压实行业数据安全责任　促进行业健康发展

薛爽

作者简介：薛　爽，上海财经大学会计学院教授，博士生导师。

《“十四五”数字经济发展规划》发布以来，企业数字化发展速度之快、辐射范围之广、影响程度之深前所未有，数字经济成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。企业通过数字化技术和信息化手段，对传统产业和商业模式不断进行创新和升级。这一过程中，数据越来越成为企业发展的核心驱动力。会计师事务所在为企业提供审计服务的过程中，需要获取企业大量的业务和财务数据，保证这些数据的安全不仅关系到企业的利益，也关乎到国家经济安全。在此背景下，财政部和国家网信办近日联合印发《会计师事务所数据安全管理暂行办法》（以下简称《暂行办法》），并将于2024年10月1日正式实施，该办法的出台将对注册会计师行业健康发展产生重要影响。

一、夯实注册会计师行业数据基础建设，促进财会监督落地

首先，数据安全管理关乎国家安全和社会稳定。随着数字经济的不断发展，信息化程度越来越高。国家重要部门、关键基础设施、金融系统等在运营过程中会产生大量数据。除了在企业端要加强数据安全管理外，对会计师事务所在开展审计和咨询服务时所获取的客户数据的安全管理同样重要。《暂行办法》的出台对保障国家信息安全具有重要意义。

其次，数据安全关乎企业信誉与经济利益。会计师事务所每年对上市公司、金融企业、中央企业等的财务报告进行审计。在审计内控测试和实质性测试过程中，需要对公司合同的签订、供应链伙伴的往来等业务数据和财务数据进行抽样，这些数据同时也是企业运营和管理的重要资源，往往涉及企业的商业机密、客户隐私、财务指标等重要信息，一旦这些数据泄露或被篡改，将对企业的声誉、经济利益和客户信任造成严重影响。

第三，会计师事务所在对平台类、金融类以及其他主要为个人提供产品或服务的客户进行审计时，不可避免地涉及到个人信息的提取。这些数据关系到个人隐私和公民权益，《暂行办法》的出台回应了保护个人隐私和公民权益的迫切需求。

综上，《暂行办法》的出台对于加强注册会计师行业数据安全管理进而维护国家安全和社会稳定、保护企业利益、保障个人隐私和公民权益具有重要意义。它的发布不仅是对近年来国家相继颁布的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法的贯彻落实，也是对国务院发布的关于促进注册会计师行业健康发展相关文件精神的细化和深化。本办法的实施将强化注册会计师行业基础制度建设，压实数据安全责任，促进财政部财会监督职责的有效落实。

二、重点关注数据及网络管理，压实相关责任

《暂行办法》包括总则、数据管理、网络管理、监督检查和附则五章，其中核心内容为前四章。

（一）明确本办法的适用对象和范围

《暂行办法》适用的审计对象精准呼应了《中华人民共和国数据安全法》中“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度”的规定，包括境内依法设立的会计师事务所为上市公司以及非上市的国有金融机构或中央企业等提供的审计服务；为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供的审计服务；为境内企业境外上市提供的审计服务，以及虽不属于前三类业务但涉及重要数据或者核心数据的审计业务。适用的数据范围包括会计师事务所执行审计业务过程中从外部获取和内部生成的任何以电子或者其他方式对信息的记录。

（二）对数据管理的治理机制提出明确要求

《暂行办法》的数据管理章分别从制度建设、组织架构、数据分类、权限管理和应急处置等方面提出全面要求。制度建设方面，要求会计师事务所建立健全数据全生命周期安全管理制度，包括数据运营、管控机制和权限管理等；组织架构方面，强调了建立数据安全管理组织架构和明确责任机制的重要性；数据分类管理方面，提出了实施与行业业务特点相适应的数据分类分级管理的要求，比如要求将数据分为核心数据、重要数据和一般数据并适用不同级别的安全管理；权限管理方面，特别强调了应按照最小授权原则设置数据访问和处理权限，并定期复核和记录数据访问；本章还要求会计师事务所应当建立数据安全应急处置机制，加强数据安全风险监测。

除了以上方面，数据管理章还对数据存储、备份、审计底稿等方面提出了刚性要求，强调了数据管理的合法性与合规性，明确了会计师事务所首席合伙人作为数据安全负责人的角色。

（三）强化网络安全意识，优化网络安全管理基础设施

网络管理章对会计师事务所建立和完善网络安全治理架构、人员配置、网络访问、加入国际网络等进行了规范。首先，会计师事务所应建立完善的网络安全治理架构，并建立内部决策、管理、执行和监督机制，强调了内部管理的规范性。其次，明确了人员配置的重要性，会计师事务所应根据业务活动规模及复杂程度配置具备相应职业技能水平的网络管理技术人员，保证合理的网络资源和资金投入。第三，对网络隔离措施和访问权限控制方面进行了规范。最后，针对我国有35家会计师事务所加入或创建了28个国际会计网络的情况，要求会计师事务所在涉及跨境业务时，需根据国家数据安全相关法律法规采取必要措施，确保数据安全。

（四）明确数据安全监督检查责任，强调各监管部门协作共享

监督检查章对数据安全监督检查的权利和责任进行了规范，体现了对数据安全问题的高度重视，也为监管部门对会计师事务所数据安全监督检查提供了法律依据和操作指南。首先，要求各级有关部门建立会计师事务所数据安全监管信息共享机制，通过加强合作与信息共享，能够更加高效地发现和应对潜在的安全风险，提升监管的效率与协同，同时也可减少被检查对象应对多部门检查的负担。其次，对监督检查的主体和职责进行了明确划分，省级以上财政部门、网信部门、公安机关以及国家安全机关分工负责，形成多方合作的监管网络。第三，明确应关注重要领域的审计业务，有利于集中资源，针对性地加强监管。最后，明确会计师事务所应当积极配合监督检查，不得拒绝、拖延或阻挠。

综上，对会计师事务所而言，《暂行办法》的实施意味着更加严格的数据管理要求和更高水平的数据安全保障责任。会计师事务所需要建立健全的数据安全治理机制和管理制度，加强内网和外网的安全管理，确保客户数据安全。各级监管部门也应加大监督检查力度，确保《暂行办法》的贯彻落实，实现促进注册会计师行业健康发展，为我国经济安全稳定运行保驾护航的目标。

责任编辑　李卓