- 被微博屏蔽随着《境内企业境外发行证券和上市管理试行办法》(以下简称“境外上市新规”)于2023年3月31日生效,一些实务操作的问题也逐渐暴露出来。其中一个比较典型也比较迫切的问题是境外上市相关的证券公司和证券服务机构(以下合称“中介机构”)如何执行与境外上市新规同步修订的《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》(以下简称“《档案与保密规定》”)中有关工作底稿出境问题的条款。《档案与保密规定》第九条规定,“为境内企业境外发行上市提供相应服务的证券公司、证券服务机构在境内形成的工作底稿应当存放在境内。需要出境的,按照国家有关规定办理审批手续”。《档案与保密规定》第九条的这个规定并非新增条款,2009年生效的旧版规定同样有类似条款,即:“在境外发行证券与上市过程中,提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案应当存放在境内。前款所称工作底稿涉及国家秘密、国家安全或者重大利益的,不得在非涉密计算机信息系统中存储、处理和传输;未经有关主管部门批准,也不得将其携带、寄运至境外或者通过信息技术等任何手段传递给境外机构或者个人。”在过往的10多年中,上述档案规定的执行并未产生争议。以律师工作为例,中国内地律师在担任承销商律师的时候,其根据客户的委托,在境内的部分尽职调查工作的成果性文件,如发行人的客户和供应商访谈记录,现场走访所拍摄的照片,发行人管理层讨论会议的记录,项目周会的会议纪要等(以下合称“工作成果文件”)通过电子邮件等形式传递给境外证券公司,或者相关资料存放于发行人设立的电子数据库,由各中介机构根据工作所需下载、保存。并且,2009版规定仅适用于H股上市和大红筹上市,适用范围有限,民营企业的小红筹上市并不涉及,因此并未产生什么争论。然而,随着国家对于数据安全和数据出境合规性的重视,以及众所周知的个案,在这次《档案与保密规定》修订生效后,争论骤然发生,中介机构之间对于该规定如何执行莫衷一是,产生了很大的争议。目前比较谨慎做法是在境内设置网盘,仅开放境内ip地址访问,或者可以把相关访谈记录等文件通过电子邮件形式发送给境外中介机构,但仅仅发送给境外中介机构设在中国境内的邮件服务器等。这引起了境外证券公司,尤其是其风控部门的强烈反弹,因为境外证券公司作为境外上市的保荐人/主承销商,同样有尽职调查的责任,其境外保荐人、主承销商也需要在其适当的办公场所审阅这些资料,否则就存在执业瑕疵,甚至有可能因为工作程序的缺失,引发做空机构关注,给发行人带来不必要的麻烦。更进一步的,虽然主要境外证券公司大都根据《外国证券类机构驻华代表机构管理办法》的规定在内地设立了代表处,但是根据该管理办法,该等代表处并不能从事经营活动,因此,这些代表处及相关工作人员的是否是工作成果文件的适格接收方,也存在疑问。这就带来了一个境内证券服务机构业务合规与境外证券服务机构业务合规的冲突,双方从各自立场出发,争论的非常激烈。从操作层面来说,最简单的办法当然是“找证监会打听”,然而,这个打听的效力,同样存疑,难免令人惴惴。那么,如果抛开“找证监会打听”,作为一个律师,就法律文本的解读来说,究竟该怎么理解所谓的工作底稿出境问题呢?我的看法是这样的:首先,需要存放在境内的,是“工作底稿”,出境需要审批的,也是“工作底稿”,那么最根本的问题是,什么是“工作底稿”。就中国内地律师而言也,中国证监会和司法部联合制定的《律师事务所从事证券法律业务管理办法》第十八条规定“律师应当归类整理核查和验证中形成的工作记录和获取的材料,并对法律意见书等文件中各具体意见所依据的事实、国家相关规定以及律师的分析判断作出说明,形成记录清晰的工作底稿”。这里的关键词是“归类整理”“工作记录和获取的材料”“分析判断”“作出说明”“形成记录清晰的工作底稿”。也就是说,所谓的律师工作底稿,是律师对所收集的基础材料、律师的分析说明等经过分类整理后形成的成果。工作底稿不是某一份文件,而是一整套各类素材经过加工后的工作成果的整体。那么,工作底稿的整体肯定是要保存在境内的,也不能整体打包传输到境外。整体打包传输到境外,等于在境外存放工作底稿了,那肯定是违规了。但是,作为工作底稿原始素材的各种资料,是否可以个别邮寄到境外呢?我的理解是可以的。理由如下:首先,构成工作底稿的原料多种多样,每一份具体的工作底稿原料都限制出境会形成荒诞的效果。例如,律师事务所为从事证券法律服务而与客户签订的委托协议,从来都会作为工作底稿的原料,经整理编入工作底稿。律师事务所向发行人发出的尽职调查问卷清单,更是工作底稿的重要原料,也是证券监管机关对律师事务所监督检查时最常用的切入点。但是,律师事务所与发行人或者境外证券公司之间的委托协议境外证券公司和境内律师建立法律服务关系的依据,不可能不邮寄给境外证券公司。律师事务所发出的尽职调查清单,是其履行委托协议的一部分,当然也要交给境外证券公司审阅。如果把这些文件邮寄给境外证券公司被理解为未“存放在境内”,属于需要取得审批的事项,那么整个境外上市的工作体系就要被推倒重来,而在2023年3月31日之前施行的旧版规定和新版并无本质区别,大家从2009年开始一直惯常的做法,岂不是已经违规了14年?这肯定不是立法者的本意。反过来,如果认为委托协议、尽职调查问卷清单可以发给境外证券公司,那么现场访谈会议记录之类的文件,在其他法规没有规定的情况下,又有什么理由仅仅根据《档案与保密规定》就不能邮寄到境外呢?所以,要点在于第二句“需要出境的,按照国家有关规定办理审批手续”。“按照国家有关规定办理审批手续”的要点有二:1. 要以“国家有关规定”为依据2. 要办理的是“审批手续”国家有关部门的“审批”实际上就是行政许可,那就受《中华人民共和国行政许可法》规范。而全世界正规国家的《行政许可法》或类似的法律的核心是相同的,所谓的“审批”,都必须有明确的法律法规的依据,并且应当公布,没有经过公布的依据,就不应当设定。这也是“公权力主体法无授权不可为,私权利主体法不禁止即自由”原则的体现。而从实操层面来说,所谓的审批如果没有明确的规范性文件作为依据,那么政府机关究竟应该履行什么样的程序,审核什么样的材料,才能做出同意审批或不同意审批的决定呢?所以,当某个具体事项没有明确的“审批”的法律依据的时候,市场主体自然就可以“未经审批”直接行动。回到中国境内律师事务所和境外证券公司签署的委托协议,首先,这肯定1000%会是工作底稿的一部分,但是就这个协议而言,邮寄给境外证券公司,没有任何的法律法规规定审批机关与审批程序。那么既然如此,委托协议的对外邮寄,就不构成违规。同样的,律师制作的尽职调查问卷清单,10000%是工作底稿的一部分,也没有任何法律法规规定的审批机关与审批程序,邮寄给境外证券公司,同样不构成违规。所以,中介机构的正确做法是,找到国家有关部门公布涉及工作底稿出境审批的法律法规,根据这些法规确定哪些文件的出境需要哪个部门审批,然后或者履行相应的审批程序,或者和境外中介机构沟通,拒绝其文件出境的要求,或者采取合规的方式,将限制出境的文件,转化为不受限制即可出境的文件。那么是否存在这样的审批呢?当然存在。最典型的,是网信办的《数据出境安全评估办法》(我们就不过多讨论《行政许可法》有关行政许可设定权限之类的话题了)组成工作底稿的千千万万个文件属于《数据安全法》所定义的“数据”,那么中介机构向境外提供的组成工作底稿的文件,当然是数据出境。那就要适用《数据出境安全评估办法》。然而,《数据出境安全评估办法》只是限定特定的数据出境,具体而言即该办法第四条所规定的:数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。如果工作底稿文件涉及上述四种文件,那自然未经评估不能传递到境外,但如果具体工作底稿文件不属于上述四类,则传输到境外自然就不需要评估。这种情况下,中介机构应当有一定的判断力,就是自己掌握的工作底稿,是不是上述四类文件,首先肯定是不能一股脑都对外提供,同样也不能一刀切的一概不向境外提供。我们不能一方面在作为行政相对人的时候,吐槽公权力为了政绩行政乱作为或者为了免责行政不作为,等到自己行使公共服务机构(证券中介机构的工作显然具有公共服务属性)同样乱作为或者不作为。回到工作底稿问题上,我们对照《数据出境安全评估办法》的第四条一项项分析:“(一)数据处理者向境外提供重要数据;”要点在“重要数据”,《数据出境安全评估办法》第十九条有定义“本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。中介机构本身并不制造数据,中介机构只是从发行人或者发行人的客户、供应商、股东、实际控制人、行业监管机关等处获得数据,这些人是守护重要数据的第一责任人。有的数据,显而易见的不是重要数据,比如某火锅店向发行人购买了1万只羊,那就不用问了,有的数据,中介机构凭借其执业经验判断确实敏感的,那么可以向数据提供方核实,确认,留痕,提示数据提供方确认是否为重要数据。把能做的工作都做了,基本就可以避免重要数据出境的事故了。如果不巧还是导致重要数据未经评估出境,也没办法,谁没个倒霉的时候呢?当年有个老梗特别有道理,“不爽不要搭”。“(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;”中介机构不是关键信息基础设施运营者,这半句可以pass掉。中介机构是不是“处理100万人以上个人信息的数据处理者”?考虑到越来越严的穿透核查,时间久了还真的……但是,限制提供的“个人信息”。境外中介机构显然没有法律上的需求收集这些个人信息,那么就可以考虑向境外提供信息时,将个人信息变为非个人信息,问题也就解决了。毕竟,根据《中华人民共和国个人信息保护法》,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,对个人信息进行匿名化处理即可。当然,有较真的人会说,发行人董监高的个人信息都要提供给境外机构吧,还要在招股书披露呢,这咋算?也不用紧张,发行人如果上A股,这些信息也要公开披露呀,中国银行就是A股上市公司,中国银行处理的个人信息怕是上亿了,董事长的个人信息肯定是公示的呀,境外肯定能看到上海交易所的信息披露文件呀?能产生这样的较真其实是个立法技术问题,如果真的因为提供了董事长信息就被追责了,那问题恐怕也不会仅仅出在上市这件事上。也没办法,谁没个倒霉的时候呢?当年有个老梗特别有道理,“不爽不要搭”。“(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;”道理同上。“(四)国家网信部门规定的其他需要申报数据出境安全评估的情形”。没找到其他规定,那就暂时不用考虑。除了《数据出境安全评估办法》,可能或许maybe还有其他的政府主管部门有类似的要求,中介机构在做尽职调查的时候或者说在接项目的时候,就搞搞清楚呗。承揽中国银行的境外IPO和承揽西贝莜面村的IPO,肯定是截然不同的情况,中介机构总应当有个基本的判断力。所以,综上所述,结论不复杂:第一,工作底稿作为一个整体,肯定要在境内存放。第二,具体的某份工作底稿文件,要审查是否是任何法律法规限制出境的文件,根据其具体情况,分类处理。从2009年开始,我们就应该或者已经在这么做了,2023年3月31日之后,当然,我也很理解大家的迷茫,虽然但是,大家继续该怎么做就怎么做吧,没必要过度反应。以上不构成法律意见。收起展开全文
