя рассматривать как осуществляемую в законных интересах оператора согласно положениям российского законодательства.
В заключении можно упомянуть, что штрафы за нарушение GDPR и 152-ФЗ несопоставимы и именно они в большей степени влияют на культуру и приоритеты в области защиты персональных данных.
#прайваси
Перейдём к различиям концепций законного интереса в российском и европейском законодательстве.
Первое. В GDPR чётко обозначено что обрабатывать данные на этом основании нельзя если интересы или фундаментальным права и свободы субъекта данных, которые требуют защиты персональных данных, "перевешивают" законные интересы контролёра. В частности, когда субъект данных - ребенок или когда субъекты данных не ожидают такой обработки их данных.
Схожее положение имеется и в 152-ФЗ, но оно сформулировано иначе. Так, обработка персональных данных допускается на этом основании при условии, что при этом не нарушаются права и свободы субъекта персональных данных. То есть российское законодательство, в отличие от GDPR, явно не требует оценивать баланс интересов контролёра и интересов, прав и свобод субъекта данных (проводить "balancing test"), а требует только воздержаться от их нарушения. В целом, этот принцип в 152-ФЗ допускает большое количество интерпретаций, включая наиболее широкие.
Далее, как в GDPR, так и в 152-ФЗ имеется термин "третьи лица", чей законный интерес также может быть основанием для обработки персональных данных. Однако, в отличие от GDPR, понятие третьих лиц в российском законе не раскрывается и может трактоваться шире, чем в GDPR.
Также, GDPR обязывает контролера предоставить субъекту данных информацию о содержании законных интересов, которые преследуются контролёром или третьими лицами, на момент получения персональных данных как от субъекта данных, так и без его участия. При этом, 152-ФЗ не содержит прямых требований предоставлять информацию именно о законном интересе оператора, а только информацию о целях обработки персональных данных и её основании.
Ну и наконец следует отметить совершенно противоположный подход в GDPR и 152-ФЗ к прямому маркетингу (под которым подразумевается, например, рекламная email рассылка) как законному интересу для обработки персональных данных.
В GDPR явно указано, что обработка персональных данных для целей прямого маркетинга может осуществляться на основании законного интереса контролёра. В то же время в 152-ФЗ обработка персональных данных с целью продвижения товаров, работ, услуг на рынке с привлечением потенциального потребителя с помощью средств коммуникации допускается только с предварительного согласия субъекта персональных данных. Поэтому обработку персональных данных для целей прямого маркетинга нельзя рассматривать как осуществляемую в законных интересах оператора согласно положениям российского законодательства.
В заключении можно упомянуть, что штрафы за нарушение GDPR и 152-ФЗ несопоставимы и именно они в большей степени влияют на культуру и приоритеты в области защиты персональных данных.
#прайваси
Можно ли вернуть похищенную крипту?
Кража крипты мошенниками становится все более распространенной. Суды по всему миру сталкиваются с проблемами, связанными с конфискацией похищенных криптовалютных активов и обращением их в пользу потерпевших. Английские суды уже давно рассматривают дела, связанные с мошенничеством с криптой и сформировали определенную судебную практику.
Значимым стало дело, связанное с кражей USDT киберпреступниками, действующими на сайте знакомств Tinder и других социальных сетях. Схема известна под названием "honey trapping". Мошенники, скрывающиеся за фото милой девушки, под предлогом вступления в сексуальный контакт втёрлись в доверие к мужчине, убедили его завести кошелёк на бирже Binance и перевести им USDT на сумму, эквивалентную £83,515 (более 100 000$).
Потерпевший оказался жителем Великобритании и ущерб был причинён именно на территории Великобритании. Поэтому английский суд имел все полномочия для рассмотрения дела, а также для применения английского законодательства, несмотря на то, что активы могли находиться в любой точке мира. Также, английские суды признают криптовалютные активы собственностью, что означает, что суд может вынести постановление о заморозке активов в отношении украденных средств, где бы они ни находились.
Адвокаты потерпевшего развернули бурную деятельность и смогли получить от суда постановление о заморозке активов вынесенное в отношении неизвестных мошенников (судебное постановление, запрещающее потенциальному ответчику растрату активов, что-то типа ареста имущества). Также они добились от суда вынесения приказа Bankers Trust, требующего от финансового учреждения предоставить информацию и документы относительно клиента, совершившего мошенничество, в отношении компаний Binance (зарегистрированной на Каймановых островах) и Huobi Global Limited (зарегистрированной в Сейшельских островах).
К сожалению информации о том, насколько эти меры оказались эффективными, нет. Так что ответ на вопрос в заголовке: не думаю. Но если вы житель Великобритании можно получить красивые бумажки за много денег, потраченных на адвокатов и поучаствовать в формировании судебной практики в отношении криптобирж.
#крипта
Кража крипты мошенниками становится все более распространенной. Суды по всему миру сталкиваются с проблемами, связанными с конфискацией похищенных криптовалютных активов и обращением их в пользу потерпевших. Английские суды уже давно рассматривают дела, связанные с мошенничеством с криптой и сформировали определенную судебную практику.
Значимым стало дело, связанное с кражей USDT киберпреступниками, действующими на сайте знакомств Tinder и других социальных сетях. Схема известна под названием "honey trapping". Мошенники, скрывающиеся за фото милой девушки, под предлогом вступления в сексуальный контакт втёрлись в доверие к мужчине, убедили его завести кошелёк на бирже Binance и перевести им USDT на сумму, эквивалентную £83,515 (более 100 000$).
Потерпевший оказался жителем Великобритании и ущерб был причинён именно на территории Великобритании. Поэтому английский суд имел все полномочия для рассмотрения дела, а также для применения английского законодательства, несмотря на то, что активы могли находиться в любой точке мира. Также, английские суды признают криптовалютные активы собственностью, что означает, что суд может вынести постановление о заморозке активов в отношении украденных средств, где бы они ни находились.
Адвокаты потерпевшего развернули бурную деятельность и смогли получить от суда постановление о заморозке активов вынесенное в отношении неизвестных мошенников (судебное постановление, запрещающее потенциальному ответчику растрату активов, что-то типа ареста имущества). Также они добились от суда вынесения приказа Bankers Trust, требующего от финансового учреждения предоставить информацию и документы относительно клиента, совершившего мошенничество, в отношении компаний Binance (зарегистрированной на Каймановых островах) и Huobi Global Limited (зарегистрированной в Сейшельских островах).
К сожалению информации о том, насколько эти меры оказались эффективными, нет. Так что ответ на вопрос в заголовке: не думаю. Но если вы житель Великобритании можно получить красивые бумажки за много денег, потраченных на адвокатов и поучаствовать в формировании судебной практики в отношении криптобирж.
#крипта
AML, CFT, KYС, PEP и FATF
Многим эти аббревиатуры знакомы, а некоторым даже слишком. Но так как блог у меня немного просветительский, а читают его, в том числе, студенты и люди, которые не сильно глубоко погруженные в закон, я иногда буду писать о базовых и элементарных вещах. Вот сегодня решил пробежаться по верхам комплаенса.
По долгу службы в мелких стартапах IT-юрист зачастую выполняет функции комплаенс специалиста. Это особенно важно для финтех и крипто компаний. Во многих юрисдикциях наличие комплаенс специалиста - прямое требование законодательства. При этом он не обязательно должен быть юристом, но человек с юридическим образованием на этой позиции предпочтителен, так как дело придётся иметь с регулированием.
Чем же такой специалист занимается? Если описать скучно и формально, то его задача заключается в обеспечении соблюдения всех применимых законов, правил и нормативов, а также стандартов отрасли. Специалисты отвечают за разработку, внедрение и поддержание строгих процедур и политик, чтобы предотвращать нарушения и соблюдать требования регулирующих органов, особенно в части антиотмывочного законодательства. Если описать весело и с иронией, то это тот человек, из-за которого компания откажет вам в услуге, если он сочтёт вас или ваш бизнес “мутным”.
А мутным он вас может счесть при проведении KYC (Know Your Customer) - процедуры идентификации и установления личности. Согласно антиотмывочному регулированию, перед тем как открыть вам, например, счёт, компания должна выяснить не находитесь ли вы под санкциями. Или не являетесь ли вы PEPом (Politically Exposed Person), то есть человеком, играющим важную роль в общественной жизни, например, серьёзным чиновником (а где чиновник там и риск коррупции). Или не находитесь ли в стране, которая не применяет меры для борьбы с отмыванием денег (risk territories) или в оффшорной зоне (tax haven).
"На основании какого закона вы мне отказали?", - спросите вы у компании. А компания вам ответит, что вы ей кажетесь мутным в силу внутренней политики по противодействию отмыванию денежных средств и финансированию терроризма (AML/CFT). Такую политику должны иметь организации, которые работают в сферах финансов, крипты, операций с недвижимостью, казино и так далее. Она разрабатывается в соответствии с законодательством страны-регистрации или стран, где компания осуществляет деятельность.
Государства же принимают антиотмывочное законодательство на основе рекомендаций FATF (страны Европы - в соответствии с европейскими антиотмывочными директивами, которые, в свою очередь, также принимаются на основе рекомендаций FATF). FATF - межправительственная организация, которая вырабатывает мировые стандарты в этой области, а также оценивает соответствие национальных систем этим стандартам.
В общем, тема обширная и многогранная, и здесь есть многое, о чём можно рассказать применительно к финтеху и крипте. Но оставлю это для других постов под тегом #комплаенс
Многим эти аббревиатуры знакомы, а некоторым даже слишком. Но так как блог у меня немного просветительский, а читают его, в том числе, студенты и люди, которые не сильно глубоко погруженные в закон, я иногда буду писать о базовых и элементарных вещах. Вот сегодня решил пробежаться по верхам комплаенса.
По долгу службы в мелких стартапах IT-юрист зачастую выполняет функции комплаенс специалиста. Это особенно важно для финтех и крипто компаний. Во многих юрисдикциях наличие комплаенс специалиста - прямое требование законодательства. При этом он не обязательно должен быть юристом, но человек с юридическим образованием на этой позиции предпочтителен, так как дело придётся иметь с регулированием.
Чем же такой специалист занимается? Если описать скучно и формально, то его задача заключается в обеспечении соблюдения всех применимых законов, правил и нормативов, а также стандартов отрасли. Специалисты отвечают за разработку, внедрение и поддержание строгих процедур и политик, чтобы предотвращать нарушения и соблюдать требования регулирующих органов, особенно в части антиотмывочного законодательства. Если описать весело и с иронией, то это тот человек, из-за которого компания откажет вам в услуге, если он сочтёт вас или ваш бизнес “мутным”.
А мутным он вас может счесть при проведении KYC (Know Your Customer) - процедуры идентификации и установления личности. Согласно антиотмывочному регулированию, перед тем как открыть вам, например, счёт, компания должна выяснить не находитесь ли вы под санкциями. Или не являетесь ли вы PEPом (Politically Exposed Person), то есть человеком, играющим важную роль в общественной жизни, например, серьёзным чиновником (а где чиновник там и риск коррупции). Или не находитесь ли в стране, которая не применяет меры для борьбы с отмыванием денег (risk territories) или в оффшорной зоне (tax haven).
"На основании какого закона вы мне отказали?", - спросите вы у компании. А компания вам ответит, что вы ей кажетесь мутным в силу внутренней политики по противодействию отмыванию денежных средств и финансированию терроризма (AML/CFT). Такую политику должны иметь организации, которые работают в сферах финансов, крипты, операций с недвижимостью, казино и так далее. Она разрабатывается в соответствии с законодательством страны-регистрации или стран, где компания осуществляет деятельность.
Государства же принимают антиотмывочное законодательство на основе рекомендаций FATF (страны Европы - в соответствии с европейскими антиотмывочными директивами, которые, в свою очередь, также принимаются на основе рекомендаций FATF). FATF - межправительственная организация, которая вырабатывает мировые стандарты в этой области, а также оценивает соответствие национальных систем этим стандартам.
В общем, тема обширная и многогранная, и здесь есть многое, о чём можно рассказать применительно к финтеху и крипте. Но оставлю это для других постов под тегом #комплаенс
Сальвадор как юрисдикция для криптокомпаний
Про эту центральноамериканскую страну наверное наслышаны все. Во многом благодаря её эксцентричному президенту Найибу Букеле. Если кто не знает - этот человек с большим бэкграундом в бизнесе закупался биткоином (на хаях) на государственные средства. По некоторым данным сейчас в бюджете Сальвадора 2381 BTC.
Но вернемся правовым вопросам. В Сальвадоре биткоин является официальной валютой (наряду с долларом США). В этой стране в биткоине можно осуществлять взаиморасчеты, осуществлять инвестиции, платить налоги и так далее. Компании обязаны принимать оплату в биткоинах наряду с оплатой в долларах.
Каждая компания в Сальвадоре может открыть государственный кошелёк Chivo. Он позволяет хранить как BTC, так и доллары США, проводить бесплатные неограниченные обмены между двумя официальными валютами. Также можно совершать платежи на другие кошельки Chivo, на любой биткойн-адрес и снимать небольшие суммы наличными в долларах США через банкоматы Chivo.
Для оказания криптоуслуг компании требуется лицензия. Также необходимо:
- внедрить антиотмывочные процедуры в соответствии с международными стандартами,
- поддерживать высокий уровень защиты активов клиентов, в том числе от хищений;
- вести учёт счетов и транзакций;
- вести реестр обращений клиентов;
- опубликовать на своем сайте и отображать в своих условиях пользования информацию о регуляторе и его контакты;
- обеспечивать кибербезопасность операций;
- составить план управляемой ликвидации компании в случае её несостоятельности;
- внедрить политику ограничений операций на основе оценки рисков.
Большой плюс Сальвадора заключается в том, что благодаря повсеместному внедрению биткоина местные банки не смотрят на криптокомпании как на потенциальных преступников и спокойно открывают им счета. Здесь уже получила лицензию биржа Bitfinex, а Binance сразу две.
В целом, юрисдикция вполне благоприятная. Несмотря на то, что Международный Валютный Фонд и Всемирный банк твердят о рисках полной легализации криптовалюты, президент Найиб Букеле сохраняет энтузиазм и видимо верит в туземун биткоина. Конечно легко быть оптимистом когда закупаешься не на свои и рискуешь всего лишь бюджетом страны.
#крипта
Про эту центральноамериканскую страну наверное наслышаны все. Во многом благодаря её эксцентричному президенту Найибу Букеле. Если кто не знает - этот человек с большим бэкграундом в бизнесе закупался биткоином (на хаях) на государственные средства. По некоторым данным сейчас в бюджете Сальвадора 2381 BTC.
Но вернемся правовым вопросам. В Сальвадоре биткоин является официальной валютой (наряду с долларом США). В этой стране в биткоине можно осуществлять взаиморасчеты, осуществлять инвестиции, платить налоги и так далее. Компании обязаны принимать оплату в биткоинах наряду с оплатой в долларах.
Каждая компания в Сальвадоре может открыть государственный кошелёк Chivo. Он позволяет хранить как BTC, так и доллары США, проводить бесплатные неограниченные обмены между двумя официальными валютами. Также можно совершать платежи на другие кошельки Chivo, на любой биткойн-адрес и снимать небольшие суммы наличными в долларах США через банкоматы Chivo.
Для оказания криптоуслуг компании требуется лицензия. Также необходимо:
- внедрить антиотмывочные процедуры в соответствии с международными стандартами,
- поддерживать высокий уровень защиты активов клиентов, в том числе от хищений;
- вести учёт счетов и транзакций;
- вести реестр обращений клиентов;
- опубликовать на своем сайте и отображать в своих условиях пользования информацию о регуляторе и его контакты;
- обеспечивать кибербезопасность операций;
- составить план управляемой ликвидации компании в случае её несостоятельности;
- внедрить политику ограничений операций на основе оценки рисков.
Большой плюс Сальвадора заключается в том, что благодаря повсеместному внедрению биткоина местные банки не смотрят на криптокомпании как на потенциальных преступников и спокойно открывают им счета. Здесь уже получила лицензию биржа Bitfinex, а Binance сразу две.
В целом, юрисдикция вполне благоприятная. Несмотря на то, что Международный Валютный Фонд и Всемирный банк твердят о рисках полной легализации криптовалюты, президент Найиб Букеле сохраняет энтузиазм и видимо верит в туземун биткоина. Конечно легко быть оптимистом когда закупаешься не на свои и рискуешь всего лишь бюджетом страны.
#крипта
Я тут посмотрел каналы коллег-юристов и заметил, что прежде всего они рассказывают о своих регалиях, опыте и образовании. Придётся это сделать и мне, но постараюсь не душнить.
Итак, я родился в Сибири, в 90-м на краю города…
/тут должен был быть рассказ в стиле трека Кровостока “Автобиография”, но я переоценил свои поэтические таланты. Поэтому будет в виде прозы/.
В целом, образование для юриста, на мой взгляд, это где-то 20%, всё остальное это опыт и практика. Так вот, в юризме я около 12 лет. Получил диплом специалиста в ВУЗе, который, согласно рейтингу HH.ru, входит в сотню лучших в РФ (но есть нюанс: он её практически замыкает). Начинал карьеру в родном сибирском захолустье простым тыжюристом, то есть юристом по всем вопросам. Оказывал услуги широкого профиля, от недвижки до взыскания долгов. Работа была, мягко скажем, нервная. Вот где вырабатывалась пресловутая “стрессоустойчивость”.
Затем я решил, что дальше так жить нельзя и отправился в Санкт-Петербург. Там было поспокойнее. Почти сразу я устроился инхаусом в крупную рекламную компанию и работал там весь период проживания в Северной столице, продвигаясь по карьере: юрист –> ведущий юрист –> руководитель юридического отдела. Рекламное право было дико интересным где-то с год, а потом начало поднадоедать. Сфера достаточно узкая, хотя динамичная, особенно в последнее время. Поэтому мой взор пал на право информационных технологий. Я как бы с детства неровно дышал к компьютерам, даже одно время ходил по друзьям и знакомым и настраивал виндовс.
В преддверии пандемии я решил сдать IELTS (международный экзамен по английскому). И внезапно сдал неплохо, учитывая что после школы с углубленным английским у меня почти не было практики. Правда для подготовки я прошёл курс в одной известной онлайн-школе. Такие результаты открыли мне возможность поступить в зарубежный вуз на англоязычную магистерскую программу. Мой выбор пал на программу IT law в университете славного города Тарту, что в Эстонии. Там признавали мой российский диплом юриста, стоимость обучения и жизни была весьма демократичной (по курсу на тот момент), а до Питера пять часов на машине (если нет пробок на границе). Так я собственно и стал LLM in IT law и релоцировался ещё до того, как это стало мейнстримом.
Потом сделаю отдельный пост про универ, как поступить и чему там учат. А также пост о том чем я занимался после релокации и занимаюсь сейчас.
Итак, я родился в Сибири, в 90-м на краю города…
/тут должен был быть рассказ в стиле трека Кровостока “Автобиография”, но я переоценил свои поэтические таланты. Поэтому будет в виде прозы/.
В целом, образование для юриста, на мой взгляд, это где-то 20%, всё остальное это опыт и практика. Так вот, в юризме я около 12 лет. Получил диплом специалиста в ВУЗе, который, согласно рейтингу HH.ru, входит в сотню лучших в РФ (но есть нюанс: он её практически замыкает). Начинал карьеру в родном сибирском захолустье простым тыжюристом, то есть юристом по всем вопросам. Оказывал услуги широкого профиля, от недвижки до взыскания долгов. Работа была, мягко скажем, нервная. Вот где вырабатывалась пресловутая “стрессоустойчивость”.
Затем я решил, что дальше так жить нельзя и отправился в Санкт-Петербург. Там было поспокойнее. Почти сразу я устроился инхаусом в крупную рекламную компанию и работал там весь период проживания в Северной столице, продвигаясь по карьере: юрист –> ведущий юрист –> руководитель юридического отдела. Рекламное право было дико интересным где-то с год, а потом начало поднадоедать. Сфера достаточно узкая, хотя динамичная, особенно в последнее время. Поэтому мой взор пал на право информационных технологий. Я как бы с детства неровно дышал к компьютерам, даже одно время ходил по друзьям и знакомым и настраивал виндовс.
В преддверии пандемии я решил сдать IELTS (международный экзамен по английскому). И внезапно сдал неплохо, учитывая что после школы с углубленным английским у меня почти не было практики. Правда для подготовки я прошёл курс в одной известной онлайн-школе. Такие результаты открыли мне возможность поступить в зарубежный вуз на англоязычную магистерскую программу. Мой выбор пал на программу IT law в университете славного города Тарту, что в Эстонии. Там признавали мой российский диплом юриста, стоимость обучения и жизни была весьма демократичной (по курсу на тот момент), а до Питера пять часов на машине (если нет пробок на границе). Так я собственно и стал LLM in IT law и релоцировался ещё до того, как это стало мейнстримом.
Потом сделаю отдельный пост про универ, как поступить и чему там учат. А также пост о том чем я занимался после релокации и занимаюсь сейчас.