数字化浪潮下,会计师事务所承担着金融和商业决策的关键支撑角色,积聚了海量敏感数据。这些数据不仅涉及客户隐私,还牵连着企业的信誉和市场的整体稳定。然而、随着网络攻击手段变得更加精密和多样化,加之会计师事务所自身数据管理体系的薄弱环节,这些机构日益成为网络攻击者的目标,数据安全事件频发,对行业信任造成了不可忽视的打击。
这一背景下,会计师事务所迫切需要遵循一套标准化、系统化的数据安全管理框架。这样的框架应全面指导事务所在数据的整个生命周期中——从收集、存储、处理、传输到销毁——实施规范化操作,以此建立牢固的数据安全防线,降低数据泄露的风险,提高事务所在数据治理方面的能力。
响应这一需求,结合《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》(国办发〔2021〕30号)中的相关规定,财政部和国家互联网信息办公室联合制定了《会计师事务所数据安全管理暂行办法》(以下简称《办法》),旨在强化会计师事务所的数据安全管理,确保其数据处理活动的规范性和安全性。
《办法》主要适用于境内依法设立的会计师事务所开展的审计业务相关数据处理活动,包括为上市公司以及非上市的国有金融机构或中央企业等提供审计服务、为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务、为境内企业境外上市提供审计服务。
《办法》要求会计师事务所规范内部数据管理
《办法》提出,会计师事务所的首席合伙人(主任会计师)是本所数据安全负责人,要求会计师事务所应当建立健全数据全生命周期安全管理制度,完善数据运营和管控机制、健全数据安全管理组织架构,明确数据安全管理权责机制、实施与业务特点相适应的数据分类分级管理、建立数据权限管理策略,按照最小授权原则设置数据访问和处理权限,定期复核并按有关规定保留数据访问记录、组织开展数据安全教育培训以及法律法规规定的其他事项。
《办法》着重强调、会计师事务所的数据分类分级,要求会计师事务所应当按照法律、行政法规的规定和被审计单位所处行业数据分类分级标准确定核心数据、重要数据和一般数据,并且要求会计师事务所当明确数据传输操作规程,核心数据、重要数据传输过程中应当采用加密技术,保护传输安全。
涉及核心数据的,相关日志留存时间不少于三年,涉及重要数据的,相关日志留存时间不少于一年、涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。
《办法》要求,会计师事务所应当建立数据安全应急处置机制,加强数据安全风险监测。一旦发现数据外泄、安全漏洞等风险的,应当立即采取补救、处置措施。发生重大数据安全事件,导致核心数据或者重要数据泄露、丢失或者被窃取、篡改的,应当及时向有关主管部门报告
对于数据出境相关问题,《办法》也做出清晰的规范,提出会计师事务所向境外提供其在境内运营中收集和产生的个人信息和重要数据的,应当遵守国家数据出境管理有关规定。
《办法》明确网络管理规范和监督检查职责
《办法》》对会计师事务所在建立内部网络安全管理制度、网络管理资源投入、网络安全技术防护、网络管理账户权限等方面做出具体要求,提出会计师事务所应当建立完善的网络安全管理治理架构,建立健全内部网络安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络安全管理能力与提供的专业服务相适应,为数据安全管理工作提供安全的网络环境。
《办法》明确指出了相关单位的监管职责,提出省级以上财政部门、省级以上网信部门对会计师事务所数据安全情况开展监督检查,公安机关、国家安全机关依法在职责范围内承担会计师事务所数据安全监管职责。会计师事务所在面对监管时,对于依法实施的数据安全监督检查,应当予以配合,不得拒绝、拖延、阻挠。
相关单位一旦在监管过程中发现会计师事务所开展数据处理活动存在较大安全风险的,可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施,消除隐患,对于会计师事务所及相关人员违反本办法规定的,应当按照《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处理处罚,涉及其他部门职责权限的,依法移送有关主管部门处理;构成犯罪的,移送司法机关依法追究刑事责任。
