日前，财政部联合国家网信办发布了《会计师事务所数据安全管理暂行办法》（以下简称《暂行办法》），自 2024 年 10 月 1 日起实施。

《暂行办法》旨在加强会计师事务所数据安全管理，规范其数据处理活动。主要内容包括以下五方面：

一、总则

明确《暂行办法》的制定依据、适用对象和责任主体。

二、数据管理

涉及总体责任、责任人员、数据分类分级、日志管理、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、数据出境等内容。

三、网络管理

包括网络管理制度、资源投入、访问控制、系统账户管理等内容。

四、监督检查

涉及信息共享、日常检查、重点检查对象、安全审查、行政监管措施、行政处罚等内容。

五、附则

适用范围

《暂行办法》适用于境内依法设立的会计师事务所开展审计业务相关的数据处理活动，包括：

• 为上市公司及非上市的国有金融机构或中央企业等提供审计服务
• 为关键信息基础设施运营者或者超过 100 万用户的网络平台运营者提供审计服务
• 为境内企业境外上市提供审计服务

即使会计师事务所未从事上述三类业务，但其审计业务涉及重要数据或核心数据，也应根据《暂行办法》进行数据处理活动。

数据范围

数据是指会计师事务所执行审计业务过程中从外部获取和内部生成的任何以电子或其他方式对信息的记录。

审计工作底稿管理

会计师事务所审计工作底稿应按相关规定存放在境内。会计师事务所不得在业务约定书或类似合同中包含向境外监管机构提供境内项目资料数据等类似条款。

境外监管机构因监管需要确需调取境内审计工作底稿的，应通过相应的跨境监管合作机制依法依规获取，相应审计工作底稿出境应当办理审批手续。会计师事务所对审计工作底稿出境事项应当建立逐级复核机制，落实数据安全管控责任。