Безопасные слияния
Правила M&A для отраслей, где данные — главный актив
Правовые нюансы сделок с ИИ-компаниями плавно выходят за пределы технологий. И в условиях массового внедрения ИИ в нишевые отрасли покупка такой компании превращается в приобретение не только активов, но и целого комплекса юридических обязательств и потенциальных рисков: от дефектов прав на данные до необходимости импортозамещения. Управляющий партнер «Томашевская и партнеры» Жанна Томашевская и юрист практики корпоративного права и сделок M&A Владимир Левшук предупреждают: стандартной процедуры due diligence здесь недостаточно.
Жанна Томашевская
Фото: Предоставлено «Томашевская и партнеры»
Жанна Томашевская
Фото: Предоставлено «Томашевская и партнеры»
ИИ-технологии перестали быть прерогативой крупных корпораций: решения на основе моделей и данных массово внедряются и у нишевых игроков — в медицине, финансовом секторе и других отраслях, где цена ошибки в обращении с информацией особенно высока. Сделки с такими активами сопровождаются как стандартными рисками, так и достаточно специфичными — например, дефектами прав на данные или специальными ограничениями. При этом развитие новых направлений бизнеса зачастую сопровождается новым регулированием, которое не всегда положительно влияет на рынок. Так, например, Закон ЕС об искусственном интеллекте (EU AI Act) воспринимается бизнесом скорее как барьер для инноваций из-за жесткой системы штрафов, высоких затрат на соответствие требованиям и правовой неопределенности для разработчиков моделей. Фактически, покупая сегодня ИИ-компанию, вы приобретаете не только ее текущие активы, но и обязательство активно формировать ее будущее.
В первую очередь стоит провести юридическую проверку с учетом специфики такой компании. Покупателю важно установить, кому принадлежат ключевые ИИ-активы и на каких основаниях они создавались и использовались. Отдельно следует провести аудит процессов обработки и передачи персональных данных внутри группы и третьим лицам, соблюдения требований о локализации, мер информационной защиты, наличия согласий субъектов персональных данных.
Следующим шагом для покупателя станет выявление всего объема компонентов с открытым исходным кодом и предобученных моделей. Если бизнес опирается на инфраструктуру, требующую специальных лицензий (например, на средства защиты конфиденциальной информации, шифровальные средства), нужно проверить их наличие, срок действия и соответствие фактическим видам деятельности.
Стоит учесть, что в России существует специальный статус компаний — субъекты критической информационной инфраструктуры (КИИ). Если компания относится к таким, покупатель получает дополнительные обязательства по защите значимых объектов: организационные меры, системы мониторинга и реагирования, требования к ПО и инфраструктуре, иные комплаенс-нагрузки. Это напрямую влияет на бюджет и сроки интеграции — а значит, должно заранее учитываться и в оценке актива, и в структуре сделки (включая условия закрытия и распределение расходов).
После того как компания проанализирована, важно определить структуру сделки. Покупка компании «целиком» позволяет сохранить действующие договоры, лицензии и статус оператора персональных данных, но одновременно переносит на покупателя потенциальные нарушения и регуляторные риски прошлых периодов. Покупка отдельных активов дает возможность отсечь проблемные обязательства, однако повышает сложность перехода: перенос клиентских баз, перезаключение договоров, получение согласий на обработку данных новым оператором, переоформление прав на данные и модели. На выбор конструкции накладываются и налоговые последствия, а также издержки как в момент сделки, так и в перспективе (например, при последующей перепродаже актива).
В структурировании сделки важную роль играют и регуляторные согласия. На стадии планирования нужно оценить их влияние на конкуренцию: изменится ли доступ других игроков к данным и инфраструктуре, усилятся ли барьеры входа, появится ли возможность исключать конкурентов. Заранее стоит оценить, подпадает ли сделка под требования согласования с ФАС или правительственной комиссией, в том числе с учетом имеющихся лицензий — необходимость получения согласия может удлинить сроки сделки.
Следующий важный вопрос, на который нужно обратить внимание,— управление доступом к данным и информационная безопасность (ИБ). Еще до закрытия сделки следует унифицировать политики ИБ, категоризацию информации, уровни угроз и защиты, проверить условия конфиденциальности в договорах с работниками и контрагентами, при необходимости ввести режим коммерческой тайны и регламенты о конфиденциальной информации. Важно провести ревизию учетных записей, в том числе доступов к репозиториям кода, хранилищам датасетов и контурам эксплуатации и обучения моделей, определить порядок предоставления и прекращения прав доступа.
Владимир Левшук
Фото: Предоставлено «Томашевская и партнеры»
Владимир Левшук
Фото: Предоставлено «Томашевская и партнеры»
При покупке компании не стоит забывать и о главном активе — сотрудниках. Помимо технических ролей, критичны доменные эксперты, которые понимают отраслевую специфику (например, в медицинской или финансовой отраслях). Такие ключевые специалисты зачастую работают по гражданско-правовым договорам или через подрядчиков, что повышает риски их ухода. Следует провести аудит договоров, перевести работников на более устойчивые форматы взаимодействия и предусмотреть инструменты мотивации и удержания — например, опционные программы.
Следующая стадия — так называемая миграция данных. Перед ней проводится инвентаризация: источники, объемы, форматы, права, категории данных и уровни доступа и защиты. На ее основе формируется «дорожная карта» с этапами, контрольными точками, уведомлениями регуляторов, изменениями локальных актов и договоров, назначаются ответственные за каждый этап; затраты на миграцию закладываются в финансовую модель сделки.
Финальное правило, которое особенно актуально,— импортозамещение. ИИ-решения нередко завязаны на зарубежные облака, модели и сервисы, доступность которых может измениться по внешнеполитическим причинам. Покупателю необходимо оценить зависимость актива от иностранной инфраструктуры, сценарии отказа от нее и стоимость перехода на отечественные аналоги — особенно если компания работает с госзаказчиками или подпадает под требования КИИ. Выявленные расходы на импортозамещение разумно заранее переводить в механизмы корректировки цены и условия закрытия.
Сделка по слиянию и поглощению в отношении ИИ-компаний в секторах, где данные являются главным активом,— это сделка не только про доли и выручку, но и про правовой режим данных, происхождение моделей, соблюдение требований безопасности. Комплексная юридическая проверка (due diligence), правильная структура сделки и детальное планирование интеграции снижают вероятность финансовых и репутационных потерь и помогают сохранить непрерывность бизнеса. Стоит помнить, что право в этом направлении развивается опережающими темпами и успешная интеграция приобретенного актива требует создания процессов для постоянного мониторинга регуляторных изменений. Если вы готовите сделку с ИИ-компанией, работающей с критическими данными, имеет смысл превратить эти правила в рабочий чек-лист и заранее распределить ответственность между юристами, технической командой и службой информационной безопасности.