中概股审计底稿中的数据应如何出境?
作者:游云庭(上海大邦律师事务所高级合伙人,知识产权律师)、汪婷(上海大邦律师事务所顾问),头图来自:视觉中国
近日,中美两国签署了《审计合作检查协议》,允许美国上市公司会计监督委员会 (PCAOB) 检查人员和调查人员至香港审阅在美上市中国公司的审计资料,包括所有信息的完整审计底稿。据媒体报道,阿里巴巴、京东和百胜中国将成为首批被审计检查的企业 [i] 。
由于审计底稿中包含了大量数据和国内用户的个人信息 (以下合称“数据”) ,今天就和大家聊聊,美方审阅审计底稿算不算数据出境?根据国内的法律法规,这些数据出境应遵循怎样的程序?
对于数据出境,我国《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》均有规定,最新的规定是2022年8月31日发布的《数据出境安全评估申报指南 (第一版) 》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求进行了详细说明。
一、审计工作底稿是否涉及需要监管的出境数据?
审计工作底稿,是审计人员在审计工作过程中形成的全部审计工作记录和获取的资料,不仅限于会计底稿,可能还会包括财务数据和业务数据。我国赴美上市的不少是在科技、媒体、通信行业、教育、汽车、本地生活等各个领域的国内知名互联网企业,它们掌握大量的个人信息和敏感个人信息,以及涉及科技、通信行业等重点行业领域的重要数据都会体现在审计底稿中。
如果被审计的企业涉及关键信息基础设施的运营者,或者在中国境内运营中收集和产生的个人信息和重要数据等,则它们的审计工作底稿确实有可能含有个人信息或者重要数据。根据《数据出境安全评估办法》的规定,数据处理者向境外提供重要数据,应当向中国政府申报数据出境安全评估。
二、审阅审计工作底稿是否属于数据出境?
根据《数据出境安全评估办法》的规定,数据处理者将在境内运营中收集和产生的数据传输、存储至境外;以及数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出,均属于数据出境行为。
因此,如审计工作底稿涉及个人信息或者重要数据的,美国上市公司会计监督委员会审阅审计工作底稿的行为,属于数据出境。 国内审计机构作为责任主体,需要根据我国有关法律法规履行必要的数据出境安全评估或者网络安全审查等程序。
三、《审计合作检查协议》可能规定哪些数据出境程序?
中美《审计合作检查协议》内容目前没有公布,但我国证监会负责人答记者问中提到了数据出境程序的问题:合作协议对于审计监管合作中可能涉及敏感信息的处理和使用作出了明确约定,针对个人信息等特定数据设置了专门的处理程序,为双方履行法定监管职责的同时保护相关信息安全提供了可行路径。 [ii]
考虑到达标的个人信息出境属于《数据出境安全评估办法》的规制范围,所以这个专门的处理程序的内容很可能包括《数据出境安全评估办法》的规定。 根据该办法,审计底稿出境前应当通过中国政府的数据出境安全评估,国内审计机构作为申报主体,要通过该评估,最重要的是先进行数据出境风险自评估,按照法定重点评估的事项进行评估。
在自评估时,应首先判定和审查审计底稿中的数据是否构成重要数据,并需要结合国家对“重要数据”的定义和行业主管部门对“行业重要数据”的认定来综合进行。如不构成重要数据,仅为达标的个人信息及敏感个人信息出境,无论是在经营中涉及的客户或其他个人信息,则应当特别关注和审查出境数据的规模、范围、种类、敏感程度以及数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
《数据出境安全评估申报指南 (第一版) 》也明确要求必须以表格形式详细列出数据处理者需披露的具体项目。其中“拟出境数据情况”要求填写数据规模 (MB/GB/TB) 、敏感程度 (如为个人信息) 、涉及自然人数量和重要数据数量等。若是涉及到个人信息的,还必须同时符合《个人信息保护法》及相关法规的要求,比如个人信息的出境已经获得了个人信息主体的事先同意。
四、美国上市公司会计监督委员会 (PCAOB) 会受哪些约束?
根据《数据出境安全评估办法》,如果国内审计机构要通过数据出境审查的,就必须和数据的境外接收方订立包含特定内容的法律文件,明确约定其数据安全保护责任义务。也就是说,审查审计底稿的美国上市公司会计监督委员会及其指定的审计机构也会受这些法律文件的约束。这些内容包括:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
而上述内容中,第(一)目的、第(三)项数据再转移和第(六)项数据发生意外后的应急措施,应当特别予以关注。
首先,审计底稿必须只能用于约定的目的,存储个人信息的期限为实现约定目的所必要的最短时间,超出上述存储期限后,应对个人信息进行删除或匿名化处理。其次,必须约定出境数据不得再转移给其他组织、个人,如有,必须依法履行相应的程序,包括征得个人单独同意、与第三方达成书面协议等。最后,必须采取有效的技术和管理措施,并定期检查,以保障这些措施持续维持适当的安全水平。若是发生泄漏事件,应及时采取适当的补救措施,履行通知义务 (包括通知个人信息处理者和我国的监管机构) 。
此外,美国国内法问题也值得关注 ,目前美国的《澄清境外数据合法使用法案》 (CLOUD Act) 对数据的管辖权标准采取的是数据控制者,即允许美国联邦政府强制获取美国企业的数据,无论该数据是否存储在美国境内。在这种情况下,如发现美国政府要调取相应的数据时,应及时通知国内审计机构和我国的监管机构,并穷尽法律救济措施。不过这个问题,在中美两国签署的《审计合作检查协议》应该也会有约定。
最后,中美的博弈非常复杂,所以即便《审计合作检查协议》已经签署,但其能否得到执行,市场还是存在疑虑。比如签协议之前的2022年7月,阿里巴巴向美国证监会提交的2022财年度年报中就提到 [iii] :“虽然证监会发布了《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》 (征求意见稿) 协助美国上市公司会计监督委员会对中国的会计师事务所进行的检查,但无法确定我们的审计事务所或我们能够满足美国监管机构的要求。”
但笔者对此还是比较乐观,审计底稿中的信息其实在日常经济活动和报道中都有迹可循,至多是一个对已有判断的再确认,既然中美签了协议,就意味着在很多之前没能达成共识的地方有了突破,对双方而言,达成共识的利益一定是大于风险的,所以无需过于紧张。
参考资料:
[i] http://k.sina.com.cn/article_3100860304_b8d35f90019013gvs.html?display=0&retcode=0
[ii] http://www.csrc.gov.cn/csrc/c100028/c5572300/content.shtml
[iii] https://www.sec.gov/ix?doc=/Archives/edgar/data/0001577552/000110465922082622/baba-20220331x20f.htm
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师。汪婷,上海大邦律师事务所顾问。电话:8621-52134900,Email: yytbest@gmail.com,本文仅代表作者观点。