extmoney
← Назад в блог

Неделя, когда «соответствует GDPR» перестало быть достаточным

Автор Кононенко Евгений ПетровичОпубликовано: 17.07.2026

Коротко

В конце июня 2026 года решение Верховного суда США о независимости Федеральной торговой комиссии от президента вновь открыло спор о том, держится ли ещё главный легальный канал передачи европейских данных на американские серверы — EU-US Data Privacy Framework. Формально он всё ещё действует, но европейские правозащитники по приватности уже открыто требуют его отмены, и никто серьёзный не ждёт, что вопрос решится быстро. Если защита ваших финансовых данных зависит от того, что именно этот механизм останется на месте, — это была неделя, когда игнорировать эту зависимость перестало быть безопасной ставкой. Мы построили архитектуру данных ExtMoney так, чтобы для самого важного в продукте этот вопрос вообще не возникал.

Подождите, что вообще произошло

Вот короткая версия, без юридического жаргона. С 2023 года главный инструмент, легально позволяющий американским компаниям получать персональные данные, вывезенные из ЕС, — это EU-US Data Privacy Framework, и он частично опирается на то, что Федеральная торговая комиссия действует как независимый надзорный орган, следящий за тем, чтобы компании-участники соблюдали свои обязательства.

29 июня 2026 года Верховный суд США по делу Trump v. Slaughter постановил, что президент обладает большей властью снимать членов FTC с должности, чем считалось ранее, — что попутно подрывает саму «независимость» этого «независимого надзора». Европейские правозащитники по приватности, во главе с организацией noyb, на следующий день написали в Еврокомиссию, что это ломает юридическое требование, на котором держится всё рамочное соглашение, и потребовали его свернуть. Комиссия заявила, что оценивает последствия решения; формально рамочное соглашение пока действует, пока идёт эта оценка, а любое судебное разбирательство по этому поводу, как ожидается, займёт немало времени.

Ничто из этого не делает нелегальным для европейской компании использовать американского облачного провайдера завтра утром. Но это убирает удобное допущение, что «мы полагаемся на Data Privacy Framework» — стабильная, скучная, устоявшаяся фраза. Уже в третий раз за десятилетие — после того, как по очереди отменили Safe Harbor и Privacy Shield, — главный правовой мост для передачи данных между ЕС и США снова под открытым вопросом.

Почему мы не строили архитектуру вокруг этого моста с самого начала

Инфраструктура ExtMoney работает на серверах в Германии. Для большей части того, что делает приложение — ваши транзакции, счета, балансы, капитал — данные вообще никогда не пересекают Атлантику, а значит, нынешняя правовая неопределённость их просто не касается. Ни решения об адекватности, ни типовых договорных условий, ни рамочного соглашения, за которым нужно нервно следить в новостях. Вопрос резидентности данных попросту не возникает, потому что данные никуда не уезжают.

Это осознанное отличие от «соответствует GDPR» — утверждения о соблюдении правил там, где бы ни стояли ваши серверы. «Хостится в ЕС» — это факт о том, где физически стоят серверы. Эти два понятия постоянно путают в финтех-маркетинге, и этот месяц — хорошая иллюстрация того, почему это различие не педантизм.

Нам не нужны ваши данные, чтобы зарабатывать — и это определяет всё, что выше по цепочке

Архитектуре приватности проще доверять, когда бизнес-модель тихо не зависит от её подрыва. Мы зарабатываем на подписках — не на рекламе, не на продаже доступа к вашим паттернам трат, не на «бесплатном» тарифе, который окупается за счёт наблюдения за покупками. Никакой рекламы, никакого трекинга, никакой перепродажи данных — без исключений.

Это не просто декларация ценностей — это меняет то, что вообще строится. У компании, монетизирующей внимание, есть постоянный стимул собирать больше, чем нужно, и хранить дольше, чем следует. У компании, монетизирующей подписку, стимул обратный: собирать ровно то, что реально требуется для функции, потому что не существует второй бизнес-модели, готовой найти применение остальному. А дальше — скучные, проверяемые технические детали: TLS 1.3 при передаче, шифрование AES-256 для резервных копий, хранящихся в отдельном регионе, двухфакторная аутентификация и полное отсутствие телеметрии, собирающей данные об использовании без явного согласия.

Где нам всё же приходится пересекать Атлантику — и как мы честно с этим обращаемся

Мы не будем делать вид, что все байты остаются в Европе — это не так, и питч про приватность, который тихо намекает на обратное, не тот, который мы хотим делать. Пара функций реально выигрывает от больших языковых моделей, и сегодня часть этой обработки идёт через провайдеров за пределами ЕС.

Там, где это так, справедливы три вещи. Во-первых, это раскрыто — названо как субпроцессор, а не спрятано в сноске. Во-вторых, это покрыто типовыми договорными условиями (SCC), а не держится исключительно на Data Privacy Framework — что важно именно потому, что SCC не зависят от того самого вопроса независимости, который сейчас под сомнением (хотя у них есть свои отдельные требования по оценке рисков, которые мы тоже не замалчиваем). В-третьих, то, что реально отправляется, жёстко минимизировано ещё до отправки: имена заменяются на токены конкретной сборки до того, как что-либо попадёт во внешнюю модель, и подставляются обратно локально только после того, как ответ вернулся — так что утечка или судебный запрос на другой стороне не выдаёт вашу реальную личность, привязанную к вашей финансовой жизни.

Согласие — не галочка, которую ставят один раз. Это запись, которая переживает момент клика

Политика конфиденциальности, которая говорит «мы спрашиваем согласие», — это обещание. Система, которая может по запросу предъявить точную версию точного текста согласия, с которым согласился конкретный пользователь, и точное время, когда он согласился, — это квитанция. Мы построили именно второе: каждое событие согласия — на обработку голоса, на сканирование чеков, на AI-инсайты, на маркетинг — записывается в неизменяемый журнал, привязанный к конкретной формулировке, которая была на экране в тот момент, потому что тексты политик со временем меняются, а вопрос «на какую именно версию он согласился» должен быть отвечаем через месяцы, а не восстановлен по памяти.

На практике это значит, что если вы отключите AI-инсайты, функция не продолжит незаметно работать по техническому основанию. Обнаружение аномалий остаётся полностью статистическим в любом случае — этой части никогда и не требовался AI-флаг, — а отказ от AI-слоя поверх него даёт заметно другой, но полностью рабочий опыт, а не деградирует до «ну технически у вас всё ещё немного AI есть».

Практические рекомендации (если вы оцениваете заявления о приватности любого приложения, включая наше)

  • Спрашивайте «где живут данные», а не «вы соответствуете требованиям». Соответствие — юридический аргумент про правила; резидентность — факт про серверы. Этот месяц — живая демонстрация того, почему это различие важно.
  • Спросите, как компания на самом деле зарабатывает. У продукта на подписке и у «бесплатного» продукта на рекламе структурно разные стимулы в отношении ваших данных, что бы ни говорила политика конфиденциальности каждого из них.
  • Спросите, что происходит с вашими данными, когда вы отвечаете «нет». Если отказ от AI-функций не даёт заметно другого, но полностью рабочего опыта — это не настоящий opt-in.
  • Спросите список субпроцессоров, а не только политику конфиденциальности. Компания, способная назвать точно, кто касается ваших данных и зачем, заявляет нечто иное, чем та, что отделывается фразой про «доверенных партнёров».

Где мы бы поспорили сами с собой

  • Мы не юристы, и ничего выше — не юридическая консультация, в том числе для наших собственных пользователей. Если нынешняя правовая неопределённость разрешится неожиданным образом, наша модель соответствия будет адаптироваться, как и у всех остальных, и мы не заявляем иммунитет от этого.
  • Часть обработки всё ещё покидает ЕС, и делать вид, что это не так, было бы хуже нынешнего положения дел. Честная позиция — «минимизировано, раскрыто и на более устойчивом из доступных сегодня правовых оснований», а не «никогда не происходит».
  • Неизменяемый журнал согласий хорош настолько, насколько хорошо то, с чем его реально сверяют. Архитектура делает квитанцию возможной; она не делает автоматически правильным каждое решение, принятое дальше по цепочке разработки, а это требует постоянной дисциплины, а не просто хорошей схемы данных.
  • Мы только запускаемся, так что это описание того, что мы построили, а не пока история под реальным регуляторным контролем в масштабе.

Мы строим это открыто. Если «хостинг в ЕС по умолчанию, доход с подписок, а не с данных, и квитанция на каждое согласие» — это та планка, на которую должны равняться приложения для личных финансов, начните бесплатно на ExtMoney — а если хотите более техническую версию всего вышесказанного, спросите, мы пойдём глубже.