境外上市保密和档案管理新规解读——事以密成

2023年2月25日，中国证监会联合财政部、国家保密局、国家档案局对《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》（证监会公告〔2009〕29号）进行了修订，形成了《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》（简称“保密新规”）。

保密新规作为《境内企业境外发行证券和上市管理试行办法》（简称“境外上市新规”）的配套文件之一，亦将于2023年3月31日生效。与征求意见稿相比，保密新规针对境外上市新规以及中美审计监管合作达成的协议，对部分条款做出了相应的更新，进一步提高了针对性与可操作性。

与其他境内商业行为相比，境内企业境外发行证券和上市具有一定的特殊性。鉴于其参与主体、监管主体、交易地点等均涉及诸多境外要素，因此在信息保密、数据跨境传输等方面，理应适用更为严格的保密与档案管理要求。

本文结合境外上市新规以及其他有关法律法规，对保密新规的修订背景、具体监管框架、监管程序等进行分析和总结。

一、保密新规的前身

早在2009年，中国证监会、国家保密局以及国家档案局就曾制定并发布了前述29号文，对境外发行证券及上市所涉及的保密及档案管理工作提出了明确要求。

29号文明确适用的对象是境外直接上市的公司，即发行境外上市外资股（典型如H股）的境内股份有限公司；相对应地，在中国证监会此前发布的《股份有限公司境外公开募集股份及上市（包括增发）审核关注要点》中，也明确要求发行人建立完备、规范的保密和档案规章制度并落实到位，并以此作为境外直接上市审核过程中的一项重点审核事项。

在本次保密新规发布前，境外上市新规中也明确提出了：境内企业应当遵守国家保密法律制度，采取必要措施落实保密责任，不得泄露国家秘密和国家机关工作秘密。本次修订的保密新规是境外上市新规的配套文件之一，其监管对象及适用的具体行为也与境外上市新规相匹配，进行了必要调整。

此外，中国证监会、财政部与美国公众公司会计监督委员会（PCAOB）于2022年8月26日签署了中美审计监管合作协议，将双方对相关会计师事务所的检查和调查活动纳入双边监管合作框架下开展，并于2022年12月份就审计监管合作事宜取得了实质性进展。结合这一情况，我们认为，本次保密新规的发布，对于境内企业境外上市的信息保密相关工作提供了更为明确的标准和方向，也为境内、外有关监管机构就已上市及拟上市境内企业的信息披露要求、会计监管等开展跨境监管持续良性合作事宜，提供了进一步的制度支持。

二、保密新规的基本监管框架

1. 适用的具体商业行为

根据保密新规的规定，其主要监管的事项为“境内企业直接或者间接到境外发行证券或者将其证券在境外上市交易”中各参与方涉及境内企业信息保密和档案管理事宜（主要为提供、公开披露有关保密信息、接受检查调查等）。

我们理解，保密新规适用于以下商业行为：

(1) 境内企业境外首次公开发行并上市

直接境外上市（即境内企业直接发行“境外上市外资股”并在境外交易所上市，典型如H股）、境内企业通过红筹/VIE结构境外上市，以及企业境外上市后在其他境外市场上市（典型如美股、中概股香港二次上市）。

(2) 其他证券发行

上市后增发股票、可转债、发行股份购买境内资产、境外借壳（包括通过SPAC方式实现上市）、全流通。

(3) 已上市公司的信息披露、会计监管等

除了该规定明确的新增证券发行和上市以外，对于已完成境外上市的企业，如涉及上市后定期报告发布、上市公司或其中介机构配合境外监管机构进行检查或调查取证的，同样需要适用相关保密及档案管理要求。

2. 监管主体

根据保密新规的规定，中国证监会、财政部、国家保密局、国家档案局为有关事项的主要主管部门，其将建立协作机制，并在各自职权范围内对有关事项进行规范及监管。

除上述主管部门外，从保密新规对于不同类型保密信息的监管方式亦可推知，在具体监管过程中还涉及不同的监管主体，如：

(1) 对于涉及国家秘密和国家机关工作秘密（国家机关工作秘密可理解为涉及国家机关的公务活动和内部管理的事项中，虽不属于国家秘密但不宜公开的部分）的，监管主体除了同级保密行政管理部门（国家及地方保密局）以外，还可能包括有关业务主管部门；

(2) 对于涉及泄露后会对国家安全或者公共利益造成不利影响的文件、资料的，监管主体可能包括国家档案管理部门、相关网信部门、国家安全管理部门；

(3) 对于会计档案或会计档案复制件，监管主体包括国家档案管理部门（尽管正式文件中删除了征求意见稿里“对国家和社会具有重要保存价值的”这一限定，但对于此类文件的处理本来也应符合《中华人民共和国档案法》第二十五条的规定）；

(4) 向境外提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案，监管主体可能包括财政部门、证券监督管理机构、网信部门等。

3. 监管对象

境内企业。包括境外直接发行上市的境内股份有限公司和境外间接发行上市主体的境内运营实体
证券公司、证券服务机构。包括境内外证券公司、证券服务机构（一般包括律师事务所、会计师事务所、评估机构、评级机构等）

4. 哪些信息被重点关注

证监会有关部门发言人此前就征求意见稿答记者问过程中，明确了本次修订的目的之一是“明确上市公司信息安全责任，维护国家信息安全，减少不必要的涉密敏感信息进入工作底稿”。结合保密新规的规定，我们认为，以下几类信息是受到重点关注的：

国家秘密
国家机关工作秘密

（以上两类合称“秘密信息”，主要区别于一般商业信息和公务活动产生的非涉密信息）

泄露后会对国家安全或者公共利益造成不利影响的文件、资料（简称“涉安全信息”）
会计档案及其复印件，尤其对国家和社会具有重要保存价值的（简称“重要档案”）
证券公司、证券服务机构在提供境外上市相关证券服务过程中在境内形成的工作底稿等并拟传输到境外的档案（简称“境内形成的工作底稿”）
其他配合境外监管检查和调查过程中提供的信息

三、一般监管程序

根据保密新规第三条的规定，境内企业直接或间接提供（间接提供一般是指证券公司、证券服务机构向境外提供境内企业有关文件、资料）、公开披露有关信息的，应适用下述一般监管程序：

1. 步骤一：判断是否属于秘密信息

境内企业应该首先根据有关规定判断，其拟提供、公开披露的文件、资料是否属于国家秘密、国家机关工作秘密。

判断是否属于国家秘密：《中华人民共和国保守国家秘密法》第十条规定，“国家秘密的密级分为绝密、机密、秘密三级。”有权机关和单位依据保密事项范围和法律规定对相关信息授予“绝密级、机密级和秘密级”的决定。国家秘密一经确定，应当同时在国家秘密载体上做出国家秘密标志。判断方式为观察文件资料是否记载国家秘密标志，国家秘密标志形式为“密级★”、“密级★保密期限”、“密级★解密时间”或者“密级★解密条件”，国家秘密标志形式一般记载于文件左右上角。

判断是否属于国家机关工作秘密：国家机关工作秘密主要由各级机关、单位自行确定，并无统一法律规定，需要结合工作秘密的性质对文件资料综合判断。一是该信息是否是行政机关单位在公务活动和内部管理中产生的；二是该信息一旦泄露是否会直接干扰机关单位正常工作秩序，影响正常行使管理职能；三是该信息一定时间内是否不宜对外公开，判断方式为文件是否记载“不予公开、内部文件、内部事项、内部资料”等字样；四是法律规定信息接收主体必须承担保密义务的信息，例如，境内商业银行在日常工作中收到人民银行下发的反洗钱调查信息，虽然不属于国家秘密，但是属于反洗钱工作秘密，应当按照《反洗钱法》规定承担保密义务。如境内企业经过判断，认为属于上述任一类秘密信息，则应履行后续步骤；如有关信息是否属于秘密信息不明确或有争议，则应分别视情况报有关保密行政管理部门（判断是否是国家秘密）或业务主管部门（判断是否是国家机关工作秘密）进行确认。

2. 步骤二：报批及报备

对于构成国家秘密、国家机关工作秘密的，应根据《中华人民共和国保守国家秘密法》及《国家秘密定密管理暂行规定》等，报经有关国家秘密的定密机关、工作秘密的主管业务部门等进行批准，同时报同级保密行政管理部门备案。

3. 步骤三：判断是否属于涉安全信息

对于经过批准及完成报备的秘密信息，以及经判断或认定不属于秘密信息的相关文件、资料，境内企业尚需进一步判断该等信息是否属于涉安全信息，即是否属于泄露后会对国家安全或者公共利益造成不利影响的文件、资料。目前尚无明确法律规定对涉安全信息给予定义，但是要求境内企业、证券公司以及证券服务机构从维护国家安全与公共利益角度，对开展境外上市工作过程中涉及的境内企业保密信息和档案进行必要的审查。境内企业可以考虑参照《网络安全审查办法》第十条以及《数据出境安全评估办法》第五条第（二）款规定对该等信息是否存在国家安全与公共利益风险因素进行初步判断与评估。

如果属于关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据等，则需要根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》及有关法律法规履行必要的重要数据出境安全评估或者网络安全审查等程序[1]。

4. 步骤四：签署保密协议、脱密处理、提供书面说明

境内企业在履行完毕上述程序后，如所提供的文件资料属于秘密信息、涉安全信息的，应该与有关提供对象签署保密协议。

此外，境内企业应按照国家保密规定，对有关文件、资料进行处理，并就其执行上述步骤的情况，向证券公司、证券服务机构提供涉密敏感信息具体情况的书面说明。虽然目前尚无明确文件规定对书面说明内容和范围进行详细解释，我们理解，境内企业应当将保密新规第三条和第四条的合规义务在境外上市工作过程中进行落实，并以书面形式提前告知证券公司、证券服务机构，督促其与境内企业一并遵守保密新规；后者应妥善保管该等书面说明备查。

5. 步骤五：判断是否属于会计档案

在履行了必要程序后、对外提供有关文件资料前，境内企业尚需判断，其拟提供的资料是否属于会计档案或其复印件。与征求意见稿相比，保密新规删除了对“国家和社会具有重要保存价值的会计档案”的限定，而是全面适用于会计档案及其复制件。

首先，依据财政部《会计师事务所从事中国内地企业境外上市审计业务暂行规定》第五条规定，中国内地企业依法委托境外会计师事务所审计的，该受托境外会计师事务所应当与中国内地会计师事务所开展业务合作，其中在境内形成的审计工作底稿应由中国内地会计师事务所存放在境内。

其次，依据财政部和国家档案局共同发布的《会计师事务所审计档案管理办法》第三条和第十三条规定，审计档案是指会计师事务所按照法律法规和执业准则要求形成的审计工作底稿和具有保存价值、应当归档管理的各种形式和载体的其他历史记录。会计师事务所对审计档案负有保密义务，一般不得对外提供，确需对外提供的应当严格按照规定办理相关手续。如其拟提供的文件资料属于重要档案的，则应按照《中华人民共和国档案法》第二十五条[2]的规定履行档案出境的审批手续。

最后，根据保密新规的规定，向相关证券公司、证券服务机构、境外监管机构等单位和个人提供会计档案的，应当履行相应的审批手续。

6. 步骤六：对外提供及报告要求

在履行完毕上述程序后，境内企业可以向证券公司、证券服务机构提供有关文件资料。在提供后，接收方应妥善保管相关文件资料，且相关主体有义务密切关注有关国家秘密是否已泄露，并应在相关秘密已泄露或可能泄露的情况下采取补救措施，并向有关部门进行报告。

四、特殊监管事项

1. 中介机构的保密义务和审慎义务

保密新规明确规定，对于境内企业所提供的文件、资料属于保密新规中规定的各类涉密信息的，境内企业应与相关中介机构签署保密协议，明确中介机构应承担的保密义务和责任。

此外，保密新规进一步强调了，获得有关涉密信息的机构，其存储、处理、传输相关文件、资料的信息系统、信息设备应当符合国家有关规定。言外之意，除了不能故意泄露有关涉密信息以外，信息的接收方还应该加强其信息系统、信息设备的建设，确保客观上不会出现泄露涉密信息的软硬件风险。

2. 工作底稿的存放及跨境提供事宜

(1) 如何存放

保密新规再次重申，在境内企业境外上市过程中在境内形成的工作底稿（需要注意不仅限于会计档案）应该存放在境内；需要出境的，按照国家有关规定办理审批手续。证券公司、证券服务机构在提供境外上市证券服务过程中，通常会使用电子邮件、VDR、云盘等技术手段接收或者共享境内企业提供的电子形式尽调资料，如果境外上市相关涉密敏感信息中涉及国家秘密的，应当注意遵守《中华人民共和国保守国家秘密法》的规定，建议选择配备符合国家保密规定和标准的技术防护设施与设备的服务供应商。

(2) 工作底稿的含义及范围（以审计工作底稿为例）

针对审计工作底稿的含义和范围，根据《中国注册会计师审计准则第1131号——审计工作底稿》的规定，审计工作底稿是指注册会计师对制定的审计计划、实施的审计程序、获取的相关审计证据（指注册会计师为了得出审计结论和形成审计意见而使用的信息，包括构成财务报表基础的会计记录所含有的和从其他来源获取的信息），以及得出的审计结论作出的记录。

具体而言，参考《<中国注册会计师审计准则第1131条——审计工作底稿>应用指南》，审计工作底稿范围通常包括：（1）总体审计策略；（2）具体审计计划；（3）分析表；（4）问题备忘录；（5）重大事项概要；（6）询证函回函和声明；（7）核对表；（8）有关重大事项的往来函件（包括电子邮件）；（9）被审计单位文件记录的摘要或复印件（如重大的或特定的合同和协议）。

除上述规定明确列举的范围外，如果是涉及某项具体审计业务相关的尽调过程和结果材料，或从工作底稿中摘抄形成的文件能够清晰反映以下任一内容，则仍可能被视为属于工作底稿范畴：（1）审计计划和审计程序开展的记录；（2）审计证据；（3）审计结论及审计中的重大事项或重大职业判断。

此外，根据《中国证监会有关负责人就签署中美审计监管合作协议答记者问》，其中明确审计工作底稿是事务所开展审计过程中，对其制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论等所作的“工作记录”，与《中国注册会计师审计准则第1131号——审计工作底稿》中的相关定义大体一致。

(3) 如何存储及提供

需要注意的是，保密新规对于境内形成的工作底稿除了要求境内存储以外，还要求按照有关规定履行出境审批手续，但是尚无法律法规对工作底稿出境审批手续做出进一步规定。与征求意见稿相比，保密新规将表述从“未经有关主管部门批准，不得……传递给境外机构和个人”改为“需要出境的，按照国家有关规定履行审批手续”。

根据中国证监会新闻发言人就中美审计监管合作进展情况答记者问，中国证监会宣布在中美审计监管合作过程中，双方就检查和调查活动计划作了充分沟通协调，美方通过中方监管部门获取审计底稿等文件，在中方参与和协助下对会计师事务所相关人员开展访谈和问询。同期PCAOB发表的声明也确认在中国香港对相关文件进行了查阅。可见，实践中已有工作底稿出境的相关案例，因此现阶段可以通过与监管部门加强沟通并获取具体指导的方式履行出境审批手续。

此外，虽然保密新规上位法并未明确提及《数据安全法》和《网络安全法》，但是境内企业与境外证券公司、境外证券服务机构之间就涉密敏感信息开展相关跨境数据处理活动，仍然需要独立遵守数据出境安全评估以及网络安全审查相关规定。结合《数据出境安全评估办法》以及《数据出境安全评估申报指南（第一版）》的规定，鉴于保密新规监管对象包括境外证券公司或者境外证券服务机构，因此，即使工作底稿在境内形成并存储在境内，其仍然可以被包括境外证券公司或者境外证券服务机构在内的境外机构所访问，此种情形也构成数据出境。

因此境内企业需要结合自身是否已触发向国家网信办申报数据出境安全评估的条件，进一步判断是否需要将工作底稿出境也纳入评估范围并且进行相应工作的统筹安排。

3. 关于境外监管机构调查、检查事宜

对于境外证券监管机构及有关主管部门对有关市场主体进行调查取证或者开展检查的要求，相较于29号文，保密新规未再强调现场检查应以我国监管机构为主进行或者依赖我国监管机构的检查结果，而是强调了两方面要求：一是境外监管机构应通过跨境监管合作机制开展调查或检查（而非擅自单方面发起相关程序）；二是被检查主体在配合境外监管机构的调查、检查或者提供文件资料前必须提前向证监会或有关主管部门报告（不可未经报告就接受调查、检查或提供文件资料）。

有观点认为，保密新规第十一条将“配合境外证券监督管理机构或境外有关主管部门调查、检查”和“提供文件资料”并列表述，因此有关境内企业、证券公司和证券服务机构向境外上市所在地交易所或者监管机构提交文件资料均应当事先报告。我们认为保密新规该条规定与《中华人民共和国证券法》第177条关于“未经国务院证券监督管理机构和国务院有关主管部门同意，任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料”可以采取相似的理解，即应当缩限在“境内机构在境外证券监督管理机构跨境执法过程中配合提供文件和资料”，而不包括“境内机构按境外上市规则向境外监管机构提供申请文件和资料”。