Юрист Галина Василевская в 24 года успела запустить пару стартапов, поступить сразу на несколько программ по технологическому праву в ведущих вузах мира (Cornell Tech, Королевский колледж Лондона, Лондонская школа экономики и Стокгольмский университет). И попасть на работу в американскую компанию TrustArc, которая занимается вопросами privacy для компаний из списка Fortune 500. Галина также участвует в разработке законодательных актов о приватности в США.

Редакция AIN.UA поговорила с юристом о том, как выбрать западную программу для обучения и поступить на нее, а также о трендах в защите пользовательских данных.

О карьере: 

Вы — юрист, как получилось, что начали заниматься стартапами? 

Моя карьера совершенно не типичная для индустрии. В школе мне вообще не шла математика, но я всегда умела договариваться. И еще там поняла, что на этом умении можно зарабатывать. Ближе всего к этому был юрфак, и поэтому я пошла в Могилянку. Уже на третьем курсе начала думать с друзьями о собственном проекте. Мы придумали стартап, суть которого — автоматизация документов. 

Это был ваш первый стартап? 

Да. Идея была в том, чтобы написать софт, который автоматизировал бы подготовку базовых юридических документов. Это был 2014-2015 год, нам идея в то время казалась абсолютно гениальной, мы склепали презентацию, нашли программистов, решили, кто будет кофаундером. Но ничего не вышло, мы закрыли проект.  

Еще до закрытия мы съездили во Львов на хакатон с этим проектом, и там я познакомилась с ребятами, которым очень нужен был юрист по вопросу персональных данных. Так я стала частью команды Medics, которая работает над сервисом записи к врачу и заключения деклараций. В моей семье — 5 поколений врачей и отрасль здравоохранения мне была очень близка. Так я стала юристом в медицинском стартапе. К тому времени у меня уже был опыт работы с международными донорами, грантами, организациями, плюс я консультировала несколько IT-компаний, и мне показалось, что я смогу быть им полезной. 

Сейчас Medics — функционирующая компания, правда, я уже не имею к ней операционного отношения. Это на сегодня — один из крупнейших вендоров медреформы в Украине. Мы начинали работать с Министерством здравоохранения еще  до того как медреформа стала большим явлением. И когда я рассказываю американским коллегам, что менее чем за полгода с начала медреформы нам удалось покрыть 70% населения (по общему количеству заключенных деклараций), для них это — абсолютный взрыв мозга. 

Об учебе: 

У вас есть опыт работы в Парламенте Канаде, на Master of Laws в США, расскажите об этом? 

В Канаде есть программа, которая работает уже более 30 лет, и ее суть в том, чтобы отправлять украинских молодых лидеров на стажировку в канадский парламент. Я попала туда осенью 2017 года. Из интересного: я работала там над государственной программой возмещения расходов на лекарства, над вопросами защиты данных и регулирования ИИ. Из Канады я вернулась в декабре 2017 года и этот опыт сильно перекалибровал мое мировоззрение.

Я поняла: нужно ехать учиться тому, чему у нас не учат. Например, правовому регулированию технологий.

Я начала искать программы, которые бы готовили юристов для этой сферы, но программ этого профиля было довольно мало. Есть LLM-программы с ФОКУСом на технологии, в частности, несколько подходящих в США: это — Cornell Tech (где я училась), NYU, Berkeley и  программа в университете Санта-Клара. Остальные — это LLM с опциональными техническими курсами (LLM — это аналог MBA для юристов — ред.).

Я также рассматривала программы в Великобритании и континентальной Европе, в том числе — в Лондонской школе экономики и Королевского колледжа в Лондоне.  

По совокупности факторов мне больше всего понравились программы в Университете Стокгольма, Королевского Колледжа в Лондоне и Cornell Tech. Когда дело дошло до выбора конкретной программы на основании офферов, Master of Laws in Law, Technology, and Entrepreneurship в Cornell Tech очень здорово совмещала мой предыдущий опыт, фокус на индустрии и возможность реальной работы с компаниями. 

Как получилось поступить сразу на несколько крутых программ? 

Во-первых я очень долго исследовала критерии программ, отборов, смотрела, где работают  выпускники этих программ, кого туда брали, какой success rate.

В большинстве программ, куда я поступала, success rate поступления был 2-3%. 

Ключевой момент — твой personal statement. Это фактически твое обращение к вузу, в котором ты объясняешь, почему они должны выбрать именно тебя, перечисляешь свои достижения и рассказываешь о планах. Здесь важно понимать, что для США оценки и предыдущий опыт будут играть вторичную роль, первичны текущие результаты и уникальные достижения, а для британских программ, наоборот, важна академическая успеваемость.

Мой хороший английский тоже был одним из критически важных факторов. Я сейчас часто общаюсь с украинскими студентами, которые хотят куда-то поступать. И недостаточный уровень английского и понимания четкой цели программы — это проблемы, с которой сталкиваются очень часто.  

Даже со своим хорошим английским, прежде чем высылать personal statement, я прошлась по всем своим контактам, из Канады, из США, разослала им его на вычитку. В результате не было ни одной программы, куда бы я подалась, и куда бы меня не приняли и не предложили стипендию. 

Как составлять personal statement, если хочешь попасть на зарубежную MBA/LLM или другую обучающую программу? 

Когда отбираешь программы для себя, смотришь на критерии и часто понимаешь, что не совсем попадаешь под них. К примеру, предположим, программа выпускает инвестбанкиров или тех, кто будет работать на фондовом рынке. Получить в Украине бекграунд в инвестбанках в традиционном для программы понимании — сложно. Поэтому каждый раз нужно переписывать сообщение о себе так, чтобы подчеркнуть релевантные данные, найти ключевые требования и написать документ под них.  

Еще один момент. Каждое из этих писем я переписывала где-то по неделе. Мне кажется, нет ничего сложнее, чем написать что-то о себе и своих достижениях корректно и убедительно. Я послала эти письма людям, которые поступили на схожие программы или работали в целевых для меня индустриях.

Мой самый первый драфт вернулся ко мне полностью красный от правок. Я смотрела на него и думала: комиссия по поступлению отреагирует так же… Переписала, сократила, сфокусировалась на ключевом и меня взяли.

Помню, позвонила родителям, а мама мне говорит: «Туда же берут только гениев». И я отвечаю: «Да, мам, меня тоже взяли». 

Дальше начались переговоры о стипендии. Это — отдельное искусство, art more than science. 

Чем было полезно обучение в Cornell Tech?

Я выбрала программу в Cornell Tech потому, что она лучше всего отвечала тому, чем я хочу заниматься дальше.  

Основной проблемой для меня там стал профессиональный культурный шок, понимание того, насколько все делается по-другому, насколько эта программа заточена под стартапы и создание стартапов, развитие инноваций. Технологические транзакции, лицензии, технологии, блокчейн, биткоин, криптовалюты, налоги в этих вопросах, слияния и поглощения. В Украине ведь стартапы редко заходят дальше чем 3-4 раунда инвестиций и у нас в принципе нет регулирования, позволяющего подобные операции. 

Плюс сама методология обучения была новой. Помню, прихожу на пару и думаю: а где список вопросов к семинару? Я зарылась в дополнительную литературу и оказалось, что в списке есть статьи Wall Street Journal, на Forbes, ни одного академического источника в понимании того, к чему я привыкла в украинском образовании.

Для меня было шоком: люди платят такие деньги за обучение, чтобы им давали читать статьи из интернета?! С другой стороны, это ведь был курс по технологическим транзакциям, какие академические статьи?

Спойлер: на более специфических курсах я читала по 100 страниц в неделю, половина из которых были кейсы, а половина —академические статьи.

У нас, например, был курс «Жизненный цикл венчурно-обеспеченного стартапа» и вел его человек, который был первым корпоративным юристом Facebook. Рассказывал нам, что теперь делает селфи со всеми стартапами, с которыми работает, потому что когда-то не сделал с Цукербергом 🙂

Корпоративные инновации у нас вел один из первых инвесторов Slack. Он вспоминал, как основатель Slack проходил через не лучшие времена и ему надо было где-то перекантоваться. Вот он пришел к моему преподавателю пожить, и рассказал про tool, который они склепали на колене, чтобы общаться командой, работая совсем над другим продуктом для дизайна. Оказалось, что он рассказывал о Slack. Забавно, но через неделю после этого класса Slack вышел на IPO.

Такие истории сильно взрывают мозг, особенно, когда ты понимаешь, что становишься их частью. Так же, как и уровень компетенции людей, с которыми работаешь. Уровень открытости. И  полное отсутствие понтов. 

О сфере защиты данных: 

Как попали в TrustArc? 

TrustArc создает технологии для управления приватностью в глобальных организациях. У нее больше чем 1500 клиентов, среди них очень многие из Fortune 500, не всех могу назвать, но это, к примеру Credit Karma, Merck, Intuit. 

Компания разрабатывает технологии, которые помогают управлять всеми данными, которые собирают приложения и компании (к примеру, что будет знать о вас приложение, если вы — гражданка Украины, живете в Калифорнии, заходите в интернет через голландский VPN).

Все это регулируется множеством разных нормативных актов, которые накладывают на компании разные обязательства. И чтобы работать с любой крупной компанией из США или Европы, нужно выполнять их. Если вы не уделяете внимание защите данных, с вами просто не будут иметь дела.

Меня иногда спрашивают, почему я пошла в эту сферу. Потому что данные — это уже не новое золото, не новая нефть, это намного круче и важнее.

Грубо говоря, TrustArc пишет софт и инструменты, которые дают компаниям управлять политиками приватности, тем, насколько такие политики соблюдаются, учитывать риски. К примеру, один из последних продуктов: риск-алгоритм, который на основе разных критериев просчитывает, какой может быть риск в работе с конкретным вендором. Лично я руковожу регуляторными требованиями 4-х основных продуктов компании, которые занимаются всем, что связано с cookies и рекламой.   

Для компаний с мощным компонентом данных это на самом деле — огромный вопрос.

Я в Украине наблюдала практику, когда сделки срывались из-за того, что крупные клиенты на Западе не были готовы работать с украинской неадекватной юрисдикцией. Это — миллионные транзакции, которые срывались из-за проблем с privacy.

Мне звонили в 5 утра и просили клепать «на колене» политики конфиденциальности и приватности, чтобы показать клиенту, что у компании с этим вопросом все в порядке.

Но ведь приватность — это не политика, скачанная из интернета, это — о том, насколько твоя организация уважает права пользователей, с которыми работает и за несколько часов такие проблемы не исправить.

Вы работаете с компаниями уровня Google, Facebook? 

Не могу указать конкретные имена из-за соображений конфиденциальности, но работаю со многими компаниями такого уровня. 

Почему скандалов, подобных Cambridge Analytica и связанных с privacy, в последнее время так много? Помогаете ли компаниям решать проблемы с privacy?

По первой части: исторически в Америке сформировалось секторальное регулирование приватности, нет какого-то единого всеохватного закона или акта. Есть HIPAA для медицинских данных, есть GLBA для финансовой информации, есть регулирование в каждом отдельном штате.

Например, CCPA (California Consumer Privacy Act сейчас радикально меняет динамику этого вопроса и задает тренд другим штатам. Сейчас идут большие дискуссии о рациональности и перспективах принятия федерального акта, но о конкретных прогнозах говорить еще рано. Почему так сложилось? 

В США эта отрасль очень долго вообще не регулировалась. Регулирование появилось уже как следствие технологического бума. Мы зависимы от технологий до жути, мы не можем представить без них свою жизнь, но обратная сторона вопроса  — наша приватность.

С чего начинался GDPR? С идеи о лимитировании монополий технологических компаний в Европе. Огромные штрафы вроде $170 млн с Google за за нарушения при сборе данных детей — это цена невыполнения этих требований с одной стороны. С другой, такие истории показывают людям, что у них есть права на собственные данные.  

Почему так много data breaches? Потому что компаний, работающих с данными, в США значительно больше, чем где-либо еще. Скажем так, интенсивность рынка другая, поэтому извне может показаться, что здесь утечки происходят чаще, чем где-то еще. 

Еще один момент, актуальный сейчас в США: технологическая дискриминация. Условно: если пользователь отказывается предоставлять данные, компания отказывает ему в доступе к сервису.

Например, в CCPA, упомянутом выше, есть прямая норма обязывающая компании не ограничивать права пользователей основываясь на данных, которые у них есть или отсутствуют.

Подобное регулирование ведь касается всех компаний, которые зарабатывают на таргетированной рекламе?

Это правда. Я занимаюсь, в том числе, продуктами для таргетированной рекламы и  взаимодействую со всеми самыми крупными органами самоуправления этого рынка. Эта индустрия найдет выход, там слишком много денег, чтобы не найти обходные пути.

С другой стороны, регулирование в этой отрасли позволяет убирать ненужные мошеннические схемы, у Google были большие инициативы в этой сфере: верифицировать любого покупателя рекламы (раньше это работало только для политической рекламы), Facebook  создал сервис Off Facebook позволяющий отследить, какие сайты собирают о пользователе информацию вне платформы. 

Нашумевшая новость сейчас — это инициатива Google прекратить использование кукиз третьих сторон. И это — оправданное решение, ведь если обычный пользователь мог бы увидеть, чьи кукиз у него стоят, и сколько данных о нем собирают, он бы ужаснулся.  Так что смело советую проверить сейчас в настройках браузера, что именно собрано у вас. 

Это факт, что  без этих технологий интернет не был бы интернетом, но им придется эволюционировать. Когда СЕО техногигантов говорят о том, что будущее приватно, на самом деле речь о том, что у таких компаний просто нет другого выхода. 

Для меня это означает в том числе, что приходится работать с очень разнообразными темами и проблемами, с которым может работать только очень незначительный процент специалистов в моей отрасли. Мне приходиться работать в самом разнообразном правовом поле. Сегодня надо разбираться в законодательстве по персональным данным Южной Кореи (оно считается одним из самых строгих в мире), завтра — прокомментировать Бразильский LGPD, очень схожий по механизмам с GDPR, а послезавтра — в российской локализации данных и решениями судов по этим вопросам (для глобальных компаний часто это — очень важный момент, от которого зависит, будут они иметь дело с РФ или нет).  

Как коронавирус повлиял на регулирование приватности? В Украине, к примеру, приняли закон, который разрешает обработку личных данных без согласия, если это касается борьбы с коронавирусом.

Украинский ответ на сбор данных во время пандемии меня приятно порадовал своей пропорциональностью мер. То, что происходит на сегодняшний день, подпадает под определение public health disaster, как критической угрозы, соответственно, попадает под исключение  с точки зрения регуляторных актов вроде HIPAA и GDPR. В США как часть борьбы с пандемией ослабили некоторые нормы HIPAA, и позволили медучреждениям напрямую обмениваться медицинской информацией. Это радикально меняет регуляторное поле любому медицинскому юристу, но в рамках пандемии — оправданно. 

Так что с юридической точки зрения это — пропорциональная мера. Другой вопрос: не будут ли эти данные использованы для других целей, когда карантин закончится. Плюс, в Украине нет развитой судебной практики по таким вопросам.  

У меня намного больше вопросов к приложениям по отслеживанию контактов, например недавно запущенного приложения Google и Apple, и которое позволяет добровольно (по согласию) отслеживать все свои контакты, чтобы контролировать распространение коронавируса. Ведь, если сопоставить уже имеющиеся данные с геолокацией, получится набор чувствительных данных. А у частных компаний не может быть полномочий по сбору таких наборов данных, в отличие от государственных структур.

Если вы следили за украинскими новостями, читали ли о приложении «Дiй вдома»? К его работе были вопросы.

Да, я смотрела на приложение. Не владею материалом настолько, чтобы давать комментарии. Но в самом наличии такого приложения нет ничего неправильного. Это тот же карантин, просто в digital-сфере. Мы же обязываем человека под арестом сидеть дома и «отчитываться» об этом через электронный браслет, потому что он несет вред обществу? Человек с коронавирусом точно также несет вред обществу. Не потому, что он хороший или плохой, а потому что он — носитель заболевания, потенциально смертельного для окружающих. 

Другое дело, что воплощение этой неплохой идеи может быть сомнительным. 

В Украине недавно был скандал: базы данных украинцев продавались в Telegram-ботах, там было о людях вообще все: имя. ИНН, прописка, паспорт. Можете прокомментировать?

Эта ситуация — маркер комплексной проблемы в стране. К сожалению, без нормального регулирования и компетентных корректно функционирующих регуляторов, такие ситуации будут повторяться.

Что бы вы посоветовали стартапам, которые хотят выходить на зарубежные рынки. Им нужно заморачиваться вопросом приватности? Ведь проще скачать готовую политику по privacy.

Конечно, это понятная логика. Ровно до того момента, пока вашему стартапу не перекроют миллионную транзакцию. Скажем честно: вероятность, что к вам по этим вопросам пристанет регулятор — объективно невысокая. А вот вероятность репутационных рисков, потери потенциально больших сделок и перекрытие путей роста компании — куда более реалистичная и финансово болезненная.

Что бы я посоветовала? Делать рисерч и понимать, какие правила действуют на рынке, особенно, если это b2b. В этом случае просто имейте в виду, что рано или поздно этот вопрос поднимется. 

Понятно, что когда у стартапа стоит выбор: платить ли зарплату разработчикам или оплатить юриста, который напишет privacy-политику, редко выбирают последнее. Однако, со временем нужно будет этим заняться.

Не стоит качать политики конфиденциальности с первого попавшегося сайта. Приватность — это не то, что у вас написано на сайте. Это то, что вы на самом деле делаете с данными пользователей в вашей организации. Так что описать простыми словами: что и как компания делает с данными, какие системы использует для работы с данными и как пользователю отказаться от такой обработки — куда более разумная идея, чем копирование непонятных текстов написанных под совсем другой сервис.

Просто помните, что если для Google или Facebook условные $5 млрд штрафа — это cost of doing business, то для вас это может означать смерть бизнеса. И даже если вы избежите штрафа, утечка данных из вашего приложения или неправильное обращение с ними — первое, что будет выскакивать о вас в новостях при поиске. 

Вы упоминали, что работаете над  вопросами, связанными с California Consumer Privacy Act. Что это за акт и чего стоит ждать от него украинским компаниям, которые работают с рынком США?

Для специалистов в приватности сейчас горячая пора, так как в начале июня было принято регулирование к ССРА, а с 1 июля регулятор официально имеет право начать штрафовать компании за невыполнения требований.

Это — поворотный момент для индустрии в целом, так как ССРА — это первый в США акт, покрывающий вопросы приватности глобально, а не секторально. Как специалист работавший над комментариями к этому акту, думаю, что это начало больших изменений, к которым компаниям стоит привыкнуть.

Из практичных шагов стоит начать с:

  • понимания того затрагивает ли действие акта ваш бизнес или работу вендоров, клиентов или контрагентов, которые есть у вашей компании;
  • проверки политики приватности на соответствие требованием акта;
  • установки механизмов, позволяющих особам, чьи данные вы обрабатываете, отказаться от такой обработки. 

Акт глобально меняет несколько вещей: обязывает компании, подпадающие под его требования, удовлетворять запрос субъекта персональных данных (пользователя), обязывает иметь функцию (кнопку на сайте) Do Not Sell My Personal Information и выставляет ряд ограничений по работе с таргетированной рекламой.