老板问：VIE架构现在还能不能做？

老张，咱们认识这么多年了，你一问“VIE架构现在还能不能做”，我就知道，你心里琢磨的肯定不是个简单的是或否。这十几年，我经手过的跨境项目，从最早的“摸着石头过河”到后来的“规范发展期”，再到现在的“穿透监管”新常态，可以说，VIE这个话题就像一壶老酒，年份越久，滋味越复杂。它不是一道判断题，而是一道综合论述题，答案藏在不断演变的政策、市场环境和企业的具体诉求里。今天，我就以这二十多年跟合规、跨境投资打交道的经验，跟你掰开揉碎了聊聊，咱们不搞那些虚头巴脑的官方话，就讲点实在的。

一、 监管逻辑之变：从默许到审慎

要理解VIE的现状，首先得看清监管风向的转变。早些年，监管层对VIE的态度相对模糊，某种程度上是一种“善意的默许”，因为它解决了当时一批互联网、教育等外资受限行业企业的融资和上市难题，促进了行业发展。但这些年，情况完全不同了。核心逻辑从“促发展”转向了“防风险”和“维护国家安全”。你想想看，数据安全法、网络安全法、还有那一系列关于境外上市的新规，底层逻辑是什么？就是要看清楚、管明白这些通过复杂协议控制的企业，实质运营和最终受益到底是谁。我经手过一个案例，一家做大数据服务的公司想用VIE架构赴美上市，在数据出境安全评估环节就被卡住了。监管问得非常细：协议控制下的数据流向哪里？境内运营实体的董事会决议是否真正独立？这已经不是简单的“能不能搭架构”，而是穿透到业务本质的合规拷问。现在谈VIE，第一个要放弃的幻想就是“钻空子”，必须把它放在国家安全、数据主权和金融稳定的大棋盘上来考量。

这种审慎，还体现在对“红筹架构”全链条的监管协同上。以前可能只管外汇出去（ODI备案），现在是从境内权益重组开始，到外汇出境，再到境外上市备案（或核准），最后到后续的持续合规报告，形成了一条完整的监管链条。任何一个环节的瑕疵，都可能成为未来的“爆雷点”。我个人的感悟是，行政工作最大的挑战，已经从“如何把材料做漂亮通过审批”，变成了“如何真正理解监管意图，帮助企业构建经得起穿透和时间考验的合规模式”。这要求我们专业人士不能只当“文件搬运工”，更要成为“风险解码器”和“架构设计师”。

二、 行业准入：并非所有领域都欢迎VIE

这是决定VIE可行性的生死线。老板们必须清醒认识到，负面清单就是高压线。对于完全禁止或限制外资进入的领域（比如新闻传媒、核心网络基础设施等），想通过VIE架构绕道而行，在当前的监管环境下，基本等同于“火中取栗”，风险极高，成功概率极低。监管的“穿透”能力今非昔比，那种指望靠一纸协议瞒天过海的想法，可以彻底放弃了。

那么，哪些行业相对还有讨论空间呢？通常是那些外资准入特别管理措施（负面清单）中未明确禁止，但存在一些模糊地带或需要行业主管部门前置审批的领域，例如部分增值电信业务、在线教育（学科类培训已明确禁止）、互联网文化娱乐等。但即便在这些领域，也绝非坦途。以在线教育为例，“双减”之后，学科类培训的VIE之路彻底封死，但素质教育、职业教育等非学科领域，监管态度依然审慎，会重点关注教学内容、用户数据（尤其是未成年人数据）的处理是否符合中国法律。我记得帮一家职业培训平台做架构评估时，我们花了大量时间和律师、业务部门一起，重新梳理用户协议、数据分级分类管理制度，并向网信、教育等部门进行非正式咨询，才勉强摸到一点边界。这个过程非常煎熬，充满了不确定性。

在考虑VIE之前，老板你需要问自己的第一个问题就是：我的主营业务，在最新的负面清单和行业监管政策里，到底处于什么位置？这个问题的答案，需要专业的法律和政策研判，绝不能想当然。

三、 合规基石：ODI备案的“真实性”考验

无论架构怎么搭，境内资金合法出境的第一步——境外直接投资（ODI）备案——是绕不开的坎。现在的ODI备案，早已不是填几张表那么简单。监管关注的核心是“真实性、合规性、合理性”。具体来说，他们会死死盯着你这笔钱出去是干什么的？是不是真实投资？有没有虚构交易？投资路径是否清晰合理？

我遇到过不少老板，还抱着老黄历，觉得可以做个“包装”。比如，实际是为了搭建VIE架构在境外设立壳公司，却在申请材料里写成“境外技术研发中心”或“市场拓展”。这在现在几乎行不通。商务部门和发改部门会要求提供详尽的投资计划、境外公司的商业合同、人员配置计划、甚至未来的现金流预测。如果你设立的BVI公司只有一个秘书，没有任何实质业务，很难通过审查。这就是为什么现在强调境外公司也要具备“实质运营”的雏形。一个真实的案例：一家游戏公司为了海外上市搭建架构，我们在设计ODI方案时，就建议其将部分海外游戏发行和运营业务真实地注入到境外公司，并配置了相应的团队和业务合同，使得整个投资故事丰满、可信，最终顺利通过了备案。这告诉我们，合规的前提是商业实质的真实呈现。

多层嵌套的架构也受到严格审视。过去喜欢搭的“BVI-开曼-香港”多层结构，现在每一层的设立目的、资金流转必要性都需要合理解释。监管担心的是资金空转、隐匿最终受益人以及洗钱风险。简化、透明的架构在当下更受青睐。

四、 数据与网络安全：不可逾越的“防火墙”

对于互联网、科技类企业，这是VIE架构下最敏感、也最容易触发监管红线的领域。《网络安全法》《数据安全法》《个人信息保护法》构成了严密的监管网络。在VIE协议控制下，境内运营实体（WFOE或内资公司）往往掌握着核心数据和用户信息。这些数据如何流向境外的上市主体？是否存在违规出境？是否能被境外司法机构长臂管辖？这些都是监管的灵魂拷问。

实践中，必须建立严格的数据隔离和合规出境机制。比如，通过签订详细的数据处理协议，明确境内主体作为独立的数据处理者责任；涉及数据出境的，必须依法完成安全评估、标准合同备案或通过保护认证。我参与处理过一个棘手案例，一家拟上市企业的APP用户量巨大，其VIE协议中关于数据共享的条款过于宽泛，被监管问询函多次质疑。我们不得不协助企业重新设计数据流转模型，将可出境的数据范围大幅收窄，并加固了本地化存储和审计措施，过程可谓惊心动魄。这充分说明，数据合规不再是IT或法务部门的后台工作，它直接关系到VIE架构的合法存续和上市进程的成败。

五、 协议控制本身的风险与稳定性

VIE的核心是一系列控制协议（借款协议、股权质押协议、独家业务合作协议、投票权委托协议等）。它的法律风险始终存在，因为其效力建立在相关合同法和司法解释之上，而非《公司法》的股权控制。在境内司法实践中，虽然多数案例支持了VIE协议在非以非法目的为前提下的有效性，但并非没有争议。

风险主要体现在几方面：一是违约风险。如果境内运营实体的创始人（名义股东）反悔，拒绝履行协议，尽管境外上市公司可以提起诉讼，但诉讼过程漫长且结果存在不确定性。二是政策风险。如果未来出台明确禁止VIE架构的法规，可能导致协议被认定为无效。三是执行风险。即使法院判决支持，在执行股权质押、资产转移等操作时，也可能面临实操障碍。这些风险在招股书中都必须作为“风险因素”进行充分披露，会影响投资者的信心和公司估值。

现在搭建VIE，对协议文本的严谨性要求空前提高。需要尽可能穷尽各种可能发生的不利情形，并设置相应的违约条款、替代履行方案和仲裁机制（通常选择香港或新加坡仲裁）。要通过公司治理、日常管理、财务控制等多维度加固对境内实体的实际控制力，不能仅仅依赖一纸协议。

六、 未来出路：拆除、转型与替代方案

面对高压监管，许多已有VIE架构或正在考虑的企业，也在寻找新的出路。无非是几条路：一是主动拆除VIE，回归国内资本市场（A股或港股主板）。这条路适合业务主要在国内、符合国内上市条件、且创始人团队对控制权有较强诉求的企业。但拆除过程涉及外汇回流、税务处理、股东结构调整等一系列复杂操作，成本高昂。

二是探索无VIE的境外上市路径。比如，对于不属于负面清单禁止类的业务，是否可以尝试直接使用股权控制的外商投资企业（WFOE）作为上市主体？或者利用海南、横琴等自贸区的特殊政策？这需要极致的业务剥离和重组技巧。

三是暂缓上市，聚焦业务合规内功。对于一些处于敏感行业的企业，或许当下最明智的选择不是执着于上市架构，而是将业务彻底按照中国法律法规进行合规化改造，等待政策进一步明朗。比如，将数据业务进行彻底本地化分割，明确服务边界。我见过一位非常清醒的创始人，在咨询我们后，决定暂停激进的上市计划，转而花两年时间重构公司的数据治理体系，虽然短期牺牲了速度，但为长期发展打下了更安全的基础。

结论：能做，但已是“戴着镣铐的舞蹈”

老张，回到你最初的问题：“VIE架构现在还能不能做？”我的答案是：技术上依然存在操作空间，但它已经从一个“便捷通道”变成了一个“高难度、高风险、高合规成本”的特殊选项。它不再是一个默认选择，而是一个需要经过严格论证、权衡利弊之后的无奈之选或最后之选。

对于企业而言，决策逻辑必须彻底改变：业务合规先行，架构设计在后。首先要确保主营业务完全符合中国法律法规和监管精神；要充分评估所有替代方案；如果仍决定采用VIE，必须抱着“全透明、真合规”的心态，接受从始至终的穿透监管，在ODI备案、数据安全、协议设计等每一个环节都做到扎实、经得起考验。

展望未来，我认为监管对红筹架构的“阳光化、规范化”管理趋势不会改变。企业与其纠结于架构技巧，不如回归本质，把公司业务做实、合规做透。只有这样，无论架构如何变化，企业都能拥有应对风险的底气和持续发展的生命力。