适用场景
已在或计划在美国上市的中国企业,以及为其提供审计服务的会计师事务所,在应对跨境审计监管时需重点关注数据安全与合规。
核心要点
1. 监管合作的核心与分歧
中美审计监管合作协议确立了合作框架,但双方在检查范围、协作方式及数据访问权限上存在表述差异。中方强调对等与程序协助,美方则强调其单方自由裁量权和完整信息访问权,具体执行细节有待实践明确。
2. “受限制数据”的识别与处理是关键难点
协议对敏感信息(即“受限制数据”)设置了特殊处理程序。其具体认定涉及国家安全、公共利益及多部门审批,范围可能与国内法下的重要数据、核心数据重叠,企业需提前筛查并建立内部识别机制。
3. 个人信息出境面临双重合规要求
协议虽约定对个人信息采取“仅查看”等程序,但企业仍需确保处理方式同时满足中国《个人信息保护法》等国内法规。这涉及出境目的限制、主体权利保障、再传输范围及特殊类别信息处理等多重义务。
4. 现场检查的程序安排影响合规路径
检查模式(单独或联合检查)、检查地(如香港)以及文件调取方式等程序性细节,将直接影响企业响应监管要求的具体操作,并可能触发国内数据出境安全评估等合规义务。
实务建议
- 提前对审计底稿等资料进行敏感信息筛查与分类,明确标识可能涉及国家秘密、核心数据、重要数据及个人隐私的内容。
- 与会计师事务所、律师事务所等第三方服务机构签订明确的保密协议,约定其在跨境审计中的保密义务与数据处理责任。
- 建立内部跨部门(如法务、财务、IT、数据安全)协同机制,以应对监管检查请求,确保响应动作符合中国法律法规。
- 关注以香港作为检查地的实践,评估相关数据流转是否构成数据出境,并提前做好合规预案。
- 参考PCAOB与其他国家的数据保护协议安排,提前了解个人信息处理的可能限制(如使用目的、再传输方、安全保障措施)。
风险提示
- 切勿认为签署合作协议即万事大吉,协议具体执行存在模糊地带,企业需以国内法为底线进行合规判断。
- 避免在未进行内部审查和合规评估的情况下,直接向境外监管机构提供审计底稿等文件。
- 注意“受限制数据”的认定非企业单方决定,需综合考虑行业监管和国家安全要求,误判可能导致违法风险。
- 个人信息处理不能仅依赖协议的“仅查看”程序,必须同步落实《个人信息保护法》下的告知同意、安全影响评估等要求。