赴美上市与网络、数据安全 | PCAOB落实《外国公司问责法案》的规则草案
编者按
这是一个新开设的系列,旨在作为研究赴美上市的中国公司在网络、数据安全方面可能遇到的两国监管不同乃至于冲突方面问题的研究笔记,已经发表的文章如下:
前两篇笔记主要关注赴美上市的中国公司在上市前和日常运营中需要尽到的披露义务,特别是网络安全披露义务。这就包括滴滴、满帮、BOSS直聘,很可能需要对SEC披露目前正在接受国家互联网信息办公室的网络安全审查且期间新用户无法注册的相关情况。目前不明确国家互联网信息办公室对于SEC可能的披露要求的态度。总之,这些赴美上市公司正处于非常棘手的两难境地,还需要处理美国投资者的集体诉讼。进入庭审环节的话,可能还遇到美国司法系统的证据开示要求。第三篇笔记关注美国SEC针对具体的事件和对象,启动问询(an inquiry)或专门调查(investigation)时,要求被监管方提供信息的权力。第四篇研究笔记关注美国SEC针对会计师事务所从域外调取信息的权力和实践。第五篇研究笔记翻译了SEC于2018年发布的《关于上市公司网络安全信息披露的声明和指导意见》。第六篇是《外国公司问责法案》的简要分析和全文翻译。第七篇是关于SEC制定的Regulation S-K关于上市公司非财务声明的要求概览。第八篇是关于Regulation S-K中关于“重大合同”披露的有关要求。
今天这篇研究笔记关注的是PCAOB为落实《外国公司问责法案》所制定的规则草案。【关于《外国公司问责法案》的主要内容和全文翻译,见:赴美上市与网络、数据安全 | 美国《外国公司问责法案》(全文翻译)】
美国SEC通过了落实《外国公司问责法案》的临时最终规则
2021年3月24日,美国证券交易委员会(SEC)通过了临时最终规则,以实施《外国公司问责法》(HFCA法)的部分内容。【关于该法案的主要内容和全文翻译,见:赴美上市与网络、数据安全 | 美国《外国公司问责法案》(全文翻译)】在临时最终规则中,SEC主要是修订发行人用于年度报告的每一份表格——特别是10-K表、20-F表、40-F表和N-CSR表,以便为年度报告增加HFCA法新增的披露要求。该临时最终规则于2021年5月5日生效。
SEC颁布该临时最终规则的原因是——“HFCA法”明确要求SEC在该法案颁布后90天内发布实施该法规的披露要求的规则。但值得注意的是,“HFCA法”没有对自身其他条款的具体实施时间作出规定,包括SEC针对特定的“委员会认定的发行人”(Commission-Identified Issuer)无法检查审计底稿的时间起算点。
此外,SEC识别“委员会认定的发行人”离不开与公共公司会计监督委员会(PCAOB)的协调。特别是,PCAOB必须事先确定,由于外国司法管辖区当局实施的限制,它无法完全检查或调查位于该司法管辖区的审计师的审计底稿。SEC在临时最终规则的说明中指出,PCAOB目前正在考虑如何实施“HFCA法”的要求,包括如何做出此类决定。PCAOB在这方面任何的规则制定,都将在实施前接受SEC的审查和批准。SEC在临时最终规则的说明中解释,“一旦PCAOB的程序建立起来,委员会将利用PCAOB关于它无法完全检查或调查的发行人的决定,以及发行人年度报告中的信息,编制一份委员会认定的发行人的名单。”换句话说,在PCAOB完成对“HFCA法”的实施之前,SEC无法完整地落实“HFCA法”的要求。
PCAOB提出了相关规则草案
2021年5月13日,PCAOB对外发布了拟议的第6100号规则,以建立一个框架来确定它是否“由于位于外国司法管辖区的一个或多个机构所采取的立场而无法检查或调查位于该司法管辖区的注册公众会计师事务所"。根据“HFCA法”,一旦PCAOB做出这样的决定,SEC将会据此编制受“HFCA法”所管辖的“委员会认定的发行人”的名单,并要求名单上的发行人做出某些披露,并可能最终禁止此类发行人的证券交易。
第6100号规则涉及"PCAOB作出决定的方式;PCAOB将评估的因素,以及在评估是否有必要作出决定时将考虑的文件和信息;这种决定的形式、公开性、生效日期和期限;以及PCAOB可以修改或撤销其决定的程序"。
根据拟议的规则,PCAOB将做出两类决定。(1)对某一特定外国司法管辖区的认定;(2)对某一特定注册公司的认定。
(1)特定的外国司法管辖区
拟议的第6100号规则的(a)(1)条规定,“PCAOB可以确定,由于某一外国管辖区的一个或多个当局所采取的立场,它无法对总部设在该管辖区的注册会计师事务所进行检查或调查”。
PCAOB认为,总部设在外国司法管辖区的会计师事务所必然在该司法管辖区设有分支机构或办事处,PCAOB在规则中建议,对全司法管辖区的决定(a jurisdiction-wide determination)“将适用于总部设在该司法管辖区的所有注册会计师事务所”。其中,会计师事务所的总部,在拟议规则中是指其主要营业地(即管理层指导、控制和协调公司活动的地方)。
拟议的第6100号规则还考虑了全司法管辖区的决定对国际会计师事务所网络的适用问题,特别是网络中有部分成员受全司法管辖区决定的覆盖——"在这种情况下,如果该成员所是一个独立于网络中其他成员所的法律实体,并以自己的名义签署审计报告,PCAOB将不会仅仅因为该网络中的其他成员所与受全司法管辖区决定覆盖的成员所属于同一网络,而将其视为在特定司法管辖区中'位于'或拥有'办事处'”。
(2)在外国司法管辖区的特定注册公司
拟议的第6100号规则的(a)(2)条将允许PCAOB“确定它不能完全检查或调查在外国司法管辖区设有办事处的特定注册公司,因为该司法管辖区的一个或多个机构采取了某种立场”。根据拟议规则,这将允许PCAOB在全司法管辖区决定将是"不适当的宽泛"的情况下做出"更有针对性的决定",例如,当一个外国当局阻挠对某一辖区的某一特定公司,而不是所有公司的调查时。这项拟议的规定还将允许PCAOB对位于某个司法管辖区但不一定是总部的公司作出特定的决定。
(3)做出决定的因素
拟议的规则规定了PCAOB在作出决定时可能使用的以下因素:
"PCAOB选择要审查或调查的业务、审计领域和潜在违规行为的能力",该标准指向了PCAOB是否可以自主决定它可以/将要调查哪些潜在的违规行为。
"PCAOB对公司或其任何相关人员所拥有、保管或控制的,委员会认为与检查或调查有关的任何文件或信息(包括通过进行访谈和作证)的访问,以及保留和使用的能力",该标准指向了PCAOB对公司材料的访问能力;以及
"PCAOB以符合法案规定和[PCAOB规则]的方式进行检查和调查的能力”,该标准是一个全面的考虑,旨在涵盖PCAOB检查和调查任务的所有其他方面。
拟议的规则指出,每个因素都不是一个单独的先决条件;其中任何一个因素的损害本身就足以支持PCAOB的决定。
(4)PCAOB决定的依据
拟议的规则规定,在作出决定时,PCAOB可以考虑:外国司法管辖区的书面上的法律规定和对这些法律规定的相关解释;PCAOB为"与该司法管辖区的当局达成并确保协议"所做的全部努力;以及PCAOB过去与外国当局的经验。总之,这些规定将允许PCAOB在作出决定时"考虑任何相关信息"。
最后,拟议的规则指出,PCAOB"不应试图在拒绝国际合作指导原则的外国司法管辖区启动检查或调查,因为这种徒劳的努力不会推进PCAOB保护投资者和促进公共利益的使命。"
第6100号规则公开征求公众意见的截止日期为2021年7月12日。因此,目前已经无法再向PCAOB提供意见和建议了。随着第6100号规则在不久的将来生效,PCAOB将开始根据第6100号规则作出决定,这些决定将以一份报告的形式提供给SEC,然后在PCAOB的网站上公开。(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
自动驾驶系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于数据与竞争政策的翻译和分析:
数据安全法系列文件:
中国个人信息保护立法系列文章:
健康医疗大数据系列文章:
网联汽车数据的系列文章:
人工智能安全和监管的系列文章:
关于中美与国家安全相关的审查机制的系列文章: