跨境審計師信息流動國際協議解讀：內容框架、規則特點與治理啟示

【中圖分類號】F239 【文獻標識碼】A 【文章編號】1004-0994（2025）14-0030-

一、引言

數字經濟全球化背景下，個人數據跨境流動已成為國際監管合作的關鍵議題之一。自前，國際社會尚未建立統一的跨境數據流動監管規則，歐盟、美國和中國在數據治理理念上的結構性差異，導致跨境審計監管合作進展遲滯。相關統計數據顯示，截至2025年1月1日，美國資本市場市值規模約為A股市場的五倍，吸引了包括中概股在內的全球企業赴美上市①。截至2024年，逾300家中國企業通過美國資本市場進行融資，行業覆蓋科技、金融、能源等關鍵領域，中概股相關資本的跨境流動在促進雙方實體經濟發展的同時，亦凸顯了兩國跨境審計監管合作的緊迫性。

美國基于《薩班斯-奧克斯利法案》（簡稱“SOX法案\"構建了以公眾公司會計監察委員會（PCAOB）為核心的全球審計監管體系。該法案第106條規定，任何為在美上市公司提供審計服務的機構均須接受PCAOB的常規檢查與特別檢查。與此同時，中國《證券法》《數據安全法》等對審計底稿出境施加嚴格限制，由此形成了中美跨境審計監管的制度性沖突。如何在維護國家數據主權的前提下構建兼容性的跨境審計監管合作框架，已成為中美及全球數字治理領域面臨的核心挑戰。

現有關于中美跨境審計監管的研究多聚焦于兩輪中概股危機，以梳理中美合作歷史脈絡、總結經驗教訓以及探討合作推進路徑為主。多數研究基于對沖突邏輯的分析揭示跨境審計監管合作遲滯的主要原因，研究結論多集中于三個方面：一是國家主權與數據安全構成核心矛盾（韓洪靈等，2023；陳麗紅等，2024）；二是我國會計審計監管法律制度尚不完善，形成了法律短板（余佳奇，2020）；三是監管機構權限分歧加劇了中概股會計信息質量問題（李有星和潘政，2020；李文文等，2025）。還有部分研究以瑞幸咖啡、奇虎360等案例為切入點，分析中概股會計信息質量問題并展望跨境審計監管合作前景。然而，現有研究較少涉及跨境數據流動協議的文本分析，亦缺乏對中美之外其他司法管轄區合作模式的考察。

目前，PCAOB已與26個國家和地區的監管機構建立了合作框架，并簽署了協定聲明以約定雙方合作的范圍、內容和形式。其中，PCAOB與包括英國、法國、德國、奧地利等在內的17個國家額外簽署了《特定個人數據轉移協議》，以約定合作過程中涉及審計師個人數據的監管使用規范。本文選取奧地利聯邦財政部（BMF）與

PCAOB簽署的《特定個人數據轉移協議》（Agreementbe-tweentheFederalMinisterofFinanceinAustriaandthePublicCompany AccountingOversightBoard in theUnitedStatesofAmericaontheTransferofCertainPersonalData，簡稱\"美奧協議\"）②進行解讀是基于以下三重考量：其一，美奧協議文本公開透明且內容清晰詳實，有效解決了審計師個人數據跨境流動的監管問題，具有典型性。其二，中奧合作密切，兩國通過“一帶一路\"倡議在基礎設施與技術領域的合作不斷深化（鐘準和魏康婷，2024）。普華永道相關報告指出，奧地利審計準則與中國趨同，其監管實踐具有參考價值③。其三，奧地利《數據保護法》（DSG）④在充分吸納歐盟《通用數據保護條例》（GDPR）精髓的同時保留了本國特色，在美上市的奧地利企業需同時滿足DSG與GDPR的雙重合規要求，其在防范數據泄露與提高自動化決策透明度方面的經驗值得關注（Shankar和Ku-mar，2023）。

鑒于此，本文通過解讀美奧協議，立足中國數據主權現狀、個人數據保護需求及中美跨境審計監管合作發展，為構建中國特色的數據跨境流動治理方案提供理論參考。

二、中美跨境審計監管合作困境分析

中美跨境審計監管合作長期面臨結構性困境，其核心在于雙方在數據主權理念、監管模式偏好及法律框架設計上存在顯著分歧。美國依托其監管法律體系推行單邊監管擴張，而中國則基于國家主權與數據安全強調審慎的數據跨境流動管理。這種根本性差異導致雙方相關合作協議簽署進展緩慢，合作機制構建受阻，而深入剖析雙方立場與沖突根源，是探索協商方案、尋求合作路徑的前提和基礎。

1.美國的單邊主義傾向。現行的國際主流跨境審計監管模式包括單邊監管、雙邊等效以及多邊等效等，其中美國推行單邊長臂管轄模式，歐盟倡導雙邊等效認定機制，而中國主張基于雙方互信建立監管合作備忘錄制度。2018年3月簽署生效的《澄清境外數據合法使用法》（ClarifyingLawfulOverseasUseofDataAct，簡稱“云法案\"）是美國單邊主義的典型體現③。該法案授權美國政府可以為調查犯罪事件訪問存儲于境外的電子數據，其核心特征在于：一是跨境數據轉移無需征得數據存儲地國同意或告知；二是該法案突破了基于主權平等原則的國際協商框架。PCAOB在跨境檢查及數據獲取上堅持三項基本原則：一是具備執行符合美國標準的檢查與調查能力；二是可自主選擇審計工作資料并檢查潛在的違規行為；三是可接觸被認定與項目相關的會計師事務所人員、審計底稿及文件。基于SOX法案的授權，PCAOB采取了強勢立場，要求不合作的在美上市外國公司或接受檢查，或面臨退市風險。在這種情況下，歐盟、日本等國通過建立等效互認機制為PCAOB的檢查設置了準入門檻，然而SOX法案并未授權PCAOB采用等效模式，且除美國外鮮有國家有較大的入境實施檢查的需求，因此等效模式在中美談判中缺乏適用基礎。

2.中國的數據本地化要求。數據本地化要求是主權國家規定特定數據必須存儲于境內，其跨境轉移需經審查的管控方式。全球近60個國家實施了相關立法，中國在數據本地化立法與政策上持審慎態度。近年來，中國持續強化數據跨境流動的合規框架，《網絡安全法》《數據安全法》《個人信息保護法》等法律法規共同構筑了嚴格的跨境數據轉移限制體系，體現出顯著的本地化傾向。其中，2021年《個人信息保護法》中增設的個人信息保護合規審計制度進一步強化了本地化導向。橫向對比顯示，歐盟雖對數據跨境有諸多限制但無明確的本地化表述，印度、澳大利亞等國僅對特殊數據類型的跨境流動設限，俄羅斯則要求個人信息處理全流程均須在境內完成（吳玄，2021）。中美在個人數據跨境流動管轄上的沖突，根源在于雙方對數據域界定的本質差異。傳統國際法下的數據域與領土相對應，而數字時代的數據域邊界趨于模糊（Corning，2024）。這種時代性矛盾要求中國在堅守數據主權底線的前提下，同步探索符合國際慣例的具體跨境合作路徑以回應跨境監管訴求。

3.中美跨境審計監管合作困境。中國證監會數據顯示，截至2023年中國已與67個國家或地區簽署了證券期貨監管合作備忘錄，此類文件旨在通過雙方協商規范跨境監管與數據轉移，平衡數據主權與市場秩序的需求（韓洪靈等，2023）。然而，自2013年中美簽署首份審計監管合作備忘錄以來，雙方相關合作進展有限。美國證券交易委員會（SEC）與PCAOB在2018年的官方文件中指出，雙方對話未能取得實質性突破。2020年瑞幸咖啡事件后，美國方面的審計監管政策出現調整，包括提高中概股上市要求、發布針對中概股的投資風險提示等，并依據《外國公司問責法案》HFCAA）為中概股公司設定了審計合規時間表及退市條款。PCAOB同時表示出對中方合作效率的關切，特別指出審計底稿的審批流程影響了監管效果，并認為中方未明確授予其與其他司法管轄區同等的權限（冷靜，2021）。中方則指出，跨境監管合作困境源于美方長臂管轄原則與中方不干涉內政原則在跨境監管權限上的根本性差異，并持續主張通過對話協商解決分歧。

截至2025年5月，全球已有26個國家與PCAOB簽訂了跨境審計監管協議，其中17國簽署了個人數據保護配套協議，形成了覆蓋主要資本市場的合作網絡②。然而，PCAOB的數據跨境流動監管困境仍集中于中國內地及香港地區，其根源在于中美監管體系的核心沖突。美國依托云法案推行單邊長臂管轄，要求無條件獲取中概股的審計底稿并保留直接入境的檢查權限，這種制度設計突破了主權協商原則；而中國有其嚴格的數據本地化法律框架，強調通過雙邊協商機制保障數據主權安全。與此同時，歐盟、日本等國通過建立等效互認機制化解了類似矛盾，法、德、奧等歐盟核心成員國通過聯合檢查模式實現了突破，此類實踐為中美談判及相關協議的簽訂提供了關鍵啟示。當前中美諒解備忘錄磋商已停滯逾十年，美方將跨境審計爭端政治化并通過HFCAA施加退市威脅，在此背景下，解構現有相關協議的制度彈性設計，對破解中美核心矛盾具有迫切意義。

三、美奧協議核心內容解構

作為歐盟核心國家，奧地利注重個人數據保護法律條文及跨境數據監管合作機制的建立健全。2022年，BMF與PCAOB達成美奧協議，內容包括定義、協議目的與范圍、數據處理原則以及生效和終止等，具體協議框架如表1所示。該協議是奧地利構建數據流動監管網絡的關鍵環節，既滿足了在美上市奧地利公司跨境審計監管的現實需求，也通過協議條款設計平衡了司法管轄權沖突，保護了在美奧地利企業的審計數據安全。

1.協議定位與主體范疇。美奧協議作為美國與奧地利跨境審計監管合作的制度載體，以歐盟GDPR第46（3）條為法律基礎，通過對關鍵術語的定義構建了共同的監管話語體系。在主體范疇上，協議明確APAB作為數據輸出方，承擔著確保數據傳輸合規的責任，DSB在其中行使監督職能。協議核心概念的界定沿襲GDPR寬泛的立法理念，將“個人數據\"擴展至可通過直接或間接的標識符識別的自然人信息，如姓名、身份編號、位置數據等，并將數據處理的全生命周期操作納入規制的范圍。值得注意的是，協議定義了“敏感數據”，并通過原則條款對種族、健康、刑事定罪等信息中的敏感數據劃定了流動紅線，同時將“個人特征分析\"定義為自動化預測自然人行為特征的特定技術形式，為人工智能的監管預留了制度空間。

在目的與范圍層面，美奧協議劃定了跨境審計監管合作的制度邊界和法律義務，明確了協議的核心任務是確認BMF向PCAOB傳輸個人數據的合法性及安全性要求，以回應和緩解跨境審計監管中的數據主權沖突問題。該條款援引了歐盟GDPR第46條第3款（b）項以及美奧《跨境審計監管合作協議》相關規定，通過具有法律約束效力且可執行的工具，將抽象的法律要求轉化為可落地的審計監管操作規范，基于現有法律框架和雙方合作共識實現了審計師個人數據跨境傳輸的合規性。

2.數據處理原則。美奧協議通過九項相互關聯的處理原則（其中“救濟\"和\"監督”原則在下文“爭議解決與持續監督\"中闡述），構建起個人信息跨境流動的數據處理框架。

“目的限制”原則作為基石，將PCAOB接收和處理數據的范圍嚴格限定于SOX法案授權的審計監管職能，即僅可用于對審計業務相關人員的監督、檢查與調查，任何超范圍使用均被絕對禁止，以此形成對接收方數據權利的剛性約束。在此前提下，“數據質量與適度性”原則進一步細化了傳輸標準，要求APAB提供的個人數據必須精準覆蓋審計業務的核心人員，包括項目負責人或質量控制關鍵角色，以確保數據與監管目標的高度相關性。與此同時，該條款強制設定了數據留存期限的最小化規則，明確要求審計師個人數據以可識別形式保存的時長不得超過法定監管的需求，并建立了完整的記錄銷毀程序，從源頭上防范了數據的冗余滯留風險。

“透明度”原則要求雙方監管機構主動公開協議全文及數據處理政策，APAB需通過官方網站向數據主體披露數據傳輸方式、接收方類型及權利行使路徑等關鍵信息，且在履行告知義務時需結合GDPR的豁免條款，即當個體被告知可能影響監管職能的履行時，需提前與PCAOB協商披露策略。“安全與保密”原則體現了技術性與制度性的雙重要求，PCAOB需在附件一《PCAOB對信息技術系統/控制的描述》中詳細提交其信息技術系統的控制方案，包括加密措施、訪問權限控制等，當任何安全策略的變更可能會降低保護水平時，需要即時通知APAB。與此同時，該原則還要求建立多層級的應急響應機制，并要求數據接收方在發現數據泄露后的24小時內進行通報并啟動補救程序，APAB需同步將該風險事件上報BMF以形成跨部門的聯防機制。

“數據主體權利”原則明確了數據主體通過APAB專屬郵箱或PCAOB投訴中心進行權利主張的路徑，同時也設定了公共利益豁免條款，即當權利行使可能妨礙監管調查、司法程序或國際合作時，可依法暫緩響應，且限制措施實施期需與風險存續期保持一致。“敏感數據禁止傳輸”原則阻截了高風險信息的流動，相關條款明確禁止傳輸種族、健康、刑事定罪等GDPR定義的敏感數據，筑牢了審計師個人隱私的保護底線。“數據共享”原則創新性地設計了白名單機制，明確PCAOB僅可向附件二《PCAOB獲準向其進一步傳遞保密信息的實體名單》列明的第三方（如SEC、司法部、州監管機構）共享數據，若需向其他接收方轉移數據，則必須獲得APAB的書面授權，且當10日內未收到回復時則需啟動雙邊協商流程。與此同時，接收數據的第三方還需提供與協議標準等效的保障措施承諾，以形成數據擴散的閉環約束。

3.爭議解決與持續監督。為保障協議的有效實施，“救濟\"和“監督”原則分別設計了分階式爭議救濟機制（見圖1）與獨立審查監督機制（見圖2）。

在爭議解決層面，“救濟”原則允許數據主體依據美奧協議，分別向APAB、PCAOB提出或向兩者同時提出個人數據處理爭議或索賠，若協商未果則進入兩級審查程序。第一級審查程序由PCAOB內部的獨立聽證官進行事實裁定，該聽證官雖屬于PCAOB雇員，但在組織與職能上完全獨立于數據操作部門；第二級審查程序引入外部獨立機構的聽證官，在30日內復核之前決定的合規性。通過內部和外部的兩級審查，可以避免在爭議解決過程中因管轄權沖突引發的救濟延誤或擱置。

在持續性監督層面，APAB可要求PCAOB內部的獨立機構IOPA啟動附件四《對PCAOB執行暫緩起訴協議保障措施的監督》規定的審查流程。IOPA擁有調取全量文檔、訪談關鍵人員及測試控制有效性的絕對權限，可依據國際內部審計標準對數據保護措施開展周期性評估。審查結果經PCAOB董事會批準后非公開提交至APAB，當發現違規行為時，APAB可立即暫停數據傳輸直至違規整改完成。“監督\"原則下，這種持續監督通過自查、審查及整改的閉環機制，確保數據主權國對跨境流動的數據保持實時控制。

4.效力動態調整機制。“生效與終止”條款明確了協議的實施與調整框架。根據條款規定，協議自2022年6月簽署之日起生效，在SOP有效期內保持效力。這一安排通過法律效力的同步性，確保了數據保護規則與審計監管流程的無縫銜接，避免了因規則脫節引發合規風險。與此同時，協議的單方終止條款賦予了協議任一方隨時解約的權力，但協議終止后雙方仍需延續兩項關鍵義務：一是雙方須繼續履行SOP約定的保密責任，二是PCAOB須按協議標準處理已傳輸的數據以防止出現監管真空。除此之外，該條款特別援引SOX法案第105（b）（5）條?，即協議與SOP的終止將限制PCAOB與APAB就個人數據保障措施共享機密信息的權力，凸顯了法律后果的嚴肅性。在文本效力上，美奧協議明確德語與英語版本具有同等約束力，既體現了雙邊平等性，也為條款解釋提供了雙重法律依據。

四、美奧協議規范特征分析

美奧協議是國際數據治理領域的重要實踐，其核心價值在于構建了一套既充分尊重國家主權原則，又能有效滿足個人信息跨境監管需求的制度框架。該協議通過法律架構、風險管理機制與權利保障體系的協同設計，為審計師個人數據跨境流動監管提供了切實可行的解決方案。協議條款所展現出的平衡性與適應性特征，使其在全球跨境數據規則體系中具有顯著的示范效應。

1.創新性與適應性的法律框架。美奧協議是《跨境審計監管合作協議》的子協議，后者奠定了雙方合作的基礎性原則，前者則專注于具體的數據保護實施細則，這種傘狀結構設計賦予協議在應對法律環境變化時的靈活性。當奧地利或美國修訂其國內相關法律時，僅需調整對應的協議模塊即可，避免了對整個協議文本重新進行談判的繁瑣程序。

在關鍵法律概念的界定上，美奧協議采用了明確的法律溯源方式。例如，明確APAB的職權直接來源于奧地利《聯邦審計監督法》（Federal Audit OversightAct），而DSB的職能則基于DSG的具體條文規定。這種對法律依據的明確援引，為協議執行提供了堅實的法律基礎。值得注意的是，美奧協議文本本身并未直接設置具有強制約束力的法律義務，而是通過制度安排實現了實質性的約束效果。協議要求締約雙方須通過各自的國內法律體系，將協議條款轉化為具有執行力的規定，美國依據SOX法案予以實施，奧地利則通過DSG進行落實。尤為關鍵的是，協議賦予APAB切實的控制手段，即當美方未能遵守約定時，奧方有權采取從暫停數據傳輸直至終止合作的階段式應對措施。這種設計在維護國家主權原則的同時，也保障了協議條款的有效執行。

在調和歐盟與美國法律的潛在沖突方面，美奧協議采取了務實的技術路徑，通過援引GDPR中關于適當保障措施的相關條款，將自身定位為符合歐盟法律要求的合規工具。具體的技術規范在協議附件中得到詳細體現，例如，強制要求數據傳輸必須采用高級加密標準、信息系統必須部署嚴格的訪問控制機制，以及數據留存時間不得超過實現監管目的所必需的期限等。這些可驗證的操作標準，成功將歐盟的法律原則轉化為具體實踐，既滿足了歐盟嚴格的合規要求，也兼顧了美國的實際監管需求。

2.風險分級及協同多層的監管規則。美奧協議構建了多層級的風險管理體系，針對不同性質的數據流動實施差異化的管控策略。依據數據敏感程度的不同，協議將審計監管涉及的數據劃分為三個等級：普通數據（如審計師姓名、專業資質等基礎信息）允許在常規監管流程中流動；受限數據（可向特定第三方共享的數據）需經過特別審批程序方可傳輸；敏感數據（包含健康記錄、政治傾向等個人隱私信息）則實行絕對禁止流動的政策。這種分類管理的方法，有效引導了審計跨境監管資源向高風險環節精準投放。在保障數據流動透明度方面，協議設定了雙重機制：一方面，要求協議全文及所有實施細則須在官方指定平臺予以公示，以確保整個監管過程的公開性；另一方面，建立了面向數據主體的個案告知制度。同時，考慮到審計監管實踐的特殊性，協議借鑒了歐盟法律中的相關豁免條款，允許在可能妨礙監管調查等特定情形下延遲履行告知義務。與此同時，所有延遲告知的決定必須詳細記錄在案，并在阻礙因素消除后及時補充完成告知程序。

美奧協議的監管體系融合了內部自查程序與外部監督機制，締約雙方有義務定期核查協議的執行情況以確保各項措施落實到位，更為核心的是，協議還設立了獨立的監督機制。依據協議附件的規定，IOPA承擔著對數據處理活動進行獨立評估的職責，該機構被賦予了廣泛的權限，包括調閱系統日志、約談操作人員等，使其能夠對數據流動過程開展實質性審查。一旦發現嚴重違規情況，APAB有權立即采取限制性措施直至問題得以解決。美奧協議對數據執行全生命周期管理，從數據收集開始就啟動了對敏感信息的自動過濾，在數據傳輸過程中應用先進的加密技術予以保護，數據使用完畢后須執行嚴格的安全銷毀程序。此外，協議對數據傳輸范圍實施嚴格控制，要求所有共享信息必須與明確的監管目標直接相關，以此最大限度地避免不必要的數據擴散。這種目的導向的約束管理方法，從源頭上有效降低了個人數據被濫用的潛在風險。

3.主權維護及權利救濟的保護體系。在維護國家主權方面，美奧協議嵌入了多重保障機制，其中數據再傳輸的控制權是關鍵內容之一。當PCAOB需將接收的數據提供給第三方機構時，必須事先獲得APAB的明確批準。在審批過程中，PCAOB需提交詳盡的說明材料，涵蓋數據類型、接收方身份、使用目的以及擬采取的等效保護措施等核心要素。若APAB在規定時限內未予批準，雙方則需啟動正式的磋商程序，這一制度設計確保了奧地利對其公民數據的最終控制權。協議還建立了緊急風險應對機制，在遭遇重大數據安全事件時，如遭受網絡攻擊或發生大規模數據泄露時，APAB有權立即中止所有數據傳輸活動，且可要求本國網絡安全部門介入調查并采取必要的技術措施以控制風險，這種快速響應機制為主權國家應對數據突發事件提供了制度化的工具。在主權標識方面，美奧協議要求所有傳輸數據必須標注清晰的來源標識，以明示奧地利的數據主權屬性，同時規定數據使用方在引用相關信息時，必須注明其引用依據為本協議授權。這些形式上的要求從實質上強化了數據來源國的權利意識，在跨境數據流動中有效維護了數據來源國的主權尊嚴。對個人數據主體權利的保護構成協議的另一個重要維度，協議確立數據主體多項實體性權利，包括獲取自身數據副本、要求更正錯誤信息、申請刪除不必要的數據等。值得關注的是，協議對自動化決策的限制條款，明確禁止了僅依據算法結果對個人做出具有重大影響的決定。在權利行使程序上，協議提供了便捷的申訴渠道，并承諾會對常規性的權利請求做出迅速的響應。

美奧協議的爭議救濟機制采取的是分層遞進的處理模式，初級爭議優先通過監管機構間的直接協商機制尋求解決，若協商未果或爭議較為復雜則啟動正式的調查程序，由獨立的聽證官負責事實認定，當事人若對聽證官的決定持有異議，可申請外部專家復核。整個爭議處理過程設有明確的時限規定，以避免爭議解決程序的久拖不決。在此過程中，當事人一直保留向司法機關尋求最終救濟的權利，從而形成一套完整的權利保障鏈條。

綜上所述，美奧協議的特點在于：一是運用技術性方案化解法律沖突，在不觸及主權承認等政治敏感問題的前提下，促成監管數據的跨境合規流轉；二是采取精細化的風險管理模式，依據數據敏感度的差異實施風險管理，顯著提升監管資源的配置效能；三是構建務實可行的主權行使機制，通過具體可操作的措施將抽象的主權原則轉化為切實有效的控制手段。這種制度架構為國際社會處理同類問題提供了極具參考價值的范例，尤其對于有跨境監管需求的國家而言，美奧協議展示了一條能有效平衡國家核心利益與國際合作需求的可行路徑。其核心經驗在于，善用技術性安排化解潛在的政治性分歧，依托制度細節的設計實現原則性目標，并在充分尊重各國法律傳統的基礎上構建共同遵守的操作規范。在全球性數字規則體系尚未完全定型的當下，此類兼具務實性與創新性的雙邊制度安排，可為未來多邊規則的形成積累寶貴的實踐經驗與制度參考。

五、美奧協議對中國跨境審計監管的啟示

美奧協議通過動態法律銜接、風險分級管控以及分層救濟機制三大核心特征，為破解中美審計跨境監管僵局提供了操作范本。基于我國《數據安全法》確立的數據分類分級保護原則與《個人信息保護法》的域外適用條款，可為我國跨境審計監管構建以下適配方案。

1.構建動態法律銜接框架化解主權沖突。美奧協議采用主協議附加子協議的傘狀結構將協議效力與國內法綁定，我國可借鑒此模式，在協商簽訂相關協議時考慮通過三重法律銜接機制平衡個人數據的主權訴求。其一，明確效力的從屬關系。在協議條款中確立“協議執行以不違反《網絡安全法》第三十七條、《數據安全法》第三十一條為前置條件”，將美方的數據調取權限嵌套在我國數據出境安全評估制度框架之內。其二，設置動態調整條款。參考美奧協議相關條款，將協議的有效期與中美諒解備忘錄綁定，規定若我國數據分類發生變化，協議需同步啟動再談判程序。其三，建立本地法優先通道。仿效美奧協議“APAB可以公共利益或國家安全為由拒絕數據請求”條款，賦予我國監管機構對敏感領域審計底稿數據出境的絕對否決權。以上條款設計思路既可避免推翻現有諒解備忘錄的基礎，又能通過技術性條款置換實質性的數據主權保障。

2.實施數據風險分級管控匹配監管需求。美奧協議將跨境審計師個人數據依據敏感性和使用風險劃分為普通數據、受限數據（可向特定第三方共享的數據）以及敏感數據（絕對禁止轉移數據），并配套了分級跨境流動規則。我國監管機構可借鑒該數據分類邏輯，建立并應用更細致的監管數據分類體系，明確審計工作底稿中的數據類型。對于識別出的受限數據，監管機構可在現有出境安全評估的基礎上，嚴格遵循必需且最小化原則，配套脫敏或加密技術保障，明確禁止進一步的共享或嚴格限定共享范圍與對象。對于識別出的敏感數據，監管機構應清晰界定并嚴格執行審計監管數據中的禁止出境清單，建立有效的技術和管理手段，在數據整理、審核、出境申請等環節自動識別并及時阻斷此類數據的出境路徑。與此同時，美奧協議“數據質量與適度性\"原則要求雙方協同維護數據準確性并設置了溝通機制，我國可在雙邊監管合作安排或數據轉移協議中，明確納入類似的操作性條款。例如，規定境外監管機構若對接收數據的準確性存疑，應通過官方指定渠道提出復核請求并提供質疑依據，由中方在必要時啟動核查。這種設計既能保障跨境數據的可靠性，以支持有效監管協作，又能避免因接收方單方面質疑或濫用數據可能引發的沖突，以維護我方對跨境審計數據的監管權威和數據主權。

3.完善雙軌制救濟體系保障主體權益。美奧協議構建了數據主體雙軌行權的爭議救濟體系，為我國構建跨境審計場景下的數據主體權利保障機制提供了范本。具體包括三項機制：一是設立境內優先救濟渠道。要求涉及中概股審計數據的爭議必須優先由中國證監會管轄，并參考美奧協議附件三，設置30日的行政裁決時限，僅當爭議涉及PCAOB程序違規時才啟動美方聽證程序。二是創建數據轉移緊急制動權。仿效美奧協議中的APAB單方暫停權，授權我國中央網絡安全和信息化委員會辦公室在發現數據違規轉移風險時，可立即中止特定會計師事務所的數據出境資格。三是構建第三方合規審計機制。美奧協議的雙層監督中引人了獨立機構IOPA的審查，我國可參考引入財政部認可的會計師事務所對跨境審計數據開展年度合規審計，并向雙方監管機構提交脫敏后的審計報告。這一設計思路既可避免直接引入境外監督機構可能引發的主權風險，又可通過制度化的審查提升美方對數據保護效力的認可度。

美奧協議的經驗表明，明確監管底線并將其轉化為具體的操作規則，是制度具有靈活性的關鍵。在推動中美跨境審計監管合作時，中方不必完全采納美方的單方面框架，可以通過清晰界定數據邊界、細化合作規則以及保障權益可操作性等路徑，將宏觀層面的主權關切轉化為審計監管合作中可落地、可核查的具體操作標準。這種基于條款細節的務實設計，為破解當前中美在審計檢查權與數據本地化問題上的僵持局面提供了突破口。

六、結語

美奧協議通過動態的法律銜接框架、風險分級的數據管控以及雙軌制救濟機制，為解決跨境審計監管中的主權沖突問題提供了具有參考價值的操作范例。該協議的核心貢獻在于運用技術性規則安排調和了潛在的政治性分歧。在制度層面，協議采用的傘狀結構法律框架有效實現了國內法律與國際監管的動態銜接，在保障數據主權的前提下回應了跨境監管的需求；在保障層面，通過設立敏感數據絕對傳輸禁令、嚴格的目的限制原則以及獨立的審查監督機制，構建了覆蓋數據全生命周期的安全防護體系。

【注釋】

1 數據由世界證券交易所聯合會（WFE）和美國證券業與金融市場協會（SIFMA）統計得出。A股詳見https：//sc.macromicro.me/series？q=amp;c=400001amp;cc=cnamp;s=2amp;p=1，美股詳見https：//sc.macromicro.me/series/616/wilshire5000。

2 詳見https：//assets.pcaobus.org/pcaob-dev/docs/default-source/international/documents/data-protection-agreement-austria-2022.pdf？sfvrsn=a5cd4df3_4。

③ 詳見普華永道《“一帶一路”沿線國家會計及資本市場環境報告》，https：//www.pwccn.com/zh/research-and-insights/belt-and-road/hotspot/belt-and-road-countries-accounting-and-capital-market-environment-report.html。

4 詳見https：//www.wipo.int/wipolex/zh/legislation/details/18152。

⑤ 詳見https：//www.justice.gov/criminal/cloud-act-resources#：～：text=The%20United%20States%20enacted%20the%20Clarifying%20Lawful%20Overseas， crime%20to%20sexual%20exploitation%20of%20children%20and%20cybercrime。

⑥ 詳見Statement on the Vital Role of Audit Quality and Regulatory Access to Audit and Other Information Internationally—Discussion of Current Information Access Challenges with Respect to U.S.-listed Companies with Significant Operations in China，https：//pcaobus.org/news-events/speeches/speech-detail/statement-on-the-vital-role-of-audit-quality-and-regulatory-access-to-audit-and-other-information-internationally_692。

⑦ 詳見PCAOB Cooperative Arrangements with Non-U. S. Regulators，https：//pcaobus.org/oversight/international/regulatorycooperation。

⑧ 歐盟GDPR第46條（3）款（b）項為：“provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.” 詳見https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/？uri=CELEX：32016R0679amp;from=en。

⑨ 詳見https：//assets.pcaobus.org/pcaob-dev/docs/default-source/international/documents/cooperative_agreement_austria.pdf？sfvrsn=45b10bbe_0。

⑩ IOPA是PCAOB內部的一個獨立機構，其職責在于對PCAOB的各項計劃和運作進行內部審查，其主任有五年的任期限制，可直接向PCAOB董事會的五名成員匯報，且IOPA本身要接受定期的外部質量保證審查，這也保障并增強了其獨立性。

? 詳見https：//www.sox-online.com/the-sarbanes-oxley-act-full-text/。

? 《網絡安全法》第三十七條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。”

? 《數據安全法》第三十一條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《網絡安全法》的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。”

【 主 要 參 考 文 獻 】

陳麗紅，曾德濤，孫夢娜．中美跨境審計監管：歷史演進與未來展望［ J］．中南財經政法大學學報，2024（5）：30 ～ 42．

韓洪靈，陳帥弟，陳漢文．中美跨境會計審計沖突：根本誘因、基本表現與應對措施［ J］．煙臺大學學報（哲學社會科學版），2023（5）：29 ～ 38．

冷靜．超越審計糾紛：中概股危機何解？［ J］．中國法律評論，2021（1）：179 ～ 193．

李文文，韓洪靈，陳漢文．中美跨境會計審計監管沖突：兩次危機、深層邏輯與調和路徑［ J］．審計與經濟研究，2025（2）：17 ～ 26．

李有星，潘政．論中概股危機下中美跨境審計監管合作［ J］．證券市場導報，2020（10）：72 ～ 78．

鐘準，魏康婷．中心—邊緣、政黨政治與歐盟成員國對“一帶一路”倡議的態度差異［ J］．歐洲研究，2024（1）：80 ～ 103+7．

Corning P. G.. The diffusion of data privacy laws in Southeast Asia： Lear-ning and the extraterritorial reach of the EU's GDPR［ J］． Contemporary Politics，2024（5）：656 ～ 677．

Shankar S. B.， Kumar S. A.. The right to privacy and an implication of the EU General Data Protection Regulation （GDPR） in Europe： Challenges to the companies［ J］． Journal of Contemporary European Studies，2023（4）：1391 ～ 1402．

（責任編輯·校對：劉鈺瑩 陳晶）