中美审计监管合作新框架下的国家安全与数据隐私博弈

导语

2022年8月26日，中国证券监督管理委员会、中华人民共和国财政部与美国公众公司会计监督委员会（PCAOB）签署审计监管合作协议，这一协议的签署在中美审计监管合作进程中具有里程碑意义。然而，在合作新框架下，中国企业面临着诸多挑战，如何在满足跨境审计要求的同时规避敏感数据泄漏风险成为关键问题。与此同时，中国的《中华人民共和国数据安全法》《网络安全审查办法》等法律法规与美方监管要求存在一定程度的冲突与妥协，在维护国家安全与数据隐私方面，需要深入探讨应对策略。

近年来，中美审计监管合作成为国际资本市场与国家安全议题的交汇点。美国《外国公司问责法》（HFCAA）的落地及美国公众公司会计监督委员会（PCAOB）检查权限的扩大，使得在美上市的中国企业面临双重监管压力：既要满足跨境审计合规要求，又需规避因数据跨境流动引发的国家安全与隐私风险。中国《中华人民共和国数据安全法》《网络安全审查办法》的出台，进一步强化了国内数据主权保护，但也与美方监管要求形成制度性冲突。本文从法律冲突、企业合规策略及监管妥协机制三个维度，探讨这一博弈的深层逻辑与现实路径

一、中美审计监管合作历程回顾

（一）早期合作尝试

2013年5月7日，中国证券监督管理委员会和中国财政部与美国公众公司会计监管委员会签署执法合作备忘录，正式开启中美会计审计跨境执法合作。这一备忘录为双方提供和交换各自管辖范围内调查相关审计文件搭建了框架性协议，标志着中美会计审计跨境执法合作迈出重要一步，为后续的跨境协查奠定了基础。然而，在实际执行过程中，双方在审计底稿的获取、检查范围等方面存在分歧，合作进展缓慢。

（二）《外国公司问责法》引发的危机

2020年12月18日，美国时任总统特朗普签署《外国公司问责法》（HoldingForeignCompaniesAccountableAct，HFCA）。该法案规定美国证券交易委员会（SEC）应确定“涵盖发行人”，此类发行人聘用的向PCAOB注册的会计师事务所若含有位于美国境外司法辖区的分支机构或办事处，且PCAOB认为该境外当局阻碍其对会计师事务所进行彻底检查或调查，则该发行人需向SEC证明自身不被境外司法辖区的政府实体所有或控制，并针对外国“涵盖发行人”设置了额外信息披露要求。若SEC认定某“涵盖发行人”聘用的会计师事务所连续3年未经检查，将禁止该发行人的证券在美国进行交易。这一法案的出台，使得众多在美上市的中国企业面临巨大的退市风险，中美审计监管矛盾进一步激化。

（三）审计监管合作协议的签署

2022年8月26日，PCAOB与中国证监会、中国财政部签署审计监管合作协议。该协议依据两国法律法规，尊重国际通行做法，按照对等互利原则，对双方对相关会计师事务所合作开展监管检查和调查活动作出了详细规定，形成了符合双方法规和监管要求的合作框架。协议确立了对等原则，双方均可依据法定职责对另一方辖区内相关事务所开展检查和调查，被请求方应在法律允许范围内尽力提供充分协助；明确了合作范围，包括协助对方开展对相关事务所的检查和调查，中方提供协助的范围涉及部分为中概股提供审计服务且审计底稿存放在内地的香港事务所；还明确了协作方式，双方将提前沟通协调检查和调查活动计划，美方须通过中方监管部门获取审计底稿等文件，在中方参与和协助下对会计师事务所相关人员开展访谈和问询。这一协议的签署，为解决中美审计监管长期以来的争议提供了新的契机，一定程度上缓解了中概股企业的退市压力。

二、PCAOB监管扩权与中美制度冲突的根源

（一）PCAOB检查权限的政治化转向

美国《外国公司问责法》要求外国上市公司必须接受PCAOB的审计检查，否则面临退市风险。2022年中美审计监管合作协议的签署，虽暂时缓解了中概股退市危机，但特朗普政府2025年“美国优先”投资政策的回潮，再次将审计监管工具化。例如，备忘录要求美国司法部与FBI介入对中概股VIE架构的调查，将技术性审查升级为国家安全审查。这种“泛安全化”趋势使PCAOB的检查从专业监管演变为地缘政治博弈的延伸。

（二）中国数据主权立法的刚性约束

中国《中华人民共和国数据安全法》与《网络安全审查办法》构建了数据分类分级、出境安全评估及关键信息基础设施保护三重防线。例如，掌握超100万用户个人信息的平台赴国外上市需强制申报审查，核心数据原则上不得出境4610。这与PCAOB要求无条件获取审计底稿的立场直接冲突。例如，2022年合作协议中，中方虽同意提供审计底稿，但要求对个人信息等敏感数据进行脱敏处理，且美方须通过中方监管部门调取文件，不得单独入境调查。这种“有限开放”模式体现了主权与合规的平衡，但也埋下后续争议的伏笔。

（三）监管冲突的实质：数据控制权争夺

中美监管冲突的本质是数字时代的数据控制权之争。美国试图通过审计监管获取中国企业运营数据，以强化其全球资本市场的规则主导权；中国则通过立法将数据定义为“新型生产要素”，强调数据主权不可让渡。例如，美国《2024年数据安全新规》以“防范敌对国家”为由限制数据出境，而中国《网络安全审查办法》则明确将“外国政府影响”列为国家安全风险因素。这种双向防御机制加剧了制度性对立。

（四）对中国企业敏感数据保护带来的挑战

PCAOB检查权限的扩大，使得中国企业在敏感数据保护方面面临前所未有的挑战。一方面，由于PCAOB可自主选择审计业务和对象，企业难以提前预判哪些业务数据会被检查，这增加了敏感数据暴露的风险。例如，一些涉及关键技术、商业机密、客户隐私等敏感信息的审计底稿可能被纳入检查范围。另一方面，PCAOB要求查看完整、未经编辑的审计工作底稿，这意味着企业无法对底稿中的敏感数据进行有效脱敏或处理。若这些敏感数据被不当获取或使用，可能对企业的核心竞争力造成严重损害，甚至威胁到国家经济安全。此外，PCAOB直接与审计人员面谈获取证词的权限，也可能导致企业内部敏感信息在交流过程中无意泄露。

三、中国企业在跨境审计中规避敏感数据泄漏风险的策略

（一）数据分类分级管理

企业应依据数据的重要性、敏感性以及可能带来的风险程度，对自身数据进行分类分级管理。对于涉及国家安全、核心商业机密、个人隐私等关键敏感数据，应划定为最高级别进行严格保护，敏感数据本地化与非敏感数据合规出境。

例如，科技企业的核心算法、金融企业的客户交易数据等。又例如，某电商平台在审计中仅向PCAOB提供交易总量等聚合数据，避免披露用户行为轨迹。在审计过程中，明确告知审计机构不同级别数据的处理要求和限制，对于非必要提供的敏感数据，坚决不予提供。同时，建立数据访问权限体系，只有经过授权的人员才能访问特定级别的数据，从内部管控层面降低数据泄漏风险。

（二）技术加密与脱敏处理

运用先进的加密技术，对审计底稿中的敏感数据进行加密处理，确保数据在传输和存储过程中的安全性。例如，采用SSL/TLS加密协议保障数据传输安全，使用AES等加密算法对存储数据进行加密。在向审计机构提供数据前，利用数据脱敏技术，对敏感信息进行变形、替换、屏蔽等处理，使数据在不影响审计功能的前提下，无法还原真实敏感内容。比如，将客户身份证号中的部分数字用特定字符替换，对姓名进行乱序处理等。通过技术手段，为敏感数据穿上“防护服”，降低数据泄露后的风险影响。

（三）建立数据合规审查机制

企业内部设立专门的数据合规审查团队或岗位，在配合跨境审计前，对拟提供的审计数据进行全面合规审查。审查内容包括数据是否符合法律法规要求、是否存在敏感信息过度披露、是否遵循企业内部数据管理政策等。同时，密切关注中美两国法律法规及监管政策的变化，及时调整数据合规审查标准和流程。对于审查发现的问题，及时进行整改，确保提供的数据既满足跨境审计要求，又能有效保护敏感数据安全。

（四）审计机构合作模式创新

中小型会计师事务所因合规成本高可能退出中概股服务市场。为此，企业可选择“双审计”模式：由国际大所负责PCAOB合规审查，本土所承担实质性审计程序。此外，利用区块链技术实现审计底稿的加密共享与权限控制，既能满足检查要求，又可追溯数据使用场景。

四、《中华人民共和国数据安全法》《网络安全审查办法》与美方监管的冲突分析

（一）《中华人民共和国数据安全法》与美方监管的冲突点

《中华人民共和国数据安全法》于2021年9月1日正式实施，旨在规范数据处理活动，保障数据安全，维护国家主权、安全和发展利益。该法规定国家建立数据分级分类管理制度，对重要数据进行重点保护。对于关键信息基础设施的运营者，其在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储；因业务需要向境外提供的，应当按照国家网信部门等有关部门制定的办法进行安全评估。然而，美方监管要求PCAOB能够获取完整、未经编辑的审计工作底稿，这可能涉及对中国企业重要数据的跨境传输，与《中华人民共和国数据安全法》中关于重要数据境内存储和出境安全评估的规定存在冲突。例如，一些涉及国家关键行业的中概股企业，其审计底稿中可能包含大量重要数据，若按照美方监管要求直接提供给PCAOB，可能违反《中华人民共和国数据安全法》的相关规定。

（二）《网络安全审查办法》与美方监管的冲突点

《网络安全审查办法》重点关注网络产品和服务以及数据处理活动的网络安全风险。当关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。在跨境审计场景下，若美方审计机构获取中国企业审计数据的行为被认定可能影响国家安全，那么就需要依据《网络安全审查办法》进行审查。但美方监管往往强调其对审计独立性和全面性的要求，忽视中国在网络安全审查方面的法律法规，这就导致了双方在监管执行上的冲突。例如，对于一些涉及互联网、通信等领域的中概股企业，美方审计机构获取其用户数据等信息时，中国可能基于网络安全审查认为存在风险，而美方则可能认为这是正常审计所需，双方难以达成一致。

五、中美监管在法律层面的妥协与协调

（一）“安全例外”条款的应用

中美可借鉴WTO安全例外原则，在协议中明确“国家安全”的边界。例如，中方可将涉及军工、核能等敏感行业列为审计豁免领域；美方则承诺不将一般商业数据纳入情报收集范围。2022年合作协议中“特定数据处理程序”已体现这一思路。

（二）第三方托管机制的探索

引入瑞士等中立国的第三方数据托管机构，由其对审计底稿进行技术审查并出具合规认证，避免数据直接流向美方。该机制需满足三个条件：（1）托管方具备国际认可的网络安全资质；（2）审查过程受中美监管机构联合监督；（3）争议数据可启动仲裁程序。

（三）常态化对话平台的构建

建立中美跨境数据流动联合委员会，定期协商监管标准互认、风险评估方法及争议解决机制。例如，可参考欧盟－美国隐私盾框架，制定跨境审计数据白名单，明确可共享的数据类型与使用限制。

六、案例分析与未来挑战

（一）典型案例：能源企业与通信巨头的合规实践

某能源国企在美上市时，将勘探数据保留在境内独立服务器，仅向PCAOB提供经国资委审核的财务摘要；某通信公司则采用“数据沙箱”技术，允许PCAOB远程访问脱敏后的审计样本，但禁止下载原始数据36。这些案例表明，技术手段与制度设计的结合能有效平衡合规与安全。

（二）未来风险：AI技术放大数据泄露隐患

随着AI审计工具的普及，算法可能通过分析非结构化数据（如会议记录）间接推断敏感信息。例如，PCAOB若使用AI模型扫描底稿，即使数据已脱敏，仍可能通过关联分析还原商业机密。对此，需在协议中增加算法审计条款，要求披露AI模型的数据处理逻辑210。

（三）长期展望：全球审计治理体系的重构

中国可联合新兴经济体推动建立“多元审计标准”，例如在东盟推广基于《中华人民共和国数据安全法》的区域审计框架，或通过金砖机制设立替代性监管机构。此举不仅能制衡PCAOB的单边主义，还可增强发展中国家在规则制定中的话语权。

结语

中美审计监管合作新框架的建立，为中国企业赴美上市提供了相对稳定的监管环境，但也带来了国家安全与数据隐私保护的新挑战。PCAOB检查权限的扩大，使得中国企业在敏感数据保护上面临诸多困难，需要通过数据分类分级管理、技术加密与脱敏处理、建立数据合规审查机制等策略加以应对。同时，中国的《中华人民共和国数据安全法》《网络安全审查办法》与美方监管要求存在冲突，通过审计监管合作协议等方式，双方在法律层面已经开始进行妥协与协调，但未来仍需在数据出境安全评估、网络安全审查等方面进一步探索合作路径。在全球经济一体化的背景下，中国企业在参与国际资本市场活动时，应始终将国家安全和数据隐私保护放在重要位置，积极适应中美审计监管合作的新变化，实现企业的可持续发展与国家数据安全的有效保障。

中美审计监管博弈是数字时代主权与资本冲突的缩影。中国企业需在“合规求生”与“数据自卫”间找到平衡点，而监管机构则应摒弃零和思维，通过制度创新与技术协作构建互信机制。唯有在冲突中探索妥协，在妥协中捍卫底线，方能实现开放与安全的动态均衡。

来源：鹏盛视点