文 | 北京工商大學(xué)商學(xué)院教授、北京工商大學(xué)注冊(cè)會(huì)計(jì)師行業(yè)研究院院長 王鵬程

財(cái)政部和國家網(wǎng)信辦近日聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》（以下簡稱《暫行辦法》）?！稌盒修k法》規(guī)范了會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)，有助于注冊(cè)會(huì)計(jì)師行業(yè)加強(qiáng)數(shù)據(jù)安全管理工作，具有十分重要的意義。

落實(shí)法律要求 完善行業(yè)制度

黨的二十大報(bào)告提出“以新安全格局保障新發(fā)展格局”，體現(xiàn)了統(tǒng)籌發(fā)展和安全的根本要求，明確了構(gòu)建新安全格局的戰(zhàn)略任務(wù)。習(xí)近平總書記在主持召開中央全面深化改革委員會(huì)第二十六次會(huì)議時(shí)強(qiáng)調(diào)，數(shù)據(jù)基礎(chǔ)制度建設(shè)事關(guān)國家發(fā)展和安全大局，要維護(hù)國家數(shù)據(jù)安全，保護(hù)個(gè)人信息和商業(yè)秘密，促進(jìn)數(shù)據(jù)高效流通使用、賦能實(shí)體經(jīng)濟(jì)，統(tǒng)籌推進(jìn)數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理，加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度體系。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式施行。之后，我國相繼頒布《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)。國務(wù)院也在2021年發(fā)布的《國務(wù)院辦公廳關(guān)于進(jìn)一步規(guī)范財(cái)務(wù)審計(jì)秩序 促進(jìn)注冊(cè)會(huì)計(jì)師行業(yè)健康發(fā)展的意見》（國辦發(fā)〔2021〕30號(hào)）中強(qiáng)調(diào)要加快推進(jìn)注冊(cè)會(huì)計(jì)師行業(yè)法律和基礎(chǔ)制度建設(shè)，及時(shí)跟進(jìn)健全相關(guān)制度規(guī)定。

會(huì)計(jì)師事務(wù)所是數(shù)字經(jīng)濟(jì)發(fā)展中非常特殊的一類機(jī)構(gòu)。由于其業(yè)務(wù)的特點(diǎn)，會(huì)在工作過程中接觸到包括金融、能源、電信、交通、科技、國防科工等重要領(lǐng)域在內(nèi)的各行各業(yè)的數(shù)據(jù)，而且會(huì)計(jì)師事務(wù)所通常具有較強(qiáng)的數(shù)據(jù)分析能力，因此亟需行業(yè)規(guī)范其數(shù)據(jù)處理活動(dòng)?！稌盒修k法》是對(duì)前述法律、法規(guī)和文件要求的全面落實(shí)，是在注冊(cè)會(huì)計(jì)師行業(yè)對(duì)國家網(wǎng)絡(luò)和數(shù)據(jù)安全管理相關(guān)規(guī)定的細(xì)化，將有力推動(dòng)注冊(cè)會(huì)計(jì)師行業(yè)數(shù)據(jù)安全管理工作制度化、規(guī)范化，同時(shí)順應(yīng)數(shù)字經(jīng)濟(jì)發(fā)展趨勢，為會(huì)計(jì)師事務(wù)所依法合規(guī)開展數(shù)據(jù)處理活動(dòng)提供了依據(jù)，有利于保障會(huì)計(jì)師事務(wù)所的數(shù)據(jù)安全。

進(jìn)行頂層設(shè)計(jì) 規(guī)范重點(diǎn)內(nèi)容

《暫行辦法》是會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理的頂層設(shè)計(jì)藍(lán)圖。一是全面對(duì)接《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)要求。在注冊(cè)會(huì)計(jì)師行業(yè)對(duì)國家數(shù)據(jù)安全管理制度進(jìn)行細(xì)化，明確落實(shí)數(shù)據(jù)分級(jí)分類管理制度、各類數(shù)據(jù)處理要求、數(shù)據(jù)安全保護(hù)義務(wù)等法律規(guī)定，為行業(yè)數(shù)據(jù)安全監(jiān)管提供制度保障；二是明確數(shù)據(jù)管理要求。根據(jù)注冊(cè)會(huì)計(jì)師行業(yè)的實(shí)際情況，明確了會(huì)計(jì)師事務(wù)所數(shù)據(jù)管理的主要內(nèi)容、責(zé)任人員、管理要求、網(wǎng)絡(luò)防護(hù)等要求，指導(dǎo)行業(yè)健全數(shù)據(jù)安全管理和技術(shù)保護(hù)措施，履行保護(hù)義務(wù)；三是構(gòu)建注冊(cè)會(huì)計(jì)師行業(yè)數(shù)據(jù)安全監(jiān)管體系。明確財(cái)政部、國家網(wǎng)信辦、地方財(cái)政部門、地方網(wǎng)信部門和注冊(cè)會(huì)計(jì)師協(xié)會(huì)，以及公安機(jī)關(guān)、國家安全機(jī)關(guān)等各方面的職責(zé)范圍，建立了權(quán)責(zé)一致的工作機(jī)制。確保有效銜接，加強(qiáng)信息共享，推動(dòng)實(shí)現(xiàn)跨地區(qū)、跨部門、跨層級(jí)協(xié)同監(jiān)管。

《暫行辦法》主要適用于境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所開展的審計(jì)業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)?！稌盒修k法》所指數(shù)據(jù)，包括會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)過程中從外部獲取和內(nèi)部生成的任何以電子或者其他方式對(duì)信息的記錄。

《暫行辦法》要求會(huì)計(jì)師事務(wù)所應(yīng)按照相關(guān)法律法規(guī)的規(guī)定和被審計(jì)單位所處行業(yè)數(shù)據(jù)分類分級(jí)的標(biāo)準(zhǔn)，確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)，并對(duì)核心數(shù)據(jù)和重要數(shù)據(jù)的存儲(chǔ)、相關(guān)日志、傳輸?shù)茸鞒雒鞔_要求。

《暫行辦法》要求會(huì)計(jì)師事務(wù)所審計(jì)工作底稿應(yīng)按相關(guān)規(guī)定存放在境內(nèi)，不得在業(yè)務(wù)約定書或類似合同中約定向境外監(jiān)管機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料數(shù)據(jù)等類似條款?！稌盒修k法》對(duì)審計(jì)工作底稿出境事項(xiàng)亦明確了相關(guān)要求。

《暫行辦法》對(duì)會(huì)計(jì)師事務(wù)所在建立內(nèi)部網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)管理資源投入、網(wǎng)絡(luò)安全技術(shù)防護(hù)、網(wǎng)絡(luò)管理賬戶權(quán)限等方面做出具體要求，指導(dǎo)會(huì)計(jì)事務(wù)所為數(shù)據(jù)安全管理工作提供安全的的網(wǎng)絡(luò)環(huán)境。

《暫行辦法》要求會(huì)計(jì)師事務(wù)所建立數(shù)據(jù)備份制度，確保在審計(jì)相關(guān)應(yīng)用系統(tǒng)因外部技術(shù)原因被停止使用、被限制使用等情況下，仍能訪問、調(diào)取、使用相關(guān)審計(jì)工作底稿。加密設(shè)備應(yīng)當(dāng)設(shè)置在境內(nèi)并由境內(nèi)團(tuán)隊(duì)負(fù)責(zé)運(yùn)行維護(hù)，密鑰應(yīng)當(dāng)存儲(chǔ)在境內(nèi)。

《暫行辦法》要求會(huì)計(jì)師事務(wù)所擁有其審計(jì)業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限，統(tǒng)一設(shè)置、維護(hù)系統(tǒng)管理員賬戶和工作人員賬戶，不得設(shè)置不受限制、不受監(jiān)控的超級(jí)賬戶，不得將管理員賬號(hào)交由第三方運(yùn)維機(jī)構(gòu)管理使用。截至目前，我國有35家會(huì)計(jì)師事務(wù)所加入或創(chuàng)建了28個(gè)國際會(huì)計(jì)網(wǎng)絡(luò)，行業(yè)對(duì)外交流合作日益密切。

《暫行辦法》規(guī)定，加入國際網(wǎng)絡(luò)的會(huì)計(jì)師事務(wù)所使用所在國際網(wǎng)絡(luò)的信息系統(tǒng)的，應(yīng)當(dāng)采取必要措施，使其符合國家數(shù)據(jù)安全法律、行政法規(guī)和本辦法的規(guī)定，確保本所數(shù)據(jù)安全。

落實(shí)辦法要求 筑牢安全防線

《暫行辦法》明確規(guī)定會(huì)計(jì)師事務(wù)所的首席合伙人（主任會(huì)計(jì)師）是本所數(shù)據(jù)安全負(fù)責(zé)人，并要求會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)按照業(yè)務(wù)活動(dòng)規(guī)模及復(fù)雜程度配置具備相應(yīng)職業(yè)技能水平的網(wǎng)絡(luò)管理技術(shù)人員，確保合理的網(wǎng)絡(luò)資源投入和資金投入。建議會(huì)計(jì)師事務(wù)所將數(shù)據(jù)安全管理納入經(jīng)營管理的頂層政策進(jìn)行考慮。對(duì)此，可從以下幾方面著手建設(shè)：

一是健全數(shù)據(jù)安全治理結(jié)構(gòu)。會(huì)計(jì)師事務(wù)所應(yīng)健全本所的數(shù)據(jù)安全管理組織架構(gòu)，明確數(shù)據(jù)安全管理權(quán)責(zé)機(jī)制，實(shí)施與業(yè)務(wù)特點(diǎn)相適應(yīng)的數(shù)據(jù)分類分級(jí)管理制度。
二是建立數(shù)據(jù)全生命周期安全管理體系。數(shù)據(jù)安全貫穿數(shù)據(jù)生命周期的各個(gè)環(huán)節(jié)，即數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。數(shù)據(jù)安全有賴于每個(gè)環(huán)節(jié)的安全管理要求和技術(shù)保障能力，且數(shù)據(jù)安全風(fēng)險(xiǎn)具有快速隱蔽的特點(diǎn)。會(huì)計(jì)師事務(wù)所應(yīng)提高數(shù)據(jù)管理的精準(zhǔn)度，實(shí)行智能化管理，對(duì)已收集的數(shù)據(jù)進(jìn)行自動(dòng)化分析、智能化分級(jí)，在降低數(shù)據(jù)管理成本的同時(shí)，實(shí)現(xiàn)數(shù)據(jù)的精準(zhǔn)高效管理。
三是提升數(shù)據(jù)安全事件應(yīng)急處理能力。會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測。一旦發(fā)現(xiàn)數(shù)據(jù)外泄、安全漏洞等風(fēng)險(xiǎn)的，應(yīng)當(dāng)立即采取補(bǔ)救、處置措施。發(fā)生重大數(shù)據(jù)安全事件，導(dǎo)致核心數(shù)據(jù)或者重要數(shù)據(jù)泄露、丟失或者被竊取、篡改的，應(yīng)當(dāng)及時(shí)向有關(guān)主管部門報(bào)告。
四是加強(qiáng)數(shù)據(jù)安全人才隊(duì)伍建設(shè)。會(huì)計(jì)師事務(wù)所應(yīng)組建一支數(shù)字化素養(yǎng)良好、數(shù)據(jù)安全管控意識(shí)強(qiáng)、數(shù)據(jù)管理基礎(chǔ)扎實(shí)的數(shù)據(jù)安全管理核心隊(duì)伍，通過事前預(yù)防、事中監(jiān)控、事后追蹤的方式，密切關(guān)注注冊(cè)會(huì)計(jì)師行業(yè)數(shù)據(jù)安全重點(diǎn)領(lǐng)域、重點(diǎn)時(shí)空節(jié)點(diǎn)，維護(hù)本所數(shù)據(jù)安全。
五是提高數(shù)據(jù)安全風(fēng)險(xiǎn)防范意識(shí)。隨著各類數(shù)字化技術(shù)在會(huì)計(jì)師事務(wù)所的廣泛應(yīng)用，信息系統(tǒng)中的數(shù)據(jù)量不斷增多且新型網(wǎng)絡(luò)攻擊層出不窮。會(huì)計(jì)師事務(wù)所在加大信息系統(tǒng)安全防護(hù)能力的同時(shí)，必須加強(qiáng)全員安全防范意識(shí)。要營造全所的數(shù)據(jù)安全保護(hù)氛圍。會(huì)計(jì)師事務(wù)所可充分利用國家網(wǎng)絡(luò)安全宣傳周等契機(jī)，發(fā)揮線上線下多渠道宣傳優(yōu)勢，通過事務(wù)所網(wǎng)站、微信公眾號(hào)、宣傳展板以及網(wǎng)絡(luò)數(shù)據(jù)安全體驗(yàn)展、知識(shí)競答、專題講座等方式，普及數(shù)據(jù)安全保護(hù)相關(guān)的法律知識(shí)，提升員工網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)、安全意識(shí)和責(zé)任意識(shí)，形成全所上下共同維護(hù)數(shù)據(jù)安全的良好環(huán)境。

加大監(jiān)管力度 強(qiáng)化協(xié)同配合

《暫行辦法》構(gòu)建了橫向協(xié)同、縱向聯(lián)動(dòng)的行業(yè)數(shù)據(jù)安全監(jiān)管機(jī)制,明確財(cái)政部門、網(wǎng)信部門、公安機(jī)關(guān)、國家安全機(jī)關(guān)等各方職責(zé)。在對(duì)會(huì)計(jì)師事務(wù)所進(jìn)行監(jiān)督檢查的過程中，各部門應(yīng)確保有效銜接，加強(qiáng)信息共享，推動(dòng)實(shí)現(xiàn)跨地區(qū)、跨部門、跨層級(jí)協(xié)同監(jiān)管。

數(shù)據(jù)安全是注冊(cè)會(huì)計(jì)師行業(yè)的“生命線“，推動(dòng)其數(shù)據(jù)安全保護(hù)體系的構(gòu)建，不僅有助于加強(qiáng)會(huì)計(jì)師事務(wù)所的數(shù)據(jù)安全，而且也能夠切實(shí)保障各行各業(yè)的數(shù)據(jù)安全和國家的數(shù)據(jù)主權(quán)。

（來源：中國會(huì)計(jì)報(bào)）