境外上市公司档案信息安全监管问题研究

2021-11-27王露露中国人民大学信息资源管理学院

浙江档案 2021年9期

张超王露露/中国人民大学信息资源管理学院

2021年7月6日，中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》（以下简称《意见》），《意见》明确提出将境外上市的中国公司纳入监管范围，尤其是在加强跨境合作监管方面，提出了“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定，压实境外上市公司信息安全主体责任”。与此同时，国家网信办连续发布了对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络安全审查的公告。审查期间，以上APP均已停止新用户注册。多家互联网企业接受网络安全审查，一时间，数据安全再次成为关注焦点[1]。无论是从国家对上市公司信息安全的政策导向来看，还是从多个互联网企业被审查的现象来看，新时代企业信息安全问题日益突出，尤其是涉及跨境信息安全方面，上市公司的信息安全问题更是影响到国家信息安全的严重问题，成为国家安全的监管真空地带。

目前学界关于企业境外档案管理的研究已经起步，已有研究重点关注的是国有企业在境外开展业务活动时形成的档案。然而，从7月4日“滴滴出行”因违反《中华人民共和国网络安全法》的相关规定而被下架可以看出，非国有企业的档案信息安全问题同样很突出，尤其是我国上市公司在从事境外证券投资相关活动的过程中，会发生比企业境外业务活动更加频繁的档案信息流动，从而引发严重的档案信息安全问题，而对于档案信息安全的忽视可能进一步引发国家信息安全风险。因此，笔者认为有必要对境外上市公司的档案信息安全问题进行研究，从而降低我国跨境档案信息安全流动的风险性。对境外上市公司档案信息的界定，可以理解为境外上市公司所保存的具有长久保存价值的原始性信息集合，这些信息既可以是保存在纸质载体上的，也可以是保存在数字化载体上的。基于此，笔者以“档案”“上市”为组合检索词，在中国知网上进行主题词检索，去掉重复与无关的成果之后，目前仅有17篇文献对上市公司的档案管理进行了研究，且有2篇都发表在档案学相关期刊上。档案学界对该主题的关注较少，关注点主要集中在上市公司会计档案信息失真等问题。同时，已有的关于我国企业境外档案安全问题的研究集中在静态管理方面，而对跨境档案信息流动的安全问题关注较少，这也为本文提供了研究空间。

1 境外上市公司档案信息安全监管面临的新形势

1.1 政策法规方面可能面临冲突

由于境外市场环境和竞争规则的不可预测性，我国境外上市公司实则面临比国内更大的档案信息安全风险和更严苛的管理合规性问题。不同国家或地区的法律体系和具体规定不同，对企业档案管理的要求也不同[2]，这就意味着境外上市公司在遵守境外国家或地区的政策法规的同时，还需遵守中国法律相关规定，尤其是一些涉及国内经济发展、社会民生等的档案信息资产。当境外上市公司面临可能不利的政策法规或双重标准，极易面临法律遵从上的冲突。以我国在美国上市公司面临的信息披露问题为例，美国证监会指定的《境外发行人跨境证券发行与首次上市国际信息披露准则》中大量非经营性、非财务性信息披露监管，要求被纳入SEC对境外企业信息披露的常规监管视野中[3]。但事实上，2009年我国国家档案局、中国证监会和国家保密局制定的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》就已明确规定，境外上市公司向有关证券公司、证券服务机构和境外监管机构提供或者公开披露涉及国家安全或者重大利益的档案的，应当依法报国家档案局批准。可见，愈渐严苛的政策法规将在不同国家不同地区对同一家上市公司做出监管的同时，其法律冲突问题将成为境外上市公司信息安全保护与档案管理工作新阻碍。

1.2 信息安全方面敏感度更高

一般而言，档案信息都是具有高价值密度的，也就是说，档案信息本身就具有保密与安全的门槛与必要性。然而，境外上市公司的一大重要特征是发生档案信息的流动，为了向境外投资者展示自身的投资潜力，会产生公开业务数据或者档案信息的需求，在这个过程中，档案信息的跨境安全流动问题就表现得极为突出。除了近两年被美国以威胁国家信息安全为由进行审查的华为和字节跳动等公司之外，前文提到的“滴滴出行”“运满满”“货车帮”“BOSS直聘”等公司所保管的档案信息具有极高的安全敏感度，通过APP收集保存了大量用户隐私数据。江苏省大数据交易和流通工作实验室工作人员认为：“上述几家被审查的企业，分别为日常出行、网络货运及大众求职领域的头部平台，至少掌握了所属行业领域80%以上的深度数据。这些数据可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况。”[4]也就是说，除了一些会计档案之外，一些核心业务档案数据也是我国重要的信息资源，包含大量个人隐私信息。这些公司在上市融资的过程中，必然要面临档案信息出境问题，为了眼前的利益，极有可能触犯国家信息安全底线。随着全球信息化进程的不断加快，上市公司的业务越来越离不开用户隐私数据，因而档案信息安全敏感度会越来越高，档案信息将会面临更加严峻的安全流动风险问题。

1.3 技术方法方面面临更大风险

随着云计算等新兴技术的飞速发展，海量信息在各上市公司之间积累、归档、共享、再分析，这也为这些上市公司信息安全带来新的挑战。第一，境外上市公司的核心档案信息相比于国内企业更易被攻击窃取。由于缺少类似于中国国家防火墙（Great Firewall of China，GFW）的安全保障，境外上市公司需要在技术上自己投入并构筑信息安全防护体系以达到保障重要信息不被攻击的目的。而在构筑企业级防护体系过程中，无论是网络通信层面还是物理设备层面，使用当地运营商的链路传输信息和存储极易被非法侵入或被植入恶意代码，最终极易面临核心档案信息被窃取的境地。第二，以社会工程学、水坑攻击、变种病毒等为代表的新型信息安全攻击手段也对境外上市公司的档案信息安全保障带来新的威胁。虽然档案信息安全领域已广泛采用数字水印、入侵检测、数据加密、反垃圾邮件等安全防护技术，但由于档案数据库中所承载的数据具有较高商业价值和安全价值，一旦被黑客恶意攻陷，我国境外上市公司的股价极易造成异动，进而导致巨大经济损失。第三，我国境外上市公司大部分为互联网企业，这些企业在国内运营过程中产生了海量信息，如果被恶意通过数据挖掘等新兴技术进行分析，极易得出一些有关国家秘密的情报。因此，在新兴技术飞速发展的当下，这些上市公司将面临更为严峻的安全形势。

2 境外上市公司档案信息安全监管面临的新问题

2.1 境外上市公司档案管理相关政策法规缺位

从2015年开始，我国陆续出台了包括国家安全法、网络安全法、数据安全法在内的一系列法律法规，时至今日我国已经迈入了数据保护立法的快车道[5]。尽管网络信息安全已经引起了国家重视，但是近年来境外中概股公司陆续出现的“爆雷”事件，反映出我国关于档案信息的法律法规存在缺位的问题。具体来说，一方面，针对境外上市公司的档案信息安全相关法律法规存在缺位。即使算上《中华人民共和国个人信息保护法》《网络安全审查办法（修订草案征求意见稿）》这两部重要上位法，关于档案信息安全的法律法规依旧缺少，如2020年新修订的《中华人民共和国档案法》就没有提及相关内容。另一方面，境外不同国家（地区）对档案信息管理与披露提出了不同要求，境外上市公司需要同时兼顾中国和上市国家（地区）的法律规定，这就势必导致境内外法规可能出现冲突的情况。以会计档案为例，我国《会计档案管理办法》规定保管期限为10年和30年，而英国《公司法》规定的时间则为3年和6年。类似地，法规冲突还会出现在企业档案有法律效力的条件、企业档案接受何方监管、企业档案能否携带出境、文件归档范围等方面[6]。因此，上述法律法规问题在给上市公司档案监管带来了极大挑战，亟待得到有效解决。

2.2 境外上市公司档案信息监管体制亟待建立

当前境外上市公司档案信息监管存在很多问题，其中最为突出且调和难度很大的问题就是监管主体混乱。一方面，从国家与国家之间的纵向关系来看，我国和境外国家对于上市公司的档案信息监管存在明显的冲突，这一问题并非简单的管理层面问题，而是涉及国际局势、经济形势和技术发展等宏观层面，受到诸多不可控因素的影响，《意见》中也提出了“坚持依法和对等原则，进一步深化跨境审计监管合作”，可见加强跨境监管合作是建立境外上市公司档案信息监管体制的重要议题。另一方面，从行业主管机构之间的横向关系来看，证监会、网信办、档案局、保密局、证交所、会计监督委员会等对上市公司档案信息有监管职责，但对境外上市公司档案信息的联合监管体制没有建立。尤其是档案部门在境外上市公司的档案信息监管体制中处于参与度较低的地位，只有档案监管机构真正参与到上市公司档案信息安全监管的体制之中，才可以真正引起上市公司对档案信息安全的重视，从而优化档案管理与利用。

2.3 境外上市公司档案信息安全的风险性较强

境外上市公司由于档案信息往往没有纳入档案行政监管范围，国内主管部门对这些上市公司的信息安全监管也没有形成体系[7]，因而境外上市公司面临的风险问题更为严重。相比于境内上市公司，境外上市公司档案信息安全所承受的风险性更强。在横向上，由于身处国境之外，无法享受来自国家对企业经营活动的有力保护，并且受到不稳定的国际形势和大国关系的影响，境外上市公司的档案管理面临来自政治、法律、文化和管理方面的风险[8]。在纵向上，档案信息面临的安全风险体现在收集、管理、存储、利用过程中存在各种安全隐患[9]。识别这些复杂性风险并施以对策是一个艰巨的难题。此外，境外上市公司大多均为具有一定行业垄断性、占据大量核心技术或信息情报的龙头企业，这就导致它们所面临的外部威胁和潜在风险会更难以把控。如，竞争对手企业为谋求本企业利益最大化，会通过一系列正当或不正当的技术手段获取核心档案信息。以美国为例，美国除通过《爱国者法案》《云法案》等法律授权获取数据外，情报机构监视活动也从未间断[10]。境外上市公司面对内忧外患，需要在多方“夹缝”中确保档案信息的机密、完整与可用，除了依靠自身的自觉管理外，国内监管主体的跨境监管与指导也同样不可或缺。

2.4 境外上市公司档案管理模式面临较大挑战

对于一些上市公司而言，档案信息的重要性主要体现在合规性检查、获取公众投资者信任等方面，以该目的为导向，会导致境外上市公司对档案管理的态度呈现消极被动的状态，反而不从源头上对档案管理模式给予应有的关注。以会计档案为例，一些上市公司以为，只要季报、半年报、年报等按时编制完成，会计档案的作用就不大了，有的甚至没有专门的档案馆（室），由控股公司的档案馆（室）代管，会计档案被看成是累赘[11]。与这一现象形成鲜明对比的是，上市公司在财务造假或利润操控时却非常“重视”会计档案。如，上市公司麦科特通过伪造出口设备融资租赁合同、材料和产品购销合同、进出口发票和海关印章等手段，1997年虚构利润0.4亿港元，1998年虚构利润0.38亿港元，1999年虚构利润0.13亿港元，2000年虚构利润0.93亿港元。麦科特如此“重视”会计档案就是为了上市融资[12]。对档案价值的错误认知导致大部分上市公司在档案保管期限、档案信息真实性、档案保管环境合规性、档案信息安全流动等方面缺乏应有的专业性。特别是对于境外上市公司而言，企业未来处理上市融资、合规性检查以及确保数据安全时，这些问题将带来诸多困扰。

3 境外上市公司档案信息安全监管建议采取的应对措施

3.1 制定出台档案信息安全监管的相关政策法规

考虑到我国境外上市公司不同于一般境外企业，相关法律法规体系的出台和修订涉及市场与经济的发展，一旦有疏漏，轻则造成上市公司股价出现大幅波动影响市场，重则可能影响国际经济贸易合作。具体来说，需从以下三个方面着手。第一，健全相关档案信息安全的法规体系。具体途径有两种：一是专门出台有针对性的管理法规；二是修订扩充已有法规，将档案信息安全、跨境数据流动、涉密信息管理等纳入修订范围。如，我国2017年颁布实施的《中华人民共和国网络安全法》，对个人信息或重要数据本地化存储和管制性数据跨境传输做了相应规定，但仍存在诸如安全评估不明确、违法成本过低、范围狭窄等缺陷[13]。因此，建议在原有法条的基础上，借鉴欧美《通用数据保护条例》的长臂管辖规则对涉密信息管理、跨境档案数据流动等内容，也做出相应的补充修订，强化我国国家数据主权和行政监管权。第二，在健全相关法规体系过程中，需灵活贯彻“双重遵从”原则，即既遵从所在国或地区的法律规定，又遵从我国的法律规定[14]。但是在遇到类似于要求获得会计档案底本等上市要求时，则应当始终坚持“维护国家安全”的根本立场，坚决不触犯国家信息安全底线。第三，进一步完善境外上市公司档案信息监管配套政策，如相应的档案信息管理规范和国家标准等。需要补充境外上市公司档案管理和信息安全相关技术标准，作为基本法律法规指导下的“软工具”，统一对这些企业进行管控和约束，在标准中加大对不合规中概股公司的执法力度，对涉及跨境数据流动、出口管制等重要档案信息实行专项管理。

3.2 建立健全档案信息安全监管的体制机制

与境外企业档案管理不同，上市公司档案信息问题明显涉及国家安全，必须将档案监管机构纳入其中，充分发挥档案行政监管机构和档案专职人员的专业力量。具体来说，一是需要树立外紧内松的档案信息安全监管理念。《意见》中提出的基本理念“建制度、不干预、零容忍”，为上市公司档案信息监管提供了很好的导向。建议加强证券行业档案信息管理与信息披露方面的基础制度建设，健全依法从严打击档案信息非法泄露体制机制，提高执法司法效能，有效防范化解重大风险，为加快建设规范、透明、开放、有活力、有韧性的资本市场提供有力支撑[15]。二是需要加强跨境监管执法司法协作。对于我国的档案信息安全监管主体而言，应当以总体国家安全观为指导，始终坚持依法监管和公平对等的原则，在档案信息披露的问题上，既要与境外证券监管机构进行合理程序交流，又要做好相关档案信息保密工作[16]。中外双方在上市公司档案信息披露上应当建立长期有效的对话机制，使得外方建立对我国上市公司财务审计的信任，从而提出更为合理的档案信息披露要求，或者双方协商建立互认的监管标准和互连的监管科技，实现对档案信息安全协同监管[17]。三是要加强组织保障和监督问责。在建设境外上市公司信息安全监管体制时，应当充分发挥档案监管机构的监督指导职能，要求上市公司配置相应的档案专业人才，确保一定的数量和素质。同时建立严格的档案信息安全责任制度，一旦发生了上市公司档案造假、信息非法泄露、遭受非授权访问或攻击等风险事故，应对档案工作人员、部门领导和分管档案信息安全工作的领导严厉追究法律责任。

3.3 提高档案信息安全监管的风险应对能力

在提高档案信息安全的风险应对能力方面，需联合境内监管部门和境外被监管企业形成治理合力，具体有三条途径。第一，企业加大技术应用，监管机构实现技术治理。使用技术手段实行自救，往往是应对档案信息安全各类风险的首选模式。考虑到境外上市公司档案管理成本高昂，且在境外还面临着网络、通信、硬件设备等多个层面的潜在攻击和威胁，因此可以利用云计算、区块链等技术统一为境外上市公司搭建档案信息安管平台（Security Operation Center，SOC），在保证信息安全的基础上，适当分配给各上市公司部分传输接口，结合所在国家和地区的档案管理实践，通过安管平台集成的防火墙、防病毒软件、IDS检测等安全防护模块，保证核心档案信息的机密性、完整性、可用性。第二，企业和监管机构需合力构筑境外上市公司档案信息安全风险监控体系。在构建风险监控体系过程中，需结合历史数据、风险责任人或权威专家主观判断、国际良好实践、已知理论分布等[18]，通过事前、事中、事后全过程动态化跟踪监控，实现对每次攻击和每种风险类型的预警与识别，用以增强核心档案信息的收、存、管、用的安全把控。第三，需切实提高境外上市公司人员的档案信息安全意识。人员风险相对不可控，应当针对企业上至董、监、高，下至基层员工，建立起对档案管理的重要性认知，将企业档案安全上升到企业重要资产安全和国家信息安全的高度，从而在人、财、物等方面加大保障力度，确保境外上市公司做到对档案工作的全员认同、全员参与[19]。

3.4 提高上市公司档案信息管理模式的安全性

只有在管理模式上做到合规性，才能更有序地监管上市公司档案信息的跨境流动。具体来说，可以从以下三个方面着手。一是明确档案信息管理的价值。档案信息可以作为融资上市的重要凭证，但是应当建立在业务合规性的基础上，即档案最终是为了证明合规性，而非财务或者业务造假的工具。因此，需要上市公司认识到档案合规本质上是为了推动业务合规，上市公司的档案信息管理应当承担相应的法律责任，不能本末倒置为了融资上市而进行非法披露或者不当管理。二是解决档案底稿的保管与开放问题。这一问题是美国发布的《外国公司问责法》与我国国家档案局、中国证监会和国家保密局2009年制定的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》相冲突所带来的问题，提醒了上市公司应当充分了解我国境外档案管理的相关法律法规，在《中华人民共和国档案法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律的框架内，对新业态下的上市公司档案信息进行更加全面的管控，以及更加谨慎地进行档案信息披露。同时，上市公司也可以积极探索将原始档案信息与档案价值相剥离的技术范式，在技术上促成各国上市公司在不进行原始档案信息跨境流动的前提下实现档案信息价值的流动[20]。三是制定档案信息安全等级保护制度。等级保护制度是我国信息安全保障的基本制度，对于档案信息安全监管来说也有较强的指导意义。参考2019年我国发布的网络安全等级保护2.0制度相关内容，可以针对上市公司构建档案信息安全管理体系。在技术方面，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面进行控制与评级；在管理方面，从安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等方面进行控制与评级[21]。关于上市公司档案信息安全的监管也应当积极引入档案专家评审和档案主管部门审核，从总体国家安全观和个人隐私保护的专业视角，进行严格的定级与评分。