我國企業境外上市新規解讀及檔案安全治理探析

張 超 王露露

（1.中國人民大學信息資源管理學院，北京，100872；2.北京大學信息管理系，北京，100871）

2022年3月，美國證券交易委員會（United States Securities and Exchange Commission，SEC）公布了之前預除名的5家中概股企業名單后，大部分中概股企業的股價出現了大幅度下跌。這是2020年5月美國證監會頒布《外國公司問責法案》后，按照實施細則執行的第一批超過3年沒有提交審計底稿的中概股企業。當前的主要矛盾是審計底稿監管和審查問題，其嚴重性在于我國赴美上市的中概股企業中有一定比例的互聯網企業，其掌握了我國大量的基礎用戶信息，美國證監會提出的“無條件提供審計底稿”必然會威脅到我國信息安全。

對于監管對象而言，無論是否涉及境外審計，中概股企業都需要意識到信息安全的重要性，提前關注信息安全管理的問題，而企業檔案客觀記錄了企業各項業務活動，是確保信息安全的重要組成部分。對監管主體而言，2022年4月2日，中國證監會就修訂的《關于加強境內企業境外發行證券和上市相關保密和檔案管理工作的規定（征求意見稿）》（以下簡稱“新規”）向社會公開征求意見，重點明確了企業信息安全責任和跨境監管合作安排等問題，相當于為開展跨境監管合作提供制度保障。［1］盡管從政策上來看，我國證監會和美國公眾公司會計監督委員會（Public Company Accounting Oversight Board，PCAOB）有可能達成一個折中且雙方都能接受的操作模式，但具體如何落地以及企業如何具體執行等問題尚未解決。這其實給我國境外上市企業檔案安全治理問題畫了一個更大的問號，也解釋了本研究提到的“新規解讀視角”的必要性。

目前，關于該問題的研究集中在境外企業歸檔業務和宏觀監管機制等方面［2-5］，學者們尤其關注國有企業的境外檔案管理問題。赴美上市的中概股企業有其自身特殊的業務情況，導致記錄其業務活動的檔案信息也具有極強的涉密敏感性，而且一般面臨著更加嚴重的監管風險，會對資本市場運作帶來連鎖反應。然而，目前關于境外上市企業及其檔案安全問題的研究成果相對較少。從當前的形勢來看，該類企業的檔案安全治理問題非常嚴峻，有必要結合新形勢、新規則和新環境展開更加持續、廣泛且深入的探討，從而滿足企業檔案安全監管的要求，為我國資本市場發展提供空間。

1 “新規”的修訂要點解讀

“新規”對2009年發布的原規定進行了修改。“新規”全文總共13條，明確了監管企業范圍、跨境聯合監管等內容，并對檔案程序安全、跨境檔案審批等進行了規定。增強對我國境外上市企業檔案的監管與保護，一方面是國家檔案局、證監會等監管機構適應新形勢的發展，順應內外部環境變化的應有之舉，另一方面也是我國產業結構升級調整的需求。這傳遞出加強檔案安全治理、提高效率、明晰責任、兼顧統籌發展與安全的信號。

1.1 擴大監管范圍，明確企業檔案責任

“新規”根據《中華人民共和國會計法》《國務院關于境內企業境外發行證券和上市的管理規定》等多部上位法律法規準確做出調整，明晰了境內企業境外發行證券、上市保密的相關檔案管理工作為其核心監管對象，相比舊版規定擴大了監管適用范圍。一方面，“新規”將境外直接發行上市的境內企業和境外間接發行上市主體的境內運營實體均納入主體監管對象，如近年來越來越多的境內企業以間接紅籌股的方式赴中國香港、美國等境外市場上市，“新規”此舉把此類企業納入監管范圍旨在進一步減少規范盲區。另一方面，“新規”還將證券公司、證券服務機構等關聯方一并納入其監管范圍，強化了境內企業境外上市全產業鏈條的監管閉環。“新規”通過擴大監管范圍精準落實相關企業檔案安全管理責任，配合新修訂后的《檔案法》中“法律責任”一章內容，既有助于強化上述企業對于檔案安全和保密問題的認知，又適應了新時期檔案安全新形勢，從而確保企業檔案安全，保障國家信息安全。［6］

1.2 轉變監管方式，尋求跨境聯合監管

自2007年起，我國證監會等監管部門與美國PCAOB等境外機構就會計檔案跨境監管合作進行了持續性的接觸，并就簽署合作協議進行了討論，但一直未能取得突破性進展。［7］本次修訂在確立監管合作為最優路徑的基礎上取得了新的成果，具體表現在三個方面：一是刪除了此前關于“現場檢查應以我國監管機構為主進行，或者依賴我國監管機構的檢查結果”的表述，不再按照檢查方式和地域區分，更加貼合跨境審計監管合作的國際慣例。二是秉承開放的態度尋求跨境監管合作機制的確立。事實上，我國監管機構已初步積累了與多個國際資本市場的跨境監管合作經驗，其中包括中國與歐盟的等效談判、內地與香港的《監管合作備忘錄》簽署等。［8］三是在探索跨境監管合作過程中，要求證監會、檔案主管部門以及雙多邊合作機制提供必要協助。該條規定旨在尋求多部門根據專業領域的監管職能進行多向聯動，進一步為合作機制的有效落地提供制度保障。

1.3 夯實保密機制，強調檔案跨境監管

在貫徹總體國家安全觀的背景下，“新規”第三至第八條內容對境內企業境外上市的會計檔案、工作底稿等涉及國家機密的文件資料，做出了明確的管理要求，具體要點包括三個方面：一是“新規”將與先前國家互聯網信息辦公室發布《網絡安全審查辦法》《個人信息出境安全評估辦法》等法律法規互為補充［9］，逐步完善從數據到信息再到檔案的全生命周期監管體系。二是“新規”明確要求涉及國家秘密、機關單位工作秘密的檔案，在向中介機構和境外監管機構提供過程中，均應依法報批并進行同級備案。事實上，境外上市企業為了眼前的利益，極有可能觸犯到國家信息安全的底線，導致我國公民個人信息和國家安全信息的泄露。［10］此舉要求上述企業在嚴格保守國家秘密同時，關注對敏感問題的評估，這將有助于規避安全風險。三是“新規”要求在境內形成的工作底稿、會計檔案等存放在境內，具有重要保存價值的檔案或檔案復制件出境時也應獲得審批。整體上看，“新規”要求企業對檔案保密價值的重要性予以更多關注，自下而上，進一步豐富我國境外上市企業檔案的監管層次。

1.4 確立審批責任，注重檔案程序安全

當前中美對上市企業在審計底稿上的爭端，本質上在于當前我國尚未形成嚴格規范的上市企業檔案涉密審批具體規則、法規與制度，導致上市企業已形成的審計底稿無法明確區分可公開與涉密類別。同時，由于我國上市企業審計監管職能分散，導致審計底稿以及相關檔案出境前并未經過國內嚴格的指導與審批，加之考慮到企業檔案走向數字化的新形勢，其涉密檔案監管問題將更加復雜。針對可能發生信息安全風險的環節，“新規”提出了聯合監管要求，更加嚴格落實相關審批責任，強調程序留痕，標志著我國境外上市企業檔案監管開始從后端的結果監管，走向全流程的程序監管。

2 我國境外上市企業檔案安全治理的新問題

本部分通過梳理“新規”修訂的重點內容，主要從檔案安全責任、“新規”落實情況、檔案信息安全管理細則和跨境監管合作機制四個方面分析當前復雜新形勢下我國境外上市企業檔案安全治理中存在的問題。

2.1 境外上市企業檔案安全責任意識較為薄弱

境外上市企業的檔案安全治理問題，可以追溯到意識層面。只有在意識層面，企業認識到檔案對境外上市活動，對企業長遠、穩健發展，乃至對國家安全的重要價值，才會從制度、管理、人力、物力等方面全方位保障檔案安全。從治理對象的特性出發，檔案的憑證價值和情報價值使得企業必須對檔案給予足夠的重視，然而，現實狀況是大部分上市企業的發展時間較短，在運營成本和人力投入等方面承受了較大的壓力；部分私營、民營企業甚至無專門的檔案館（室）而由控股公司檔案館（室）代管，會計檔案被看成是累贅。［11］此外，這些企業也很難接受來自檔案專業管理機構的指導與監管。這種薄弱的檔案安全責任意識源于企業決策層，即便是以境外業務為主的部分大型科技企業，在對待檔案管理這一問題上，也是在經歷嚴苛的勞工審查案件等其他法律問題承受了巨額賠償之后，才切實將檔案安全管理提升到了合規監管的價值高度。

2.2 境外上市企業落實“新規”存在難度

現階段，中資企業境外上市根據注冊地不同分為直接上市、紅籌上市、可變利益實體（Variable Interest Entities，VIE）架構上市3種。［12］“新規”將監管對象擴大至間接境外發行上市的境內企業，其使用范圍根據上位法相應做出了調整，力爭縮小監管真空地帶。而在企業端來看，此舉為新納入監管的企業落實要求帶來了一定難度。例如，以華晨汽車為代表的小紅籌中概股企業，它們選擇間接境外上市的原因之一就是考慮到上市成本和經營壓力。而此類企業往往缺少檔案安全管理人才、資源和經驗，被納入監管范圍會帶來新的合規性成本。與此同時，我國諸多間接境外上市的企業無論是紅籌架構還是VIE架構，其復雜的境外注冊身份、股權結構、運營架構都會為落實檔案安全管理責任帶來新的阻礙。［13］以境外注冊身份地為例，中國企業很少在美國本土注冊，包括搜狐在內的許多知名企業都將注冊地放置在開曼群島、維京群島、百慕大等地區，顯然在此類注冊地落實企業檔案安全管理還存在困難。

2.3 檔案信息安全管理細則有待細化

對境外上市企業而言，檔案安全治理本質上是處理涉密內容以及對底稿的審查權問題，關鍵在于制定相對可操作的標準或細則。盡管國內已有宏觀層面的《會計檔案管理辦法》（2015年）、《企業文件材料歸檔范圍和檔案保管期限規定》（2012年）、《境外檔案管理辦法》（2019年）等規章和法規性文件，但其主要針對的是國有企業境外檔案的監管，對于非國有企業的上市檔案信息安全尚未有針對性的政策。整體來說，我國目前對上市企業的檔案監管還沒有形成較為系統化的政策環境。此外，境外上市企業的業務類型會直接影響檔案安全治理對象、條件、監管范圍和鑒定標準等，因此，境外上市企業需要構建一套適應自身業務類型的評估體系。針對會計檔案信息披露時間節點設置等問題，盡管“新規”明確其要經過相關的審批程序，且要符合涉密法規、標準的要求，但還需進一步針對境外上市企業構建具體的頂層標準和實施規則等。

2.4 雙多邊跨境監管合作機制有待落地

“新規”雖然刪去了關于檔案底稿的“現場檢查”和“非現場檢查”的描述，并結合國際慣行做法開展跨境監管合作，但在具體落地層面雙方監管依舊存有重重阻礙。以中美雙方為例，目前難點主要集中在三個方面：一是受到國際動蕩局勢的復雜影響，跨境監管合作在近十多年來一直波折不斷。美方始終將在美上市中國企業的利益作為一種“外交籌碼”來向中方施壓，并屢屢采取單方行動制造爭端，致使雙方合作機制的落地長期受阻。二是雙多邊跨境監管合作模式下的多部門監管協同問題。目前，中國對于境內企業境外上市的審計監管和檔案監管，其職能分布在財政部、證監會、檔案局等多個部門，存在著多頭管理的情況，部分監管部門缺少跨境監管合作經驗，可能會在本次合作過程中面臨新挑戰。三是中美雙方在跨境監管合作機制落地過程中缺乏足夠的信任。我國需要承擔美國SEC或PCAOB將企業檔案底稿移交給美國聯邦政府而帶來的信息安全風險，這可能會被他國掌握行業機密和敏感信息，威脅我國國家經濟安全乃至人民生命財產安全。而美方則懷疑我國監管部門在檔案底稿接受審計前有可能會對某些內容做出刪改，美方無法了解企業的真實情況，最終導致雙方監管主體無法順利開展工作。

3 我國境外上市企業檔案安全治理路徑

基于以上問題的分析，有必要完善我國檔案監管體系，構建多方治理策略，在保障國家安全的前提下，通過雙方合作共同維護全球投資者和企業利益，實現多贏。筆者認為，可以從以下四個方面進行探索與優化。

3.1 提高境外上市企業的檔案安全責任意識

境外上市企業的檔案安全意識，是指在整個企業內部形成一個關注檔案安全的信息文化（Information Culture）。貫徹落實這種包括檔案在內的信息工作方式的變革，才能惠及境外上市企業的檔案安全治理。盡管我國在檔案監管方面，對上市企業沒有表現出清晰的導向，但從近年對國有企業境外檔案監管的趨勢看，上市企業檔案監管也應當自覺提高管理標準、強化安全管理意識。具體可從以下三個方面實現轉型：一是制定長遠、清晰的檔案安全管理戰略。企業各部門都會形成檔案，因而需要企業所有員工自覺關注到檔案的價值和涉密等問題。從文件生命周期來看，前端的涉密審查和文件規范化管理的順利執行，可以高效地解決境外上市企業的檔案安全問題。二是需要進行相關檔案涉密和安全管理的培訓，同時制定相應的激勵機制。這其中既包括對各部門人員的檔案專業技能培訓，還包括對管理者的檔案信息治理戰略的培訓，只有使保護檔案安全成為人們處理文件和信息的行為規范，使人們的信息價值觀達成自我實現的觀念轉化時，才能真正實現境外上市企業的檔案安全責任文化建設。三是制定專門的境外上市企業檔案安全治理制度，可以通過對優秀案例、人物的宣傳與獎勵，形成正確的價值氛圍導向，從而在意識層面實現塑造和影響境外上市企業檔案安全行為決策的效果。

3.2 完善境外上市企業檔案安全治理體系

不論中美兩國監管機構最終采取何種方式開展跨境監管合作，都必然建立在一個共識的基礎之上，即監管機構必須按照“法無授權不可為”的原則，在本國法律法規授權的框架內履行職責。［14］因此，想要最大限度地保護國家與我國企業的根本利益，完善我國境外上市企業檔案安全治理體系尤為重要。具體包括以下三條舉措：一是完善檔案安全治理領域的標準體系。現行的28項檔案相關的推薦性國家標準，并未涉及我國境外上市企業檔案相關內容。在“新規”劃出檔案監管紅線時，更應將配套的國家標準、行業標準一并納入，將我國境外上市企業相關檔案底稿的存儲、傳輸、歸檔、利用等一系列工作要素進行明確。二是細化“新規”中涉密信息進入檔案底稿的審核標準。中國應該對上述企業公開更多細化的規則，例如對敏感信息、涉密信息分級、分類的評估規則。［15］如此一來，企業在提交監管部門審核相關信息之前，就可以進行自我評估，便于監管部門針對不同類型的檔案信息采取不同的監管策略。三是促進我國境外上市企業檔案安全管理的行業自律。建議成立區域性的境外上市企業自律組織，組織成員可包括境外上市企業、會計師事務所、上市服務商等機構。此舉不僅使得境外檔案管理也開始具有區域循環集中的優勢［16］，還可以對提供審計檔案底稿的條件、種類、審批程序、保密事項及責任承擔等事項形成較為明確統一的規定，以便境內監管機構對境外檔案的管控執行。

3.3 建立涉密信息識別流程與風險預警機制

在信息技術飛速發展的時代，檔案信息泄露、原件跨境歸檔、信息安全風險等問題面臨更為嚴峻的監管挑戰。首先，必須積極利用信息安全技術來識別風險，這不僅包括信息系統上的數字檔案，還包括具有重要憑證價值、歷史價值和參考價值的檔案原件等，企業檔案部門應當制定相應的檔案開放利用系統規則和實體檔案利用制度，形成較為可行且可靠的檔案全流程管理程序，重點關注會計檔案底稿和涉密檔案信息的開放和利用等問題，以“新規”建立的申請審批程序為引導，在企業內部也形成相應的對外申請審批流程和制度。其次，實行寬進嚴出的檔案信息監管審批機制。在具體內容上，可以采用“技術+人工”的模式，細化跨境監管合作細則；在歸檔的入口上，擴大歸檔范圍從而實現檔案信息的規范化“進入”；在監管和開放的出口上，采取多方聯合審批的機制，利用技術過濾掉可公開的共享信息，然后再細化和落實到人工審批、多部門聯合檔案部門審批、企業決策層審批以及申請國家檔案部門或國家保密部門審批等，明確風險等級，實現有序的內部監管環境。最后，對于境外上市企業來說，一些財務檔案或者會計檔案是證明企業經營狀況良好的關鍵資源，尤其是部分信息點（而非整份檔案）才是確保企業上市的內容監管單位。面對上述監管難題，檔案密點識別的實現也是推動監管與市場并行的可行方案，因此，企業需要從前端增強對檔案信息的識別與密點的鑒定與評估，通過細化管控對象，實現對境外上市檔案靈活和高效的監管。

3.4 構建國際多邊聯合監管的長期對話通道

不同國家、不同地區、不同法域之間存在監管差異并不是問題，關鍵在于通過相對充分的對話與溝通，使得彼此確信對方的監管具有等效性，從而為跨境監管合作創造良好氛圍、奠定必要的基礎。［17］在當前中美博弈的背景下，雙方應秉持開放互信、平等互利的態度，構筑一個國際雙、多邊合作的長期對話通道。具體包括三條舉措：一是建立一支擁有檔案安全管理專業人才團隊。一方面有助于在長期合作對話中確保檔案安全監管的中方需求；另一方面還可以促成檔案主管部門與保密主管部門、證監會之間的監管合力，更順暢地與國際監管團隊進行對話。二是合理利用新興技術來搭建互信互賴的橋梁。事實上，以區塊鏈、云計算、數字水印為代表的技術手段非常適合用以解決中美之間的互信問題。區塊鏈技術在電子檔案領域應用較為成熟，其代表性的點對點傳輸、去中心化和雙向加密機制能完美解決檔案節點間的信任問題，有助于中美雙方之間檔案底稿的審計與交互。［18］三是豐富跨境監管的合作內容。雙方應在簽署《諒解備忘錄》《合作協議》基礎上擴大合作內容、豐富合作方式。例如，可以將檔案治理作為橋梁，在美國國家檔案與文件署和我國國家檔案局之間增設關于檔案科研合作的學術會議、國際論壇等，利用學科共識來反哺監管合作。

4 結 語

近年來，我國相關監管機構不斷強化境外企業檔案安全治理，在治理體系方面進行了全面、系統、貼合實際工作的升級，這對于保障我國境外上市企業利益，確保國家信息安管具有重要意義。“新規”明確了我國企業和相關中介機構在境外上市過程中關于檔案底稿的安全責任，轉變了監管方式并尋求開放式的跨境聯合監管，強調了會計檔案在接受跨境審計過程中審批程序的重要性。但從實踐的發展來看，境外上市企業的檔案安全治理仍舊任重而道遠，這一問題與政治、經濟、法律、外交等都緊密相連，需要權衡多方利益關系，同時保障我國總體國家安全和企業的合法權益。面對瞬息萬變的國際局勢，形勢一直在“更新”，我國境外上市企業的檔案安全治理仍有很長的路要走。