财政部、國(guó)家網信辦有關負責人就印發(fā)《會計師事(shì)務所數據安全管理暫行辦法》答記者問

近日，财政部、國(guó)家網信辦聯合印發(fā)《會計師事(shì)務所數據安全管理暫行辦法》（财會〔2024〕6号，以下簡稱《暫行辦法》），自2024年10月1日起(qǐ)施行。财政部、國(guó)家網信辦有關負責人就《暫行辦法》有關問題回答了記者的提問。

問：制定《暫行辦法》的背景與意義是什麼(me)？

答：一是落實相關法律要求。《暫行辦法》全面(miàn)落實網絡安全法、數據安全法、個人信息保護法等法律要求，是在注冊會計師行業對(duì)國(guó)家網絡和數據安全管理相關規定的細化，爲會計師事(shì)務所開(kāi)展數據安全管理活動提供依據，有利于推動注冊會計師行業數據安全管理工作制度化、規範化。

二是落實國(guó)務院有關文件要求。《國(guó)務院辦公廳關于進(jìn)一步規範财務審計秩序 促進(jìn)注冊會計師行業健康發(fā)展的意見》（國(guó)辦發(fā)〔2021〕30号）強調，要加快推進(jìn)注冊會計師行業基礎制度建設，及時跟進(jìn)健全相關制度規定。《暫行辦法》順應數字經(jīng)濟發(fā)展趨勢，進(jìn)一步完善了注冊會計師行業基礎制度體系。

三是落實财會監督有關要求。《暫行辦法》構建了橫向(xiàng)協同、縱向(xiàng)聯動的行業數據安全監管機制，明确财政部門、網信部門、公安機關、國(guó)家安全機關等各方職責，确保有效銜接，加強信息共享，推動實現跨地區、跨部門、跨層級協同監管。

問：《暫行辦法》制訂經(jīng)曆了哪些過(guò)程？

答：在深入分析注冊會計師行業數據安全管理現狀和需求的基礎上，财政部會同國(guó)家網信辦起(qǐ)草了《暫行辦法》初稿，并對(duì)部分會計師事(shì)務所開(kāi)展實地調研，組織會計師事(shì)務所和數據安全專家專題讨論，形成(chéng)《暫行辦法》征求意見稿。

2023年11月，兩(liǎng)部門聯合面(miàn)向(xiàng)地方财政部門、網信部門、會計師事(shì)務所和社會公衆公開(kāi)征求意見。反饋意見總體認爲，《暫行辦法》内容全面(miàn)、條理清晰、指導性強，有助于加強會計師事(shì)務所數據安全管理，規範會計師事(shì)務所數據處理活動。同時，部分反饋意見提出了一些具體的修改意見。我們對(duì)所有反饋意見進(jìn)行了認真梳理，并充分吸收采納，在反複研讨、征求相關部門意見的基礎上，對(duì)征求意見稿進(jìn)行了修改完善。

問：《暫行辦法》主要内容是什麼(me)？

答：《暫行辦法》主要包括五方面(miàn)内容，一是總則，主要明确制定依據、适用對(duì)象、責任主體；二是數據管理，主要包括總體責任、責任人員、數據分類分級、日志管理、數據傳輸管理、數據加密管理、數據備份、業務約定書、技術保護手段、日常安全監測、數據出境等内容；三是網絡管理，主要包括網絡管理制度、資源投入、訪問控制、系統賬戶管理等内容；四是監督檢查，主要包括信息共享、日常檢查、重點檢查對(duì)象、安全審查、行政監管措施、行政處罰等内容；五是附則。

從具體内容看，主要對(duì)六方面(miàn)内容進(jìn)行了規範：

一是明确适用對(duì)象。《暫行辦法》主要适用于境内依法設立的會計師事(shì)務所開(kāi)展的審計業務相關數據處理活動，包括爲上市公司以及非上市的國(guó)有金融機構或中央企業等提供審計服務；爲關鍵信息基礎設施運營者或者超過(guò)100萬用戶的網絡平台運營者提供審計服務；爲境内企業境外上市提供審計服務。會計師事(shì)務所未從事(shì)前述三類業務，但審計業務涉及重要數據或者核心數據，也應根據《暫行辦法》進(jìn)行數據處理活動。數據包括會計師事(shì)務所執行審計業務過(guò)程中從外部獲取和内部生成(chéng)的任何以電子或者其他方式對(duì)信息的記錄。

二是規範數據分類分級。《暫行辦法》要求會計師事(shì)務所應按照相關法律法規的規定和被(bèi)審計單位所處行業數據分類分級的标準，确定核心數據、重要數據和一般數據，并對(duì)核心數據和重要數據的存儲、相關日志、傳輸等作出明确要求。被(bèi)審計單位有義務通過(guò)業務約定書、确認函等方式告知會計師事(shì)務所審計資料中的核心數據和重要數據相關信息。在數據存儲上，存儲重要數據的信息系統要落實三級及以上網絡安全等級保護要求，存儲核心數據的信息系統要落實四級網絡安全等級保護要求。在日志管理上，要求涉及核心數據的相關日志，留存時間不少于三年，涉及重要數據的相關日志，留存時間不少于一年，其中向(xiàng)他人提供、委托處理、共同處理重要數據的相關日志留存時間不少于三年。涉及一般數據，按照國(guó)家相關規定處理，《暫行辦法》不作特别要求。

三是規範底稿管理。截至目前，我國(guó)有35家會計師事(shì)務所加入或創建了28個國(guó)際會計網絡，行業對(duì)外交流合作日益密切。《暫行辦法》規定，會計師事(shì)務所審計工作底稿應按相關規定存放在境内。會計師事(shì)務所不得在業務約定書或類似合同中包含會計師事(shì)務所向(xiàng)境外監管機構提供境内項目資料數據等類似條款。境外監管機構因監管需要确需調取境内審計工作底稿的，應通過(guò)相應的跨境監管合作機制依法依規獲取，相應審計工作底稿出境應當辦理審批手續。會計師事(shì)務所對(duì)審計工作底稿出境事(shì)項應當建立逐級複核機制，落實數據安全管控責任。

四是強化網絡管理。《暫行辦法》對(duì)會計師事(shì)務所在建立内部網絡安全管理制度、網絡管理資源投入、網絡安全技術防護、網絡管理賬戶權限等方面(miàn)做出具體要求，指導會計師事(shì)務所爲數據安全管理工作提供安全的網絡環境。會計師事(shì)務所應當建章立制并有效執行，确保網絡安全管理能(néng)力與提供的專業服務相适應；做好(hǎo)信息系統安全管理和技術防護，設置嚴格的訪問控制策略，防範未經(jīng)授權的訪問行爲。

五是聚焦安全可控。《暫行辦法》要求會計師事(shì)務所建立數據備份制度，确保在審計相關應用系統因外部技術原因被(bèi)停止使用、被(bèi)限制使用等情況下，仍能(néng)訪問、調取、使用相關審計工作底稿。加密設備應當設置在境内并由境内團隊負責運行維護，密鑰應當存儲在境内。會計師事(shì)務所應當擁有其審計業務系統中網絡設備、網絡安全設備的自主管理權限，統一設置、維護系統管理員賬戶和工作人員賬戶，不得設置不受限制、不受監控的超級賬戶，不得將(jiāng)管理員賬号交由第三方運維機構管理使用。

六是壓實監管責任。《暫行辦法》明确了财政部門、網信部門、公安機關、國(guó)家安全機關對(duì)會計師事(shì)務所數據安全的監管職責。省級以上财政部門、省級以上網信部門對(duì)會計師事(shì)務所開(kāi)展監督檢查，公安機關、國(guó)家安全機關依法在職責範圍内承擔會計師事(shì)務所數據安全監管職責。會計師事(shì)務所對(duì)于依法實施的數據安全監督檢查，應當予以配合。

問：如何做好(hǎo)《暫行辦法》的貫徹落實？

答：一是加大宣傳和指導力度。各級财政部門、網信部門要高度重視，積極宣傳，指導會計師事(shì)務所建立健全數據安全管理制度并确保有效實施，切實提升會計師事(shì)務所數據安全管理水平。二是加大監督檢查力度。各相關部門應根據監管職責，落實會計師事(shì)務所數據安全管理日常監管、重點檢查、安全審查等有關要求，對(duì)存在違規行爲的會計師事(shì)務所要依法嚴肅處理。三是加強協同配合。各相關部門應加強監管信息共享，加強溝通協調，健全完善工作機制，形成(chéng)工作合力，認真做好(hǎo)貫徹實施《暫行辦法》的各項工作。