2022年4月2日,中国证监会发布了《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》(简称“《保密新规》”),就中国境内企业境外发行证券和上市相关保密和档案管理事宜公开征求意见。
正所谓“事以密成,语以泄败”,保密工作一直是党和国家长期高度重视的工作之一。自十八大以来,党中央多次作出关于加强和改进保密工作的决策部署,习近平总书记也多次就保密工作作出重要指示。
与其他境内商业行为相比,境内企业境外发行证券和上市具有一定的特殊性。鉴于其参与主体、监管主体、交易地点等均涉及诸多境外要素,因此在信息保密、数据跨境传输等方面,理应适用更为严格的保密与档案管理要求。
本文结合《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》及《境内企业境外发行证券和上市备案管理办法(征求意见稿)》(合称“境外上市新规”)以及其他有关法律法规,对《保密新规》的修订背景、具体监管框架、监管程序等进行分析和总结。
一、 新规非新,实为修订
早在2009年,中国证监会、国家保密局以及国家档案局就曾制定并发布了《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》(简称“29号文”),对境外发行证券及上市所涉及的保密及档案管理工作提出了明确要求。
29号文明确适用的对象是境外直接上市的公司,即发行境外上市外资股(典型如H股)的境内股份有限公司;相对应地,在证监会发布的《股份有限公司境外公开募集股份及上市(包括增发)审核关注要点》中,也明确要求发行人建立完备、规范的保密和档案规章制度并落实到位,并以此作为境外直接上市审核过程中的一项重点审核事项。
在本次征求意见稿发布前,境外上市新规中也明确提出了境内企业境外发行上市相关主体应当建立健全保密和档案管理规章制度,做好保密和档案管理工作,采取必要措施落实保密责任。本次修订的《保密新规》是境外上市新规的配套文件之一,其监管对象及适用的具体行为也与境外上市新规相匹配,进行了必要调整。
此外,结合中国证监会发言人于3月31日就与美国公众公司会计监督委员会(PCAOB)进行沟通情况的答记者问,我们认为,本次《保密新规》的发布,对于境内企业境外上市的信息保密相关工作提供了更为明确的标准和方向,也为境内、外有关监管机构就已上市及拟上市境内企业的信息披露要求、会计监管等开展跨境监管合作事宜,作出了制度层面的铺垫,体现了国家对于境内企业自主选择上市地的大力支持。
二、 新规的基本监管框架
1. 适用的具体商业行为
根据《保密新规》的规定,其主要监管的事项为“境内企业境外发行证券和上市活动中”各参与方涉及境内企业信息保密和档案管理事宜(主要为提供、公开披露有关保密信息、接受检查等)。
我们理解,《保密新规》适用于以下商业行为:
(1) 境内企业境外首次公开发行并上市
发行H股/D股(即传统的境内企业直接发行境外上市外资股)、发行GDR(互联互通存托凭证)、红筹/VIE结构境外IPO,以及境外上市后在其他境外市场上市(典型如美股中概股香港二次上市)。
(2) 其他证券发行
上市后增发股票、可转债、发行股份购买境内资产、境外借壳(包括通过SPAC方式实现上市)、全流通。
(3) 已上市公司的信息披露、会计监管等
除了该规定明确的新增证券发行和上市以外,对于已完成境外上市的企业,如涉及上市后定期报告发布、上市公司或其中介机构配合境外监管机构进行调查取证或开展检查的,同样需要适用相关保密及档案管理要求。
2. 监管主体
根据《保密新规》的规定,中国证监会、财政部、国家保密局、国家档案局为有关事项的主要的主管部门,其将建立协作机制,并在各自职权范围内对有关事项进行规范及监管。
除上述主管部门外,从《保密新规》对于不同类型保密信息的监管方式亦可推知,在具体监管过程中还涉及不同的监管主体,如:
(1) 对于涉及国家秘密的,监管主体为保密行政管理部门(国家及地方保密局);
(2) 对于涉及机关单位[1]工作秘密(可理解为涉及机关单位的公务活动和内部管理的事项中虽不属于国家秘密但不宜公开的部分)的,监管主体还包括有关业务主管部门;
(3) 对于涉及泄露后会对国家安全或者公共利益造成不利影响的文件、资料的,涉及关键基础设施供应链安全、网络安全或数据安全的,监管主体包括中央网信办;
(4) 对国家和社会具有重要保存价值的会计档案或会计档案复制件,监管主体包括国家档案管理部门;
(5) 提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案,监管主体包括证券监督管理机构。
3. 监管对象
- 境内企业。包括境外直接发行上市的境内股份有限公司和境外间接发行上市主体的境内运营实体
- 证券公司、证券服务机构。包括境内外证券公司、证券服务机构(一般包括律师事务所、会计师事务所、评估机构、评级机构等)以及其在境内的成员机构、代表机构、联营机构、合作机构等关联机构
4. 哪些信息被重点关注?
证监会有关部门发言人在答记者问过程中,明确了本次修订的目的之一是“明确上市公司信息安全责任,维护国家信息安全,减少不必要的涉密敏感信息进入工作底稿”。结合《保密新规》的规定,我们认为,以下几类信息是受到重点关注的:
- 国家秘密
- 机关单位工作秘密
- (以上两类合称“秘密信息”,主要区别于一般商业信息和公务活动产生的非涉密信息)
- 可能对国家安全或者公共利益造成不利影响的文件、资料(简称“涉安全信息”)
- 对国家和社会具有重要保存价值的档案及其复印件(简称“重要档案”)
- 证券公司、证券服务机构在提供境外上市相关证券服务过程中在境内形成的工作底稿等并拟传输到境外的档案(简称“境内形成的工作底稿”)
- 以及配合境外监管检查和调查过程中提供的信息
三、 一般监管程序
根据《保密新规》第三条的规定,境内企业直接或间接提供、公开披露有关信息的,应适用下述一般监管程序:
1. 步骤一:判断是否属于秘密信息
境内企业应该首先根据有关规定判断,其拟提供、公开披露的信息是否属于国家秘密、机关单位工作秘密。
判断是否属于国家秘密:《中华人民共和国保守国家秘密法》第10条规定,“国家秘密的密级分为绝密、机密、秘密三级。”有权机关和单位依据保密事项范围和法律规定对相关信息授予“绝密级、机密级和秘密级”的决定。国家秘密一经确定,应当同时在国家秘密载体上做出国家秘密标志。判断方式为观察文件资料是否记载国家秘密标志,国家秘密标志形式为“密级★”、“密级★保密期限”、“密级★解密时间”或者“密级★解密条件”,国家秘密标志形式一般记载于文件左右上角;
判断是否属于机关单位工作秘密:机关单位工作秘密主要由各级机关、单位自行确定,并无统一法律规定,需要结合工作秘密的性质对文件资料综合判断。一是该信息是否是行政机关单位在公务活动和内部管理中产生的;二是该信息一旦泄露是否会直接干扰机关单位正常工作秩序,影响正常行使管理职能;三是该信息一定时间内是否不宜对外公开,判断方式为文件是否记载“不予公开、内部文件、内部事项、内部资料”等字样;四是法律规定信息接收主体必须承担保密义务的信息,例如,境内商业银行在日常工作中收到人民银行下发的反洗钱调查信息,虽然不属于国家秘密,但是属于反洗钱工作秘密,应当按照《反洗钱法》规定承担保密义务。
如境内企业经过判断,认为属于上述任一类秘密信息,则应履行后续步骤;如有关信息是否属于秘密信息不明确或有争议,则应分别视情况报主管保密行政管理部门或业务主管部门进行确认。
2. 步骤二:报批及报备
对于构成国家秘密、机关单位工作秘密的,应根据《中华人民共和国保守国家秘密法》、《国家秘密定密管理暂行规定》等,报经有关国家秘密的定密机关、工作秘密的主管业务部门等进行批准,同时报同级保密行政管理部门备案。
3. 步骤三:判断是否属于涉安全信息
对于经过批准及完成报备的秘密信息,以及经判断或认定不属于秘密信息的相关文件、资料,境内企业尚需进一步判断该等信息是否属于涉安全信息,即是否属于泄露后会对国家安全或者公共利益造成不利影响的文件、资料。目前尚无明确法律规定对涉安全信息给予定义,如果相关信息可能涉及关键信息基础设施供应链安全、网络安全或数据安全的,境内企业可以考虑参照《网络安全审查办法》第十条规定对该等信息是否存在国家安全风险因素进行初步判断。
如果涉安全信息属于关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据等,则需要根据《中华人民共和国网络安全法》、《数据安全法》及有关法律法规履行必要的重要数据出境安全评估或者网络安全审查等程序[2]。
4. 步骤四:签署保密协议、脱密处理、提供书面说明
境内企业在履行完毕上述程序后,如所提供的文件资料属于秘密信息、涉安全信息的,应该与有关提供对象签署保密协议;此外,境内企业应按照国家保密规定,对有关文件、资料进行处理,并就其执行上述步骤的情况,向证券公司、证券服务机构提供书面说明;后者应妥善保管该等书面说明备查。
5. 步骤五:判断是否属于重要档案
在履行了必要程序后、对外提供有关文件资料前,境内企业尚需判断,其拟提供的资料是否属于重要档案,即对国家和社会具有重要保存价值[3]的档案/会计档案或其复印件。如其拟提供的文件资料属于重要档案的,则应按照《中华人民共和国档案法》第二十五条[4]的规定履行档案出境的审批手续。
6. 步骤六:对外提供及报告要求
在履行完毕上述程序后,境内企业可以向证券公司、证券服务机构提供有关文件资料。在提供后,接收方应妥善保管相关文件资料,且相关主体有义务密切关注有关国家秘密是否已泄露,并应在相关秘密已泄露或可能泄露的情况下采取补救措施,并向有关部门进行报告。
四、 特殊监管事项
1. 对境外会计师事务所的特殊要求
根据《保密新规》的要求,境外会计师事务所从事境内企业境外发行证券和上市审计业务的,应履行相应程序,否则境内企业不得向其提供会计档案。基于此,如境内企业聘请的是境外会计师事务所,则该等事务所应该按照财政部此前发布的《会计师事务所从事中国内地企业境外上市审计业务暂行规定》等有关要求,完成有关监管程序。
2. 工作底稿的存放及跨境提供事宜
《保密新规》再次重申,在境内企业境外上市过程中在境内形成的工作底稿(需要注意不仅限于会计底稿)应该存放在境内。未经批准不得向境外提供,且对于有重要保存价值的档案,同样需要提前获得审批后,方可向境外提供。证券公司、证券服务机构在提供境外上市证券服务过程中,通常会使用电子邮件、VDR、云盘等技术手段接收或者共享境内企业提供的电子形式尽调资料,但是目前并无明确法律规定对“境内形成的工作底稿”予以定义,审慎起见未来可能需要关注该等技术手段所使用的服务器是否位于境内。
需要注意的是,《保密新规》对于境内形成的工作底稿除了要求境内存储以外,还要求未经批准不得出境。根据《信息安全技术数据出境安全评估指南(征求意见稿)》规定,以下情形属于数据出境:a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外)……。鉴于《保密新规》监管对象包括境外证券公司或者境外证券服务机构,因此,即使在境内形成的工作底稿存储在境内,其仍然可以被包括境外证券公司或者境外证券服务机构在内的境外机构所访问,此种情形是否属于数据出境进而要求事前批准,未来仍然需要《保密新规》进一步澄清或者明确。
3. 关于境外监管机构调查、检查事宜
对于境外证券监管机构及有关主管部门对有关市场主体进行调查取证或者开展检查的要求,相较于29号文,《保密新规》未再强调现场检查应以我国监管机构为主进行或者依赖我国监管机构的检查结果,而是强调了两方面要求:一是境外监管机构应通过跨境监管合作机制开展调查或检查(而非擅自单方面发起相关程序);二是被检查主体在配合境外监管机构的调查、检查或者提供文件资料前必须提前向证监会或有关主管部门报告(不可未经报告就接受调查、检查或提供文件资料)。
有观点认为,《保密新规》第十一条将“配合境外证券监督管理机构或境外有关主管部门调查、检查”和“提供文件资料”并列表述,因此境内有关企业、证券公司和证券服务机构向境外上市所在地交易所或者监管机构提交文件资料均应当事先报告。我们认为《保密新规》该条规定与其上位法《证券法》第177条关于“未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料”可以采取相似的理解,即应当缩限在“境内机构在境外证券监督管理机构跨境执法过程中配合提供文件和资料”,而不包括“境内机构按境外上市规则向境外监管机构提供申请文件和资料”。
五、 市场主体应如何拥抱监管
境内企业及证券公司、证券服务机构作为发行证券、上市、信息披露等行为的主导方或主要参与方,理应遵守我国法律法规的相关规定,履行保密和档案管理的相关义务。对于违反有关保密及档案管理规定的行为,有关行为主体可能会受到行政处罚,甚至承担刑事责任。基于此,有关市场主体必须加强守法意识,积极拥抱监管。
具体而言,《保密新规》如果生效实施,境内企业以及证券公司、证券服务机构应该着重从以下几个角度确保对有关法律法规的遵守:
- 在公司制度建设层面,建立健全保密和档案工作制度
- 在执行层面,落实保密和档案管理责任,加强管理层及员工的保密教育及培训
- 引入法律合规团队对拟对外提供的有关文件资料进行识别与判断
- 严格履行法律法规的相关程序,确保不擅自向境外提供涉敏信息,以及禁止未经事先报告配合境外监管机构的调查、检查或提供文件资料
- 密切关注已对外提供的信息是否发生泄露,并及时履行补救、报告程序
根据《国家秘密定密管理暂行规定》,此处的机关单位应指“国家机关和涉及国家秘密的单位”。
值得注意的是29号文中有类似规定,即提供或者公开披露涉及国家安全或者重大利益的档案的,应当报国家档案局批准。但结合近年来网络安全方面的立法及监管要求,我们理解此处规定主要是对应网络安全和数据跨境传输等有关监管要求。
根据《中华人民共和国档案法》,非国有企业、社会服务机构等单位和个人形成的档案,对国家和社会具有重要保存价值或者应当保密的,档案所有者应当妥善保管。
《中华人民共和国档案法》第二十五条规定,属于国家所有的档案和本法第二十二条(即有重要保存价值档案的管理)规定的档案及其复制件,禁止擅自运送、邮寄、携带出境或者通过互联网传输出境。确需出境的,按照国家有关规定办理审批手续。
