问题的提出
A股上市公司是指其发行的A股股票(人民币普通股)经中国证监会批准,在境内证券交易所上市交易的股份有限公司。近段时间以来,A股上市公司在海外交易所二次发行股票的案例不断增多,A股上市公司所涉及的数据问题也需进行更为细致的合规考量。这其中受到A股上市公司较多关注的一个问题即是,A股上市公司处理个人信息范围是否应包含其依法置备的股东名册?
与之相关的另一数据法视野问题是,所有境内公司(数据处理者) “赴国外上市”过程中,需遵守《网络安全审查办法》第七条规定,即“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”由于A股上市公司已经在境内证券交易所发行股份,依照《公司法》第一百四十七条第一款规定:“公司的股份采取股票的形式。股票是公司签发的证明股东所持股份的凭证。”同时《公司法》第一百零二条第一款规定:“股份有限公司应当制作股东名册并置备于公司。”这意味着,通过证券交易所交易并持有A股上市公司股票的投资者,理论上均为A股上市公司股东[1],且A股上市公司应持有包含股东个人信息的股东名册。那么,股东名册所记载股东的人数,是否在公司第二次上市时计入《网络安全审查办法》所关注的“100万用户”?此乃A股上市公司目前疑惑所在,也是本文试图探讨的内容。
一
A股上市公司是股东信息的个人信息处理者
依据《公司法》第一百零二条规定:“股份有限公司应当制作股东名册并置备于公司。股东名册应当记载下列事项:(一)股东的姓名或者名称及住所;(二)各股东所认购的股份种类及股份数;(三)发行纸面形式的股票编号;(四)各股东取得股份的日期。”
在数据法视野,上述规定意味着A股上市公司是股东名册的个人信息处理者,具有处理个人信息的法定义务,所处理的个人信息类型包括股东个人基本信息,个人财产信息等。尽管《公司法》对股东名册的保存期限没有进行明确规定,但从股东名册的定义来看,股东名册是公司记载有关股东及其股权状况的簿册,且本质是核验股东身份,保护公司和股东权益。因此,股东名册的保存期限应至少与股东身份存续期限保持一致。
二
中国证券登记结算有限责任公司(“中证登”)依法向A股上市公司提供股东名册
1. 中证登依照其法定职能收集处理股东名册
实际上, A股上市公司根本无法持有准确的股东名册,因为证券的频繁交易导致通常作为证券持有人的股东随时发生变化。这一困境在证券电子化交易时代,已由中证登被赋予的特殊职能解决。2001年3月,经国务院同意,中国证监会批准设立中证登。2001年10月1日起,上海证券交易所、深圳证券交易所、北京证券交易所承担的全部证券登记结算业务划归中证登承担,《证券法》规定的全国集中统一运营的证券登记结算体制由此形成。
依照《证券登记结算管理办法》,中证登动态记录股东信息的方式为“根据证券账户的记录,确认证券持有人持有证券的事实,办理证券持有人名册的登记”;其保存股东信息的义务为“应当妥善保存登记、存管和结算的原始凭证及有关文件和资料。其保存期限不得少于20年。”在《中国证券登记结算有限责任公司证券持有人名册业务实施细则》(“《证券持有人名册业务细则》”)中,可以看到中证登所收集的证券持有人名册涉及的个人信息类别包括“证券持有人姓名或名称、一码通账户号码、证券账户号码、身份证明文件号码、持有证券数量、证券持有人通讯地址等信息。”[2]在数据法视野,中证登因其履行前述法定义务而构成股东名册的数据处理者。
2. 中国证券登记结算有限责任公司依法向A股上市公司提供股东名册
同时,《证券登记结算管理办法》第二十七条规定:“上市或挂牌证券的发行人应当委托证券登记结算机构办理其所发行证券的登记业务。证券登记结算机构应当与委托其办理证券登记业务的证券发行人签订证券登记及服务协议,明确双方的权利义务。”
在数据法视野下,上市或挂牌证券的发行人(A股上市公司)必须将其证券登记业务(可视为本文中股东身份记录义务)委托给中证登完成,其根本原因系在全国集中统一运营的证券登记结算体制下,A股上市公司自身无法获得准确的证券持有人信息,只能基于《证券登记结算管理办法》要求的强制委托,间接从中证登处获取中证登依据法定义务收集处理的证券持有人信息(也即《证券持有人名册业务实施细则》进一步规定的:中证登需向证券发行人等提供包含持有人姓名、账户信息、持股数量等内容的名册信息的义务)。
概言之,证券登记结算体制中的中证登依赖其法定职能,成为了证券交易数据的数据处理者。且依据相关法律法规规定,其应当依据现行法规要求以及其与A股上市公司之间的服务协议,向A股上市公司提供持有的交易者数据。A股上市公司接受中证登提供的股东名册信息后,得以履行其《公司法》下记录核对股东身份和保障股东权益的义务。
三
中国证券登记结算有限责任公司与A股上市公司之间互为独立的数据处理者
上述证券登记结算体制下,A股上市公司与中证登之间构成了服务层面的委托关系,但并非数据层面的委托处理关系。就二者在数据法下的关系,我们初步认为双方均基于法定义务而具备独立的处理股东名册的目的,从而构成独立的数据处理者。
主要理由在于,中证登处理股东个人信息的目的和方式由《证券登记结算管理办法》明确规定。其被授权通过证券交易登记直接收集、保存个人信息并将相关个人信息登记造册、向证券发行人或股东大会召集人提供等。其处理个人信息的目的已由法规明确确认,且在目的范围内具备独立的法定授权职责和决策能力,理当属于独立的个人信息处理者。A股上市公司作为证券发行人,其依据《公司法》需履行“置备股东名册”义务,并需要依赖股东名册核对股东身份、保障股东权益,其处理目的和方式同样具有自主性,因此也属于独立的个人信息处理者。
但需要看到,二者并非数据处理的委托处理关系。我国《个人信息保护法》的体系下,受托处理者仅能按照约定处理个人信息,没有资格自主决定处理目的和处理方式,也即不属于个人信息处理者。中证登处理个人信息的目的和方式由《证券登记结算管理办法》规定,A股上市公司处理股东名册的目的则由《公司法》确定,二者之间并未就数据处理达成委托关系,数据也并未从A股上市公司处提供至中证登以供“受托处理”,因此二者不属于委托处理关系。
同时,二者也不应理解为共同处理关系。《个人信息保护法》第二十条第一款规定:“两个以上个人信息处理者共同决定个人信息处理目的和处理方式的,应当约定各自的权利和义务。”在股东名册的收集处理上,中证登和A股上市公司的目的和方式均由其各自的法定义务决定,并非由双方达成的共同合意决定。因而本文倾向认为双方并非共同处理关系。
四
A股上市公司通过中证登的服务履行了《公司法》下置备股东名册义务
(一)A股上市公司制作及置备股东名册义务之理解
根据《公司法》的规定,上市公司具有制作及置备股东名册的法定义务,且无法因中证登的证券登记义务而豁免,对于这一义务的理解应从以下几方面进行:
首先,《证券登记管理办法》第二十九条规定:“证券上市或挂牌前,证券发行人应当向证券登记结算机构提交已发行证券的证券持有人名册及其他相关资料。证券登记结算机构据此办理证券持有人名册的初始登记。”可见,上市公司在证券上市前,已完成其能力范围内的制作股东名册的义务。此条的隐含意义是,一旦公司上市,上市公司没有能力也不需要持续实时更新其股东名册。在股票交易的实时变化中仅中证登可获取相关信息,上市公司无法实时掌握股票交易动态,因此也难以实时掌握其股东个体的变化情况。
上市后,A股上市公司若需获得准确的股东名册信息,则需通过中证登获得。依据《证券持有人名册业务实施细则》,中证登提供定期和不定期两种股东名册统计服务。定期统计中,中证登设立有电子化证券簿记系统,根据证券账户的记录办理证券持有人名册登记,其数据实时更新并每月向债券发行人(即A股上市公司)提供截至上月最后一个交易日、本月10日和本月20日(该日为非交易日的,应为该日前一个交易日)的按债券总规模统计的前200名持有人名册。不定期统计中,如有获取股东名册的正当理由,如据《证券持有人名册业务实施细则》第六条“发生按照法律法规、部门规章及规范性文件、证券交易场所业务规则等明确规定需披露或报告的情况、发生股东大会、权益派发、并购重组、合并分立等公司行为、发生证券交易转让场所规定的异常波动情形、有权机关要求证券发行人核查持有人名册以及本公司认可的其他情形”时,上市公司可直接向中证登申请获得全量股东名册。可见,通过定期和不定期从中证登获得股东名册,A股上市公司已经履行了股东名册的置备义务。
(二)A股上市公司删除其接收的股东名册并未违反其在《公司法》下的股东名册置备义务
如上所述,由于电子化证券簿记系统及交易结算系统导致了A股上市公司无法实时掌握股票交易动态及其其整体的股东变化情况,因而《证券登记结算管理办法》规定了A股上市公司有权要求中证登向其定期和不定期提供股东名册。进一步思考可知,由于股东随交易实时发生变化,A股上市公司持有其股东名册仅在中证登向其定期或不定期提供的当时[3]准确且有效,且可供上市公司实现置备股东名册、核对股东审核及保护股东权益的特定目的。然而,《个人信息保护法》第八条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”由此强调了个人信息处理者应确保个人信息的准确性、完整性及时效性。[4]换言之,若个人信息无法确保其准确性、完整性及时效性,则个人信息处理者的处理目的实际上无法实现。此时依照《个人信息保护法》第四十七条[5]的规定,对于已实现、无法实现或者为实现处理目的不再必要的个人信息,个人信息处理者应当主动删除;个人信息处理者未删除的,个人有权请求删除。
综上,一方面,若A股上市公司在特定情形发生时,例如需要实现置备股东名册、核对股东身份及保障股东权益时,A股上市公司依据现行规定及其与中证登的协议,可向中证登再次申请获取股东名册。特定情形不再存续后,获取的股东名册已无法实现特定目的,则A股上市公司有权删除该股东名册。另一方面,《证券登记结算管理办法》第二十八条第二款规定的“证券登记结算机构出具的证券登记记录是证券持有人持有证券的合法证明”足以证实中证登出具的证券登记记录的合法性。这进一步说明,通过相关法律法规、部门规章,以及A股上市公司与中证登签署的服务协议,A股上市公司置备股东名册义务已交由中证登代为实现和保障。且基于目的特定性原则和数据质量保障原则,A股上市公司删除其自中证登接收的股东名册并未违反其在《公司法》下的股东名册置备义务。
五
小结
中证登与上市公司作为独立数据处理者,分别基于各方法定义务行使数据处理权。在目的限制原则框架下,处理股东名册的个人信息的必要性严格限定于股东大会、权益分派等具备正当事由的场景。此后,所获股东名册的数据质量随处理目的的实现而动态消减。因此,上市公司仅需在特定场景下通过中证登获取即时数据,使用完毕后可及时删除,且删除后亦不宜视为A股上市公司违反《公司法》下的股东名册置备义务,因为该义务已由中证登代为实现和保障。
基于上述,笔者认为相关数据处理目的实现且被删除后,不应再计入上市公司控制数据范围内,因而也不应计入《网络安全审查办法》所关注的“100万用户”范畴。
注释
[1]我国《公司法》要求股份公司置备股东名册,记载股东信息;而《证券法》规定证券登记结算机构维护证券持有人名册,记载证券持有人信息。在实践中,我国采用“穿透式账户”体系,证券账户持有人通常被认定为股东。故本文依据实务的多数情况将证券持有人与股东概念统一,排除对间接持股等特殊情况导致股东与证券持有人不统一的情形。
[2]实践中中证登向上市公司提供的股东名册表头字段包括:持有人名册、一码通账户号码、证件号码、持有人类别、总持有数量、持有比例、普通证券账户号码、普通证券账户持有数量、投资者信用证券账户持有数量、质押/冻结总数、通讯地址、联系电话、邮政编码以及股权登记日下的关联关系是否确认和备注。
[3]“定期提供”指:每月向债券发行人(即A股上市公司)提供截至上月最后一个交易日、本月10日和本月20日(该日为非交易日的,应为该日前一个交易日)。
“不定期提供”指:公司向中证登申请获取股东名册的申请日或股权登记日的下一自然日中午12点前提供。
[4]从立法历史看,《个保法》的立法稿中存在时效性的表述,从《个保法》的体系来看,其条款中多次强调个人信息处理者应确保个人信息的及时更新,因此时效性也是判断个人信息质量的重要依据。
[5]《个人信息保护法》第四十七条:“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”
作者介绍
周律师曾任职于国内著名互联网企业法律合规部,于2014年开始聚焦于网络安全和数据保护领域,受托处理了包括金融、房地产、能源、游戏、电子商务、零售和人工智能在内诸多行业领域的数据合规专项法律服务。
在数十家企业的专项数据合规服务项目中,周律师为客户提供了高效且贴合实际的解决方案,以其专业、勤勉的工作态度,以及其对于新兴业务卓越的理解能力和项目领导能力获得了客户的诸多好评。
在钱伯斯2024和2025年度的大中华区榜单中,客户对周律师的服务态度和服务质量作出了高度评价,“周杨律师非常擅长处理复杂的数据合规事务,有能力对复杂法律问题的长期、跨领域影响进行考虑和规划。”“她拥有很强的专业能力,对行业和监管动态非常敏感”“周杨律师很灵活,从意想不到的角度看待问题,这对我们解决难题非常有帮助”。
目前,周杨律师担任的社会职务包括:中国通信学会第一届网络空间安全战略与法律委员会委员、中国网络空间安全协会人工智能安全治理专业委员会委员、中国法学会会员及中国行为法学会数据要素专班成员、北京市律协数字经济与人工智能领域法律专业委员会委员、北京市朝阳区律师协会科技创新与数字经济研究会委员和中南财经政法大学硕士生校外导师。
郭芷璇于南京大学取得法学硕士学位。为顺丰、施耐德电气、TCL、SK集团、智明星通等多家行业领先企业提供境内外数据合规和产品合规,上市数据合规法律咨询及数据出境申报等服务。
★ 感谢实习生于声对本文的贡献。
声明:本文来自北京市竞天公诚律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
