境外上市企业如何应对PCAOB跨境合规审查？

现行29号公告仅适合用于境内企业境外直接上市H股的项目，要求该类企业需履行相应的信息保密义务。《征求意见稿》将前述适用范围扩大至境内企业直接发行上市和境内企业境外间接发行上市的情形，意味着境内企业不论以什么方式在境外上市，均需履行相应的信息安全保密责任。

对于目前众多的美股中概股公司和拟在境外上市的中国公司而言，在《征求意见稿》下需要承担什么样的保密责任，以及如何满足其要求的保密合规义务，均是亟待处理的问题。

从信息安全义务角度来看，《征求意见稿》下企业向证券公司、证券服务机构、境外监管机构等单位和个人（以下统称“第三方机构”）提供文件、资料时，主要承担以下责任：

1、提供涉密信息需报批备案。《征求意见稿》第三条规定境内企业作为信息安全的责任主体，在向第三方机构提供涉及国家秘密或机关单位工作秘密的文件时，应当报有审批权限的主管部门批准，并报同级保密行政管理部门备案。若对是否属于国家秘密或机关单位工作秘密不明确，应当报相关主管单位确定。

2、提供敏感文件应严格履行相应程序。《征求意见稿》第四条要求境内企业向有关向第三方机构提供其他泄露后会对国家安全或者公共利益造成不利影响的文件、资料的，应当按照国家有关规定，严格履行相应程序。

3、向第三方机构书面说明提供其涉密和敏感文件情况。《征求意见稿》第五条要求境内企业向有关第三方机构提供文件、资料时，应按照国家相关保密规定处理相关文件、资料，并就其执行《征求意见稿》第三条、第四条的情况提供书面说明。第三方机构应当妥善保存上述书面说明以备查。

通过上述安排，企业将充分告知第三方机构其文件资料涉密涉敏的情况。

4、与第三方机构签订保密协议。《征求意见稿》第六条规定境内企业提供涉及国家秘密、机关单位工作秘密或者其他泄露后会对国家安全或者公共利益造成不利影响的文件、资料的，应当依照《中华人民共和国保守国家秘密法》等规定，与相关第三方机构签订保密协议，明确该等第三方机构等承担的保密义务和责任。

企业按照上文提到的要求书面告知文件涉密情况后再与第三方机构签订保密协议，也起到了明确界定第三方机构保密责任的效果。

5、泄密报告义务。《征求意见稿》第七条规定境内企业以及有关第三方机构发现国家秘密已经泄露或者可能泄露的，应当立即采取补救措施并及时向有关机关、单位报告。

6、其他义务。除上述保密责任外，《征求意见稿》还要求企业不得向未履行相应程序的境外会计师事务所提供会计档案、提供对国家和社会具有重要保存价值的会计档案应履行相应程序，且保证在境内形成的工作底稿应当存放在境内。

《征求意见稿》正式发布生效后，企业将成为信息安全责任主体。如何落地实施相应的信息安全保密制度，以确保企业履行其信息安全责任，从实操角度应重点关注以下方面：

境内企业在《征求意见稿》下的信息安全义务主要针对涉密文件以及敏感文件。《征求意见稿》并未明确涉密文件的概念和范围，仅将其笼统表述为“涉及国家秘密或机关单位工作秘密的文件”。实践中企业通常较难清晰界定涉密文件的范围，而国家秘密的概念也散落在《中华人民共和国保守国家秘密法》等诸多的法律法规中，且此类概念相对比较宽泛。尽管《征求意见稿》提供了咨询机制，即企业可报主管机关确定相关文件资料是否涉密，但通常对于上市过程中以及后续每年的年报审计中海量的文件底稿，咨询机制对于企业而言并非最有效及时的选择。笔者认为，企业应当建立一套长效的信息安全保密制度，并提前依照自身情况设计好相应审查原则，及时有效梳理和界定企业涉密文件的范围。

《征求意见稿》第四条将敏感文件表述为“泄露后会对国家安全或者公共利益造成不利影响的文件”，如何界定国家安全和公共利益，也是企业较为困扰的问题。一般而言，企业需考虑相关文件资料是否属于政府非公开信息，是否涉及与国防、军工、外交、安全等敏感方面。在进行上述判断时，需要企业根据现行法律法规框架对上述领域涉及的具体概念和规定进行逐条筛查。

对于网络平台运营类的企业，网络安全审查也是企业需要重点考虑的范围。网络安全往往与国家秘密、国家安全和公众利益紧密相连，《网络安全审查办法》提出，对于符合条件的运营单位，须向国家网络安全审查办公室申报网络安全审查，在必要情况企业还需采取预防和消减风险的措施。关键基础设施运营企业，即涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的企业，也需根据《关键信息基础设施安全保护条例》等相关规定考虑企业是否需要按照网信部以及其他国家机关的要求进行安全评估。

除上述几个方面外，企业亦需结合其自身所处的行业考虑其行业主管单位是否对于该行业的涉密信息、敏感信息以及其他对国家安全和公共利益有重大影响的信息有特殊要求和规定。