境内企业境外上市，作为企业走出去战略的重要一环，为中小企业和一些独角兽公司的融资，提供了便捷的通道。境外上市因其能够提供快速便捷的融资平台和灵活的退出机制有利于企业国际化，也由于具有创造更多的国际合作机会和提高国际知名度等优势，被不少企业家接受和利用。

但是，境内企业境外上市由于涉及到好几个法域的法律制度、监管制度等原因，有很多法律问题需要理顺、协调。其中不乏红筹架构、境外投资备案、境外投资者并购境内企业、境内企业完善内控制度、境内企业和境外壳公司的合并报表等一系列问题。但是这些比较传统的法律问题已经有很多专家进行详细讲解，在此不再赘述，我们今天要探讨的是境外上市企业的数据出境问题。 

一、数据出境的相关法律规定

按照我们国家的法律规定及实践来看，数据一般可以分为个人信息和其他数据两大类。由于个人信息的敏感性，我们国家专门针对个人信息安全问题作出了专门的法律规定。当然，个人信息作为数据的重要组成部分，也是纳入数据信息的保护范围进行统一管理的。

我们国家第一次对数据跨境做出规定的法律是《中华人民共和国网络安全法》（2017年6月1日开始实施），该法第三十七条规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。后来制定的《中华人民共和国数据安全法》（2021年9月1日开始实施）也对数据出境做出了相关规定，该法第十一条规定：国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。

就个人信息的保护而言，《中华人民共和国个人信息保护法》（2021年11月1日正式实施）专门规定了个人信息的出境问题。该法第四十条规定：关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。并在第三章规定了个人信息跨境提供的具体路径：数据出境安全评估、个人信息保护认证、个人信息出境标准合同及其他条件。

上述法律作为上位法，只是提出了对数据出境和个人信息出境的总体性、原则性规定，但是具体的安全审查、安全评估、审核、备案等，没有做出详细规定。根据上述几个上位法，国家互联网信息办公室（以下“网信办”）对数据出境的安全评估、个人信息出境备案等制定了一系列的操作性规范。2022年9月1日开始实施的《数据出境安全评估办法》，明确了必须申报数据出境安全评估的情形，以及自评估-申请评估-重新申报评估的评估流程框架，并对部分细节进行了更新。同时，网信办也公布了《数据出境安全评估申报指南（第一版）》，指导了数据处理者申报数据出境安全评估的具体方法。而2023年6月1日开始实施的《个人信息出境标准合同办法》和《个人信息出境标准合同备案指南（第一版）》，则是对个人数据出境的相关备案管理提出了较为详细的规定。

根据我国数据安全管理的各项规定要求，数据主要分为禁止出境的数据，需要本地化储存并在出境时进行安全评估的数据，出境时通过标准合同进行备案的数据等三类。

（一）国家机密以及工信部门划定为核心数据的，均禁止出境；（二）重要数据出境，关键信息基础设施运营者和处理100万人以上个人信息的数据处理者拥有的个人信息出境，自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息，均需进行数据出境安全评估；（三）除了上面数据意外以外的其他个人信息出境，个人信息处理者通过与境外接收方订立标准合同的方式向境外提供个人信息，向境外提供个人信息前，需要对提供的信息做个人信息保护影响评估，且该标准合同需向省级网信办进行备案。 

二、境外上市公司涉及的数据出境问题

2021年的某打车软件境外上市事件后，我国将赴境外上市纳入网络安全审查范畴内，加强对赴境外上市企业的管理。因此，境内企业在境外上市过程中涉及向境外主管机关公开披露大量文件，因此需要由公司及中介团队慎重评估这些提供的数据是否会触犯上述各项法律法规的规定。如果企业的数据提供给境外有可能给我国的国家安全和公共利益造成严重伤害或者可能发生重大风险的，企业要慎重考虑直至停止境外上市。境外上市企业的数据出境，大体来讲分为个人信息的出境以及其他敏感信息的出境问题。

（一）个人信息的出境问题

根据《网络安全审查办法》（2022年2月1日起实施）规定，掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。企业申报网络安全审查，应当提交（一）申报书；（二）关于影响或者可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；（四）网络安全审查工作需要的其他材料。网络安全审查办公室应当自收到审查申报材料起10个工作日内，确定是否需要审查并书面通知当事人。

值得商榷的是，上述办法中的术语不是“境外上市”，而是“国外上市”。我们所说的“境外”一般包括香港、澳门、台湾地区，但是“国外”就不应包括上述三个地区。那么《网络安全审查办法》中规定“国外上市”企业需要接受网络安全审查，是否意味着豁免了赴香港上市的企业申报网络安全审查的义务？如果严格按照字面意义解释，应该是可以豁免，但是是否在实务中豁免这一义务，有待相关部门的操作细则或者相关的实践来进一步验证。

除此之外，“掌握超过100万用户个人信息的网络平台运营者”以外的其他企业在上市过程中需要向境外披露个人信息的，要按照《数据出境安全评估办法》和《个人信息出境标准合同办法》的标准，根据个人信息的出境数量，做相应的申报。需要注意的是，在上市企业和境外的券商、中介签署个人信息出境标准合同过程中，有可能发生境外接收个人信息的一方不愿意签署该协议的问题。尤其是是欧美的一些机构，不能排除他们提出所谓的“长臂管辖”等借口，拒绝签署该协议的可能性。这需要企业在上市筹备过程中与境外的券商、中介机构进行沟通确认，如果有不愿意签署的，应在上市启动前变更中介团队，以免上市过程中导致拖延。 

（二）其他信息的出境问题

如果不是处理大规模个人信息的企业在境外上市，除了个人信息的出境以外，其实上市过程中需要披露的一些重要信息以及上市后披露的信息（尤其是关于审计的信息）出境，对境外上市企业来讲更为重要。企业除了满足网信部门的要求外，还需满足证监会关于保密和档案管理的相关规定。

2023年2月24日，中国证监会、财政部、国家保密局、国家档案局联合发布修订后的《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》（2023年3月31日开始实施）（以下“保密规定”），相比于之前的规定，加强了对境外上市企业重要数据的监管。 

首先，是将适用范围从原来的直接上市公司扩大至境外间接上市企业。原保密规定的适用范围为“发行境外上市外资股的境内公司”，并规定境外中资控股上市公司的境内股权持有单位参照执行。但是修订后的保密规定中对“境外上市的境内企业”定义为包括直接境外发行上市的境内股份有限公司和间接境外发行上市主体的境内运营实体。即，搭建红筹架构和VIE架构的境内企业也将受到该规定的限制。 

其次，保密规定对境内企业境外上市过程中将会计档案、工作底稿等数据的出境，提出了监管要求。即，境内企业向有关证券公司、证券服务机构、境外监管机构等单位和个人提供会计档案或会计档案复制件的，应当按照国家有关规定履行相应程序；为境内企业境外发行上市提供相应服务的证券公司、证券服务机构在境内形成的工作底稿应当存放在境内。需要出境的，按照国家有关规定办理审批手续。

一般情况下，境外的证券公司和监管机构不太关注律师工作底稿，基本不会要求律师提供工作底稿。因此上述规定中需要关注的是“会计档案”和“审计工作底稿”的出境问题。这里的“审计工作底稿”比较好理解，但是“会计档案”的具体范围，很多企业并不太了解。根据《会计档案管理办法》的相关规定，会计档案是指单位在进行会计核算等过程中接收或形成的，记录和反映单位经济业务事项的，具有保存价值的文字、图表等各种形式的会计资料，包括通过计算机等电子设备形成、传输和存储的电子会计档案。以下资料均属于会计档案：

1)会计凭证，包括原始凭证、记账凭证;

2)会计账簿，包括总账、明细账、日记账、固定资产卡片及其他辅助性账簿;

3)财务会计报告，包括月度、季度、半年度、年度财务会计报告;

4)其他会计资料，包括银行存款余额调节表、银行对账单、纳税申报表、会计档案移交清册、会计档案保管清册、会计档案销毁清册、会计档案鉴定意见书及其他具有保存价值的会计资料。

那么，“按照国家有关规定履行相应程序”应该如何理解？这一块，保密规定没有具体列明操作方式，但是根据作者理解，企业提供的会计档案，应按照相关保密等级进行分类，再根据相应的保密等级进行处理。如果会计档案涉及国家秘密、国家机关工作秘密，企业应当按照保密规定向主管部门报批、报备；如果属于泄露后会对国家安全或公共利益造成不利影响的文件、资料，则应当按照前面提到的数据出境的相关规定进行网络安全审查、数据出境安全评估、标准合同备案等。同时，境内企业还应当向档案接收方提供书面说明，并且双方应当签署保密协议。

实际上，在2016年1月1日以前，《会计档案管理办法》明确规定我国境内所有单位的会计档案不得携带出境。而根据《会计档案管理办法》的上位法《中华人民共和国档案法》(以下“《档案法》”)第二十五条规定，属于非国有企业、社会服务机构等单位和个人形成的档案及其复印件，对国家和社会具有重要保存价值或者应当保密的，禁止擅自运送、邮寄、携带出境或者通过互联网传输出境。确需出境的，按照国家有关规定办理审批手续。国家档案局1999年发布的《中华人民共和国档案法实施办法》（以下《档案法实施办法》）中规定，档案出境实行分级审批制度。据此，《会计档案管理办法》在2015年12月作出了相应的修改，根据修改后的《会计档案管理办法》规定，单位的会计档案及其复制件需要携带、寄运或者传输至境外的，应当按照国家有关规定执行。

根据《档案法实施办法》的规定，档案出境的分级审批制度如下：

1)各级国家档案馆馆藏的一级档案严禁出境；

2)各级国家档案馆馆藏的二级档案需要出境的，必须经国家档案局审查批准；

3)各级国家档案馆馆藏的三级档案、各级国家档案馆馆藏的一、二、三级档案以外的属于集体所有、个人所有以及其他不属于国家所有的对国家和社会具有保存价值的或者应当保密的档案及其复制件，各级国家档案馆以及机关、团体、企业事业单位、其他组织和个人需携带、运输或者邮寄出境的，必须经省级档案管理部门审查批准，海关凭批准文件查验放行。

上述规定中“对国家和社会具有保存价值的或者应当保密的档案”，属于集体所有、个人所有以及其他不属于国家所有的，由省级档案管理部门征得国家档案局同意后确定具体范围。企业应当提前向当地档案管理部门了解“对国家和社会具有保存价值的或者应当保密的档案”的具体范围，以确定其向境外提供会计档案是否属于需要经过主管部门的审批的范围。

关于工作底稿出境，目前尚未对相关出境审批手续作进一步规定，但是这些底稿也是属于数据，应按照前面提到的数据出境的相关规定进行数据出境安全评估以及网络安全审查。关于工作底稿出境的具体操作，就涉及到下面第三点——双边合作机制。 

第三，明确境外证券监督管理机构及有关主管部门提出就境内企业境外发行上市相关活动对境内企业以及为该等企业提供相应服务的境内证券公司、证券服务机构进行检查或调查取证的，应当通过跨境监管合作机制进行，证监会或有关主管部门依据双多边合作机制提供必要的协助，为安全高效开展跨境监管合作提供制度保障。

鉴于中国赴美上市企业较多，而会计审计领域的问题也时有发生，中国证监会、财政部于2022年8月26日与美国公众公司会计监督委员会（PCAOB）签署《审计合作检查协议》，允许美国上市公司会计监督委员会的检查人员和调查人员至香港审阅在美上市中国公司的审计资料，包括所有信息的完整审计底稿。《审计合作检查协议》内容目前没有公布，但中国证监会负责人答记者问中提到了数据出境程序的问题，称，合作协议对于审计监管合作中可能涉及敏感信息的处理和使用作出了明确约定，针对个人信息等特定数据设置了专门的处理程序，为双方履行法定监管职责的同时保护相关信息安全提供了可行路径。

不过考虑到中美的博弈的复杂性，即便《审计合作检查协议》已经签署，但在具体实施过程中是否会遇到阻碍，尚未可知。但是既然已经签署了，就意味着双方在很多方面达成了共识，双方都有合作的意愿。后续还要观察更多案例的积累和双方合作的稳定性等。

在其他国家和地区上市的境内企业，尚无类似双边条约可供执行，但是中美审计监管合作陆续开展，审计工作底稿的出境已有实际案例。因此，境外上市的企业可以通过与中国证监会等相关监管部门沟通，了解出境审批手续的具体流程。 

三、结语

总体来看，在我国政府日益加强对数据出境监管的大背景下，赴境外上市的境内企业需要高度重视境外发行上市过程中的保密工作，建立健全的保密和档案管理制度，严格保守国家秘密;特别在涉及档案出境时，各方更应该多方面统筹考虑其可能造成的影响。企业和各中介机构可以按照如下思路来管理其数据出境的具体实施。

（一）需要整理其数据类型，根据各类数据规模等情况，评估数据出境的难度

企业首先要将需要出境的数据分门别类，根据出境的数据类型及所涉业务，统计公司需要出境的数据规模和出境的个人信息数量、数据保密等级、敏感度等，将数据分为不能出境的数据、需要获得批准的数据、需要经过安全评估的数据、需要进行标准合同备案的数据等，以便后续做相应的审批、审查、备案。

需要注意的是，在涉及个人信息的时候，企业不能采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

（二）根据数据分类结果，选择适当的出境方式

需要出境的数据分类情况，企业应尽快对照各项法律法规中规定的审查、评估内容，准备相应材料，以便后续提交，且应妥善保存评估结果。如果属于必须通过出境审批或出境安全评估才可以出境的情形，企业应尽快完成完成评估和审批手续，以免耽误上市材料的准备。

（三）经营过程中对数据进行科学管理，保障出境数据安全

企业应根据自身情况，建立数据库管理体系，对拥有的数据、资料等进行分类分级管理；完善合规体系，建立合规组织机构和管理流程。企业应对数据采取合理的保密措施，技术上对数据储存的安全技术措施，例如在存储过程中进行脱敏处理和加密存储；数据传输过程进行加密传输；在访问和使用过程中进行访问者的身份认证、权限控制等。有条件的企业可以定期开展内部或第三方审查；组织教育培训，提高员工数据安全和个人信息保护意识；定期编制数据出境安全报告，评估数据出境风险。