中概股審計底稿中的數(shù)據(jù)應(yīng)如何出境？

近日，中美兩國簽署了《審計合作檢查協(xié)議》，允許美國上市公司會計監(jiān)督委員會(PCAOB)檢查人員和調(diào)查人員至香港審閱在美上市中國公司的審計資料，包括所有信息的完整審計底稿。據(jù)媒體報道，阿里巴巴、京東和百勝中國將成為首批被審計檢查的企業(yè)[i]。

由于審計底稿中包含了大量數(shù)據(jù)和國內(nèi)用戶的個人信息（以下合稱“數(shù)據(jù)”），今天就和大家聊聊，美方審閱審計底稿算不算數(shù)據(jù)出境？根據(jù)國內(nèi)的法律法規(guī)，這些數(shù)據(jù)出境應(yīng)遵循怎樣的程序？

對于數(shù)據(jù)出境，我國《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》、《數(shù)據(jù)出境安全評估辦法》均有規(guī)定，最新的規(guī)定是2022年8月31日發(fā)布的《數(shù)據(jù)出境安全評估申報指南（第一版）》，對數(shù)據(jù)出境安全評估申報方式、申報流程、申報材料等具體要求進(jìn)行了詳細(xì)說明。

一、審計工作底稿是否涉及需要監(jiān)管的出境數(shù)據(jù)？

審計工作底稿，是審計人員在審計工作過程中形成的全部審計工作記錄和獲取的資料，不僅限于會計底稿，可能還會包括財務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。我國赴美上市的不少是在科技、媒體、通信行業(yè)、教育、汽車、本地生活等各個領(lǐng)域的國內(nèi)知名互聯(lián)網(wǎng)企業(yè),它們掌握大量的個人信息和敏感個人信息以及涉及科技、通信行業(yè)等重點(diǎn)行業(yè)領(lǐng)域的重要數(shù)據(jù)都會體現(xiàn)在審計底稿中。

如果被審計的企業(yè)涉及關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，或者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)等的，則它們的審計工作底稿確實(shí)有可能含有個人信息或者重要數(shù)據(jù)。根據(jù)《數(shù)據(jù)出境安全評估辦法》的規(guī)定，數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)，應(yīng)當(dāng)向中國政府申報數(shù)據(jù)出境安全評估。

二、審閱審計工作底稿是否屬于數(shù)據(jù)出境？

根據(jù)《數(shù)據(jù)出境安全評估辦法》的規(guī)定，數(shù)據(jù)處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外；以及數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機(jī)構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出，均屬于數(shù)據(jù)出境行為。

因此，如審計工作底稿涉及個人信息或者重要數(shù)據(jù)的，美國上市公司會計監(jiān)督委員會審閱審計工作底稿的行為，屬于數(shù)據(jù)出境。國內(nèi)審計機(jī)構(gòu)作為責(zé)任主體，需要根據(jù)我國有關(guān)法律法規(guī)履行必要的數(shù)據(jù)出境安全評估或者網(wǎng)絡(luò)安全審查等程序。

三、《審計合作檢查協(xié)議》可能規(guī)定哪些數(shù)據(jù)出境程序？

中美《審計合作檢查協(xié)議》內(nèi)容目前沒有公布，但我國證監(jiān)會負(fù)責(zé)人答記者問中提到了數(shù)據(jù)出境程序的問題：合作協(xié)議對于審計監(jiān)管合作中可能涉及敏感信息的處理和使用作出了明確約定，針對個人信息等特定數(shù)據(jù)設(shè)置了專門的處理程序，為雙方履行法定監(jiān)管職責(zé)的同時保護(hù)相關(guān)信息安全提供了可行路徑。[ii]

考慮到達(dá)標(biāo)的個人信息出境屬于《數(shù)據(jù)出境安全評估辦法》的規(guī)制范圍，所以這個專門的處理程序的內(nèi)容很可能包括《數(shù)據(jù)出境安全評估辦法》的規(guī)定。根據(jù)該辦法，審計底稿出境前應(yīng)當(dāng)通過中國政府的數(shù)據(jù)出境安全評估，國內(nèi)審計機(jī)構(gòu)作為申報主體，要通過該評估，最重要的是先進(jìn)行數(shù)據(jù)出境風(fēng)險自評估，按照法定重點(diǎn)評估的事項進(jìn)行評估。

在自評估時，應(yīng)首先判定和審查審計底稿中的數(shù)據(jù)是否構(gòu)成重要數(shù)據(jù)，并需要結(jié)合國家對“重要數(shù)據(jù)”的定義和行業(yè)主管部門對“行業(yè)重要數(shù)據(jù)”的認(rèn)定來綜合進(jìn)行。如不構(gòu)成重要數(shù)據(jù)，僅為達(dá)標(biāo)的個人信息及敏感個人信息出境，無論是在經(jīng)營中涉及的客戶或其他個人信息，則應(yīng)當(dāng)特別關(guān)注和審查出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度以及數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險。

《數(shù)據(jù)出境安全評估申報指南（第一版）》也明確要求必須以表格形式詳細(xì)列出了數(shù)據(jù)處理者需披露的具體項目。其中“擬出境數(shù)據(jù)情況”要求填寫數(shù)據(jù)規(guī)模（MB/GB/TB）、敏感程度（如為個人信息）、涉及自然人數(shù)量和重要數(shù)據(jù)數(shù)量等。若是涉及到個人信息的，還必須同時符合《個人信息保護(hù)法》及相關(guān)法規(guī)的要求，比如個人信息的出境已經(jīng)獲得了個人信息主體的事先同意。

四、美國上市公司會計監(jiān)督委員會(PCAOB)會受哪些約束？

根據(jù)《數(shù)據(jù)出境安全評估辦法》，如果國內(nèi)審計機(jī)構(gòu)要通過數(shù)據(jù)出境審查的，就必須和數(shù)據(jù)的境外接收方訂立包含特定內(nèi)容的法律文件，明確約定其數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。也就是說，審查審計底稿的美國上市公司會計監(jiān)督委員會及其指定的審計機(jī)構(gòu)也會受這些法律文件的約束。這些內(nèi)容包括：

（一）數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；

（二）數(shù)據(jù)在境外保存地點(diǎn)、期限，以及達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；

（三）對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求；

（四）境外接收方在實(shí)際控制權(quán)或者經(jīng)營范圍發(fā)生實(shí)質(zhì)性變化，或者所在國家、地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時，應(yīng)當(dāng)采取的安全措施；

（五）違反法律文件約定的數(shù)據(jù)安全保護(hù)義務(wù)的補(bǔ)救措施、違約責(zé)任和爭議解決方式；

（六）出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險時，妥善開展應(yīng)急處置的要求和保障個人維護(hù)其個人信息權(quán)益的途徑和方式。

而上述內(nèi)容中，第（一）目的、第（三）項數(shù)據(jù)再轉(zhuǎn)移和第（六）項數(shù)據(jù)發(fā)生意外后的應(yīng)急措施，應(yīng)當(dāng)特別予以關(guān)注。首先，審計底稿必須只能用于約定的目的，存儲個人信息的期限為實(shí)現(xiàn)約定目的所必要的最短時間，超出上述存儲期限后，應(yīng)對個人信息進(jìn)行刪除或匿名化處理。其次，必須約定出境數(shù)據(jù)不得再轉(zhuǎn)移給其他組織、個人，如有，必須依法履行相應(yīng)的程序，包括征得個人單獨(dú)同意、與第三方達(dá)成書面協(xié)議等。最后，必須采取有效的技術(shù)和管理措施，并定期檢查，以保障這些措施持續(xù)維持適當(dāng)?shù)陌踩健Ｈ羰前l(fā)生泄漏事件，應(yīng)及時采取適當(dāng)?shù)难a(bǔ)救措施，履行通知義務(wù)（包括通知個人信息處理者和我國的監(jiān)管機(jī)構(gòu)）。

此外，美國國內(nèi)法問題也值得關(guān)注，目前美國的《澄清境外數(shù)據(jù)合法使用法案》(CLOUD Act)對數(shù)據(jù)的管轄權(quán)標(biāo)準(zhǔn)采取的是數(shù)據(jù)控制者，即允許美國聯(lián)邦政府強(qiáng)制獲取美國企業(yè)的數(shù)據(jù)，無論該數(shù)據(jù)是否存儲在美國境內(nèi)。在這種情況下，如發(fā)現(xiàn)美國政府要調(diào)取相應(yīng)的數(shù)據(jù)時，應(yīng)及時通知國內(nèi)審計機(jī)構(gòu)和我國的監(jiān)管機(jī)構(gòu)，并窮盡法律救濟(jì)措施。不過這個問題，在中美兩國簽署的《審計合作檢查協(xié)議》應(yīng)該也會有約定。

最后，中美的博弈非常復(fù)雜，所以即便《審計合作檢查協(xié)議》已經(jīng)簽署，但其能否得到執(zhí)行，市場還是存在疑慮。比如簽協(xié)議之前的2022年7月，阿里巴巴向美國證監(jiān)會提交的2022財年度年報中就提到[iii]：“雖然證監(jiān)會發(fā)布了《關(guān)于加強(qiáng)境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)保密和檔案管理工作的規(guī)定》（征求意見稿）協(xié)助美國上市公司會計監(jiān)督委員會對中國的會計師事務(wù)所進(jìn)行的檢查，但無法確定我們的審計事務(wù)所或我們能夠滿足美國監(jiān)管機(jī)構(gòu)的要求。”

但筆者對此還是比較樂觀，審計底稿中的信息其實(shí)在日常經(jīng)濟(jì)活動和報道都有跡可循，至多是一個對已有判斷的再確認(rèn)，既然中美簽了協(xié)議，就意味著在很多之前沒能達(dá)成共識的地方有了突破，對雙方而言，達(dá)成共識的利益一定是大于風(fēng)險的，所以無需過于緊張。

本文作者：游云庭，上海大邦律師事務(wù)所高級合伙人，知識產(chǎn)權(quán)律師。汪婷，上海大邦律師事務(wù)所顧問。電話：8621-52134900，Email: yytbest@gmail.com，本文僅代表作者觀點(diǎn)。

[i] http://k.sina.com.cn/article_3100860304_b8d35f90019013gvs.html?display=0&retcode=0

[ii] http://www.csrc.gov.cn/csrc/c100028/c5572300/content.shtml

[iii] https://www.sec.gov/ix?doc=/Archives/edgar/data/0001577552/000110465922082622/baba-20220331x20f.htm