Как стартапу пройти IP due diligence и не потерять инвестиционную сделку
Юристы REVERA Law Group объяснили, что именно проверяют инвесторы в коде и данных стартапа — и как подготовиться заранее.

Когда инвестор входит в стартап, он покупает не только долю в юрлице — он покупает продукт и команду. Но если права на этот продукт юридически не закреплены за компанией, сделка может рухнуть ещё на этапе проверки. Юристы практики IT-споров REVERA Law Group Александр Стружко и Глеб Шумилов разобрали, что именно происходит в ходе IP due diligence, какие ловушки расставляют открытые лицензии и данные для обучения ИИ-моделей.
Для белорусских стартапов, особенно резидентов ПВТ, этот вопрос стоит особенно остро: многие из них привлекают иностранные инвестиции и проходят due diligence по международным стандартам, где блок интеллектуальной собственности давно вышел из разряда формальностей.
Что ищет инвестор в вашем коде
Логика инвестора проста: он думает о выходе с момента входа. Чем надёжнее оформлены активы компании, тем выше уверенность, что продукт сохранит рыночную стоимость к моменту продажи доли. Если IP не оформлена — непонятно, можно ли продукт лицензировать, поставить на баланс, использовать в налоговом планировании или защитить от копирования бывшими сотрудниками.
Стандартный блок due diligence по интеллектуальной собственности охватывает несколько направлений. Первое — реестр прав: инвестор запрашивает полный список того, чем компания владеет юридически: авторские права на код, товарные знаки, патенты, промышленные образцы, свидетельства о регистрации. Второе — договорная цепочка: нужно доказать, что права на разработки реально перешли к компании через договоры с сотрудниками и подрядчиками. Если разработчик писал код без надлежащего договора, формально права могут оставаться у него лично — и это стандартная проблема для стартапов, которые на старте экономили на юридическом оформлении.
Третье направление — открытые компоненты: на каких условиях используются готовые библиотеки и модели. Четвёртое — данные для обучения: для ИИ-стартапов отдельно изучают источники датасетов и соответствие требованиям законодательства о персональных данных.
Вирусные лицензии: когда открытый код закрывает вам раунд
Разработчики регулярно берут готовые модели и библиотеки с платформ вроде GitHub или Hugging Face — и автоматически принимают условия лицензий, не всегда читая их внимательно. Между тем лицензии делятся на принципиально разные типы.
Разрешительные лицензии — MIT, BSD, Apache 2.0 — требуют лишь указания авторства и позволяют оставлять производный код закрытым. Для коммерческого продукта это приемлемо. Ограничительные лицензии — GPL, AGPL — работают иначе: если вы распространяете продукт, построенный на таком коде, вы обязаны открыть исходники на тех же условиях. Весь ваш продукт — включая коммерческую логику — становится доступным конкурентам. Этот механизм называется копилефт.
Последствия нарушения вполне осязаемы. В феврале 2024 года французский суд по делу Entr'Ouvert против Orange взыскал около 1 миллиона евро именно за несоблюдение условий GPL-лицензии. Большинство популярных языковых моделей — Mistral, Gemma, Llama — распространяются под разрешительными лицензиями, что снижает риск. Но проблема возникает с периферией: небольшие вспомогательные модели, сторонние библиотеки и код из нетипичных источников нередко оказываются под ограничительными лицензиями. Обнаруживается это, как правило, именно в ходе due diligence — в самый неудобный момент.
Данные для обучения ИИ: следующий фронт правовых рисков
Для стартапов, которые обучают собственные модели, инвесторы выделяют отдельный блок проверки — источники обучающих данных. Здесь пересекаются сразу три правовых плоскости: авторское право на исходные данные, условия использования платформ, откуда они взяты, и требования законодательства о персональных данных.
Глобальный контекст задаёт волна судебных разбирательств в США. Против крупных технологических компаний сейчас рассматривается несколько дел на миллиарды долларов — в том числе резонансный иск New York Times против OpenAI — именно по вопросу правомерности использования данных для обучения. Инвесторы отслеживают эти прецеденты и не хотят брать на себя аналогичные риски при входе в стартап.
Для белорусских компаний, работающих с персональными данными граждан ЕС или использующих европейские датасеты, добавляется ещё один уровень требований — GDPR. Несоответствие может не только сорвать сделку с европейским инвестором, но и создать регуляторные риски уже после закрытия раунда.
Как готовиться к раунду, не дожидаясь проверки
Хорошая новость: большинство IP-проблем, которые выявляет due diligence, не являются фатальными. Многие закрываются на уровне договорной документации — грамотно составленные заверения, гарантии и положения об ответственности в SPA/SSPA снимают значительную часть рисков. Инвестор, понимающий реальную картину, скорее предпочтёт зафиксировать риски в договоре, чем отказаться от интересного актива.
Тем не менее готовиться лучше заранее — и это не требует больших ресурсов. Минимальный набор: вести реестр используемых открытых компонентов с указанием лицензий, документировать источники обучающих данных и фиксировать внутренние процессы разработки. Такая документация не только упрощает проверку, но и сигнализирует инвестору, что команда понимает, чем управляет.
Для стартапов из ПВТ и Hi-Tech Park, которые целятся на международные раунды, имеет смысл провести внутренний IP-аудит ещё до выхода на инвесторов — это сократит время due diligence и снизит вероятность неприятных сюрпризов на финальном этапе переговоров. Юридические практики, специализирующиеся на IT-транзакциях, такой аудит проводят в рамках предынвестиционной подготовки.
— По материалам Myfin.by: https://myfin.by/article/blogi/zacem-investoru-vas-kod-riski-ii-i-zasita-intellektualnoj-sobstvennosti-v-startape-46560?utm_source=rssfeed. Полная ссылка на оригинал обязательна согласно редакционной политике для беларуских источников. Адаптация — редакция Digital Business.








