适用场景
拟在境外发行证券和上市的中国境内企业,以及已在境外上市的企业,及其在境外上市过程中涉及的各类境内外服务机构(如保荐机构、律师事务所、会计师事务所等)及其关联机构,在处理涉密数据和敏感信息时,需重点关注并落实《保密新规》的要求。
核心要点
1. 《保密新规》适用主体与客体广泛
新规不仅涵盖境外上市的发行人,还包括保荐机构、律师事务所、会计师事务所等各类服务机构及其在境内的关联实体。保密资料范围也从国家秘密扩展到国家机关工作秘密、会计档案、工作底稿以及可能影响国家安全或公共利益的文件资料。
2. 数据处理全流程合规要求
新规对对外提供、公开披露、数据出境、数据泄露、监管问询及配合境外执法等不同场景下的数据处理活动,明确了企业及服务机构需履行的审批、备案、保密协议签订、系统安全保障和报告等具体合规义务。
3. 内部制度建设与数据分类分级是基础
企业应以建立健全保密和档案管理制度为基础,着手进行数据分类分级工作,进而明确不同类型数据处理活动所需的合规义务和流程,确保合规落地。
4. 多重监管协调与模糊地带待明确
《保密新规》与其他数据安全、网络安全、数据出境等法规存在交叉,对于“在境内形成的工作底稿”范围、“可能对国家安全或公共利益造成不利影响的文件资料”界定,以及多部门审批流程的协调等问题,仍有待进一步明确和实践观察。
实务建议
- 建立健全内部合规体系:制定并完善保密和档案管理规章制度,确保符合《保密新规》及其他相关法律法规要求。
- 实施数据分类分级管理:对企业数据进行全面梳理和分类分级,识别并重点关注涉及国家秘密、工作秘密、会计档案、工作底稿以及可能影响国家安全或公共利益的特殊数据。
- 明确与服务机构的责任边界:与保荐机构、律师事务所、会计师事务所等服务机构签订详细的保密协议和数据处理协议,明确各方在数据安全、保密、审批申请、报告及配合执法等方面的义务和责任,避免连带风险。
- 严格履行审批备案程序:在向境外提供或公开披露涉密或敏感文件资料前,务必依法报请有审批权限的主管部门批准,并向同级保密行政管理部门备案。
- 确保信息系统安全合规:用于存储、处理、传输涉密或敏感文件资料的信息系统和设备,必须符合国家有关网络安全和保密规定。
- 妥善管理境内工作底稿:确保在境内为境外上市服务形成的审计工作底稿等档案存放在境内,如需出境,应按规定办理审批手续。
- 积极应对监管问询与执法协助:针对监管机构关于特殊数据处理的问询,应结合实际情况,通过法律意见书等形式进行核查验证并回复;配合境外执法时,需通过跨境监管合作机制,并经中国证监会或有关主管部门同意。
风险提示
- 未明确责任导致连带风险:未与服务机构明确“义务束”,可能导致在数据泄露或违规处理时承担连带责任、行政处罚甚至刑事责任。
- 对“特殊数据”界定不清的风险:对“可能对国家安全或公共利益造成不利影响的文件、资料”界定模糊,可能导致遗漏合规义务或过度合规。
- 多重审批流程协调不畅的风险:新规下的审批与《数据出境安全评估办法》、《网络安全审查办法》等可能存在重叠,审批周期长且协调复杂,可能延误境外上市进程。
- 忽视内部制度“核查验证”的风险:仅有制度文本而无实际执行和“核查验证”,无法有效应对监管机构的细致问询。
- 擅自向境外提供资料的法律风险:未经中国主管机关批准,擅自向境外司法或执法机构提供境内数据,将面临《数据安全法》和《证券法》等法律规定的严厉处罚。