中概股审计底稿中的数据应如何出境?
近日,中美两国签署了《审计合作检查协议》,允许美国上市公司会计监督委员会 (PCAOB) 检查人员和调查人员至香港审阅在美上市中国公司的审计资料,包括所有信息的完整审计底稿。据媒体报道,阿里巴巴、京东和百胜中国将成为首批被审计检查的企业 [i] 。 由于审计底稿中包含了大量数据和国内用户的个人信息(以下合称“数据”),今天就和大家聊聊,美方审阅审计底稿算不算数据出境?根据国内的法律法规,这些数据出境应遵循怎样的程序? 对于数据出境,我国《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》均有规定,最新的规定是 2022 年 8 月 31 日发布的《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求进行了详细说明。 一、审计工作底稿是否涉及需要监管的出境数据? 审计工作底稿,是审计人员在审计工作过程中形成的全部审计工作记录和获取的资料,不仅限于会计底稿,可能还会包括财务数据和业务数据。我国赴美上市的不少是在科技、媒体、通信行业、教育、汽车、本地生活等各个领域的国内知名互联网企业 , 它们掌握大量的个人信息和敏感个人信息以及涉及科技、通信行业等重点行业领域的重要数据都会体现在审计底稿中。 如果被审计的企业涉及关键信息基础设施的运营者,或者在中国境内运营中收集和产生的个人信息和重要数据等的,则它们的审计工作底稿确实有可能含有个人信息或者重要数据。 根据《数据出境安全评估办法》的规定,数据处理者向境外提供重要数据,应当向中国政府申报数据出境安全评估。 二、审阅审计工作底稿是否属于数据出境? 根据《数据出境安全评估办法》的规定,数据处理者将在境内运营中收集和产生的数据传输、存储至境外;以及数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出,均属于数据出境行为。 因此,如审计工作底稿涉及个人信息或者重要数据的,美国上市公司会计监督委员会审阅审计工作底稿的行为,属于数据出境。国内审计机构作为责任主体,需要根据我国有关法律法规履行必要的数据出境安全评估或者网络安全审查等程序。 三、《审计合作检查协议》可能规定哪些数据...