2023년 3월 31일, <국내 기업의 해외 증권 발행과 상장 관리 시행 방법>(이하 “해외 상장 신규 규정”)과 관련된 지침이 시행되어, 국내 기업의 해외 상장이 공식적으로 신고제로 전환되었다. 이 중 하나인 <국내 기업의 해외 증권 발행과 상장 관련 비밀 유지 및 기록 관리 강화에 관한 규정> (이하 <비밀유지 및 기록보관 규정>)은 다양한 논의를 불러일으키며, 특히 기업이 증권 발행 과정에서 어떻게 비밀 유지 의무를 이행하는지에 대한 규정(이하 “비밀 조항”)이 많은 관심을 받고 있다. 이에 따라 본문에서는 해당 규정과 관련된 다른 법률과 규정을 종합적으로 고려하여, 해외 상장을 계획 중인 국내 기업이 어떻게 감독 기관과 협력하며 비밀 유지 의무를 적절하고 완벽하게 이행할 수 있다. 이로써 도움이 되기를 기대한다.
1. 법규 연혁
실제로 국내 기업의 해외 상장에 관한 비밀 유지 감독은 새로 제기된 문제가 아니다. 이미 2009년 10월 20일에 중국증권감독관리위원회, 국가보안국, 국가기록국이 공동으로 <해외 증권 발행과 상장 관련 비밀과 기록 관리 강화에 관한 규정>(증권감독위 공고[2009]29호)을 발표하여 국내 기업의 해외 증권 발행과 상장 과정에서 국가 기밀과 기록 관리 등에 대한 감독을 시행하였다. 해당 규정은 국내 기업의 해외 증권 발행과 상장 과정에서 정보 보안 관리, 특히 관련 비밀 문서를 외부에 제공하는 절차적 관리에 긍정적인 역할을 수행하였다.
<비밀유지 및 기록보관 규정>은 구식의 것을 새롭게 포장한 것으로, 중국증권감독관리위원회가 재정부, 국가보안국, 국가기록국과 함께 “해외 증권 발행과 상장 관련 비밀과 기록 관리 강화에 관한 규정” (증권감독위 공고[2009]29호)의 프레임과 논리적 기초를 바탕으로 최신의 실무 상황을 반영하여 수정하였다.
2. 비밀유지 조항의 적용
가.적용 환경
<비밀유지 및 기록보관 규정> 제2조에 따르면, 비밀유지 조항은 국내 기업의 보안 의무 감독과 관련하여 “중화인민공화국 국내 기업이 직접 또는 간접적으로 국외에서 증권 발행하거나 해당 증권을 국외에서 상장 거래” 과정에서 각 주체(국내 기업, 중개 기관, 감독 기관 및 기타 관련 당사자)가 국내 기업에게 보안 정보를 제공하는 관련 사항(주로 보안 정보를 제공하거나 공개적으로 공개하는 행위)에 대해 적용된다.
이에 따라 기밀유지 약관의 구체적인 사용 환경을 다음과 같이 분석:
(1)최초 공개 및 출시
비밀 유지 조항에서 강조하는 최초 공개 발행 및 상장은 “국내 기업이 직접 또는 간접적으로 국외에서 증권을 발행하는” 것으로 간주된다. 따라서, 본 법무법인은 최초 공개 발행 및 상장에는 다음과 같은 상황이 포함된다고 판단하도 있다:
(가) 해외 직접상장
국내 기업이 자체적으로 최초 공개 발행 및 상장의 주체로서 직접 국외 거래소에 상장 신청을 하고 국외 거래소에서 증권을 발행하는 경우를 말한다. 예: 홍콩 H주
(나) 간접적 해외 상장:
국내 기업이 외국 지분주체(홍콩상장/유사 홍콩상장 구조)를 통하거나 계약(VIE 구조)을 통해 국외 거래소에 최초 공개 발행 및 상장을 하게 되는 경우를 말한다. 예: 대만에 상장되어 있는 대표주주가 발행주식을 하고 있는 대외기업(F주, T주)이나 국내 기업이 VIE 구조를 통해 미국 나스닥에 주식을 발행하는 것이 해당된다.
(2)“재발행” 또는 “풀 유통”
상술한 사례들 이외에도, 비밀유지 조항에서는 국내 기업이 “해외에서 기 상장된 증권을 거래”하는 것을 감독하는 것으로 언급하고 있다. 따라서, 본 법무법인은 해당 감독 환경에서 상장 이후 주식 추가 발행, 전환사채 발행, 전체 유통 등 기 상장된 기업이 증권을 재발행 하는 경우를 포함하나 이에 국한되지 않는다고 판단하고 있다.
나.감독관리 주체
<비밀유지 및 기록보관 규정> 제10조에 따르면, 중국증권감독관리위원회, 재정부, 국가보안국, 국가기록국은 비밀유지 조항에 따른 주요 감독 주체로서 “협력 체제를 구축하고, 각자의 권한 범위 내에서 법에 따라 국내 기업의 해외 증권 발행과 상장 활동과 관련하여 비밀유지 및 기록 관리에 관한 사항을 규제하고 감독 검사를 수행할 것” 이다.
비밀유지 조항에서 언급된 세 가지 유형의 비밀유지 정보에 대한 감독 주체는 다음과 같다:
1.국가 기밀, 국가 기관 업무 기밀
일반적으로 비밀유지 정보의 비밀 등급에 해당하는 동등한 비밀유지 행정 관리 기관 (국가 및 지방 비밀유지국)이 감독 주체이다. 구체적인 기밀의 내용, 생성, 보관 등 상황에 따라 관련 업무 주관 부서 (개인 정보와 관련된 경우 국가 인터넷 정보부에서 검토를 요구할 수 있다).
2.유출 시 국가 보안 또는 공공 이익에 불리한 영향을 미칠 수 있는 문서, 자료
특정 문서, 자료의 내용에 따라 감독 주체가 결정된다. 예: 대량의 개인 정보가 포함된 경우 국가 인터넷 정보부에서 검토 및 승인할 수 있다.
다.감독관리 대상
<비밀유지 및 기록보관 규정> 제2조에 따르면, 비밀유지 조항의 감독 대상은 다음과 같다: (1) 국내 기업으로서 해외 직접 상장한 국내 주식회사와 해외 간접 상장 주체의 국내 운영 기관을 포함한다. (2) 증권 회사, 증권 서비스 기관으로서 국내와 해외에서 국내 기업의 해외 증권 발행과 상장 업무를 수행하는 기관을 포함한다.
3. 비밀 정보의 공개 절차
국내 기업이 직접 또는 간접적으로 (즉, 증권 회사, 증권 서비스 기관 등을 통해) 보안 정보를 공개적으로 공개하거나 제공하는 경우 다음 절차를 따라야 한다:
(기밀정보의 공개절차 흐름도)
제1단계: 비밀 정보에 해당하는지 여부 판단
국내 기업은 관련 법규와 규정에 따라 제출하거나 제공할 문서와 자료에 대해 검토하고, 해당 문서와 자료가 국가 기밀/국가 기관 업무 비밀에 해당하는지 여부를 판단해야 한다.
국가 기밀 판단:
<중화인민공화국 국가비밀보호법> 제10조에 따르면, 국가 기밀의 내용 및 유출로 인한 영향과 결과에 따라 국가 기밀은 극비, 기밀, 비밀 세 등급으로 구분된다. 일반적으로 제출하거나 제공할 문서와 자료가 국가 기밀에 해당하는지 여부를 판단하는 것은 비교적 직접적이고 간단하다. 보통 국가 기밀과 관련된 문서와 자료는 문서의 좌우 상단에 “비밀 등급★”, “비밀 등급★ 비밀 유지 기간”, “비밀 등급★ 해제 시간” 또는 “비밀 등급★ 해제 조건”과 같은 형태의 국가 기밀 표식으로 표시된다.
만약 국내 기업이 제출하거나 제공할 정보가 국가 기밀로 분명하지 않거나 분쟁이 있는 경우, 관련 보안 행정 기관에 상담을 신청해야 한다.
국가기관의 업무비밀 판단:
관련 법규 및 규정에서 국가 기관 업무 기밀의 기준을 명확하게 규정하고 있지 않으며, 일반적으로 각 기관이 자체적으로 결정한다. 따라서 국내 기업은 다음과 같은 세 가지 측면을 고려하여 초기 판단을 할 수 있다.
(1)정보가 행정 기관의 업무 활동 또는 내부 관리에서 비롯된 것인지,
(2)정보 유출이 행정 기관의 작업 질서를 방해하거나 기능 수행에 영향을 미치는지,
(3)정보가 일정 기간 동안 유지되어야 하는지, 관련 문서에 “내부 문서, 공개 금지” 등의 표기가 있는지 등.
만약 국내 기업이 제출하거나 제공할 정보가 국가 기관 업무 기밀로 분명하지 않거나 분쟁이 있는 경우, 관련 업무 주관 부서에 상담을 신청해야 한다.
제2단계: 승인 및 등록
국내 기업이 제출하려는 정보가 국가 기밀/국가 기관 업무 기밀에 해당하는 경우, <중화인민공화국 국가비밀보호법>, <국가 비밀 결정 관리 잠정 규정> 및 기타 관련 법규와 규정에 따라 관련 보안 행정 기관, 업무 주관 기관 등에 승인을 신청하고 해당 사항을 동등한 보안 행정 기관에 등록해야 한다.
제3단계: 국가 안보 또는 공공 이익에 불리한 영향을 미칠 수 있는 문서, 자료에 해당하는지 여부 판단
만약 제출하려는 정보가 국가 기밀/국가 기관 업무 기밀에 해당하지 않는 경우, 국내 기업은 여전히 해당 문서와 자료가 국가 안보 또는 공공 이익에 불리한 영향을 미칠 수 있는지 여부를 판단해야 한다 (“국가 안전 정보”). 현재 중국 국가 안전 정보의 정의와 범위를 명확히 규정한 법률, 규정이 없으나 국가 안보와 공공 이익의 원칙에 기반하여, 네트워크 보안과 데이터 이동 관련 법규 및 규정을 참조하여 논증할 수 있다. 예:
(1)정보의 규모, 범위, 종류, 민감도,
(2)해당 정보가 도난, 유출, 파괴 또는 불법적으로 이용될 위험이 있는지,
(3)해당 정보의 유출이 국가 안보, 공공 이익, 개인 또는 단체의 합법적 권리에 대한 위험과 영향이 있는지.
예: 국내 기업이 제출하려는 정보가 <데이터 경외이전 안전 평가 방법>의 안전 평가 절차를 따라야 하는 정보에 해당된다면, 기업은 자체 평가를 완료한 후, 지방 민원부서에 안전 평가 심사를 신청하고, 최종적으로 국가 왕신판에서 전문 기관으로 평가 및 심사를 진행한 후, 해당 정보를 제공할 수 있다.
제4단계: 비밀유지 부수 의무
위 단계 완료 후, 제출된 파일이 보안 조항에 정의된 3 가지 보안 정보에 해당하는 경우, 다음과 같은 부수 의무를 이행해야 한다:
(1)서면 설명 제출 및 보관
<비밀유지 및 기록보관 규정> 제5조에 따르면, 국내 기업은 관련 증권 회사, 증권 서비스 기관에 서면으로 설명을 제출해야 한다. 증권 회사, 증권 서비스 기관은 해당 서면 설명을 적절히 보관하여 참조할 수 있도록 해야 한다.
본 법무법인은, 해당 서면 설명은 국내 기업이 상장과정에서 이행해야 할 비밀유지 의무를 설명하고, 관련 증권 회사, 증권 서비스 기관이 해당 정보를 받은 후 이행해야 할 절차와 의무를 명확히 해야 한다고 생각된다.
(2)비밀 유지 협정 체결
<비밀유지 및 기록보관 규정> 제6조에 따르면, 국내 기업은 상기 “비밀 해제 절차” 이행 후, 관련 법규와 규정에 따라 관련 증권 회사, 증권 서비스 기관 등과 비밀 유지 협정을 체결해야 한다. 이로써 관련 증권 회사, 증권 서비스 기관 등은 비밀 유지 의무와 책임을 명확히 해야 한다.
(3)정보 탈감작 및 암호화 작업 완료
제출된 비밀 정보에 대해 필요한 탈감작 작업을 수행하고, 필요 없는 정보는 선택적으로 삭제하거나 숨길 수 있으며, 민감한 정보는 정확성과 필요성에 영향을 주지 않는 선에서 비식별화 규칙을 통해 필요한 변형 작업을 수행하고, 제출 시 필요한 암호화, 누출 및 변경 방지 등의 작업을 수행하여 비밀 정보의 안전한 보호를 실현해야 한다.
제5단계: 정보제공 및 지속적인 관심
국내 기업은 위의 4단계를 완료한 후 관련 비밀 문서 및 자료를 관련 증권사 및 증권 서비스 기관에 제공할 수 있다. 국내 기업이 비밀 정보를 제공한 후 수령인은 중국 기밀 및 파일 관리 요구 사항을 준수하고 관련 기밀 정보를 적절하게 보관해야 한다. 국내 기업, 증권사, 증권 서비스 기관 및 기타 관련 기관은 기밀 정보의 사용 및 보관에 지속적으로 주의를 기울여야 하며 기밀 정보가 이미 유출되었거나 유출될 가능성이 있는 경우 즉시 시정 조치를 취하고 적시에 관련 기관 및 단위에 보고해야 한다.
상기 비밀유지 의무 이행 절차를 완료 후, 국내 기업은 관련 주체에게 비밀 정보를 제공하기 전에 중국 관련 법규와 규정에 따른 데이터 이동 관련 의무도 이행해야 한다. 이에 관한 자세한 내용은 추후 기사를 참고하고, 본 글에서는 해당 부분에 대한 자세한 설명을 생략한다.
4. 시장 주체는 어떻게 규제를 받아들여야 하는지.
국내 기업 및 증권 회사, 증권 서비스 기관은 <비밀유지 및 기록보관 규정> 및 기타 관련 법규와 규정에 따라 비밀유지 의무를 이행해야 한다. 중요한 점은, 만약 규제 주체가 비밀유지 의무를 위반 시, 규제 주체(관련 업무의 직접적 책임자 포함)는 행정 책임 또는 형사 책임을 부담할 수 있는 리스크가 존재한다. 따라서, 규제 주체들은 적극적으로 비밀유지 의무를 이행하고 규제를 협조하는 것이 중요하다.
이를 위해, 관련 규제 주체들은 다음과 같은 접근 방법을 적용하여 비밀유지 의무의 이행을 보장해야 한다:
1.완벽하고 효과적인 비밀유지 체계를 구축하고 구체적인 책임자와 권한 범위를 확정해야 한다.
2.비밀유지 의무를 실행하는 책임을 철저히 이행하고 내부 직원들의 교육을 강화하며, 관련 규정에 따라 직무상 과실 직원에 대해 엄격한 책임 추적 절차를 시행해야 한다.
3.제출하는 파일과 자료의 성격을 식별하고 판단한다.
4.비밀 유지 관련 업무 처리를 지원하기 위해 법률 준수 팀을 도입한다.
5.국내 기업이 일상적으로 접하는 작업에 3 가지 비밀 정보가 관련된다면, 기술 보호와 유효한 저장이 가능한 중국 내 저장 공급업체를 선택해야 한다.
6.비밀 정보 제공과 관련된 규정에 따라 규정 절차를 엄격히 준수하며, 필요한 절차를 완료하기 전까지는 관련 주체에게 비밀 정보를 제공하지 않도록 한다.
7.기 제공된 비밀 정보의 보관 상태를 지속적으로 주목하고 발생 가능하거나 이미 발생한 유출에 대해 적시에 보완 및 보고 절차를 이행해야 한다.