2022年8月26日，中美两国签署审计监管合作协议。协议内容虽尚未被释出，但据中美双方声明可知，其大致有以下要点：（1）确立对等原则。双方可对相对方会计师事务所开展检查和调查，被请求方应在法律允许范围内尽力提供充分协助；（2）明确合作范围。美方需通过中方监管部门获取审计底稿等文件，在中方参与和协助下对会计师事务所相关人员开展访谈和问询；（3）审计工作底稿。美方拟查看的工作底稿等文件必须通过中方监管机构协助调取并提供；（4）保护敏感信息。在此之前，按照美《外国公司问责法案》的要求，截止2022年9月6日，赴美上市的360家中概股公司中已有164家进入“临时/确定已识别发行人名单”（Provisional/Conclusivelistofissuersidentified），且最终可能有约200家。如若而进入名单的中概股审计机构未能在限期内向美监管部门提交审计底稿信息与数据，该中概股将面临证券被禁止交易惩戒。在可能被强制退市的影响之下，2022年8月12日，在美上市的中国石油、中国石化、中国铝业、上海石化及中国人寿分别公告称已申请从纽交所自愿退市。中概股审计底稿信息和数据的出境问题是中美审计监管合作协议的重点内容。由上可知，中美虽已达成有关美方可对中概股审计机构进行审查和调查、对审计底稿进行查看并保留所需信息的共识，但共识仍停留在文本的层面，具体落实效果仍未可知。此前研究多集中于跨境审计合作的框架，认为中美争议的法律症结在于审计监管权限缺乏规则层面的对接。研究以具体案例为契机，强调跨境审计监管制度的构建，细化并落实合作协议，鲜有针对审计底稿本身信息和数据跨境流动的讨论。在此基础之上，从中美底稿出境规则差异出发并探究其成因，在中美审计监管合作协议达成的背景下分析协议内容与效用、疏漏与展望，能够为针对性提出中概股审计底稿信息与数据出境问题解决方案提供思路与启发。

一、中概股审计底稿信息与数据出境之中美分歧

（一）美国法关于中概股审计底稿的规范与其实践

《公众公司会计改革和投资者保护法案》（简称“SOX法案”）要求获取中概股审计底稿信息，以实现对中概股境外经营实体的财务监管。根据该法案，在美发行证券公司的境外审计机构除应接受公众公司会计监察委员会（PCAOB）的定期检查，还应在其审计报告受到调查时，向PCAOB提供审计底稿相关信息。对未能满足法案要求的上市公司，美国证券交易委员会（SEC）将禁止该公司所有证券的交易。由于该要求与中国国内法相违背，事务所多通过缴纳罚款与执法部门达成和解。此后，中概股审计事务所的处理方式为每年向美国提交AP表格(FormAP)，披露美国不能检查其审计的中概股公司工作底稿这一事实，长久以来美国执法机构也并未深究。《外国公司问责法案》对SOX法案上述104节进行了修订，且以列明已识别中概股并划定禁止交易期限的方式将中美底稿监管矛盾紧迫化。若根据法案，聘请境外的、因当地政府所致使无法向PCAOB提供审计底稿信息，亦无法接受其检查的会计师事务所进行审计，上市公司将负有证明其不受母国政府控制的义务，否则将被监管机构识别为存在“未经审查年度”的上市公司。如果被连续标识三次，SEC将禁止其在美国所有交易所流通证券。美国意欲通过《外国公司问责法案》，绕开国际证监合作框架和机制，单方面就审计底稿质量等实行直接“落地”监管。总体来说，向美监管部门提供中概股审计底稿相关信息，是中概股欲保持在美上市地位无法逃避的要求。无法满足法案要求的中概股将被禁止证券交易。

（二）中国法关于中概股审计底稿的规范与其实践

我国要求将审计底稿保存于境内，并对其载体与内容出境进行严格限制。首先，中概股审计底稿应存放于境内。部门规范性文件《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》规定，为境外发行证券提供服务形成的工作底稿应该存放在境内。在此基础上，《证券法》第一百七十七条为审计机构向境外提供底稿信息设置须经有关部门同意的义务。审计底稿可通过跨境审计监管合作机制，或由责任主体申报两种方式完成信息出境。通过跨境监管合作机制的，有美方经由合作机制直接调取和美方在中方协助下获取两种途径。由于我国在“中国证监会有关负责人就签署中美审计监管合作协议答记者问”中明确指出，在已达成的协议之框架下，美方须通过中方监管部门获取审计底稿等文件，故仅有最后一种形式在现阶段具备讨论价值。中美曾就“美方在中方协助下获取底稿信息”进行尝试，但效果十分有限。早在2013年，中美曾以签署执法合作谅解备忘录的形式约定中方将对美方提供协助并开展试点。据证监会发言人透露，合作具体形式为中方对试点会计师事务所进行质量控制检查，而由于双方签署的备忘录中并不包含美方直接行使监管权力的内容，美国实际上仅对中方检查过程进行了“观察”。由于PCAOB认为此种合作不能达到预期效果，在此之后仍有事务所因未能满足美方检查审计底稿内容要求而遭到暂停审计中概股的惩戒。综上所述，中美就中概股审计底稿信息及数据出境要求存在着明显冲突：美国审计监管部门要求中概股审计机构提供审计底稿信息与数据，而中国相关的法律法规要求审计底稿存放于境内，现有跨境审计合作机制也尚未能为中概股审计底稿信息与数据出境提供实质空间。中美审计合作监管协议能否解决该冲突待经检验，但在讨论协议完善及落地之前，探求中美规则分歧背后的原因将能使细化合作协议之策更显针对性和根本性。

二、中概股审计底稿信息与数据出境规则之分歧成因

中概股审计底稿信息与数据出境困局的形成，源于中美两国证券监管和信息及数据保护领域的矛盾。中美审计监管管辖权重叠矛盾、中方信息保密要求与美方投资者保护需求矛盾，与中美数据主权倾向矛盾，共同造成了中概股就信息及数据披露义务所面临的困局。

（一）“证券发行市场”与“事务所设立地”：美国与中国的审计管辖权重叠困局

审计报告对企业资信起到重要鉴证作用，审计服务机构通过出具审计意见为上市公司财报真实性背书。而中美双方对中概股公司的审计服务机构存在管辖重叠。作为证券发行市场的监管部门，美国PCAOB对中概股审计服务机构行使监管权力，以实现审计的增信功能。美国会计准则把公众公司“控制权”的识别范围从股权扩张到了其他形式，例如中概股VIE架构的协议控制。故美PCAOB依照SOX法案享有穿透式中概股审计监管权。然而，中国《会计师事务所执业许可和监督管理办法》将于中国境内设立的会计师事务所的经营活动置于中国法律的规范之下。由于中概股公司大多聘用中国会计师事务所事实的存在，中概股公司审计服务机构受中国证监会和财政部的监管。由于美方监管部门对于中概股审计底稿未按要求提供一事保持监管沉默的现实，在此次中概股退市风波前，美证券监管领域的长臂管辖效果并不理想。

（二）提供与保密：信息提供与信息保密之流动规则困局

在重叠管辖的前提下，美国政府基于审计增信的信息提供要求与中国基于涉密信息保护的底稿限制出境要求形成证券监管冲突困局。美国通过长臂管辖模式解决对境外审计底稿的审查问题，其目的在于规制财务舞弊以及审计不实，以审计的增信功能加强投资者保护。美国证券法律体系强调持续信息披露和反欺诈，以翔实且强制的信息披露作为核心理念。部分中概股公司因财务舞弊频遭做空，引发信任危机，亦引起证券监管部门重视，如“瑞幸咖啡财务造假案”中以虚构交易的方式进行财务舞弊，给投资者利益实现带来巨大隐患。实证研究证明，PCAOB的审计检查对降低上市公司财务欺诈概率起到显著作用。故而面对中概股财务欺诈问题，美国监管部门期望通过以审计底稿提供等为内容的检查规范中概股公司及审计机构行为，实现监管主权，维护金融安全。然而，审计底稿通常含有敏感信息，可能会牵涉到一国的国家秘密、行业机密和个人隐私。因此，我国监管部门对审计底稿出境问题的处理较为慎重。审计底稿包含与公司经营相关的核心数据，因经营主体所在行业不同而可能涉及不同类别敏感信息（见表1）。例如，中概股公司“滴滴出行”于2021年6月30日在纽交所成功上市，仅两天后即引发中国网络安全审查办公室对其开展审查，原因即在于其在纽交所上市时可能提供了敏感数据——滴滴持有全国高精地图甲级测绘牌照，可用于采集和处理地图测绘信息，包含位置坐标信息、建筑景观信息等，其更通过“互联网+”和大数据、云计算等技术进行平台整合，可能依据大数据分析得到海量个体信息。滴滴所遭遇的信息提供困局绝非个例，在美国证券监管部门以禁止证券交易为后果对审计底稿提出提供要求的情况下，审计底稿涉及的敏感信息使中概股公司大多面临左右为难的困境。

（三）扩张与维护：域外规制与限制流动之数据主权困局

全球价值链分工地位的不同，导致了中美两国在数据流动监管上的差异，以底稿检查为内容的跨境审计监管必然表现出竞争而非协作的特征。美国坚持数据流动的自由价值，意图通过国内立法在主权方面作出超地域的扩展，为本国调取域外数据提供管辖权依据。数据跨境流动之所以引起广泛关注和争议，究其根本在于其体现一国之主权，而并非简单表现为数据的输入和输出。美国凭借强大的数字技术以及市场优势，对数据的自由流动实施宽松保护治理，对域外数据进行长臂管辖，实质上扩张美国数据管辖权的范围。《澄清境外数据的合法使用法案》即是美国数据主权域外扩展的标志，美国在证券监管领域对中概股提出的审计底稿提供要求本质上也是数据主权域外扩张的体现。底稿检查的域外规制，结合美国资本市场严格的审计监管、强大的融资规模、繁杂的证券法制，为美国数据主权在证券监管领域的扩张提供了基础。我国坚持数据流动的安全价值，对关键信息基础设施运营者提出数据本地化及出境数据安全评估的要求，主张个人信息和重要数据的跨境流动限制，保护本国公民、实体的个人和财务数据免受外国监视和调取。《数据安全法》将存储于中国境内的数据限制于境内流动，非经批准不得向境外机构提供。同时，《数据出境安全评估办法》将建立数据安全风险评估报告、监测预警机制提上日程。不难发现，同美国的数据自由流动取向不同，我国强调数据安全作为先决条件。另外，中国数据跨境流动规制还处于起步的阶段，统一的数据出境立法在逐步形成中，规范的内容不很明确，与数据全球化规则构建尚有一定距离。规制欠缺不仅影响数据自由流动的空间，更使我国在双边和多边协作中实与境外实现制度对接中增加难度。中概股审计底稿出境困局暴露出的数据流动安全问题，对我国就数据流动需求与国家安全要求进行平衡提出了急迫的要求。

三、中概股审计底稿信息数据出境困局纾解展望

就中概股审计底稿信息与数据出境问题，中国监管部门在此次审计监管合作谈判过程中已表现出积极的合作态度：在美方延续一贯立场要求查阅完整的审计底稿并拥有调查权的基础上，中方仍表示会积极协助美方工作，并就“敏感信息”开展保护。但从中美就本次合作协议所作声明来看，若欲使监管合作协议发挥作用的同时实现我国在信息保护和数据保密方面的需求，仍有规范层面尚待细化的内容和实践层面尚待检验的空间。

（一）细化协议内容

在协议框架下，中方可参照PCAOB与其他国家达成审计监管合作协议时所作出的让步在细节上争取更多倾向于己方的便利：（1）将尊重双方国家监管主权确定为合作原则，同时声明原则不成为降低双方合作水平、减少合作项目的依据。（2）增强索要数据方的“举证”义务。要求PCAOB明确列举与其索要信息及数据相关的支持性信息，以佐证中方之提供义务是协作下必要的。例如，美方需提供所要数据之目的、所涉时间空间范围等，还应就数据利用场景和其他可获得数据主体进行说明。（3）明确提供信息及数据方拒绝提供权利之限度。中方在协议配合义务的要求下仍享有拒绝提供敏感和关键数据的权利，且该权利有明确协议条款保障，包括但不限于：美方信息提供要求与协议不符、协议提供要求损害中方主权等。当然，美方仍有权在协议下对拒绝提供主体进行调查。（4）落实通过数据提供方监管部门提供数据之渠道，加强对出境信息及数据的监管。

（二）衔接国内制度

就底稿信息与数据出境流程，应坚持出境前评估与出境后持续监督相结合的原则。《数据出境安全评估办法》将申报评估义务主体标准明确为定性标准和定量标准，但两标准均较为模糊。为使出境前评估程序高效运行，就境外上市所涉审计底稿的出境问题，应使各行业协会与注册会计师协会协力，进一步制定具有行业特点的具体审计数据安全评估标准，为协议的落实提供指导。同时，应着重加强监测底稿信息及数据提供给美后其监管部门对信息及数据的利用是否超出框架性协议的约定范围。对信息利用主体和应用场景进行持续监测，能够在美方超出协议利用信息范围进行及时沟通，避免信息泄露损害国家及个人利益。就底稿信息与数据出境监管责任主体，专门的与境外对接的监管部门应被设立。由于对中概股审计底稿涉及的数据安全监管权限分散于证监会、网信部等监管机构，监管内容冗杂过程不畅。专门监管部门的设立能够落实监管措施，避免监管冲突、套利和法律规避。就审计底稿信息与数据出境标准，可因中概股所处行业或审计底稿所涉信息和数据类型制定规范细则。

（三）构建常态化审计监管合作机制

审计底稿跨境流动需求的背后是中美两国分别对中概股享有审计监管主权，解决跨境审计监管合作分歧还是要回到双边或多边合作框架。开展中概股公司审计底稿联合检查。联合检查为跨境审计监管合作通行做法及有效形式，中美也已存在合作先例。在共同掌控下对双方审计监管辖区内的中概股审计机构进行联合检查，能够同时实现双方利益。就检查人员的选任，应在尊重双方意愿的情况下保证公开透明，尊重其独立性。就检查所涉范围，应由双方经由协商明确划定，重点检查与财务造假相关情况。就检查结果出境，除应满足上述底稿出境标准，还可通过匿名化、去标识化等手段，减少对中概股母国影响，增强检查结果针对性。就检查结果利用，除应遵守双边或多边条约，在超出双方联合检查约定的数据及材料使用范围时，应获得对方书面同意。构建审计监管等效认证体制。与PCAOB或SEC签订互信委托监管认可协议，在互惠的基础上委托对方对中概股审计机构进行检查，能够在尊重东道国管辖权的同时实现监管目标，便利审计机构进行合规的审计活动。PCAOB董事会规则为中美监管等效认证构建提供可能，可以尝试构建实质等效认定标准，以效果等效为主要目标兼顾规则等效，实时关注中概股东道国的监管政策的调整，实现等效认定动态调整。当然实现等效监管机制的切实构建尚需时日，故可选择通过设立阶段性目标、安排过渡期等方式实现缓冲，以政府监管信用作为背书，以互派观察员等方式加强监督，逐步建立互信。同时，为跨境发行证券的参与者提供有效的反馈渠道与救济机制将为审计监管合作提供保障。同时，积极参与到国际规则的制定中，在兼顾参加国不同诉求的前提下，可以减少美国对中概股监管的偏见，有助于联合其他国家共同避免美国的证券监管政治化倾向。

（四）强化中概股公司合规监管

审计底稿质量是上市公司信息披露的镜子，提高其质量是中美跨境审计监管要解决的目标问题。加强中概股合规监管，将有助于从源头解决底稿涉及的信息和数据安全问题。中概股财务造假预防及规惩制度有待完善。主体方面，加重上市公司财务造假成本，同时加强对会计师事务所的审计监管，能够双管齐下促进问题的解决。当然，中概股协议控制架构法律地位的明确，将为我国证券监管部门行使对境外壳公司的管辖权提供前提，有助于对其实现穿透式管理。流程方面，信息披露应由“监管者导向”逻辑向“投资者导向”转变，对中概股采取标准化上市要求与个性化实质问询并存的事前监管，在司法和执法机关的协同下实现事后规制。手段方面，在提高证券欺诈惩处力度，并构建行政处罚、刑事刑罚和民事赔偿相结合的立体惩处体系的同时，增强中概股公司和审计服务机构信用文化建设。中概股国内法律的合规观念意识应当强化，以增强跨境合作监管协议与国内数据信息规范的边界辨析能力。在中美审计监管合作协议落实后，境内审计服务机构的执业行为在受到国内监管的同时，亦负有遵守跨境审计合作协议的义务。在国内法律与跨境协议规范相左时，审计服务机构可能承担因拒绝提供信息与数据而产生的惩罚后果，或违规提供而产生的国内责任。因此，相关服务机构及企业应在业务过程中不断理清跨境协议与国内规范的边界，增强与我国监管部门的沟通，并在协议的框架下促成中美监管机构规范的精准对接和实践层面的互相理解。中概股审计底稿出境问题由来已久，当下又夹杂了政治偏见、科技较量等中美新问题。中美审计监管合作协议的签订能否推动问题的实质性解决尚待观察。此种背景下，我国当前应首先注重跨境协议的细化落实，并在国内规范层面积极疏通底稿信息和数据出境渠道，以协议为契机推动中美跨境审计监管合作制度建设的同时强化中概股公司及其审计机构的合规约束。完善中概股审计底稿信息及数据出境工作，能够推动中国企业积极参与国际化证券市场，不仅有助于拓展国内企业融资渠道，更能于跨境监管合作中增强国内证券市场法制化水平和国际竞争力。

作者:冯慧敏