中美两国就跨境审计监管协商对话已有十余年,出于合作方式、数据披露、监管程序等议题的分歧,谈判进展缓慢且存在困难,也因此成为众多在美上市的中国企业,以及为其提供审计服务的会计师事务所等专业机构的长期关切问题。
2022年8月26日,中国证券监督管理委员会(“中国证监会”)、中国财政部与美国证券交易委员会(“SEC”)、美国公众公司会计监督委员会(Public Company Accounting Oversight Board,“PCAOB”)各自发布公告(合称“两方公告”),表示中美双方已签署审计监管合作协议,并将于近期启动相关工作。这一协议的签署意味着中美已就跨境审计监管问题达成了初步共识,为近期开展跨境审计监管合作提供基础。
本文将概述中美双方达成的审计监管合作协议中的关键事项,并尝试探讨该协议下的数据合规问题,以期为相关主体应对跨境审计监管提供思路与建议。
一、中美审计监管合作协议重点
虽然中美审计监管合作协议的正式文本并未公布,中国证监会与SEC、PCAOB各自发布的公告以及中国证监会相关答记者问等新闻稿中均对该协议的原则性规定进行了简要介绍。核心规则内容1包括:
(一)合作范围
中方:合作协议范围包括协助对方开展对相关事务所的检查和调查。其中,中方提供协助的范围也涉及部分为在美上市企业提供审计服务、且审计底稿存放在内地的香港事务所。
美方:合作协议允许PCAOB获得审计工作文件、审计人员和其他信息等事项的完全访问权。
小结:中方强调合作范围中的对等原则,美方强调合作范围的全面性与广泛性(如覆盖审计文件、审计人员与其他相关信息)。
(二)协作方式
中方:(1)双方将提前就检查和调查活动计划进行沟通协调;(2)美方须查看的审计工作底稿等文件通过中方监管机构协助调取并提供,并在中方参与和协助下对会计师事务所相关人员开展访谈和问询。
美方:(1)PCAOB在选择拟检查、调查的会计师事务所、审计业务以及潜在违规行为时具有完全的自由裁量权,无须与中方监管部门协商;(2)PCAOB可以查看完整的、未经修改的审计工作底稿,且可以根据需要保留相关信息。同时,PCAOB可以直接访谈受检查、调查的会计师事务所相关人员,并获取其证词。
小结:中美双方对于协作开展方式的描述细节上有区别,有待后续监管合作实践明确,如中方在文件获取等程序中的角色与定位、检查和调查活动计划(包括检查/调查的对象、方式及步骤等)的确定方式等。
(三)信息安全保护
中方:(1)监管机构的日常检查中需要抽查审计工作底稿,审计工作底稿一般并不包括国家秘密、个人隐私或企业底层数据等敏感信息;(2)合作协议对可能涉及敏感信息的处理和使用作出了明确约定,并针对个人信息等特定数据设置了专门的处理程序。
美方:(1)对于包括个人信息在内的“受限制数据”(“Restricted Data”),PCAOB将通过“仅查看”(“View Only”)的非公开程序进行查看;(2)PCAOB可以保留其获取的全部数据(包括“受限制数据”);(3)PCAOB可以向SEC提供其获取的全部数据(包括“受限制数据”),且SEC可以将相关数据用于SEC的全部目的。
小结:中美双方在信息安全保护方面均强调了对个人信息的保护,但对于个人信息的特殊处理程序细节、“受限制数据”的具体范围等事项仍有待监管操作明确。此外,“仅查看”程序设置与“可保留”的操作是否存在冲突也有待观察。
(四)监管工作安排
中方:跨境审计监管一般每年抽选部分会计师事务所,抽查其有代表性或有潜在审计质量风险的审计项目,无须每年检查全部在美上市公司审计项目。
美方:PCAOB工作人员将于9月中旬前往香港开展跨境审计监管工作。
小结:中方并未具体披露双方下一步的监管工作安排,美方则表示将前往香港开展后续审计监管工作。香港作为审计工作开展地这一做法是否为暂时安排或长期方案,有待监管实践释明。
二、跨境审计监管中的数据合规问题思考
如前所述,目前两方公告中仍有较多细节有待明确。由于对数据安全的考量为此前多年谈判难点,此次也成为监管合作的实际操作要点之一,我们拟结合美国与其他国家达成的跨境审计监管合作安排协议文本以及国内法律法规要求,对跨境审计涉及的数据合规重点问题分享我们的思考。
(一)“受限制数据”的认定规则与范围
中美跨境审计监管合作的主要分歧之一在于监管机构所能获取的文件数据范围。从目前中美披露的协议内容来看,两方合作协议主要对“受限制数据”(或中方所称“敏感信息”)作出例外安排,有两个问题值得关注。
其一,“受限制数据”的认定规则。此前两国监管沟通过程中,PCAOB曾在报告中列举中方未能配合对在美上市企业跨境审计工作的理由包括检查范围需经中国证监会以外多个部门审批等。2由于国内的数据与网络安全监管存在多行业主管部门根据各自权责范围开展监管活动的实际情况,我们理解,“受限制数据”的具体认定方式、认定流程以及主管部门较难由单一部门执行。
其二,“受限制数据”的具体范围的确定将不可避免地涉及国家安全与公共利益、个人权益保护、行业监管要求、企业商业秘密管理等考量。如涉国家安全与公共利益因素,那么“受限制数据”极有可能与重要数据、核心数据的范围等存在重合。因此,被接受监管机构检查时,如何在响应美方对“受限制数据”的查看与保留程序要求同时,遵守国内现行法规对重要数据、核心数据的保护要求,是监管检查对象无法避开的问题。
(二)个人信息保护的具体安排
两方公告显示中美两国在个人信息保护事项上达成共识,均表示将在审计监管合作协议中对个人信息的处理采取特定规则。然而,仅就目前公告内容而言,我们尚无法直接了解两国对个人信息除“仅查看”程序之外,将采取哪些个人信息保护措施,以及这些措施能否满足国内《个人信息保护法》等相关法规要求。
作为参考,我们查阅了近年PCAOB与其他国家达成的数据保护协议中有关个人信息的特殊安排,并对常见的个人信息保护约定作简要概述:
1. 保障个人信息主体权利:由当地监管机构负责告知个人信息主体个人信息出境及其他处理活动的相关情况,并负责接收、处理个人信息主体的权利行使请求;3
2. 限制使用目的:个人信息仅能用于《萨班斯-奥克斯利法案》下的监管目的;4
3. 明确再流转的第三方名单:明确PCAOB可以传输相关个人信息的境外第三方名单,通常包括SEC、美国总检察长等监管机构与人员;5
4. 限制特殊类型个人信息传输:部分国家与PCAOB直接约定禁止传输特殊类型个人信息6;部分国家则要求在获得个人信息主体同意的前提下传输特殊类型个人信息;7
5. 约定安全保障措施:通过附件明确约定PCAOB应当采取的安全保障措施(包括技术系统和管控措施等),该等措施由于保密约定不作公开。8
(三)现场检查合作的程序性安排
PCAOB对外国会计师事务所开展的检查活动主要分为两类,一是PCAOB在当地监管机构的协同下的单独检查,二是与当地监管机构开展的联合检查。9目前两方公告暂未指出9月PCAOB将采取何种检查模式。无论采取何种检查模式,现场检查与证词获取程序中的个别事项仍待澄清,例如PCAOB可否直接获取审计工作底稿等文件、是否允许中国律师在场等。
参考美国与比利时审计监管合作协议,联合检查部分程序性安排如下:10
1. 联合检查的安排以个案为基础,双方在一项联合检查开始前将形成针对该项检查的工作计划,包括检查的审计业务、步骤和程序等。
2. 联合检查开展地的机构有权决定是否其担任此次检查的领导机构,领导机构负责与审计人员沟通、组织检查、接收全部审计文件等。
3. 联合检查的双方仅对自身发现的事实和检查结论负责,但是双方可在现场检查工作中交流意见。
不同的程序安排将直接影响会计师事务所、在美上市企业等机构落实中国数据合规法律要求的具体方式。以国内法下的数据出境监管要求为例,若审计工作底稿等数据应检查活动要求需传输至香港,还可能需要考虑目前国内法下数据出境的特定要求。
三、影响与启示
中美审计监管合作协议的签署,是两国在解决中美审计监管合作问题上迈出的重要一步,并将对包括会计师事务所、在美上市中国企业等带来重大影响。尽管审计监管合作的实施细节尚待明确,我们尝试基于两方公告内容,以及过往协助会计师事务所和企业客户应对审计监管问题的实际经验,将近期监管合作协议进展对各方主体的影响和启示总结如下。
(一) 会计师事务所
作为跨境审计的直接监管对象,会计师事务所将直接面对PCAOB的审计调查、检查,就为在美上市中国企业提供审计服务的场景而言,对审计业务活动中敏感或涉密数据的识别和处理需结合国家安全、自身业务、客户要求等多方面考量。在响应监管机构检查要求,或面临外国法院诉讼等司法程序要求时,了解境外法律的程序和实体规则,熟悉中国数据跨境监管的核心要求,都将是会计师事务所在响应此类监管要求,组建工作团队(如内部人员、外部律师),设计综合解决方案时需衡量的重点。
(二)在美上市中国企业
虽然上市企业并非直接监管对象,但其作为上市主体与相关数据的处理者,在向会计师事务所等中介服务机构提供数据资料的同时,需将中国法规要求纳入考量范围。相较于在等待跨境审计监管过程中通过“受限制数据”的认定与特殊安排来实现对敏感涉密信息的保护,上市企业在前期进行审计工作时需重视对于敏感或涉密信息的预先筛查。
同时,上市企业也应重视与第三方机构在数据保护等事项上的权利与义务约定。2022年4月发布的《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》中要求,若上市企业向证券服务机构等提供涉及国家秘密或者其他泄露后会对国家安全或者公共利益造成不利影响的文件、资料,应当签订保密协议,明确相关证券服务机构等承担的保密义务和责任。
(三)其他企业
跨境审计监管合作对非在美上市企业来说影响较小,但在跨境监管场景下的数据出境规则尚不完全明确的背景下,跨境审计监管合作安排以及后续可能公布的协作细节,可以帮助其他企业了解中国监管机构态度与监管重点。跨境审计监管活动中的数据保护安排以及其他后续审计监管工作实践(例如以香港作为检查地的做法),可为其他企业处理涉及数据安全、个人信息保护和多法域司法或执法机构要求响应等复杂场景的处理与协调提供一定的借鉴价值。
注:
[1] 以下规则内容源于中国证监会、SEC、PCAOB官方网站发布的新闻稿,参见中国证监会:《中国证监会有关负责人就签署中美审计监管合作协议答记者问》,http://www.csrc.gov.cn/csrc/c100028/c5572300/content.shtml;SEC: PCAOB Agreement with China on Audit Inspections and Investigations, https://www.sec.gov/files/china-sop-fact-sheet.pdf; PCAOB: FACT SHEET: CHINA AGREEMENT,https://pcaobus.org/news-events/news-releases/news-release-detail/fact-sheet-china-agreement.
[2] 参见https://home.treasury.gov/system/files/136/PWG-Report-on-Protecting-United-States-Investors-from-Significant-Risks-from-Chinese-Companies.pdf
[3] 参见美国-奥地利数据保护协议,https://pcaob-assets.azureedge.net/pcaob-dev/docs/default-source/international/documents/data-protection-agreement-austria-2022.pdf?sfvrsn=a5cd4df3_4。
[4] 参见美国-比利时数据保护协议,https://pcaob-assets.azureedge.net/pcaob-dev/docs/default-source/international/documents/data-protection-agreement-belgium-2021.pdf?sfvrsn=64cc5a7a_5;美国与法国、丹麦、芬兰等国家签署的数据保护协议中也存在类似条款。
[5] 参见美国-奥地利数据保护协议,https://pcaob-assets.azureedge.net/pcaob-dev/docs/default-source/international/documents/data-protection-agreement-austria-2022.pdf?sfvrsn=a5cd4df3_4。美国与比利时等国家签署的数据保护协议中也存在类似条款。
[6] 参见美国-比利时数据保护协议,https://pcaob-assets.azureedge.net/pcaob-dev/docs/default-source/international/documents/data-protection-agreement-belgium-2021.pdf?sfvrsn=64cc5a7a_5。美国与奥地利、法国等国家签署的数据保护协议中也存在类似条款。特殊类型个人信息包括宗教信仰、种族、政治观点、健康相关数据等。
[7] 参见美国-芬兰数据保护协议,https://pcaob-assets.azureedge.net/pcaob-dev/docs/default-source/international/documents/data-protection-agreement-finland-prh.pdf?sfvrsn=76aec841_0。
[8] 参见美国-比利时数据保护协议,https://pcaob-assets.azureedge.net/pcaob-dev/docs/default-source/international/documents/data-protection-agreement-belgium-2021.pdf?sfvrsn=64cc5a7a_5。
[9] 参见https://pcaobus.org/oversight/inspections/non-us-firm-inspections。
[10] 参见美国-比利时审计监管合作协议 https://pcaob-assets.azureedge.net/pcaob-dev/docs/default-source/international/documents/cooperative-agreement-belgium-2021.pdf?sfvrsn=45327dac_5。