文 | 北京工商大學商學院教授、北京工商大學注冊會計師行業(yè)研究院院長 王鵬程

財政部和國家網信辦近日聯合印發(fā)《會計師事務所數據安全管理暫行辦法》（以下簡稱《暫行辦法》）。《暫行辦法》規(guī)范了會計師事務所數據處理活動，有助于注冊會計師行業(yè)加強數據安全管理工作，具有十分重要的意義。

落實法律要求 完善行業(yè)制度

黨的二十大報告提出“以新安全格局保障新發(fā)展格局”，體現了統籌發(fā)展和安全的根本要求，明確了構建新安全格局的戰(zhàn)略任務。習近平總書記在主持召開中央全面深化改革委員會第二十六次會議時強調，數據基礎制度建設事關國家發(fā)展和安全大局，要維護國家數據安全，保護個人信息和商業(yè)秘密，促進數據高效流通使用、賦能實體經濟，統籌推進數據產權、流通交易、收益分配、安全治理，加快構建數據基礎制度體系。

2017年6月1日，《中華人民共和國網絡安全法》正式施行。之后，我國相繼頒布《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》等法律法規(guī)。國務院也在2021年發(fā)布的《國務院辦公廳關于進一步規(guī)范財務審計秩序 促進注冊會計師行業(yè)健康發(fā)展的意見》（國辦發(fā)〔2021〕30號）中強調要加快推進注冊會計師行業(yè)法律和基礎制度建設，及時跟進健全相關制度規(guī)定。

會計師事務所是數字經濟發(fā)展中非常特殊的一類機構。由于其業(yè)務的特點，會在工作過程中接觸到包括金融、能源、電信、交通、科技、國防科工等重要領域在內的各行各業(yè)的數據，而且會計師事務所通常具有較強的數據分析能力，因此亟需行業(yè)規(guī)范其數據處理活動。《暫行辦法》是對前述法律、法規(guī)和文件要求的全面落實，是在注冊會計師行業(yè)對國家網絡和數據安全管理相關規(guī)定的細化，將有力推動注冊會計師行業(yè)數據安全管理工作制度化、規(guī)范化，同時順應數字經濟發(fā)展趨勢，為會計師事務所依法合規(guī)開展數據處理活動提供了依據，有利于保障會計師事務所的數據安全。

進行頂層設計 規(guī)范重點內容

《暫行辦法》是會計師事務所數據安全管理的頂層設計藍圖。一是全面對接《中華人民共和國數據安全法》等法律法規(guī)要求。在注冊會計師行業(yè)對國家數據安全管理制度進行細化，明確落實數據分級分類管理制度、各類數據處理要求、數據安全保護義務等法律規(guī)定，為行業(yè)數據安全監(jiān)管提供制度保障；二是明確數據管理要求。根據注冊會計師行業(yè)的實際情況，明確了會計師事務所數據管理的主要內容、責任人員、管理要求、網絡防護等要求，指導行業(yè)健全數據安全管理和技術保護措施，履行保護義務；三是構建注冊會計師行業(yè)數據安全監(jiān)管體系。明確財政部、國家網信辦、地方財政部門、地方網信部門和注冊會計師協會，以及公安機關、國家安全機關等各方面的職責范圍，建立了權責一致的工作機制。確保有效銜接，加強信息共享，推動實現跨地區(qū)、跨部門、跨層級協同監(jiān)管。

《暫行辦法》主要適用于境內依法設立的會計師事務所開展的審計業(yè)務相關數據處理活動?！稌盒修k法》所指數據，包括會計師事務所執(zhí)行審計業(yè)務過程中從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。

《暫行辦法》要求會計師事務所應按照相關法律法規(guī)的規(guī)定和被審計單位所處行業(yè)數據分類分級的標準，確定核心數據、重要數據和一般數據，并對核心數據和重要數據的存儲、相關日志、傳輸等作出明確要求。

《暫行辦法》要求會計師事務所審計工作底稿應按相關規(guī)定存放在境內，不得在業(yè)務約定書或類似合同中約定向境外監(jiān)管機構提供境內項目資料數據等類似條款?！稌盒修k法》對審計工作底稿出境事項亦明確了相關要求。

《暫行辦法》對會計師事務所在建立內部網絡安全管理制度、網絡管理資源投入、網絡安全技術防護、網絡管理賬戶權限等方面做出具體要求，指導會計事務所為數據安全管理工作提供安全的的網絡環(huán)境。

《暫行辦法》要求會計師事務所建立數據備份制度，確保在審計相關應用系統因外部技術原因被停止使用、被限制使用等情況下，仍能訪問、調取、使用相關審計工作底稿。加密設備應當設置在境內并由境內團隊負責運行維護，密鑰應當存儲在境內。

《暫行辦法》要求會計師事務所擁有其審計業(yè)務系統中網絡設備、網絡安全設備的自主管理權限，統一設置、維護系統管理員賬戶和工作人員賬戶，不得設置不受限制、不受監(jiān)控的超級賬戶，不得將管理員賬號交由第三方運維機構管理使用。截至目前，我國有35家會計師事務所加入或創(chuàng)建了28個國際會計網絡，行業(yè)對外交流合作日益密切。

《暫行辦法》規(guī)定，加入國際網絡的會計師事務所使用所在國際網絡的信息系統的，應當采取必要措施，使其符合國家數據安全法律、行政法規(guī)和本辦法的規(guī)定，確保本所數據安全。

落實辦法要求 筑牢安全防線

《暫行辦法》明確規(guī)定會計師事務所的首席合伙人（主任會計師）是本所數據安全負責人，并要求會計師事務所應當按照業(yè)務活動規(guī)模及復雜程度配置具備相應職業(yè)技能水平的網絡管理技術人員，確保合理的網絡資源投入和資金投入。建議會計師事務所將數據安全管理納入經營管理的頂層政策進行考慮。對此，可從以下幾方面著手建設：

一是健全數據安全治理結構。會計師事務所應健全本所的數據安全管理組織架構，明確數據安全管理權責機制，實施與業(yè)務特點相適應的數據分類分級管理制度。
二是建立數據全生命周期安全管理體系。數據安全貫穿數據生命周期的各個環(huán)節(jié)，即數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。數據安全有賴于每個環(huán)節(jié)的安全管理要求和技術保障能力，且數據安全風險具有快速隱蔽的特點。會計師事務所應提高數據管理的精準度，實行智能化管理，對已收集的數據進行自動化分析、智能化分級，在降低數據管理成本的同時，實現數據的精準高效管理。
三是提升數據安全事件應急處理能力。會計師事務所應當建立數據安全應急處置機制，加強數據安全風險監(jiān)測。一旦發(fā)現數據外泄、安全漏洞等風險的，應當立即采取補救、處置措施。發(fā)生重大數據安全事件，導致核心數據或者重要數據泄露、丟失或者被竊取、篡改的，應當及時向有關主管部門報告。
四是加強數據安全人才隊伍建設。會計師事務所應組建一支數字化素養(yǎng)良好、數據安全管控意識強、數據管理基礎扎實的數據安全管理核心隊伍，通過事前預防、事中監(jiān)控、事后追蹤的方式，密切關注注冊會計師行業(yè)數據安全重點領域、重點時空節(jié)點，維護本所數據安全。
五是提高數據安全風險防范意識。隨著各類數字化技術在會計師事務所的廣泛應用，信息系統中的數據量不斷增多且新型網絡攻擊層出不窮。會計師事務所在加大信息系統安全防護能力的同時，必須加強全員安全防范意識。要營造全所的數據安全保護氛圍。會計師事務所可充分利用國家網絡安全宣傳周等契機，發(fā)揮線上線下多渠道宣傳優(yōu)勢，通過事務所網站、微信公眾號、宣傳展板以及網絡數據安全體驗展、知識競答、專題講座等方式，普及數據安全保護相關的法律知識，提升員工網絡風險意識、安全意識和責任意識，形成全所上下共同維護數據安全的良好環(huán)境。

加大監(jiān)管力度 強化協同配合

《暫行辦法》構建了橫向協同、縱向聯動的行業(yè)數據安全監(jiān)管機制,明確財政部門、網信部門、公安機關、國家安全機關等各方職責。在對會計師事務所進行監(jiān)督檢查的過程中，各部門應確保有效銜接，加強信息共享，推動實現跨地區(qū)、跨部門、跨層級協同監(jiān)管。

數據安全是注冊會計師行業(yè)的“生命線“，推動其數據安全保護體系的構建，不僅有助于加強會計師事務所的數據安全，而且也能夠切實保障各行各業(yè)的數據安全和國家的數據主權。

（來源：中國會計報）