会计师事务所须加强数据安全管理

近期，财政部和国家网信办联合发布了《会计师事务所数据安全管理暂行办法》（以下简称《办法》）。尽管我国有 35 家会计师事务所已加入或建立了 28 个国际会计网络，行业对外交流合作日益密切，但《办法》明确指出：

审计工作底稿应存储在境内，会计师事务所不得在业务约定书或类似合同中纳入向境外监管机构提供境内项目资料数据等相关条款。

近年来，监管部门为促进跨境审计监管合作、保障国家信息安全，已采取多项措施。例如，2022 年，中国证监会、财政部与美国公众公司会计监督委员会（PCAOB）签署审计监管合作协议，明确美方须通过中方监管部门获取审计底稿等文件。2023 年，中国证监会会同财政部、国家保密局、国家档案局修订发布了《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》，明确上市公司的保密责任、会计档案管理要求，并优化跨境监管合作机制。

适用《办法》的审计机构

5 月 10 日，财政部和国家网信办联合印发的《办法》旨在全面落实网络安全法、数据安全法、个人信息保护法等法律法规的要求，为会计师事务所开展数据安全管理活动提供规范依据，加快推进注册会计师行业基础制度建设，建立行业横向协同、纵向联动的多级数据安全监管机制。《办法》自 2024 年 10 月 1 日起施行。

《办法》明确规定了适用审计机构的类型。以下在我国境内合法设立的会计师事务所开展审计业务相关数据处理活动的，适用于《办法》：

• 为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的；
• 为关键信息基础设施运营商或超过 100 万用户的网络平台运营商提供审计服务的；
• 为境内企业境外上市提供审计服务的。

对于未从事上述三类业务，但审计业务涉及重要数据或核心数据的会计师事务所，也应根据《办法》进行数据处理活动。

对于承担金融、能源、电信、交通、科技、国防科工等重要领域审计业务且符合上述规定范围的会计师事务所，《办法》要求财政部和省级财政部门在监督检查工作中重点关注，持续加强日常监管。

《办法》强调，会计师事务所须承担自身数据安全管理的主体责任，履行数据安全保护义务，首席合伙人（主任会计师）则是事务所的数据安全负责人。

数据分类及管理

《办法》提出了“数据分类分级”的要求，要求会计师事务所按照相关法律法规规定和被审计单位所在行业的数据分类分级标准确定“核心数据”“重要数据”和“一般数据”。

在数据存储方面，存储重要数据的信息系统须符合三级及以上网络安全等级保护要求，存储核心数据的信息系统须符合四级网络安全等级保护要求。在日志管理方面，涉及核心数据的相关日志保存时间不少于 3 年，涉及重要数据的相关日志保存时间不少于 1 年，向他人提供、委托处理、共同处理重要数据的相关日志保存时间不少于 3 年。

根据现行法规和相关规定，审计底稿将存储在境内。加密设备应设在境内，由境内团队负责运行和维护，密钥也应存储在境内。

会计师事务所不得在合同或协议中包含将境内项目资料数据提供给境外监管机构的条款。如果境外监管机构出于监管需要申请调取境内审计底稿，应通过既定的跨境监管合作机制合法合规地获取，并办理相应审批手续。

会计师事务所向境外提供其在境内收集和产生的个人信息和重要数据，应遵守国家数据出境管理相关规定。对于审计底稿出境事项，会计师事务所应建立逐级复核机制，严格履行数据安全管控责任，需要出境的则按照相关规定办理审批手续。

监管部门近年来持续推进跨境审计监管，特别是在审计底稿方面做出明确规定。在中美审计监管合作协议中，中方协助范围包括部分为中概股提供审计服务且底稿存于内地的香港事务所，美方应通过中方监管部门获取相关文件，并在中方参与和协助下对会计师事务所人员进行调查。

《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》明确要求，为境内企业境外上市提供服务的证券公司和机构形成的底稿应留在境内，需要出境的需按规定办理审批手续。

为了实现跨地区、跨部门、跨层级的协同监管，《办法》明确了财政部门、网信部门、公安机关、国家安全机关等各方职责，并建立了横向协同、纵向联动的行业数据安全监管机制。

财政部门和省级财政部门将与同级网信部门、公安机关、国家安全机关加强监管信息共享。省级及以上财政部门和网信部门对会计师事务所数据安全进行监督检查。公安机关和国家安全机关依法在职责范围内承担相关监管职责。若会计师事务所的数据处理活动影响或可能影响国家安全，则应按照国家安全审查机制进行安全审查。

相关部门在履行数据安全监管职责中，发现会计师事务所开展数据处理活动存在相关较大安全风险的，可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施，消除隐患。

如果会计师事务所及相关人员违反《办法》规定的，应当按照《中华人民共和国注册会计师法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处理处罚；涉及其他部门职责权限的，依法移送有关主管部门处理；构成犯罪的，移送司法机关依法追究刑事责任。