彭志杰
(复旦大学法学院,上海 200438)
随着中国资本市场双向开放逐步深化,越来越多的中国公司开始尝试赴美上市。但是,由于中美两国在法律规定以及监管理念上存在较大差异和分歧,中概股在美上市引发了较为严重的跨境监管冲突,受到业界和学界高度关注。一方面,受中国法律限制,美国监管机构长期以来无法检查为在美上市中国公司提供审计服务的中国会计师事务所。2020 年以来,美国先后出台《外国公司问责法》(以下简称HFCAA)等法案,要求对为发行人提供审计服务的会计师事务所进行检查,获取和抽查审计工作底稿;同时,包括中概股公司在内的所有外国公司应在未检查年度内进行额外披露,否则将被禁止交易。另一方面,出于国家安全的考虑,我国现行法律体系对档案保密和数据出境有一定限制,境内公司未经批准不得向外国监管机构提供相关资料,中美两国的跨境监管冲突因而凸显。跨境审计监管问题如不得到尽快解决,将导致大量在美上市的中国公司面临退市,如此不仅国内外投资者的利益无法保全,我国企业的海外融资渠道也将受到限制,严重影响中国公司“走出去”的经济能力。2022 年8 月,中国证监会、财政部与美国公众公司会计监督委员会(以下简称PCAOB)签署跨境审计监管合作协议,致力于构建符合双方法规和监管要求的合作框架。
但2022 年合作协议的签署并不意味着从此以后中美跨境审计监管冲突不复存在。相反,只要中美两国在法律法规和监管要求上存在较大差异,中美跨境审计监管冲突就将长期存在,个别时期甚至还将加剧。因此,研究中美跨境审计监管冲突的深层次原因、探讨构建中美跨境审计监管合作机制,对于我国企业更好地利用国内和国际两个资本市场、推动我国资本市场高水平对外开放具有重要的理论意义和实践价值。本文首先分析美国跨境审计监管的主要法律框架,解读其背后隐含的政策立场,评估其对中国公司可能造成的经济影响;然后对中美跨境审计监管合作机制的法律性质、可行性以及目前面临的主要问题进行分析和阐述;最后在综合中美双方诉求和国际实践经验的基础上,有针对性地提出中美跨境审计监管合作机制的构建方式与完善方案,以期为进一步完善中美跨境审计监管合作提供有益建议。
1.《外国公司问责法》及其最终规则的主要内容
美国现行关于在美上市中国公司审计监管问题的主要立法是《外国公司问责法》及其最终规则。虽然从表面上来看,该法使用了中立的立法技术和措辞以免涉嫌国别歧视,即“适用于任何外国司法辖区”,但若考察相关条款的具体规定和最终执法适用的具体效果,可以发现这两部文件正是为中国公司“量身打造”的法律规则,具有鲜明的歧视性和针对性。
第一,根据HFCAA 第二条规定,如果发行人公司提交的报告中含有在美国司法管辖区域以外设有分支机构的会计师事务所出具的对财务报表的审计报告,且由于该外国司法管辖区当局所采立场使得美国PCAOB 无法对该企业进行全面检查或调查的,该审计年度将计为一个未检查年度。连续三个未检查年度后,美国证券交易委员会(以下简称SEC)将根据《萨班斯-奥克斯利法案》禁止该企业在美国的所有场内和场外交易。如果发行人能够证明其已经聘请了符合PCAOB 相关审计准则和标准的会计师事务所,且通过SEC 检查的,SEC 将取消交易禁令。根据HFCAA 第三条规定,外国发行人需就未检查年度在重新制作的审计报告中进行额外披露,包括是否涵盖了未检查年度的审计、外国政府在该企业中的所占股比、外国政府是否对该企业拥有任何控制性财务利益。其中,HFCAA 第三条第四款和第五款甚至要求披露发行人或与有关实体的董事会中是否包括任何中国共产党党员以及发行人公司章程中是否包括任何中国共产党党章的内容,这两款规定显然对我国政治制度具有特定的针对性,对我国公司治理制度具有明显的歧视性,不是基于证券监管的专业考虑而提出,实质上是将证券监管问题政治化。
第二,根据HFCAA 最终规则的档案提交要求,发行人应于相关年度报告表到期日当天或以前通过电子数据收集、分析和检索系统(EDGAR)以电子方式向美国证监会补充提交审计档案,以证明该公司不为外国政府所有或控制。但是,该最终规则声称出于限制合规成本和为美国投资者提供更多信息的需要,决定不特别提供一份清单,以列出哪些文件可能证明发行人并非由相关政府实体所有或控制。虽然该规则允许发行人根据组织架构和其他特定因素自行决定提供何种材料,但实质上此规定将使得材料提供和证明标准变得飘忽不定和因个案而定,增加了美国证券监管机构的政策空间和执行弹性。此外,最终规则补充要求如果发行人使用可变利益实体(以下简称VIE)或任何类似结构导致其财务报表中合并了其他实体,则必须同时做多项披露。
第三,该最终规则实施了新的标记要求以便利SEC 识别有关公司。SEC 将更新文件实体和信息(DEI)分类系统,对含有可扩展商业报告语言(以下简称XBRL)陈述的提交材料适用三个新的额外数据元素。这三个数据元素将确定提供意见的审计师姓名、发布审计报告的地点以及提供审计意见的会计师事务所或分支机构的PCAOB-ID 号码。
此外,最终规则还对临时清单和确定清单、时间节点、交易禁令的程序规范、新规可能造成的经济影响、企业合规成本减算等进行了细化分析。
2.针对中国上市公司审计监管的行政措施
2020 年6 月4 日,美国白宫办公厅发布了《关于保护美国投资者免受中国公司重大风险的备忘录》①资料来源:Memorandum on Protecting United States Investors from Significant Risks from Chinese Companies [EB/OL]. The White House Office, 2020-06-04.的工作计划,指责中国政府在中国公司享受美国资本市场红利的同时却阻止其遵守适用于在美上市的投资者保护规定,给美国投资者带来风险,责成总统金融市场工作组讨论中国未能履行对透明度和问责制的国际承诺、拒绝遵守法律对投资者和金融市场造成的风险,并在60 天内向有关行政部门、SEC 和PCAOB 做出行动建议报告。
2021 年7 月30 日,SEC 主席发布了《与中国近期发展相关的投资者保护声明》②资料来源:Statement on Investor Protection Related to Recent Developments in China [EB/OL]. U.S. Securities and Exchange Commission, 2021-07-30, https://www.sec.gov/news/public-statement/gensler-2021-07-30.,提示中国公司采用VIE 架构在美上市从而对美国投资者产生的风险敞口,并宣布其预备依据SEC公司融资监管部所出具的《中国境内发行人披露考虑》的披露指引对中国公司进行额外的、有针对性的文件审查,并要求额外的信息披露,包括对壳公司和在中国境内运营实体的披露、中国政府行动的不确定性及因此影响公司运营的财务表现和合同关系的可执行性、更为量化直观的财务指标等等。
美国目前的立法体系与行政措施大体构成了跨境审计监管的“美国方案”。其政策导向十分明确,即企图以“正当”的法律武器和实际的经济损失逼迫中国公司和中国当局就范。如果一味按照美方的单边要求执行,将损害我国的经济主权、增加数据泄露风险,从而使我国上市公司陷入两难境地。
1.现代商业运作酝酿数据风险
在互联网技术高度发达的现代社会,数据作为一种新兴的生产要素重塑了商业运作模式,催生了一批蓬勃发展的互联网企业。以滴滴公司为例,其营利模式就是将乘客的用车需求通过大数据处理和算法分析与司机的服务容量进行匹配,进而收取中介费用。在此过程中,企业可以采集和储存海量信息形成数据库,并通过进一步的分析和处理推演出用户的需求曲线、消费习惯等。这种商业模式将促使企业不断获取更多信息,而如果不对数据治理加以重视,客观上就会形成泄露风险。
2.“美国方案”要求提交审计工作底稿导致数据风险
中国公司配合美方审计监管会产生数据风险,直接原因在于“审计工作底稿”概念的宽泛性和不穷尽性。根据PCAOB 公布的普遍审计标准中最新规则AS1215 号文件第二条的定义,审计工作底稿是指审计师结论基础的书面记录,为审计师的陈述提供支持,无论这些陈述是否包含在审计报告中;审计档案包括工作的计划和执行、执行的程序、获得的证据以及审计师得出的结论的记录。
审计工作底稿是能够支撑审计师做出审计结论的文件和材料,其中最为重要的元素当属审计证据,即能够佐证上市企业商业运营和财务情况的实物、书面或其他证明。美国监管当局当然希望获取中国公司的审计工作底稿,以获取尽可能多的数据和信息。但对中国而言,该种材料的不当提供很有可能会导致国家安全问题。以网络运营平台为例,其盈利的硬件基础是平台运营的网络服务器、基站、数据库等关键信息基础设施③公安部于2020 年7 月22 日发布并于当日生效的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中进一步明确了对关键信息基础设施的确定标准:“应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。”。因此在其审计工作底稿中,可能包含此类重要资产的地理位置和数量信息。此外,用户数作为衡量网络运营平台商业价值的重要数据,证券监管部门可能需要凭借企业收集和处理的个人用户信息来佐证真实有效的用户数量。
在已然迈向全面信息化和数字化的现代社会,数据在跨境传输和流动时具有成本低、效率高的天然优势,这使得中国公司在对外国监管机构提交合规材料时所可能涉及的泄密风险实质上演变为了一种数据风险。因此,中美之间有关审计工作底稿的权限争夺本质上也就演变成为一个信息和数据安全问题。
如果一味迎合“美国方案”将有损于我国的国家安全利益,而不满足其监管要求又将面临禁止交易的处罚,我国还有何种应对方案选择?在该问题所面临的外部环境、利益前提和时代背景下,中美开展跨境审计监管合作的价值进一步得到了彰显。
1.外部环境:中美关系恶化和竞争加剧
自2018 年中美贸易摩擦以来,中美两国之间的竞争态势愈发明显,双边关系愈发紧张。《中美经贸协定》(第一阶段)签署以后,两国关系不仅没有缓和,而且美国对华遏制意图从贸易、投资、技术冲突进一步向金融和教育领域延伸(沈伟,2021)。证券和资本市场作为此前未受足够关注的重要领域,或将成为两国新的摩擦制造点,急需我国构建相应法律机制予以应对,防止矛盾和争议进一步朝政治问题演化。
2.合作前提:中美市场利益无法脱钩
鉴于中美目前巨大的市场利益绑定,提倡我国企业与美进行脱钩的观点并不可行。截至2022 年3 月31 日,在美国三大证券交易所上市的中国公司有261 家,总市值高达1.3 万亿美元④资料来源:Chinese Companies Listed on Major U.S. Stock Exchanges [EB/OL]. U.S.-China Economic and Security Review Commission, 2022-03-31.。美国拥有世界上体量最大的资本市场,截至2021 年12 月31 日,在美上市公司的总市值约为54 万亿美元⑤资料来源:Interactive Map [EB/OL]. PCAOB, 2021-12-31.,巨大的市场潜力使得中国公司在“走出去”的同时,势必要运用和借助美国资本市场的能量。同样地,如果中国公司被迫大量退市,必定反过来损害美国资本市场的全球竞争力。有学者指出,中概股大规模退市将破坏美国存托凭证市场,美国作为国际资本渠道的影响力可能会减弱(Bu,2021)。
3.合作焦点:数据跨境流动与数据安全
现代国家的竞争形式早已从传统的武力冲突嬗变为新型的数据“战争”,谁拥有更多有利信息往往就会占据主导地位、拥有先发优势。所以,既然中美审计监管已经最终被识别和定性为一种数据安全问题,构建中美跨境审计监管合作机制的现实价值已不言而喻。但是,必须首先论述构建中美跨境审计监管合作机制的理论基础,基于数据跨境流动与数据安全关系的视角,充分论证该机制构建的现实可行性,以及厘清中美开展监管合作所面临的主要问题,归纳、分析中美双方的意图和诉求,才能为机制构建提供具有针对性的建议。
狭义上,中美跨境审计监管合作机制是指中美两国依据共同签订的协议,检查在己方监管范围内的对方会计师事务所,以评估其审计工作质量,或是向对方证券监管机构传输和提交审计工作底稿等材料的一种双边执法合作机制;广义上,其不仅包括狭义双边机制的内容,还包括彼此国内对境内企业境外上市审计监管问题和境外企业境内上市审计监管问题进行规制的法律机制。从形式上看,该机制具有平等性和对等性。
若中美两国明确该机制所依据的协议文本性质为条约,则将适用国际公法中条约法的相关规则,该文本将对中美两国产生强制的法律拘束力。参考现有国际实践,各国针对审计监管问题签订的文本名称多为“谅解备忘录”,且会在条款中明确约定其“不具备法律约束力”或是“不会对任何方的国内法律产生任何变更或影响”,从而试图排除协议的法律效力。笔者认为,各国采取这一做法的原因有二:第一,一国对外缔结正式的国际条约往往需要履行繁琐的法律程序,如条约在议定时各谈判主体需获得必要的国内法律授权或在条约签署后仍需国内立法机构批准方可生效;第二,条约具有正式的法律效力,各国政府须受其制约,违约需承担法律责任。但是如果签订备忘录,则可为未来因时局或实际情况变化的“毁约”留下空间。但尽管如此,谅解备忘录仍是两国中央政府基于国家信用与合作互信做出的一种正式承诺,并以国家行政管理权保障实施,应可以视为一种“准法律机制”。况且,在国际公法实践中也存在将谅解备忘录最终识别为具有法律约束力的情况。例如国际法院曾在“索马里诉肯尼亚印度海洋划界案”中判决案涉的谅解备忘录构成一项正式的国际条约,具有国际法效力⑥See Maritime Delimitation in the Indian Ocean (Somalia v. Kenya), Preliminary Objections, International Court of Justice, pp.36-50.。
下文将主要站在中国视角,提出如何构建与完善中美跨境审计监管合作,即同时包括中美双边机制与中国国内机制在内的法律建议。由于目前美国并无在中国大陆上市的公司,只有中国公司赴美上市的实践,故本文提出的对策建议将侧重于我国企业向美国监管机构提交审计工作底稿需要注意的数据安全问题。
1.我国推动中美跨境审计监管合作机制构建具有立法支持
在国内法角度,构建中美跨境审计监管合作机制具有上位法支持。根据《中华人民共和国证券法》(以下简称《证券法》)第177 条第1 款的规定⑦《证券法》第177 条第1 款规定:国务院证券监督管理机构可以和其他国家或者地区的证券监督管理机构建立监督管理合作机制,实施跨境监督管理。,中国证监会可以依法与SEC、PCAOB 等美国证券监管机构开展跨境证券监督管理的执法协作。
2.我国证券监管机构对中国公司配合审计监管行为实施管辖具有法理基础
无论是基于国籍的属人管辖权还是基于利益的保护性管辖权,我国证券监管机构对中国公司的配合审计监管行为当然具有管辖权。因为无论境内企业选择赴美直接上市,还是选择采用红筹模式或VIE 架构间接上市,其商业运营实体终究落实在我国境内,所以无论以何种方式转移其境内实体的商业利益予外国投资者,我国均应对其融资活动具有管辖权。特别是当活动涉及到外国监管机构的执法要求和审计检查时,我国完全可以出于国家安全的主权裁量选择约束或规范境内企业的配合审计监管行为。
约束和规范境内企业的相关行为,是否对证券法中“投资者保护原则”有所违背?笔者认为,任何国际金融活动都应当在符合法律的前提下进行。此处“法律”,既可以是国际条约,是两国经协商谈判做出的双边安排,也包括各国对境外企业境内上市和境内企业境外上市的国内法。由于国内法往往会强调对公共利益的保护,而国家安全又是构成公共利益最为重要的基石,因此企业应当遵守体现保护国家安全意志的法律规定。选择境外上市的境内企业在做出融资决策前就应当做好相应预案和考虑,应当同时承担遵守上市地和经营地两地法律规范的义务,不应有所偏差。企业一方面接受了来自海外投资者给予的资金融通利益,另一方面也以境内的商业运营作为收入和利润来源,因此企业不能以损害本国国家安全利益为代价,换取自身的商业发展。
3.美国与其他国家及地区跨境审计监管合作已有先例
事实上,跨境审计监管合作机制在美国PCAOB 的对外实践中并非首例,PCAOB 经常与外国审计监管机构达成正式的跨境合作执行安排,以便在诸多司法辖区就联合检查和执法事宜取得与他国的密切合作。截至2021 年12 月31 日,PCAOB 已对全球54 个司法辖区的公司实施了累计审查⑧资料来源:Where the PCAOB has Conducted Oversight Outside the U.S.? [EB/OL]. PCAOB, 2021-12-31.。此种合作实践的特点是,PCAOB 一般会与他国监管机构先签署一份“协定声明”(以下简称SOP),约定双方合作的整体框架和原则;再签署一份“特定个人数据传输协定”,适用于在此合作过程中产生的所有涉及使用数据的环节。PCAOB 这种监管模式的域外扩张和标准扩张也正在塑造全球跨境监管的模式和标准(谢海霞和陈春晖,2021)。
1.投资者保护原则与国家安全的边界冲突
美国监管部门目前凭借投资者保护原则,矛头直指中概股审计和财务信息的质量与独立性问题(Naughton 等,2018)。这个问题是中概股大多使用VIE 结构在美上市导致的,尽管业内一般认为VIE 结构主要是用于合法的商业目的,但这一领域的治理不足使一些中国公司能够操纵其财务报表,以掩盖损失和编造收益(Guo,2014)。鉴于中国公司在美国的审计监管盲区以及SEC 维护美国境内公平有序资本市场的行政职能,该政策立场具有一定的现实合理性。
但是,美国在此过程中却刻意地忽视了中方对于国家安全的诉求,认为审计工作底稿绝对不会引发国家安全问题,并一味地指责中国阻挠其执法检查和调查、中国国内的法律法规缺乏透明度和可预测性等。美国在策略上有意地强化了审计工作底稿定义的会计专业性,却模糊了构成审计工作底稿重要元素的审计证据的宽泛性。同样地,美国将国家安全限缩定义为“国家保护和防御其公民的能力”,却忽视了在传统安全风险和非传统安全风险交织的现代社会,国家安全内涵具有丰富性和多元化的特点,这也与美方对自身的国家安全观不一致,有构成双重标准之嫌。有学者指出,审计工作底稿的制作目的在于证明审计工作得到有效执行,而非解决公司与投资者之间的信息不对称问题;由于提交要求与信息披露的及时性特点相悖,审计工作底稿作为企业经济活动的历史信息,已无从参与当下证券价格的形成或帮助投资者做出决策(张崇胜,2022)。
2.美国对中概股上市公司审计监管问题处理具有政治化倾向
如上文分析,鉴于美国对中国公司的特殊对待和其本身对上市审计监管问题的立场不统一,引发了学界对美方将证券监管问题政治化的质疑。有学者指出,这种政治扭曲严重背离了美国一贯鼓吹和信奉的自由市场经济理论,HFCAA 无视和贬损了法律的确定性原则(马更新等,2020)。甚至有学者认为,HFCAA 及其相关立法的基本逻辑就是商业问题政治化、政治问题法律化、国家安全扩大化、经济贸易霸权化(耿志强,2021)。如果审计监管本身作为技术和专业问题最终朝政治方向扩张,则有可能丧失于法律框架内解决问题的控制性和预期性。
3.中美两国现行关于跨境审计监管立法的规则冲突
在跨境上市中,由于企业往往要横跨两个不同的治理辖区,监管落差(Regulatory Gap)自然就会产生(Licht,2003)。这种监管落差在中美跨境审计监管问题中体现为两国对审计工作底稿提交要求的口径不一致。我国《证券法》第177 条第2 款⑨《中华人民共和国证券法》第一百七十七条第二款规定:“境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。”虽然使用了“直接”和“擅自”等限定语,表明中方并未绝对禁止或拒绝监管合作和信息提供(廖凡,2021),但这至少说明原则上中方对审计工作底稿的出境存在一定法律壁垒和限制。关于数据跨境流动问题,如果审视美国国会2018 年通过的“云法案”具体条款,不难发现,美方正是借此对跨境数据流动施加长臂管辖(姜立文和姜欢,2021)。中方则倾向于主张个人信息和重要数据在跨境流动前需经母国评估,以满足一定安全系数作为先决条件。无论是美国证券法的成文立法还是判例法规则,都强调了美方监管部门的域外管辖权,与我国的现行立法存在一定冲突。
4.中美目前尚未形成有效、可持续的跨境审计监管合作机制
目前中美之间有关审计工作底稿等材料的提交与传输无法通过固定、常态化的渠道进行,只能在个案基础上达成,缺乏沟通与合意,在实践中也会由于两国对提交条件的口径不一致而导致停滞。
2013 年,中美曾就跨境审计监管合作签署过一份谅解备忘录。但其就性质而言,对双方不具备法律约束力,且内容也较为原则和宽泛,仅含有13 个条款,故其并未形成有效的可持续机制。截至2020 年4 月,中方虽然已依据该谅解备忘录向美方提供了14 家企业的审计工作底稿⑩资料来源:中国证监会有关负责人答记者问[EB/OL].中国证监会,2020-04-27。,但该类实践存在操作欠规范、沟通不顺畅等问题。在美方看来,该备忘录仍不足以让其获得必要的文件和证词,因而中美双方就此问题并未达成完全一致。并且,该备忘录也没有对个人信息或数据的处理和使用进行规定。
5.我国跨境审计监管立法及行政措施存在不足
一是坚持单边强监管的立场面临挑战。根据中国证监会2009 年发布的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》第八条,外国监管部门若要在我国境内开展检查,应当事先报批且以我方调查结果为主。这体现出我国目前总体偏向单边强监管的态势。但从法理上推论,基于属地原则,一国的单边立法对另一国的行政执法机构应不具备法律约束力,SEC 等部门仍然可以自行决定是否对在美国境内的市场行为进行处罚和规制。因此,我国近年来开始尝试提及按照审计监管协议开展合作执行的说法,类似规则可参见财政部2015 年印发的《会计师事务所从事中国内地企业境外上市审计业务暂行规定》第十二条。
二是证券数据跨境监管存在立法空白。我国目前有关数据安全的主要立法是2021 年《中华人民共和国数据安全法》(以下简称《数据安全法》),它的出台在一定程度上建构了我国数据监管领域的法律框架。但是,该法并未对证券行业审计数据的跨境流动监管提出特别治理要求。这使得境内企业境外上市过程中各方主体的责任和义务性质仍不明晰,备案或审批要求难以把握,企业数据合规标准无法界定清楚。
针对目前中美开展跨境审计监管合作所面临的主要问题与矛盾,有关机制构建可以从以下几个方面切入,以期形成有效、可持续的跨境审计监管合作机制。
1.合作层级
应当明确中美跨境审计监管合作机制仅限于两国政府层面的信息交换与协助,禁止一方政府以任何理由直接向另一方境内企业发出信息索取请求。这一点区别于德国、英国等国的做法。在德国审计监督委员会与PCAOB 签订的SOP 第III.B.4 条以及英国财务报告理事会(FRC)的SOP 第III.B.4 条中,都接受了在限定条件下PCAOB 可以直接向上市公司发出信息和数据索取请求。但出于国家主权考虑和我国一贯的政策立场,若同样准许PCAOB 直接与我国境内企业进行执法往来,将增加实际操作中的不可确定性,也会削弱中方的监管力度。因此,应当使得所有档案和底稿包括的数据在出境前都先经过我国国内的一道先置审查程序,并通过政府间的合作渠道进行交换。此外,我国还可以考虑借鉴法国、芬兰、德国、日本等国与PCAOB 进行联合检查(Joint Inspection)的合作模式,争取在中国境内开展的联合检查由中方主导行政和组织方面,由中方主要制定检查工作计划,包括期间需要执行的步骤和程序、需要审查的审计事项,决定和部署参与联合检查的检查员人数以及各方工作人员之间的工作分配等等,以获得尽量多的主动权。事实上,这也是我国近年来一直倡导的合作方式,中国证监会曾于2020 年8 月4 日结合美方诉求向其发送了更新的会计师事务所联合检查方案建议11资料来源:证监会有关部门负责人就美国总统金融市场工作组发布《关于保护美国投资者防范中国公司重大风险的报告》事宜答记者问[EB/OL].中国证监会,2020-08-08。。
2.内容规范
应当限缩和明确中美跨境审计监管合作所涉及的材料的适用范围,避免不必要的信息泄露,即将中方对外提供的内容限于与企业上市和发行证券有关的、符合审计监管目标、与审计业务工作有关的信息,将与上市审计监管活动无关的信息尽可能地予以刨除。同时,应当进一步完善一方可以拒绝请求的理由和事项,比如参考法国审计署高级委员会(H3C)与美国签订的SOP 第III.B.6 条。该条详细列举了9 项被请求方可以拒绝的理由,包括提供信息将损害被审计人员或实体的商业利益(工业和知识产权)、被请求方国内已经开始对有关事项开展了司法或行政程序、提供信息将对被请求方课以不合理的成本负担等在中美2013 年谅解备忘录中未提及的情形。
3.形式规范
应当继续维系中美2013 年谅解备忘录中所约定的发出请求的形式要求,即请求方应当以书面形式发出请求,并至少说明请求的信息、引起请求的企业可疑行为、信息请求的目的、请求方国内法律法规的规定与请求方监管职能之间的联系、请求认为可能持有该信息的主体或被请求方可能获得此类信息的地点以及回复所需的时间等等。2013 年中美谅解备忘录对形式规范的规定相较于德国、法国和英国的SOP 都更为详细、具体,有助于中方监管机构准确把握美方的信息需求从而有针对性地提供数据。
4.处罚限制
为防止美方监管部门的行政措施对我国上市企业的股价造成异常波动影响,双方还应当约定在合理的答复期限之前,请求数据的一方不得以任何方式做出可能有损于来自被请求方境内的企业市场利益的行为,如不得作出风险提示和风险预警、特别声明、纳入临时或确定名单抑或是径直做出摘牌(De-listing)处罚等。参考法国SOP 第III.B.7 条,双方还应当约定如果被请求方拒绝了全部或部分请求,请求方也应当在个案基础上对每项信息请求进行评估,以确定是否有其他方式(如通过额外协商等)满足其监管要求。即便是请求方最终决定根据其国内法律或法规将采取一定行动,也应仔细考虑被拒绝披露信息的性质及其拒绝的原因,不能不加区分地予以处罚。
5.信息保密
有关保密性问题,双方可以约定,被请求一方可要求请求方不通过任何渠道、不在任何网站或系统上公开其认为虽可以提供但不适宜对投资者公开的信息和数据,而仅供对方监管机构查阅、核实,以更好地维护企业的商业秘密和知识产权。美国目前倾向于在其EDGAR系统中向任何投资者披露外国监管部门提供的有关信息,这一点应当被视为“过度或不合理的披露”。因为既然在提供审计底稿之后消除了美国监管部门对中国公司合规性的疑虑,就没有必要向投资者无底线地披露更多信息。
6.数据保护
我国有必要参考PCAOB 与欧盟各国的合作实践,与美国附加签订“特定个人数据传输协定”,以更好地保护我国公民个人数据的隐私与安全。比如法国签署的“个人数据传输协定”首先指明法国的合作基础为欧盟的《通用数据保护条例》(GDPR),并在数据处理原则部分重点明确数据保护框架,约定请求方在接收信息和数据之后的一系列处理和使用责任,包括目的限制、保密和安全、数据主体权利、进一步共享限制、争议解决渠道等等。这种普遍的合作先例表明,美国当局实际上认可跨境合作执法应当受到个人数据保护的相应限制。这种限制性安排是2013 年签订中美谅解备忘录时未曾考虑到的事项,因为当时我国并未出台《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),但事实上它可以为我国额外提供一道应对手段。鉴于我国目前已经构建起了相应立法体系,可以规定以我国2021 年生效的《个人信息保护法》为基础,明确中美双方证券监管当局在跨境审计监管合作中落实相应要求。
1. 完善跨境审计监管和数据跨境流动法律体系
应当尽快推动国内证券法律法规的制定和修订,完善跨境审计监管法律规则,为中美监管合作夯实法律基础,也给予美国市场投资者一定的法律预期。譬如,2022 年4 月中国证监会发布的《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》第十一条12《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》第十一条规定:“境外证券监督管理机构及有关主管部门提出就境内企业境外发行证券和上市相关活动对境内企业以及为该等企业境外发行证券和上市提供证券服务的证券公司、证券服务机构进行调查取证或开展检查的,应当通过跨境监管合作机制进行,证监会或有关主管部门依据双多边合作机制提供必要的协助。境内有关企业、证券公司和证券服务机构,在配合境外证券监督管理机构或境外有关主管部门调查、检查或提供文件资料前,应当事先向证监会或有关主管部门报告。”就试图做出此等努力。再者,还可考虑整理和修订我国《证券法》《数据安全法》《网络安全法》等法律和有关条例,将跨境审计监管合作机制这一概念更好地嵌入我国目前的法律体系,同时将境内企业境外上市中的各类数据风险纳入规制。其中最重要的当属就数据跨境流动进行细化立法,要完善数据安全、跨境数据流动、涉密信息管理等相关法律法规,抓紧修订关于保密和档案管理的规定,压实赴境外上市公司信息安全管理的主体责任。
2. 明确跨境审计监管的负责主体及其执法权限
应进一步明确国内主管部门和执法主体及其相关执法权限,以更好地与中美双边合作机制进行衔接,比如可明确中国证监会为与SEC 的主要联络主体,负责监管沟通和协调事宜。有学者指出,相较于SEC,中国证监会目前所享有的执法权限范围和种类都较少,因此可以适当考虑加强证监会的执法权(韩洪灵等,2020)。如果该等双边机制含有数据出境前进行国家安全审查的环节,网信办可作为安全审查的主要责任主体,同时根据具体行业情况联合其他部门进行跨部门协作,或者成立新的专为境内企业境外上市进行网络安全审查的行政部门。
3.谨慎考虑中美审计监管等效认证
关于是否设立有关机构以实施审计监管的等效认证问题,国际上确有先例。比如欧盟最初为了更好地与美国合作,效仿PCAOB 建立了欧洲审计监督机构小组(EGAOB),负责审计事务所的法定监管(郝莉莉和马可哪呐,2017),同时换取PCAOB 对其审计结果的同等认可。我国在2011 年也已与欧盟建立了此种体系互认安排,以避免监管成本的无端浪费。所以有学者提出,可以考虑建立中美以功能等效为主和规则等效为辅、定期调整等效标准的动态等效认定制度(汪伟和乔雄兵,2022)。但结合中美跨境审计监管合作的现实环境和状况,目前两国实施监管互认的可能性不高,我国仍需自行建立专门的国内审查机构。
1.规范境内企业和中介机构的保密责任
作为境外上市的信息披露来源和主要责任主体,虽然此前我国有关法规对境内企业及其所聘请的中介机构提出保密和档案管理的规定,但总体要求比较模糊,缺乏规范性和实操性。因此,可以考虑通过立法的形式,确立境内企业和中介机构的保密责任,要求其构建内部的保密和档案管理制度,在提供涉密和敏感信息时签署保密协议,记录提供和接收的文件、档案清单并保存副本以备核查,根据信息的重要性程度向有关部门履行相应的备案或审批程序。同时还应允许境内企业可以通过寻求行政指导的途径向我国执法机构和业务主管部门进行咨询,同后者保持积极的沟通与协调,以准确识别各涉密和敏感信息的风险级别,以便其规范履行备案或审批手续。
2.将从事境内公司审计活动的境外会计师事务所纳入我国监管范围
从HFCAA 对有风险的外国企业的识别以及交易禁令取消的条件来看,美国监管部门试图以符合PCAOB 审计标准的会计师事务所为抓手,来达到获取符合其监管目标的审计工作底稿和其他文件以及控制在美上市企业的披露状况的目的。因此我国有必要考虑在相关法律法规中将从事境内公司审计活动的境外会计师事务所特别纳入监管。此前我国证券监管的主要对象是境内企业及其所聘请的中介机构,而忽视了自美国出台新规之后,部分境内企业为了满足美国监管机构的审计要求,聘请在PCAOB 注册的位于中国大陆境外的会计师事务所来进行业务审计的情况。这样的会计师事务所虽然能够满足美方监管要求,但却难以受到中方有效监管。因而,有必要进一步规范境外会计师事务所对中国境内企业开展的审计活动,可以要求其向我国有关部门进行登记备案并接受定期检查后方可在我国境内开展业务,而境内企业及中介机构不得向未获许可的境外会计师事务所提供任何文件和资料。
1.数据的一般保密处理
应当依据保护国家安全和公共利益原则以及防止不必要信息泄露原则就对外提供的文件资料中含有的信息和数据进行一般的保密处理。关于涉及数据安全风险的具体参考标准可见《网安办法》第十条所列的相关标准。比如,应当评估数据对外提供是否可能破坏、干扰我国关键信息基础设施,是否会造成业务中断,是否存在重要数据或者大量个人信息被窃取利用的风险等等。具体的保密处理方法包括删除涉密和敏感信息、精准定位请求方所需数据后方可提供、对真实数据进行改造脱敏等等。
首先,我国主管部门应当对影响或有可能影响我国国家安全或公共利益的数据进行识别和删除。其次,即便是认定无涉及国家安全和公共利益的数据,依据防止不必要信息泄露原则,不适宜对外提供的,可以适当删除或隐去。最后,对于必须披露的部分信息和数据,可以采用一定的脱敏算法选择屏蔽、随机替换、乱序处理和加密等手段对其进行处理,在确保数据真实性的前提下将敏感数据转化为虚构数据。即,数据的脱敏处理可以在不改变企业运营逻辑的前提下,保证脱敏后的数据仍保留原始数据的商业特征和分布,使美方监管机构可以验证其真实性,并在第三方环境下进行无碍测试和分析。
2.根据数据的行业门类进行特别处理
可以根据上市企业的不同行业类别就特定门类的数据进行特别处理。有学者指出,建立完善的数据分类分级制度能够为企业的数字化转型和未来发展打好数据管理的基础(翟梓君,2022)。比如涉及运输服务的互联网平台,可以要求其禁止向境外监管部门提供个人用户行动轨迹、关键信息基础设施数量及地理位置网络、地图标志和GPS 卫星数据等。再者,笔者注意到美国证监会首批列入临时清单的5 家中国上市企业,其中有3 家为生物医药行业,涉及领域包括癌症药研发、心血管疾病、自体免疫及感染性疾病等。生物医药行业的数据安全非常重要,因为无论是药物研发还是医疗器械制造,都极有可能涉及到我国人类遗传资源、动物实验和临床试验等数据。而对于人类遗传资源的收集、使用和出境,我国已出台《生物安全法》等法律加以规范,并拟推动既有条例的修改以加强管制13资料来源:科学技术部关于公开征求《人类遗传资源管理条例实施细则(征求意见稿)》意见的通知[EB/OL].科技部,2022-03-22,http://www.most.gov.cn/tztg/202203/t20220322_179904.html。。所以对于此类涉及生物安全的信息和数据,应当进行严格的审查。此外,从事新能源、半导体、芯片、人工智能算法等领域的高新技术上市公司,应当谨慎防范商业秘密与技术秘密的泄露可能对国家安全造成影响。
本质上,中美跨境审计监管问题是中美两国对于中概股审计底稿检查权的权限之争,也是互联网时代有关数据跨境的国家安全之争。其直接产生的效果是企业合规成本的提高以及对境内企业拟上市地选择的影响。有研究称,未来我国可能会迎来A 股市场的回归潮。同时,香港联交所上市规则也为已经在美国上市的中概股企业提供了回归路径,香港二次上市及双重主要上市或成中资企业首选。在推动中美关系重回健康稳定发展轨道的背景下,虽然中资企业仍可“转战”其他资本市场,但推进中美跨境审计监管合作可能仍然是破解目前中概股在美国资本市场退市困局的最好出路。如何找到中美两国监管当局关切和诉求的交集,如何合理平衡投资者利益与国家安全特别是数据安全的关系,是破题的关键所在。在可见的未来,相信我国会相继出台一系列新的法律法规和规章,以进一步完善和加强我国对赴境外上市公司的监管标准和措施。其中加快构建有效、可持续的跨境审计监管合作机制当属重中之重。