境外上市公司檔案信息安全監管問題研究

張 超 王露露/中國人民大學信息資源管理學院

2021年7月6日，中共中央辦公廳、國務院辦公廳印發了《關于依法從嚴打擊證券違法活動的意見》（以下簡稱《意見》），《意見》明確提出將境外上市的中國公司納入監管范圍，尤其是在加強跨境合作監管方面，提出了“完善數據安全、跨境數據流動、涉密信息管理等相關法律法規。抓緊修訂關于加強在境外發行證券與上市相關保密和檔案管理工作的規定，壓實境外上市公司信息安全主體責任”。與此同時，國家網信辦連續發布了對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查的公告。審查期間，以上APP均已停止新用戶注冊。多家互聯網企業接受網絡安全審查，一時間，數據安全再次成為關注焦點[1]。無論是從國家對上市公司信息安全的政策導向來看，還是從多個互聯網企業被審查的現象來看，新時代企業信息安全問題日益突出，尤其是涉及跨境信息安全方面，上市公司的信息安全問題更是影響到國家信息安全的嚴重問題，成為國家安全的監管真空地帶。

目前學界關于企業境外檔案管理的研究已經起步，已有研究重點關注的是國有企業在境外開展業務活動時形成的檔案。然而，從7月4日“滴滴出行”因違反《中華人民共和國網絡安全法》的相關規定而被下架可以看出，非國有企業的檔案信息安全問題同樣很突出，尤其是我國上市公司在從事境外證券投資相關活動的過程中，會發生比企業境外業務活動更加頻繁的檔案信息流動，從而引發嚴重的檔案信息安全問題，而對于檔案信息安全的忽視可能進一步引發國家信息安全風險。因此，筆者認為有必要對境外上市公司的檔案信息安全問題進行研究，從而降低我國跨境檔案信息安全流動的風險性。對境外上市公司檔案信息的界定，可以理解為境外上市公司所保存的具有長久保存價值的原始性信息集合，這些信息既可以是保存在紙質載體上的，也可以是保存在數字化載體上的。基于此，筆者以“檔案”“上市”為組合檢索詞，在中國知網上進行主題詞檢索，去掉重復與無關的成果之后，目前僅有17篇文獻對上市公司的檔案管理進行了研究，且有2篇都發表在檔案學相關期刊上。檔案學界對該主題的關注較少，關注點主要集中在上市公司會計檔案信息失真等問題。同時，已有的關于我國企業境外檔案安全問題的研究集中在靜態管理方面，而對跨境檔案信息流動的安全問題關注較少，這也為本文提供了研究空間。

1 境外上市公司檔案信息安全監管面臨的新形勢

1.1 政策法規方面可能面臨沖突

由于境外市場環境和競爭規則的不可預測性，我國境外上市公司實則面臨比國內更大的檔案信息安全風險和更嚴苛的管理合規性問題。不同國家或地區的法律體系和具體規定不同，對企業檔案管理的要求也不同[2]，這就意味著境外上市公司在遵守境外國家或地區的政策法規的同時，還需遵守中國法律相關規定，尤其是一些涉及國內經濟發展、社會民生等的檔案信息資產。當境外上市公司面臨可能不利的政策法規或雙重標準，極易面臨法律遵從上的沖突。以我國在美國上市公司面臨的信息披露問題為例，美國證監會指定的《境外發行人跨境證券發行與首次上市國際信息披露準則》中大量非經營性、非財務性信息披露監管，要求被納入SEC對境外企業信息披露的常規監管視野中[3]。但事實上，2009年我國國家檔案局、中國證監會和國家保密局制定的《關于加強在境外發行證券與上市相關保密和檔案管理工作的規定》就已明確規定，境外上市公司向有關證券公司、證券服務機構和境外監管機構提供或者公開披露涉及國家安全或者重大利益的檔案的，應當依法報國家檔案局批準。可見，愈漸嚴苛的政策法規將在不同國家不同地區對同一家上市公司做出監管的同時，其法律沖突問題將成為境外上市公司信息安全保護與檔案管理工作新阻礙。

1.2 信息安全方面敏感度更高

一般而言，檔案信息都是具有高價值密度的，也就是說，檔案信息本身就具有保密與安全的門檻與必要性。然而，境外上市公司的一大重要特征是發生檔案信息的流動，為了向境外投資者展示自身的投資潛力，會產生公開業務數據或者檔案信息的需求，在這個過程中，檔案信息的跨境安全流動問題就表現得極為突出。除了近兩年被美國以威脅國家信息安全為由進行審查的華為和字節跳動等公司之外，前文提到的“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”等公司所保管的檔案信息具有極高的安全敏感度，通過APP收集保存了大量用戶隱私數據。江蘇省大數據交易和流通工作實驗室工作人員認為：“上述幾家被審查的企業，分別為日常出行、網絡貨運及大眾求職領域的頭部平臺，至少掌握了所屬行業領域80%以上的深度數據。這些數據可以直接或間接地反映我國各區域人口分布、商業熱力、人口流動、貨物流動、企業經營等情況。”[4]也就是說，除了一些會計檔案之外，一些核心業務檔案數據也是我國重要的信息資源，包含大量個人隱私信息。這些公司在上市融資的過程中，必然要面臨檔案信息出境問題，為了眼前的利益，極有可能觸犯國家信息安全底線。隨著全球信息化進程的不斷加快，上市公司的業務越來越離不開用戶隱私數據，因而檔案信息安全敏感度會越來越高，檔案信息將會面臨更加嚴峻的安全流動風險問題。

1.3 技術方法方面面臨更大風險

隨著云計算等新興技術的飛速發展，海量信息在各上市公司之間積累、歸檔、共享、再分析，這也為這些上市公司信息安全帶來新的挑戰。第一，境外上市公司的核心檔案信息相比于國內企業更易被攻擊竊取。由于缺少類似于中國國家防火墻（Great Firewall of China，GFW）的安全保障，境外上市公司需要在技術上自己投入并構筑信息安全防護體系以達到保障重要信息不被攻擊的目的。而在構筑企業級防護體系過程中，無論是網絡通信層面還是物理設備層面，使用當地運營商的鏈路傳輸信息和存儲極易被非法侵入或被植入惡意代碼，最終極易面臨核心檔案信息被竊取的境地。第二，以社會工程學、水坑攻擊、變種病毒等為代表的新型信息安全攻擊手段也對境外上市公司的檔案信息安全保障帶來新的威脅。雖然檔案信息安全領域已廣泛采用數字水印、入侵檢測、數據加密、反垃圾郵件等安全防護技術，但由于檔案數據庫中所承載的數據具有較高商業價值和安全價值，一旦被黑客惡意攻陷，我國境外上市公司的股價極易造成異動，進而導致巨大經濟損失。第三，我國境外上市公司大部分為互聯網企業，這些企業在國內運營過程中產生了海量信息，如果被惡意通過數據挖掘等新興技術進行分析，極易得出一些有關國家秘密的情報。因此，在新興技術飛速發展的當下，這些上市公司將面臨更為嚴峻的安全形勢。

2 境外上市公司檔案信息安全監管面臨的新問題

2.1 境外上市公司檔案管理相關政策法規缺位

從2015年開始，我國陸續出臺了包括國家安全法、網絡安全法、數據安全法在內的一系列法律法規，時至今日我國已經邁入了數據保護立法的快車道[5]。盡管網絡信息安全已經引起了國家重視，但是近年來境外中概股公司陸續出現的“爆雷”事件，反映出我國關于檔案信息的法律法規存在缺位的問題。具體來說，一方面，針對境外上市公司的檔案信息安全相關法律法規存在缺位。即使算上《中華人民共和國個人信息保護法》《網絡安全審查辦法（修訂草案征求意見稿）》這兩部重要上位法，關于檔案信息安全的法律法規依舊缺少，如2020年新修訂的《中華人民共和國檔案法》就沒有提及相關內容。另一方面，境外不同國家（地區）對檔案信息管理與披露提出了不同要求，境外上市公司需要同時兼顧中國和上市國家（地區）的法律規定，這就勢必導致境內外法規可能出現沖突的情況。以會計檔案為例，我國《會計檔案管理辦法》規定保管期限為10年和30年，而英國《公司法》規定的時間則為3年和6年。類似地，法規沖突還會出現在企業檔案有法律效力的條件、企業檔案接受何方監管、企業檔案能否攜帶出境、文件歸檔范圍等方面[6]。因此，上述法律法規問題在給上市公司檔案監管帶來了極大挑戰，亟待得到有效解決。

2.2 境外上市公司檔案信息監管體制亟待建立

當前境外上市公司檔案信息監管存在很多問題，其中最為突出且調和難度很大的問題就是監管主體混亂。一方面，從國家與國家之間的縱向關系來看，我國和境外國家對于上市公司的檔案信息監管存在明顯的沖突，這一問題并非簡單的管理層面問題，而是涉及國際局勢、經濟形勢和技術發展等宏觀層面，受到諸多不可控因素的影響，《意見》中也提出了“堅持依法和對等原則，進一步深化跨境審計監管合作”，可見加強跨境監管合作是建立境外上市公司檔案信息監管體制的重要議題。另一方面，從行業主管機構之間的橫向關系來看，證監會、網信辦、檔案局、保密局、證交所、會計監督委員會等對上市公司檔案信息有監管職責，但對境外上市公司檔案信息的聯合監管體制沒有建立。尤其是檔案部門在境外上市公司的檔案信息監管體制中處于參與度較低的地位，只有檔案監管機構真正參與到上市公司檔案信息安全監管的體制之中，才可以真正引起上市公司對檔案信息安全的重視，從而優化檔案管理與利用。

2.3 境外上市公司檔案信息安全的風險性較強

境外上市公司由于檔案信息往往沒有納入檔案行政監管范圍，國內主管部門對這些上市公司的信息安全監管也沒有形成體系[7]，因而境外上市公司面臨的風險問題更為嚴重。相比于境內上市公司，境外上市公司檔案信息安全所承受的風險性更強。在橫向上，由于身處國境之外，無法享受來自國家對企業經營活動的有力保護，并且受到不穩定的國際形勢和大國關系的影響，境外上市公司的檔案管理面臨來自政治、法律、文化和管理方面的風險[8]。在縱向上，檔案信息面臨的安全風險體現在收集、管理、存儲、利用過程中存在各種安全隱患[9]。識別這些復雜性風險并施以對策是一個艱巨的難題。此外，境外上市公司大多均為具有一定行業壟斷性、占據大量核心技術或信息情報的龍頭企業，這就導致它們所面臨的外部威脅和潛在風險會更難以把控。如，競爭對手企業為謀求本企業利益最大化，會通過一系列正當或不正當的技術手段獲取核心檔案信息。以美國為例，美國除通過《愛國者法案》《云法案》等法律授權獲取數據外，情報機構監視活動也從未間斷[10]。境外上市公司面對內憂外患，需要在多方“夾縫”中確保檔案信息的機密、完整與可用，除了依靠自身的自覺管理外，國內監管主體的跨境監管與指導也同樣不可或缺。

2.4 境外上市公司檔案管理模式面臨較大挑戰

對于一些上市公司而言，檔案信息的重要性主要體現在合規性檢查、獲取公眾投資者信任等方面，以該目的為導向，會導致境外上市公司對檔案管理的態度呈現消極被動的狀態，反而不從源頭上對檔案管理模式給予應有的關注。以會計檔案為例，一些上市公司以為，只要季報、半年報、年報等按時編制完成，會計檔案的作用就不大了，有的甚至沒有專門的檔案館（室），由控股公司的檔案館（室）代管，會計檔案被看成是累贅[11]。與這一現象形成鮮明對比的是，上市公司在財務造假或利潤操控時卻非常“重視”會計檔案。如，上市公司麥科特通過偽造出口設備融資租賃合同、材料和產品購銷合同、進出口發票和海關印章等手段，1997年虛構利潤0.4億港元，1998年虛構利潤0.38億港元，1999年虛構利潤0.13億港元，2000年虛構利潤0.93億港元。麥科特如此“重視”會計檔案就是為了上市融資[12]。對檔案價值的錯誤認知導致大部分上市公司在檔案保管期限、檔案信息真實性、檔案保管環境合規性、檔案信息安全流動等方面缺乏應有的專業性。特別是對于境外上市公司而言，企業未來處理上市融資、合規性檢查以及確保數據安全時，這些問題將帶來諸多困擾。

3 境外上市公司檔案信息安全監管建議采取的應對措施

3.1 制定出臺檔案信息安全監管的相關政策法規

考慮到我國境外上市公司不同于一般境外企業，相關法律法規體系的出臺和修訂涉及市場與經濟的發展，一旦有疏漏，輕則造成上市公司股價出現大幅波動影響市場，重則可能影響國際經濟貿易合作。具體來說，需從以下三個方面著手。第一，健全相關檔案信息安全的法規體系。具體途徑有兩種：一是專門出臺有針對性的管理法規；二是修訂擴充已有法規，將檔案信息安全、跨境數據流動、涉密信息管理等納入修訂范圍。如，我國2017年頒布實施的《中華人民共和國網絡安全法》，對個人信息或重要數據本地化存儲和管制性數據跨境傳輸做了相應規定，但仍存在諸如安全評估不明確、違法成本過低、范圍狹窄等缺陷[13]。因此，建議在原有法條的基礎上，借鑒歐美《通用數據保護條例》的長臂管轄規則對涉密信息管理、跨境檔案數據流動等內容，也做出相應的補充修訂，強化我國國家數據主權和行政監管權。第二，在健全相關法規體系過程中，需靈活貫徹“雙重遵從”原則，即既遵從所在國或地區的法律規定，又遵從我國的法律規定[14]。但是在遇到類似于要求獲得會計檔案底本等上市要求時，則應當始終堅持“維護國家安全”的根本立場，堅決不觸犯國家信息安全底線。第三，進一步完善境外上市公司檔案信息監管配套政策，如相應的檔案信息管理規范和國家標準等。需要補充境外上市公司檔案管理和信息安全相關技術標準，作為基本法律法規指導下的“軟工具”，統一對這些企業進行管控和約束，在標準中加大對不合規中概股公司的執法力度，對涉及跨境數據流動、出口管制等重要檔案信息實行專項管理。

3.2 建立健全檔案信息安全監管的體制機制

與境外企業檔案管理不同，上市公司檔案信息問題明顯涉及國家安全，必須將檔案監管機構納入其中，充分發揮檔案行政監管機構和檔案專職人員的專業力量。具體來說，一是需要樹立外緊內松的檔案信息安全監管理念。《意見》中提出的基本理念“建制度、不干預、零容忍”，為上市公司檔案信息監管提供了很好的導向。建議加強證券行業檔案信息管理與信息披露方面的基礎制度建設，健全依法從嚴打擊檔案信息非法泄露體制機制，提高執法司法效能，有效防范化解重大風險，為加快建設規范、透明、開放、有活力、有韌性的資本市場提供有力支撐[15]。二是需要加強跨境監管執法司法協作。對于我國的檔案信息安全監管主體而言，應當以總體國家安全觀為指導，始終堅持依法監管和公平對等的原則，在檔案信息披露的問題上，既要與境外證券監管機構進行合理程序交流，又要做好相關檔案信息保密工作[16]。中外雙方在上市公司檔案信息披露上應當建立長期有效的對話機制，使得外方建立對我國上市公司財務審計的信任，從而提出更為合理的檔案信息披露要求，或者雙方協商建立互認的監管標準和互連的監管科技，實現對檔案信息安全協同監管[17]。三是要加強組織保障和監督問責。在建設境外上市公司信息安全監管體制時，應當充分發揮檔案監管機構的監督指導職能，要求上市公司配置相應的檔案專業人才，確保一定的數量和素質。同時建立嚴格的檔案信息安全責任制度，一旦發生了上市公司檔案造假、信息非法泄露、遭受非授權訪問或攻擊等風險事故，應對檔案工作人員、部門領導和分管檔案信息安全工作的領導嚴厲追究法律責任。

3.3 提高檔案信息安全監管的風險應對能力

在提高檔案信息安全的風險應對能力方面，需聯合境內監管部門和境外被監管企業形成治理合力，具體有三條途徑。第一，企業加大技術應用，監管機構實現技術治理。使用技術手段實行自救，往往是應對檔案信息安全各類風險的首選模式。考慮到境外上市公司檔案管理成本高昂，且在境外還面臨著網絡、通信、硬件設備等多個層面的潛在攻擊和威脅，因此可以利用云計算、區塊鏈等技術統一為境外上市公司搭建檔案信息安管平臺（Security Operation Center，SOC），在保證信息安全的基礎上，適當分配給各上市公司部分傳輸接口，結合所在國家和地區的檔案管理實踐，通過安管平臺集成的防火墻、防病毒軟件、IDS檢測等安全防護模塊，保證核心檔案信息的機密性、完整性、可用性。第二，企業和監管機構需合力構筑境外上市公司檔案信息安全風險監控體系。在構建風險監控體系過程中，需結合歷史數據、風險責任人或權威專家主觀判斷、國際良好實踐、已知理論分布等[18]，通過事前、事中、事后全過程動態化跟蹤監控，實現對每次攻擊和每種風險類型的預警與識別，用以增強核心檔案信息的收、存、管、用的安全把控。第三，需切實提高境外上市公司人員的檔案信息安全意識。人員風險相對不可控，應當針對企業上至董、監、高，下至基層員工，建立起對檔案管理的重要性認知，將企業檔案安全上升到企業重要資產安全和國家信息安全的高度，從而在人、財、物等方面加大保障力度，確保境外上市公司做到對檔案工作的全員認同、全員參與[19]。

3.4 提高上市公司檔案信息管理模式的安全性

只有在管理模式上做到合規性，才能更有序地監管上市公司檔案信息的跨境流動。具體來說，可以從以下三個方面著手。一是明確檔案信息管理的價值。檔案信息可以作為融資上市的重要憑證，但是應當建立在業務合規性的基礎上，即檔案最終是為了證明合規性，而非財務或者業務造假的工具。因此，需要上市公司認識到檔案合規本質上是為了推動業務合規，上市公司的檔案信息管理應當承擔相應的法律責任，不能本末倒置為了融資上市而進行非法披露或者不當管理。二是解決檔案底稿的保管與開放問題。這一問題是美國發布的《外國公司問責法》與我國國家檔案局、中國證監會和國家保密局2009年制定的《關于加強在境外發行證券與上市相關保密和檔案管理工作的規定》相沖突所帶來的問題，提醒了上市公司應當充分了解我國境外檔案管理的相關法律法規，在《中華人民共和國檔案法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等相關法律的框架內，對新業態下的上市公司檔案信息進行更加全面的管控，以及更加謹慎地進行檔案信息披露。同時，上市公司也可以積極探索將原始檔案信息與檔案價值相剝離的技術范式，在技術上促成各國上市公司在不進行原始檔案信息跨境流動的前提下實現檔案信息價值的流動[20]。三是制定檔案信息安全等級保護制度。等級保護制度是我國信息安全保障的基本制度，對于檔案信息安全監管來說也有較強的指導意義。參考2019年我國發布的網絡安全等級保護2.0制度相關內容，可以針對上市公司構建檔案信息安全管理體系。在技術方面，從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等方面進行控制與評級；在管理方面，從安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理等方面進行控制與評級[21]。關于上市公司檔案信息安全的監管也應當積極引入檔案專家評審和檔案主管部門審核，從總體國家安全觀和個人隱私保護的專業視角，進行嚴格的定級與評分。

4 結語

境外上市公司的檔案信息不同境外開展業務所形成的檔案，無論是在安全管理還是信息披露等問題上都很復雜，涉及政治、經濟、法律、技術等方面的因素，需要平衡多方利益、緩解可能存在的沖突，為境外上市公司的發展提供健全的體制機制保障，也為我國的總體國家安全、檔案信息資產安全和個人隱私保護保駕護航。