张 超 王露露

（1.中国人民大学信息资源管理学院，北京，100872；2.北京大学信息管理系，北京，100871）

2022年3月，美国证券交易委员会（United States Securities and Exchange Commission，SEC）公布了之前预除名的5家中概股企业名单后，大部分中概股企业的股价出现了大幅度下跌。这是2020年5月美国证监会颁布《外国公司问责法案》后，按照实施细则执行的第一批超过3年没有提交审计底稿的中概股企业。当前的主要矛盾是审计底稿监管和审查问题，其严重性在于我国赴美上市的中概股企业中有一定比例的互联网企业，其掌握了我国大量的基础用户信息，美国证监会提出的“无条件提供审计底稿”必然会威胁到我国信息安全。

对于监管对象而言，无论是否涉及境外审计，中概股企业都需要意识到信息安全的重要性，提前关注信息安全管理的问题，而企业档案客观记录了企业各项业务活动，是确保信息安全的重要组成部分。对监管主体而言，2022年4月2日，中国证监会就修订的《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定（征求意见稿）》（以下简称“新规”）向社会公开征求意见，重点明确了企业信息安全责任和跨境监管合作安排等问题，相当于为开展跨境监管合作提供制度保障。［1］尽管从政策上来看，我国证监会和美国公众公司会计监督委员会（Public Company Accounting Oversight Board，PCAOB）有可能达成一个折中且双方都能接受的操作模式，但具体如何落地以及企业如何具体执行等问题尚未解决。这其实给我国境外上市企业档案安全治理问题画了一个更大的问号，也解释了本研究提到的“新规解读视角”的必要性。

目前，关于该问题的研究集中在境外企业归档业务和宏观监管机制等方面［2-5］，学者们尤其关注国有企业的境外档案管理问题。赴美上市的中概股企业有其自身特殊的业务情况，导致记录其业务活动的档案信息也具有极强的涉密敏感性，而且一般面临着更加严重的监管风险，会对资本市场运作带来连锁反应。然而，目前关于境外上市企业及其档案安全问题的研究成果相对较少。从当前的形势来看，该类企业的档案安全治理问题非常严峻，有必要结合新形势、新规则和新环境展开更加持续、广泛且深入的探讨，从而满足企业档案安全监管的要求，为我国资本市场发展提供空间。

1 “新规”的修订要点解读

“新规”对2009年发布的原规定进行了修改。“新规”全文总共13条，明确了监管企业范围、跨境联合监管等内容，并对档案程序安全、跨境档案审批等进行了规定。增强对我国境外上市企业档案的监管与保护，一方面是国家档案局、证监会等监管机构适应新形势的发展，顺应内外部环境变化的应有之举，另一方面也是我国产业结构升级调整的需求。这传递出加强档案安全治理、提高效率、明晰责任、兼顾统筹发展与安全的信号。

1.1 扩大监管范围，明确企业档案责任

“新规”根据《中华人民共和国会计法》《国务院关于境内企业境外发行证券和上市的管理规定》等多部上位法律法规准确做出调整，明晰了境内企业境外发行证券、上市保密的相关档案管理工作为其核心监管对象，相比旧版规定扩大了监管适用范围。一方面，“新规”将境外直接发行上市的境内企业和境外间接发行上市主体的境内运营实体均纳入主体监管对象，如近年来越来越多的境内企业以间接红筹股的方式赴中国香港、美国等境外市场上市，“新规”此举把此类企业纳入监管范围旨在进一步减少规范盲区。另一方面，“新规”还将证券公司、证券服务机构等关联方一并纳入其监管范围，强化了境内企业境外上市全产业链条的监管闭环。“新规”通过扩大监管范围精准落实相关企业档案安全管理责任，配合新修订后的《档案法》中“法律责任”一章内容，既有助于强化上述企业对于档案安全和保密问题的认知，又适应了新时期档案安全新形势，从而确保企业档案安全，保障国家信息安全。［6］

1.2 转变监管方式，寻求跨境联合监管

自2007年起，我国证监会等监管部门与美国PCAOB等境外机构就会计档案跨境监管合作进行了持续性的接触，并就签署合作协议进行了讨论，但一直未能取得突破性进展。［7］本次修订在确立监管合作为最优路径的基础上取得了新的成果，具体表现在三个方面：一是删除了此前关于“现场检查应以我国监管机构为主进行，或者依赖我国监管机构的检查结果”的表述，不再按照检查方式和地域区分，更加贴合跨境审计监管合作的国际惯例。二是秉承开放的态度寻求跨境监管合作机制的确立。事实上，我国监管机构已初步积累了与多个国际资本市场的跨境监管合作经验，其中包括中国与欧盟的等效谈判、内地与香港的《监管合作备忘录》签署等。［8］三是在探索跨境监管合作过程中，要求证监会、档案主管部门以及双多边合作机制提供必要协助。该条规定旨在寻求多部门根据专业领域的监管职能进行多向联动，进一步为合作机制的有效落地提供制度保障。

1.3 夯实保密机制，强调档案跨境监管

在贯彻总体国家安全观的背景下，“新规”第三至第八条内容对境内企业境外上市的会计档案、工作底稿等涉及国家机密的文件资料，做出了明确的管理要求，具体要点包括三个方面：一是“新规”将与先前国家互联网信息办公室发布《网络安全审查办法》《个人信息出境安全评估办法》等法律法规互为补充［9］，逐步完善从数据到信息再到档案的全生命周期监管体系。二是“新规”明确要求涉及国家秘密、机关单位工作秘密的档案，在向中介机构和境外监管机构提供过程中，均应依法报批并进行同级备案。事实上，境外上市企业为了眼前的利益，极有可能触犯到国家信息安全的底线，导致我国公民个人信息和国家安全信息的泄露。［10］此举要求上述企业在严格保守国家秘密同时，关注对敏感问题的评估，这将有助于规避安全风险。三是“新规”要求在境内形成的工作底稿、会计档案等存放在境内，具有重要保存价值的档案或档案复制件出境时也应获得审批。整体上看，“新规”要求企业对档案保密价值的重要性予以更多关注，自下而上，进一步丰富我国境外上市企业档案的监管层次。

1.4 确立审批责任，注重档案程序安全

当前中美对上市企业在审计底稿上的争端，本质上在于当前我国尚未形成严格规范的上市企业档案涉密审批具体规则、法规与制度，导致上市企业已形成的审计底稿无法明确区分可公开与涉密类别。同时，由于我国上市企业审计监管职能分散，导致审计底稿以及相关档案出境前并未经过国内严格的指导与审批，加之考虑到企业档案走向数字化的新形势，其涉密档案监管问题将更加复杂。针对可能发生信息安全风险的环节，“新规”提出了联合监管要求，更加严格落实相关审批责任，强调程序留痕，标志着我国境外上市企业档案监管开始从后端的结果监管，走向全流程的程序监管。

2 我国境外上市企业档案安全治理的新问题

本部分通过梳理“新规”修订的重点内容，主要从档案安全责任、“新规”落实情况、档案信息安全管理细则和跨境监管合作机制四个方面分析当前复杂新形势下我国境外上市企业档案安全治理中存在的问题。

2.1 境外上市企业档案安全责任意识较为薄弱

境外上市企业的档案安全治理问题，可以追溯到意识层面。只有在意识层面，企业认识到档案对境外上市活动，对企业长远、稳健发展，乃至对国家安全的重要价值，才会从制度、管理、人力、物力等方面全方位保障档案安全。从治理对象的特性出发，档案的凭证价值和情报价值使得企业必须对档案给予足够的重视，然而，现实状况是大部分上市企业的发展时间较短，在运营成本和人力投入等方面承受了较大的压力；部分私营、民营企业甚至无专门的档案馆（室）而由控股公司档案馆（室）代管，会计档案被看成是累赘。［11］此外，这些企业也很难接受来自档案专业管理机构的指导与监管。这种薄弱的档案安全责任意识源于企业决策层，即便是以境外业务为主的部分大型科技企业，在对待档案管理这一问题上，也是在经历严苛的劳工审查案件等其他法律问题承受了巨额赔偿之后，才切实将档案安全管理提升到了合规监管的价值高度。

2.2 境外上市企业落实“新规”存在难度

现阶段，中资企业境外上市根据注册地不同分为直接上市、红筹上市、可变利益实体（Variable Interest Entities，VIE）架构上市3种。［12］“新规”将监管对象扩大至间接境外发行上市的境内企业，其使用范围根据上位法相应做出了调整，力争缩小监管真空地带。而在企业端来看，此举为新纳入监管的企业落实要求带来了一定难度。例如，以华晨汽车为代表的小红筹中概股企业，它们选择间接境外上市的原因之一就是考虑到上市成本和经营压力。而此类企业往往缺少档案安全管理人才、资源和经验，被纳入监管范围会带来新的合规性成本。与此同时，我国诸多间接境外上市的企业无论是红筹架构还是VIE架构，其复杂的境外注册身份、股权结构、运营架构都会为落实档案安全管理责任带来新的阻碍。［13］以境外注册身份地为例，中国企业很少在美国本土注册，包括搜狐在内的许多知名企业都将注册地放置在开曼群岛、维京群岛、百慕大等地区，显然在此类注册地落实企业档案安全管理还存在困难。

2.3 档案信息安全管理细则有待细化

对境外上市企业而言，档案安全治理本质上是处理涉密内容以及对底稿的审查权问题，关键在于制定相对可操作的标准或细则。尽管国内已有宏观层面的《会计档案管理办法》（2015年）、《企业文件材料归档范围和档案保管期限规定》（2012年）、《境外档案管理办法》（2019年）等规章和法规性文件，但其主要针对的是国有企业境外档案的监管，对于非国有企业的上市档案信息安全尚未有针对性的政策。整体来说，我国目前对上市企业的档案监管还没有形成较为系统化的政策环境。此外，境外上市企业的业务类型会直接影响档案安全治理对象、条件、监管范围和鉴定标准等，因此，境外上市企业需要构建一套适应自身业务类型的评估体系。针对会计档案信息披露时间节点设置等问题，尽管“新规”明确其要经过相关的审批程序，且要符合涉密法规、标准的要求，但还需进一步针对境外上市企业构建具体的顶层标准和实施规则等。

2.4 双多边跨境监管合作机制有待落地

“新规”虽然删去了关于档案底稿的“现场检查”和“非现场检查”的描述，并结合国际惯行做法开展跨境监管合作，但在具体落地层面双方监管依旧存有重重阻碍。以中美双方为例，目前难点主要集中在三个方面：一是受到国际动荡局势的复杂影响，跨境监管合作在近十多年来一直波折不断。美方始终将在美上市中国企业的利益作为一种“外交筹码”来向中方施压，并屡屡采取单方行动制造争端，致使双方合作机制的落地长期受阻。二是双多边跨境监管合作模式下的多部门监管协同问题。目前，中国对于境内企业境外上市的审计监管和档案监管，其职能分布在财政部、证监会、档案局等多个部门，存在着多头管理的情况，部分监管部门缺少跨境监管合作经验，可能会在本次合作过程中面临新挑战。三是中美双方在跨境监管合作机制落地过程中缺乏足够的信任。我国需要承担美国SEC或PCAOB将企业档案底稿移交给美国联邦政府而带来的信息安全风险，这可能会被他国掌握行业机密和敏感信息，威胁我国国家经济安全乃至人民生命财产安全。而美方则怀疑我国监管部门在档案底稿接受审计前有可能会对某些内容做出删改，美方无法了解企业的真实情况，最终导致双方监管主体无法顺利开展工作。

3 我国境外上市企业档案安全治理路径

基于以上问题的分析，有必要完善我国档案监管体系，构建多方治理策略，在保障国家安全的前提下，通过双方合作共同维护全球投资者和企业利益，实现多赢。笔者认为，可以从以下四个方面进行探索与优化。

3.1 提高境外上市企业的档案安全责任意识

境外上市企业的档案安全意识，是指在整个企业内部形成一个关注档案安全的信息文化（Information Culture）。贯彻落实这种包括档案在内的信息工作方式的变革，才能惠及境外上市企业的档案安全治理。尽管我国在档案监管方面，对上市企业没有表现出清晰的导向，但从近年对国有企业境外档案监管的趋势看，上市企业档案监管也应当自觉提高管理标准、强化安全管理意识。具体可从以下三个方面实现转型：一是制定长远、清晰的档案安全管理战略。企业各部门都会形成档案，因而需要企业所有员工自觉关注到档案的价值和涉密等问题。从文件生命周期来看，前端的涉密审查和文件规范化管理的顺利执行，可以高效地解决境外上市企业的档案安全问题。二是需要进行相关档案涉密和安全管理的培训，同时制定相应的激励机制。这其中既包括对各部门人员的档案专业技能培训，还包括对管理者的档案信息治理战略的培训，只有使保护档案安全成为人们处理文件和信息的行为规范，使人们的信息价值观达成自我实现的观念转化时，才能真正实现境外上市企业的档案安全责任文化建设。三是制定专门的境外上市企业档案安全治理制度，可以通过对优秀案例、人物的宣传与奖励，形成正确的价值氛围导向，从而在意识层面实现塑造和影响境外上市企业档案安全行为决策的效果。

3.2 完善境外上市企业档案安全治理体系

不论中美两国监管机构最终采取何种方式开展跨境监管合作，都必然建立在一个共识的基础之上，即监管机构必须按照“法无授权不可为”的原则，在本国法律法规授权的框架内履行职责。［14］因此，想要最大限度地保护国家与我国企业的根本利益，完善我国境外上市企业档案安全治理体系尤为重要。具体包括以下三条举措：一是完善档案安全治理领域的标准体系。现行的28项档案相关的推荐性国家标准，并未涉及我国境外上市企业档案相关内容。在“新规”划出档案监管红线时，更应将配套的国家标准、行业标准一并纳入，将我国境外上市企业相关档案底稿的存储、传输、归档、利用等一系列工作要素进行明确。二是细化“新规”中涉密信息进入档案底稿的审核标准。中国应该对上述企业公开更多细化的规则，例如对敏感信息、涉密信息分级、分类的评估规则。［15］如此一来，企业在提交监管部门审核相关信息之前，就可以进行自我评估，便于监管部门针对不同类型的档案信息采取不同的监管策略。三是促进我国境外上市企业档案安全管理的行业自律。建议成立区域性的境外上市企业自律组织，组织成员可包括境外上市企业、会计师事务所、上市服务商等机构。此举不仅使得境外档案管理也开始具有区域循环集中的优势［16］，还可以对提供审计档案底稿的条件、种类、审批程序、保密事项及责任承担等事项形成较为明确统一的规定，以便境内监管机构对境外档案的管控执行。

3.3 建立涉密信息识别流程与风险预警机制

在信息技术飞速发展的时代，档案信息泄露、原件跨境归档、信息安全风险等问题面临更为严峻的监管挑战。首先，必须积极利用信息安全技术来识别风险，这不仅包括信息系统上的数字档案，还包括具有重要凭证价值、历史价值和参考价值的档案原件等，企业档案部门应当制定相应的档案开放利用系统规则和实体档案利用制度，形成较为可行且可靠的档案全流程管理程序，重点关注会计档案底稿和涉密档案信息的开放和利用等问题，以“新规”建立的申请审批程序为引导，在企业内部也形成相应的对外申请审批流程和制度。其次，实行宽进严出的档案信息监管审批机制。在具体内容上，可以采用“技术+人工”的模式，细化跨境监管合作细则；在归档的入口上，扩大归档范围从而实现档案信息的规范化“进入”；在监管和开放的出口上，采取多方联合审批的机制，利用技术过滤掉可公开的共享信息，然后再细化和落实到人工审批、多部门联合档案部门审批、企业决策层审批以及申请国家档案部门或国家保密部门审批等，明确风险等级，实现有序的内部监管环境。最后，对于境外上市企业来说，一些财务档案或者会计档案是证明企业经营状况良好的关键资源，尤其是部分信息点（而非整份档案）才是确保企业上市的内容监管单位。面对上述监管难题，档案密点识别的实现也是推动监管与市场并行的可行方案，因此，企业需要从前端增强对档案信息的识别与密点的鉴定与评估，通过细化管控对象，实现对境外上市档案灵活和高效的监管。

3.4 构建国际多边联合监管的长期对话通道

不同国家、不同地区、不同法域之间存在监管差异并不是问题，关键在于通过相对充分的对话与沟通，使得彼此确信对方的监管具有等效性，从而为跨境监管合作创造良好氛围、奠定必要的基础。［17］在当前中美博弈的背景下，双方应秉持开放互信、平等互利的态度，构筑一个国际双、多边合作的长期对话通道。具体包括三条举措：一是建立一支拥有档案安全管理专业人才团队。一方面有助于在长期合作对话中确保档案安全监管的中方需求；另一方面还可以促成档案主管部门与保密主管部门、证监会之间的监管合力，更顺畅地与国际监管团队进行对话。二是合理利用新兴技术来搭建互信互赖的桥梁。事实上，以区块链、云计算、数字水印为代表的技术手段非常适合用以解决中美之间的互信问题。区块链技术在电子档案领域应用较为成熟，其代表性的点对点传输、去中心化和双向加密机制能完美解决档案节点间的信任问题，有助于中美双方之间档案底稿的审计与交互。［18］三是丰富跨境监管的合作内容。双方应在签署《谅解备忘录》《合作协议》基础上扩大合作内容、丰富合作方式。例如，可以将档案治理作为桥梁，在美国国家档案与文件署和我国国家档案局之间增设关于档案科研合作的学术会议、国际论坛等，利用学科共识来反哺监管合作。

4 结 语

近年来，我国相关监管机构不断强化境外企业档案安全治理，在治理体系方面进行了全面、系统、贴合实际工作的升级，这对于保障我国境外上市企业利益，确保国家信息安管具有重要意义。“新规”明确了我国企业和相关中介机构在境外上市过程中关于档案底稿的安全责任，转变了监管方式并寻求开放式的跨境联合监管，强调了会计档案在接受跨境审计过程中审批程序的重要性。但从实践的发展来看，境外上市企业的档案安全治理仍旧任重而道远，这一问题与政治、经济、法律、外交等都紧密相连，需要权衡多方利益关系，同时保障我国总体国家安全和企业的合法权益。面对瞬息万变的国际局势，形势一直在“更新”，我国境外上市企业的档案安全治理仍有很长的路要走。