張 超 王露露/中國(guó)人民大學(xué)信息資源管理學(xué)院

2021年7月6日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見(jiàn)》（以下簡(jiǎn)稱(chēng)《意見(jiàn)》），《意見(jiàn)》明確提出將境外上市的中國(guó)公司納入監(jiān)管范圍，尤其是在加強(qiáng)跨境合作監(jiān)管方面，提出了“完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動(dòng)、涉密信息管理等相關(guān)法律法規(guī)。抓緊修訂關(guān)于加強(qiáng)在境外發(fā)行證券與上市相關(guān)保密和檔案管理工作的規(guī)定，壓實(shí)境外上市公司信息安全主體責(zé)任”。與此同時(shí)，國(guó)家網(wǎng)信辦連續(xù)發(fā)布了對(duì)“滴滴出行”“運(yùn)滿(mǎn)滿(mǎn)”“貨車(chē)幫”“BOSS直聘”實(shí)施網(wǎng)絡(luò)安全審查的公告。審查期間，以上APP均已停止新用戶(hù)注冊(cè)。多家互聯(lián)網(wǎng)企業(yè)接受網(wǎng)絡(luò)安全審查，一時(shí)間，數(shù)據(jù)安全再次成為關(guān)注焦點(diǎn)[1]。無(wú)論是從國(guó)家對(duì)上市公司信息安全的政策導(dǎo)向來(lái)看，還是從多個(gè)互聯(lián)網(wǎng)企業(yè)被審查的現(xiàn)象來(lái)看，新時(shí)代企業(yè)信息安全問(wèn)題日益突出，尤其是涉及跨境信息安全方面，上市公司的信息安全問(wèn)題更是影響到國(guó)家信息安全的嚴(yán)重問(wèn)題，成為國(guó)家安全的監(jiān)管真空地帶。

目前學(xué)界關(guān)于企業(yè)境外檔案管理的研究已經(jīng)起步，已有研究重點(diǎn)關(guān)注的是國(guó)有企業(yè)在境外開(kāi)展業(yè)務(wù)活動(dòng)時(shí)形成的檔案。然而，從7月4日“滴滴出行”因違反《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定而被下架可以看出，非國(guó)有企業(yè)的檔案信息安全問(wèn)題同樣很突出，尤其是我國(guó)上市公司在從事境外證券投資相關(guān)活動(dòng)的過(guò)程中，會(huì)發(fā)生比企業(yè)境外業(yè)務(wù)活動(dòng)更加頻繁的檔案信息流動(dòng)，從而引發(fā)嚴(yán)重的檔案信息安全問(wèn)題，而對(duì)于檔案信息安全的忽視可能進(jìn)一步引發(fā)國(guó)家信息安全風(fēng)險(xiǎn)。因此，筆者認(rèn)為有必要對(duì)境外上市公司的檔案信息安全問(wèn)題進(jìn)行研究，從而降低我國(guó)跨境檔案信息安全流動(dòng)的風(fēng)險(xiǎn)性。對(duì)境外上市公司檔案信息的界定，可以理解為境外上市公司所保存的具有長(zhǎng)久保存價(jià)值的原始性信息集合，這些信息既可以是保存在紙質(zhì)載體上的，也可以是保存在數(shù)字化載體上的?；诖耍P者以“檔案”“上市”為組合檢索詞，在中國(guó)知網(wǎng)上進(jìn)行主題詞檢索，去掉重復(fù)與無(wú)關(guān)的成果之后，目前僅有17篇文獻(xiàn)對(duì)上市公司的檔案管理進(jìn)行了研究，且有2篇都發(fā)表在檔案學(xué)相關(guān)期刊上。檔案學(xué)界對(duì)該主題的關(guān)注較少，關(guān)注點(diǎn)主要集中在上市公司會(huì)計(jì)檔案信息失真等問(wèn)題。同時(shí)，已有的關(guān)于我國(guó)企業(yè)境外檔案安全問(wèn)題的研究集中在靜態(tài)管理方面，而對(duì)跨境檔案信息流動(dòng)的安全問(wèn)題關(guān)注較少，這也為本文提供了研究空間。

1 境外上市公司檔案信息安全監(jiān)管面臨的新形勢(shì)

1.1 政策法規(guī)方面可能面臨沖突

由于境外市場(chǎng)環(huán)境和競(jìng)爭(zhēng)規(guī)則的不可預(yù)測(cè)性，我國(guó)境外上市公司實(shí)則面臨比國(guó)內(nèi)更大的檔案信息安全風(fēng)險(xiǎn)和更嚴(yán)苛的管理合規(guī)性問(wèn)題。不同國(guó)家或地區(qū)的法律體系和具體規(guī)定不同，對(duì)企業(yè)檔案管理的要求也不同[2]，這就意味著境外上市公司在遵守境外國(guó)家或地區(qū)的政策法規(guī)的同時(shí)，還需遵守中國(guó)法律相關(guān)規(guī)定，尤其是一些涉及國(guó)內(nèi)經(jīng)濟(jì)發(fā)展、社會(huì)民生等的檔案信息資產(chǎn)。當(dāng)境外上市公司面臨可能不利的政策法規(guī)或雙重標(biāo)準(zhǔn)，極易面臨法律遵從上的沖突。以我國(guó)在美國(guó)上市公司面臨的信息披露問(wèn)題為例，美國(guó)證監(jiān)會(huì)指定的《境外發(fā)行人跨境證券發(fā)行與首次上市國(guó)際信息披露準(zhǔn)則》中大量非經(jīng)營(yíng)性、非財(cái)務(wù)性信息披露監(jiān)管，要求被納入SEC對(duì)境外企業(yè)信息披露的常規(guī)監(jiān)管視野中[3]。但事實(shí)上，2009年我國(guó)國(guó)家檔案局、中國(guó)證監(jiān)會(huì)和國(guó)家保密局制定的《關(guān)于加強(qiáng)在境外發(fā)行證券與上市相關(guān)保密和檔案管理工作的規(guī)定》就已明確規(guī)定，境外上市公司向有關(guān)證券公司、證券服務(wù)機(jī)構(gòu)和境外監(jiān)管機(jī)構(gòu)提供或者公開(kāi)披露涉及國(guó)家安全或者重大利益的檔案的，應(yīng)當(dāng)依法報(bào)國(guó)家檔案局批準(zhǔn)?？梢?jiàn)，愈漸嚴(yán)苛的政策法規(guī)將在不同國(guó)家不同地區(qū)對(duì)同一家上市公司做出監(jiān)管的同時(shí)，其法律沖突問(wèn)題將成為境外上市公司信息安全保護(hù)與檔案管理工作新阻礙。

1.2 信息安全方面敏感度更高

一般而言，檔案信息都是具有高價(jià)值密度的，也就是說(shuō)，檔案信息本身就具有保密與安全的門(mén)檻與必要性。然而，境外上市公司的一大重要特征是發(fā)生檔案信息的流動(dòng)，為了向境外投資者展示自身的投資潛力，會(huì)產(chǎn)生公開(kāi)業(yè)務(wù)數(shù)據(jù)或者檔案信息的需求，在這個(gè)過(guò)程中，檔案信息的跨境安全流動(dòng)問(wèn)題就表現(xiàn)得極為突出。除了近兩年被美國(guó)以威脅國(guó)家信息安全為由進(jìn)行審查的華為和字節(jié)跳動(dòng)等公司之外，前文提到的“滴滴出行”“運(yùn)滿(mǎn)滿(mǎn)”“貨車(chē)幫”“BOSS直聘”等公司所保管的檔案信息具有極高的安全敏感度，通過(guò)APP收集保存了大量用戶(hù)隱私數(shù)據(jù)。江蘇省大數(shù)據(jù)交易和流通工作實(shí)驗(yàn)室工作人員認(rèn)為：“上述幾家被審查的企業(yè)，分別為日常出行、網(wǎng)絡(luò)貨運(yùn)及大眾求職領(lǐng)域的頭部平臺(tái)，至少掌握了所屬行業(yè)領(lǐng)域80%以上的深度數(shù)據(jù)。這些數(shù)據(jù)可以直接或間接地反映我國(guó)各區(qū)域人口分布、商業(yè)熱力、人口流動(dòng)、貨物流動(dòng)、企業(yè)經(jīng)營(yíng)等情況?！盵4]也就是說(shuō)，除了一些會(huì)計(jì)檔案之外，一些核心業(yè)務(wù)檔案數(shù)據(jù)也是我國(guó)重要的信息資源，包含大量個(gè)人隱私信息。這些公司在上市融資的過(guò)程中，必然要面臨檔案信息出境問(wèn)題，為了眼前的利益，極有可能觸犯國(guó)家信息安全底線。隨著全球信息化進(jìn)程的不斷加快，上市公司的業(yè)務(wù)越來(lái)越離不開(kāi)用戶(hù)隱私數(shù)據(jù)，因而檔案信息安全敏感度會(huì)越來(lái)越高，檔案信息將會(huì)面臨更加嚴(yán)峻的安全流動(dòng)風(fēng)險(xiǎn)問(wèn)題。

1.3 技術(shù)方法方面面臨更大風(fēng)險(xiǎn)

隨著云計(jì)算等新興技術(shù)的飛速發(fā)展，海量信息在各上市公司之間積累、歸檔、共享、再分析，這也為這些上市公司信息安全帶來(lái)新的挑戰(zhàn)。第一，境外上市公司的核心檔案信息相比于國(guó)內(nèi)企業(yè)更易被攻擊竊取。由于缺少類(lèi)似于中國(guó)國(guó)家防火墻（Great Firewall of China，GFW）的安全保障，境外上市公司需要在技術(shù)上自己投入并構(gòu)筑信息安全防護(hù)體系以達(dá)到保障重要信息不被攻擊的目的。而在構(gòu)筑企業(yè)級(jí)防護(hù)體系過(guò)程中，無(wú)論是網(wǎng)絡(luò)通信層面還是物理設(shè)備層面，使用當(dāng)?shù)剡\(yùn)營(yíng)商的鏈路傳輸信息和存儲(chǔ)極易被非法侵入或被植入惡意代碼，最終極易面臨核心檔案信息被竊取的境地。第二，以社會(huì)工程學(xué)、水坑攻擊、變種病毒等為代表的新型信息安全攻擊手段也對(duì)境外上市公司的檔案信息安全保障帶來(lái)新的威脅。雖然檔案信息安全領(lǐng)域已廣泛采用數(shù)字水印、入侵檢測(cè)、數(shù)據(jù)加密、反垃圾郵件等安全防護(hù)技術(shù)，但由于檔案數(shù)據(jù)庫(kù)中所承載的數(shù)據(jù)具有較高商業(yè)價(jià)值和安全價(jià)值，一旦被黑客惡意攻陷，我國(guó)境外上市公司的股價(jià)極易造成異動(dòng)，進(jìn)而導(dǎo)致巨大經(jīng)濟(jì)損失。第三，我國(guó)境外上市公司大部分為互聯(lián)網(wǎng)企業(yè)，這些企業(yè)在國(guó)內(nèi)運(yùn)營(yíng)過(guò)程中產(chǎn)生了海量信息，如果被惡意通過(guò)數(shù)據(jù)挖掘等新興技術(shù)進(jìn)行分析，極易得出一些有關(guān)國(guó)家秘密的情報(bào)。因此，在新興技術(shù)飛速發(fā)展的當(dāng)下，這些上市公司將面臨更為嚴(yán)峻的安全形勢(shì)。

2 境外上市公司檔案信息安全監(jiān)管面臨的新問(wèn)題

2.1 境外上市公司檔案管理相關(guān)政策法規(guī)缺位

從2015年開(kāi)始，我國(guó)陸續(xù)出臺(tái)了包括國(guó)家安全法、網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法在內(nèi)的一系列法律法規(guī)，時(shí)至今日我國(guó)已經(jīng)邁入了數(shù)據(jù)保護(hù)立法的快車(chē)道[5]。盡管網(wǎng)絡(luò)信息安全已經(jīng)引起了國(guó)家重視，但是近年來(lái)境外中概股公司陸續(xù)出現(xiàn)的“爆雷”事件，反映出我國(guó)關(guān)于檔案信息的法律法規(guī)存在缺位的問(wèn)題。具體來(lái)說(shuō)，一方面，針對(duì)境外上市公司的檔案信息安全相關(guān)法律法規(guī)存在缺位。即使算上《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》這兩部重要上位法，關(guān)于檔案信息安全的法律法規(guī)依舊缺少，如2020年新修訂的《中華人民共和國(guó)檔案法》就沒(méi)有提及相關(guān)內(nèi)容。另一方面，境外不同國(guó)家（地區(qū)）對(duì)檔案信息管理與披露提出了不同要求，境外上市公司需要同時(shí)兼顧中國(guó)和上市國(guó)家（地區(qū)）的法律規(guī)定，這就勢(shì)必導(dǎo)致境內(nèi)外法規(guī)可能出現(xiàn)沖突的情況。以會(huì)計(jì)檔案為例，我國(guó)《會(huì)計(jì)檔案管理辦法》規(guī)定保管期限為10年和30年，而英國(guó)《公司法》規(guī)定的時(shí)間則為3年和6年。類(lèi)似地，法規(guī)沖突還會(huì)出現(xiàn)在企業(yè)檔案有法律效力的條件、企業(yè)檔案接受何方監(jiān)管、企業(yè)檔案能否攜帶出境、文件歸檔范圍等方面[6]。因此，上述法律法規(guī)問(wèn)題在給上市公司檔案監(jiān)管帶來(lái)了極大挑戰(zhàn)，亟待得到有效解決。

2.2 境外上市公司檔案信息監(jiān)管體制亟待建立

當(dāng)前境外上市公司檔案信息監(jiān)管存在很多問(wèn)題，其中最為突出且調(diào)和難度很大的問(wèn)題就是監(jiān)管主體混亂。一方面，從國(guó)家與國(guó)家之間的縱向關(guān)系來(lái)看，我國(guó)和境外國(guó)家對(duì)于上市公司的檔案信息監(jiān)管存在明顯的沖突，這一問(wèn)題并非簡(jiǎn)單的管理層面問(wèn)題，而是涉及國(guó)際局勢(shì)、經(jīng)濟(jì)形勢(shì)和技術(shù)發(fā)展等宏觀層面，受到諸多不可控因素的影響，《意見(jiàn)》中也提出了“堅(jiān)持依法和對(duì)等原則，進(jìn)一步深化跨境審計(jì)監(jiān)管合作”，可見(jiàn)加強(qiáng)跨境監(jiān)管合作是建立境外上市公司檔案信息監(jiān)管體制的重要議題。另一方面，從行業(yè)主管機(jī)構(gòu)之間的橫向關(guān)系來(lái)看，證監(jiān)會(huì)、網(wǎng)信辦、檔案局、保密局、證交所、會(huì)計(jì)監(jiān)督委員會(huì)等對(duì)上市公司檔案信息有監(jiān)管職責(zé)，但對(duì)境外上市公司檔案信息的聯(lián)合監(jiān)管體制沒(méi)有建立。尤其是檔案部門(mén)在境外上市公司的檔案信息監(jiān)管體制中處于參與度較低的地位，只有檔案監(jiān)管機(jī)構(gòu)真正參與到上市公司檔案信息安全監(jiān)管的體制之中，才可以真正引起上市公司對(duì)檔案信息安全的重視，從而優(yōu)化檔案管理與利用。

2.3 境外上市公司檔案信息安全的風(fēng)險(xiǎn)性較強(qiáng)

境外上市公司由于檔案信息往往沒(méi)有納入檔案行政監(jiān)管范圍，國(guó)內(nèi)主管部門(mén)對(duì)這些上市公司的信息安全監(jiān)管也沒(méi)有形成體系[7]，因而境外上市公司面臨的風(fēng)險(xiǎn)問(wèn)題更為嚴(yán)重。相比于境內(nèi)上市公司，境外上市公司檔案信息安全所承受的風(fēng)險(xiǎn)性更強(qiáng)。在橫向上，由于身處國(guó)境之外，無(wú)法享受來(lái)自國(guó)家對(duì)企業(yè)經(jīng)營(yíng)活動(dòng)的有力保護(hù)，并且受到不穩(wěn)定的國(guó)際形勢(shì)和大國(guó)關(guān)系的影響，境外上市公司的檔案管理面臨來(lái)自政治、法律、文化和管理方面的風(fēng)險(xiǎn)[8]。在縱向上，檔案信息面臨的安全風(fēng)險(xiǎn)體現(xiàn)在收集、管理、存儲(chǔ)、利用過(guò)程中存在各種安全隱患[9]。識(shí)別這些復(fù)雜性風(fēng)險(xiǎn)并施以對(duì)策是一個(gè)艱巨的難題。此外，境外上市公司大多均為具有一定行業(yè)壟斷性、占據(jù)大量核心技術(shù)或信息情報(bào)的龍頭企業(yè)，這就導(dǎo)致它們所面臨的外部威脅和潛在風(fēng)險(xiǎn)會(huì)更難以把控。如，競(jìng)爭(zhēng)對(duì)手企業(yè)為謀求本企業(yè)利益最大化，會(huì)通過(guò)一系列正當(dāng)或不正當(dāng)?shù)募夹g(shù)手段獲取核心檔案信息。以美國(guó)為例，美國(guó)除通過(guò)《愛(ài)國(guó)者法案》《云法案》等法律授權(quán)獲取數(shù)據(jù)外，情報(bào)機(jī)構(gòu)監(jiān)視活動(dòng)也從未間斷[10]。境外上市公司面對(duì)內(nèi)憂(yōu)外患，需要在多方“夾縫”中確保檔案信息的機(jī)密、完整與可用，除了依靠自身的自覺(jué)管理外，國(guó)內(nèi)監(jiān)管主體的跨境監(jiān)管與指導(dǎo)也同樣不可或缺。

2.4 境外上市公司檔案管理模式面臨較大挑戰(zhàn)

對(duì)于一些上市公司而言，檔案信息的重要性主要體現(xiàn)在合規(guī)性檢查、獲取公眾投資者信任等方面，以該目的為導(dǎo)向，會(huì)導(dǎo)致境外上市公司對(duì)檔案管理的態(tài)度呈現(xiàn)消極被動(dòng)的狀態(tài)，反而不從源頭上對(duì)檔案管理模式給予應(yīng)有的關(guān)注。以會(huì)計(jì)檔案為例，一些上市公司以為，只要季報(bào)、半年報(bào)、年報(bào)等按時(shí)編制完成，會(huì)計(jì)檔案的作用就不大了，有的甚至沒(méi)有專(zhuān)門(mén)的檔案館（室），由控股公司的檔案館（室）代管，會(huì)計(jì)檔案被看成是累贅[11]。與這一現(xiàn)象形成鮮明對(duì)比的是，上市公司在財(cái)務(wù)造假或利潤(rùn)操控時(shí)卻非?！爸匾暋睍?huì)計(jì)檔案。如，上市公司麥科特通過(guò)偽造出口設(shè)備融資租賃合同、材料和產(chǎn)品購(gòu)銷(xiāo)合同、進(jìn)出口發(fā)票和海關(guān)印章等手段，1997年虛構(gòu)利潤(rùn)0.4億港元，1998年虛構(gòu)利潤(rùn)0.38億港元，1999年虛構(gòu)利潤(rùn)0.13億港元，2000年虛構(gòu)利潤(rùn)0.93億港元。麥科特如此“重視”會(huì)計(jì)檔案就是為了上市融資[12]。對(duì)檔案價(jià)值的錯(cuò)誤認(rèn)知導(dǎo)致大部分上市公司在檔案保管期限、檔案信息真實(shí)性、檔案保管環(huán)境合規(guī)性、檔案信息安全流動(dòng)等方面缺乏應(yīng)有的專(zhuān)業(yè)性。特別是對(duì)于境外上市公司而言，企業(yè)未來(lái)處理上市融資、合規(guī)性檢查以及確保數(shù)據(jù)安全時(shí)，這些問(wèn)題將帶來(lái)諸多困擾。

3 境外上市公司檔案信息安全監(jiān)管建議采取的應(yīng)對(duì)措施

3.1 制定出臺(tái)檔案信息安全監(jiān)管的相關(guān)政策法規(guī)

考慮到我國(guó)境外上市公司不同于一般境外企業(yè)，相關(guān)法律法規(guī)體系的出臺(tái)和修訂涉及市場(chǎng)與經(jīng)濟(jì)的發(fā)展，一旦有疏漏，輕則造成上市公司股價(jià)出現(xiàn)大幅波動(dòng)影響市場(chǎng)，重則可能影響國(guó)際經(jīng)濟(jì)貿(mào)易合作。具體來(lái)說(shuō)，需從以下三個(gè)方面著手。第一，健全相關(guān)檔案信息安全的法規(guī)體系。具體途徑有兩種：一是專(zhuān)門(mén)出臺(tái)有針對(duì)性的管理法規(guī)；二是修訂擴(kuò)充已有法規(guī)，將檔案信息安全、跨境數(shù)據(jù)流動(dòng)、涉密信息管理等納入修訂范圍。如，我國(guó)2017年頒布實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，對(duì)個(gè)人信息或重要數(shù)據(jù)本地化存儲(chǔ)和管制性數(shù)據(jù)跨境傳輸做了相應(yīng)規(guī)定，但仍存在諸如安全評(píng)估不明確、違法成本過(guò)低、范圍狹窄等缺陷[13]。因此，建議在原有法條的基礎(chǔ)上，借鑒歐美《通用數(shù)據(jù)保護(hù)條例》的長(zhǎng)臂管轄規(guī)則對(duì)涉密信息管理、跨境檔案數(shù)據(jù)流動(dòng)等內(nèi)容，也做出相應(yīng)的補(bǔ)充修訂，強(qiáng)化我國(guó)國(guó)家數(shù)據(jù)主權(quán)和行政監(jiān)管權(quán)。第二，在健全相關(guān)法規(guī)體系過(guò)程中，需靈活貫徹“雙重遵從”原則，即既遵從所在國(guó)或地區(qū)的法律規(guī)定，又遵從我國(guó)的法律規(guī)定[14]。但是在遇到類(lèi)似于要求獲得會(huì)計(jì)檔案底本等上市要求時(shí)，則應(yīng)當(dāng)始終堅(jiān)持“維護(hù)國(guó)家安全”的根本立場(chǎng)，堅(jiān)決不觸犯國(guó)家信息安全底線。第三，進(jìn)一步完善境外上市公司檔案信息監(jiān)管配套政策，如相應(yīng)的檔案信息管理規(guī)范和國(guó)家標(biāo)準(zhǔn)等。需要補(bǔ)充境外上市公司檔案管理和信息安全相關(guān)技術(shù)標(biāo)準(zhǔn)，作為基本法律法規(guī)指導(dǎo)下的“軟工具”，統(tǒng)一對(duì)這些企業(yè)進(jìn)行管控和約束，在標(biāo)準(zhǔn)中加大對(duì)不合規(guī)中概股公司的執(zhí)法力度，對(duì)涉及跨境數(shù)據(jù)流動(dòng)、出口管制等重要檔案信息實(shí)行專(zhuān)項(xiàng)管理。

3.2 建立健全檔案信息安全監(jiān)管的體制機(jī)制

與境外企業(yè)檔案管理不同，上市公司檔案信息問(wèn)題明顯涉及國(guó)家安全，必須將檔案監(jiān)管機(jī)構(gòu)納入其中，充分發(fā)揮檔案行政監(jiān)管機(jī)構(gòu)和檔案專(zhuān)職人員的專(zhuān)業(yè)力量。具體來(lái)說(shuō)，一是需要樹(shù)立外緊內(nèi)松的檔案信息安全監(jiān)管理念。《意見(jiàn)》中提出的基本理念“建制度、不干預(yù)、零容忍”，為上市公司檔案信息監(jiān)管提供了很好的導(dǎo)向。建議加強(qiáng)證券行業(yè)檔案信息管理與信息披露方面的基礎(chǔ)制度建設(shè)，健全依法從嚴(yán)打擊檔案信息非法泄露體制機(jī)制，提高執(zhí)法司法效能，有效防范化解重大風(fēng)險(xiǎn)，為加快建設(shè)規(guī)范、透明、開(kāi)放、有活力、有韌性的資本市場(chǎng)提供有力支撐[15]。二是需要加強(qiáng)跨境監(jiān)管執(zhí)法司法協(xié)作。對(duì)于我國(guó)的檔案信息安全監(jiān)管主體而言，應(yīng)當(dāng)以總體國(guó)家安全觀為指導(dǎo)，始終堅(jiān)持依法監(jiān)管和公平對(duì)等的原則，在檔案信息披露的問(wèn)題上，既要與境外證券監(jiān)管機(jī)構(gòu)進(jìn)行合理程序交流，又要做好相關(guān)檔案信息保密工作[16]。中外雙方在上市公司檔案信息披露上應(yīng)當(dāng)建立長(zhǎng)期有效的對(duì)話(huà)機(jī)制，使得外方建立對(duì)我國(guó)上市公司財(cái)務(wù)審計(jì)的信任，從而提出更為合理的檔案信息披露要求，或者雙方協(xié)商建立互認(rèn)的監(jiān)管標(biāo)準(zhǔn)和互連的監(jiān)管科技，實(shí)現(xiàn)對(duì)檔案信息安全協(xié)同監(jiān)管[17]。三是要加強(qiáng)組織保障和監(jiān)督問(wèn)責(zé)。在建設(shè)境外上市公司信息安全監(jiān)管體制時(shí)，應(yīng)當(dāng)充分發(fā)揮檔案監(jiān)管機(jī)構(gòu)的監(jiān)督指導(dǎo)職能，要求上市公司配置相應(yīng)的檔案專(zhuān)業(yè)人才，確保一定的數(shù)量和素質(zhì)。同時(shí)建立嚴(yán)格的檔案信息安全責(zé)任制度，一旦發(fā)生了上市公司檔案造假、信息非法泄露、遭受非授權(quán)訪問(wèn)或攻擊等風(fēng)險(xiǎn)事故，應(yīng)對(duì)檔案工作人員、部門(mén)領(lǐng)導(dǎo)和分管檔案信息安全工作的領(lǐng)導(dǎo)嚴(yán)厲追究法律責(zé)任。

3.3 提高檔案信息安全監(jiān)管的風(fēng)險(xiǎn)應(yīng)對(duì)能力

在提高檔案信息安全的風(fēng)險(xiǎn)應(yīng)對(duì)能力方面，需聯(lián)合境內(nèi)監(jiān)管部門(mén)和境外被監(jiān)管企業(yè)形成治理合力，具體有三條途徑。第一，企業(yè)加大技術(shù)應(yīng)用，監(jiān)管機(jī)構(gòu)實(shí)現(xiàn)技術(shù)治理。使用技術(shù)手段實(shí)行自救，往往是應(yīng)對(duì)檔案信息安全各類(lèi)風(fēng)險(xiǎn)的首選模式?？紤]到境外上市公司檔案管理成本高昂，且在境外還面臨著網(wǎng)絡(luò)、通信、硬件設(shè)備等多個(gè)層面的潛在攻擊和威脅，因此可以利用云計(jì)算、區(qū)塊鏈等技術(shù)統(tǒng)一為境外上市公司搭建檔案信息安管平臺(tái)（Security Operation Center，SOC），在保證信息安全的基礎(chǔ)上，適當(dāng)分配給各上市公司部分傳輸接口，結(jié)合所在國(guó)家和地區(qū)的檔案管理實(shí)踐，通過(guò)安管平臺(tái)集成的防火墻、防病毒軟件、IDS檢測(cè)等安全防護(hù)模塊，保證核心檔案信息的機(jī)密性、完整性、可用性。第二，企業(yè)和監(jiān)管機(jī)構(gòu)需合力構(gòu)筑境外上市公司檔案信息安全風(fēng)險(xiǎn)監(jiān)控體系。在構(gòu)建風(fēng)險(xiǎn)監(jiān)控體系過(guò)程中，需結(jié)合歷史數(shù)據(jù)、風(fēng)險(xiǎn)責(zé)任人或權(quán)威專(zhuān)家主觀判斷、國(guó)際良好實(shí)踐、已知理論分布等[18]，通過(guò)事前、事中、事后全過(guò)程動(dòng)態(tài)化跟蹤監(jiān)控，實(shí)現(xiàn)對(duì)每次攻擊和每種風(fēng)險(xiǎn)類(lèi)型的預(yù)警與識(shí)別，用以增強(qiáng)核心檔案信息的收、存、管、用的安全把控。第三，需切實(shí)提高境外上市公司人員的檔案信息安全意識(shí)。人員風(fēng)險(xiǎn)相對(duì)不可控，應(yīng)當(dāng)針對(duì)企業(yè)上至董、監(jiān)、高，下至基層員工，建立起對(duì)檔案管理的重要性認(rèn)知，將企業(yè)檔案安全上升到企業(yè)重要資產(chǎn)安全和國(guó)家信息安全的高度，從而在人、財(cái)、物等方面加大保障力度，確保境外上市公司做到對(duì)檔案工作的全員認(rèn)同、全員參與[19]。

3.4 提高上市公司檔案信息管理模式的安全性

只有在管理模式上做到合規(guī)性，才能更有序地監(jiān)管上市公司檔案信息的跨境流動(dòng)。具體來(lái)說(shuō)，可以從以下三個(gè)方面著手。一是明確檔案信息管理的價(jià)值。檔案信息可以作為融資上市的重要憑證，但是應(yīng)當(dāng)建立在業(yè)務(wù)合規(guī)性的基礎(chǔ)上，即檔案最終是為了證明合規(guī)性，而非財(cái)務(wù)或者業(yè)務(wù)造假的工具。因此，需要上市公司認(rèn)識(shí)到檔案合規(guī)本質(zhì)上是為了推動(dòng)業(yè)務(wù)合規(guī)，上市公司的檔案信息管理應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任，不能本末倒置為了融資上市而進(jìn)行非法披露或者不當(dāng)管理。二是解決檔案底稿的保管與開(kāi)放問(wèn)題。這一問(wèn)題是美國(guó)發(fā)布的《外國(guó)公司問(wèn)責(zé)法》與我國(guó)國(guó)家檔案局、中國(guó)證監(jiān)會(huì)和國(guó)家保密局2009年制定的《關(guān)于加強(qiáng)在境外發(fā)行證券與上市相關(guān)保密和檔案管理工作的規(guī)定》相沖突所帶來(lái)的問(wèn)題，提醒了上市公司應(yīng)當(dāng)充分了解我國(guó)境外檔案管理的相關(guān)法律法規(guī)，在《中華人民共和國(guó)檔案法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律的框架內(nèi)，對(duì)新業(yè)態(tài)下的上市公司檔案信息進(jìn)行更加全面的管控，以及更加謹(jǐn)慎地進(jìn)行檔案信息披露。同時(shí)，上市公司也可以積極探索將原始檔案信息與檔案價(jià)值相剝離的技術(shù)范式，在技術(shù)上促成各國(guó)上市公司在不進(jìn)行原始檔案信息跨境流動(dòng)的前提下實(shí)現(xiàn)檔案信息價(jià)值的流動(dòng)[20]。三是制定檔案信息安全等級(jí)保護(hù)制度。等級(jí)保護(hù)制度是我國(guó)信息安全保障的基本制度，對(duì)于檔案信息安全監(jiān)管來(lái)說(shuō)也有較強(qiáng)的指導(dǎo)意義。參考2019年我國(guó)發(fā)布的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度相關(guān)內(nèi)容，可以針對(duì)上市公司構(gòu)建檔案信息安全管理體系。在技術(shù)方面，從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等方面進(jìn)行控制與評(píng)級(jí)；在管理方面，從安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理等方面進(jìn)行控制與評(píng)級(jí)[21]。關(guān)于上市公司檔案信息安全的監(jiān)管也應(yīng)當(dāng)積極引入檔案專(zhuān)家評(píng)審和檔案主管部門(mén)審核，從總體國(guó)家安全觀和個(gè)人隱私保護(hù)的專(zhuān)業(yè)視角，進(jìn)行嚴(yán)格的定級(jí)與評(píng)分。

4 結(jié)語(yǔ)

境外上市公司的檔案信息不同境外開(kāi)展業(yè)務(wù)所形成的檔案，無(wú)論是在安全管理還是信息披露等問(wèn)題上都很復(fù)雜，涉及政治、經(jīng)濟(jì)、法律、技術(shù)等方面的因素，需要平衡多方利益、緩解可能存在的沖突，為境外上市公司的發(fā)展提供健全的體制機(jī)制保障，也為我國(guó)的總體國(guó)家安全、檔案信息資產(chǎn)安全和個(gè)人隱私保護(hù)保駕護(hù)航。