规范企业境外上市的制度基础进一步夯实
——简评《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》修订
□中金公司投资银行部国际业务负责人 许佳
2022年4月2日,证监会就《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》(以下简称《规定》)向社会公开征求意见。此次证监会会同财政部、国家保密局、国家档案局对2009年发布的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》(证监会公告〔2009〕29号)进行修订,旨在积极顺应我国资本市场发展的新需要和新趋势,为相关市场主体切实履行维护国家信息安全的责任、依法依规高效开展境外上市活动提供更为清晰的指引,同时也有助于与境外监管机构安全高效开展包括联合检查在内的跨境监管合作活动,为规范境外上市行为进一步夯实制度基础。作为深耕境外上市领域的中介机构,我们欢迎本次修订。
纵览《规定》全文及其修订内容,我们认为此次修订集中体现了加强国家信息安全管理、提高效率、明晰责任、兼顾统筹发展与安全的理念。此次《规定》是对2009年原文件的升级,在新形势下,顺应内外部环境的变化进行了完善,增强了对国家信息安全的保护,但实质上并未对企业等相关市场主体提出额外要求,更多是梳理相关市场主体在境外上市活动中应当遵守的保密和档案管理工作要求,重申须依法依规做好涉密敏感信息的管理,落实信息安全主体责任。我们认为,这本身即为相关市场主体合规经营中应当承担的重要内容,也是落实近期网信办等部门相关规定的应尽义务。为了更好地适应境外发行上市中的实际情况,以及与之前征求意见的境内企业境外上市备案制度接轨,《规定》将适用范围进一步扩展至境外间接上市企业(包括红筹中概股),是当前境内企业境外上市改革理所应当的一部分。我们相信,《规定》对于市场主体来说合规成本的增加非常有限,而执行要求带来的合规红利将是长效的。
另外,这次修订也根据国际惯例修改了有关境外检查的规定,调整了关于“现场检查应以我国监管机构为主进行,或者依赖我国监管机构的检查结果”的表述,结合新《证券法》,明确境外监管机构在中国境内进行调查取证或开展检查的应当通过跨境监管合作机制进行,证监会和有关主管部门依据双多边合作机制提供必要的协助。这体现了中国监管部门对跨境审计监管合作一贯的开放态度,也符合相关国际惯行做法,将为安全、高效开展包括联合检查在内的跨境监管合作提供制度保障,将有助于通过跨境监管合作解决中概股审计监管问题。
与此同时,我们也注意到市场对如何落实及执行《规定》要求市场上进行了热烈的讨论,大部分讨论较为积极,但也有一些偏颇的误读。作为专业中介机构,我们对常见易被误读的若干问题理解如下:
首先,部分观点认为这次《规定》的修订是将国家安全相关的保密内容拿出来让别人查,放松了对相关保密信息的保护。这个观点的错误之处在于没有理解底稿本身并不必然应该包括保密的信息,更没有理解我国在过去几年对于国家安全信息保护方面的显著进展。审计师等中介机构的底稿一般并不会包括保密内容,只有在极少情况下,才有可能涉密。此次《规定》修订就极少数潜在涉密的情形,也给予了清晰的程序指引,减少不必要的涉密敏感信息进入工作底稿。《规定》第三条、第四条、第五条明确,企业在境外发行上市过程中向中介机构及境外监管机构提供、披露资料时需要遵守保密相关法律法规,做好书面说明和备查工作。因此,《规定》实质上重申了企业及中介机构应当审慎对待有关国家安全的涉密敏感信息,如非绝对必要且经过主管部门批准,涉密信息不能进入审计底稿,这毫无疑问是在加强国家安全信息保护和明确责任。我们认为,一家严格遵守境外上市相关保密和档案管理法律法规、不折不扣执行《规定》的企业,能够守住安全底线。
特别地,企业经营中产生的数据安全受到我国网络安全和信息相关监管机构的有效监管。从企业赴境外上市的实践中来看,企业最底层的业务数据,如大规模的客户数据、个人信息、地址定位等,不应该在未获得客户确认的情况下提供给中介机构,更不会被纳入底稿。对于必要的数据出境活动,我国相关监管机构正在对其持续完善及规范,如国家互联网信息办公室已于2021年11月结束《数据出境安全评估办法(征求意见稿)》的公开征求意见等。这些法规本身,已经明确对于国家信息安全、数据安全方面予以规定,和本次《规定》的要求互为补充,分别从不同角度对不同行为予以规管。一家企业如果遵纪守法,特别是严格执行国家信息安全和境外上市相关规定,落实《规定》要求,能够避免涉密敏感信息不当对外提供及进入底稿。即使少量敏感信息确因审计需要进入底稿,也须在提供、保存和接受检查的全链条上按相关规定加以管理和保护,能够保障国家信息安全。
其次,也有一种错误观点,认为放开底稿检查之后,将会泄露企业商业机密。虽然企业商业机密并不是《规定》直接涉及、保护和监管的内容,但无论是证券公司、审计师、律师或其他证券服务机构,在境内企业境外发行上市工作中形成的底稿,本身含有商业机密的可能性极低,一般不会、也不应包含诸如生产配方、芯片设计、技术专利细节等商业机密。中介机构履行相关尽职调查、审计等责任时,一般需要对企业整体的经营情况、财务状况、合法合规性等进行必要的了解及记录,但并不必然需要企业经营中所有的具体数据或信息,更谈不上将这些内部全然记录在案。以审计师为例,其一般需要通过合理的审计程序、但并非穷举所有细节,来判断被审计企业编制的财务报表是否按照适用的会计准则的规定编制,及是否在所有重大方面公允反映了被审计者的财务状况、经营成果和现金流量。通俗来说,这就像消费者可以通过品鉴菜肴来判断一家餐厅是否口味正宗,但并不需要餐厅大厨给出精准的菜单和秘方。因此,在实践中,中介机构的底稿涉及企业的商业机密本身即属于极小概率的情况。
再次,市场上还有一点担心,企业执行《规定》会不会违反审计准则或境外监管机构要求。事实上,审计师必须按照审计准则办事,如果拿不到必要的审计证据,是出不了审计报告的。这将反过来对上市公司也形成制约,推动以最少、必要的原则界定涉密敏感信息,既避免“泛化”,支持商业信息的正当流动,也能够支持境外上市地监管要求。《规定》还要求对确有必要进入底稿的涉密敏感信息全流程按规定履行程序和加以管理,既满足了信息安全方面的要求,也将使得后续的跨境合作更加便捷高效。因此,我们认为,这种担心应该是可以在实践中得到解决的。
近年来,我国监管机构不断完善境外上市监管制度,进行了全面、系统、贴合市场的监管升级。此次《规定》的修订作为境外上市监管体系的一部分,明确了境内企业和相关中介机构在境内企业境外上市过程中关于底稿信息的责任,在提升整体市场的合规水平上具有极为积极的正面意义,实事求是地适应了新形势的发展,体现出了我们监管机构的开放、务实、高效。《规定》对企业和中介机构在新形势下的工作提供了明晰的指导,君子坦荡荡,我们相信中国企业不怕查,也经得起查。《规定》也体现了中国监管机构以市场法治思维和开放合作态度解决问题的智慧。我们同样有理由期待在中国监管机构持续完善监管细节的过程中,中外相关监管机构早日达成共识,在国家安全得到保障的前提下,双方合作、共同维护全球投资者和企业利益,实现多赢局面。