近日，財政部、國家網信辦聯(lián)合印發(fā)《會計師事務所數據安全管理暫行辦法》（財會〔2024〕6號，以下簡稱《暫行辦法》），自2024年10月1日起施行。財政部、國家網信辦有關負責人就《暫行辦法》有關問題回答了記者的提問。

　　問：制定《暫行辦法》的背景與意義是什么？

　　答：一是落實相關法律要求。《暫行辦法》全面落實網絡安全法、數據安全法、個人信息保護法等法律要求，是在注冊會計師行業(yè)對國家網絡和數據安全管理相關規(guī)定的細化，為會計師事務所開展數據安全管理活動提供依據，有利于推動注冊會計師行業(yè)數據安全管理工作制度化、規(guī)范化。

　　二是落實國務院有關文件要求�！秶鴦赵恨k公廳關于進一步規(guī)范財務審計秩序 促進注冊會計師行業(yè)健康發(fā)展的意見》（國辦發(fā)〔2021〕30號）強調，要加快推進注冊會計師行業(yè)基礎制度建設，及時跟進健全相關制度規(guī)定�！稌盒修k法》順應數字經濟發(fā)展趨勢，進一步完善了注冊會計師行業(yè)基礎制度體系。

　　三是落實財會監(jiān)督有關要求�！稌盒修k法》構建了橫向協(xié)同、縱向聯(lián)動的行業(yè)數據安全監(jiān)管機制，明確財政部門、網信部門、公安機關、國家安全機關等各方職責，確保有效銜接，加強信息共享，推動實現跨地區(qū)、跨部門、跨層級協(xié)同監(jiān)管。

　　問：《暫行辦法》制訂經歷了哪些過程？ 

　　答：在深入分析注冊會計師行業(yè)數據安全管理現狀和需求的基礎上，財政部會同國家網信辦起草了《暫行辦法》初稿，并對部分會計師事務所開展實地調研，組織會計師事務所和數據安全專家專題討論，形成《暫行辦法》征求意見稿。

　　2023年11月，兩部門聯(lián)合面向地方財政部門、網信部門、會計師事務所和社會公眾公開征求意見。反饋意見總體認為，《暫行辦法》內容全面、條理清晰、指導性強，有助于加強會計師事務所數據安全管理，規(guī)范會計師事務所數據處理活動。同時，部分反饋意見提出了一些具體的修改意見。我們對所有反饋意見進行了認真梳理，并充分吸收采納，在反復研討、征求相關部門意見的基礎上，對征求意見稿進行了修改完善。

　　問：《暫行辦法》主要內容是什么？ 

　　答：《暫行辦法》主要包括五方面內容，一是總則，主要明確制定依據、適用對象、責任主體；二是數據管理，主要包括總體責任、責任人員、數據分類分級、日志管理、數據傳輸管理、數據加密管理、數據備份、業(yè)務約定書、技術保護手段、日常安全監(jiān)測、數據出境等內容；三是網絡管理，主要包括網絡管理制度、資源投入、訪問控制、系統(tǒng)賬戶管理等內容；四是監(jiān)督檢查，主要包括信息共享、日常檢查、重點檢查對象、安全審查、行政監(jiān)管措施、行政處罰等內容；五是附則。

　　從具體內容看，主要對六方面內容進行了規(guī)范：

　　一是明確適用對象�！稌盒修k法》主要適用于境內依法設立的會計師事務所開展的審計業(yè)務相關數據處理活動，包括為上市公司以及非上市的國有金融機構或中央企業(yè)等提供審計服務；為關鍵信息基礎設施運營者或者超過100萬用戶的網絡平臺運營者提供審計服務；為境內企業(yè)境外上市提供審計服務。會計師事務所未從事前述三類業(yè)務，但審計業(yè)務涉及重要數據或者核心數據，也應根據《暫行辦法》進行數據處理活動。數據包括會計師事務所執(zhí)行審計業(yè)務過程中從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。

　　二是規(guī)范數據分類分級。《暫行辦法》要求會計師事務所應按照相關法律法規(guī)的規(guī)定和被審計單位所處行業(yè)數據分類分級的標準，確定核心數據、重要數據和一般數據，并對核心數據和重要數據的存儲、相關日志、傳輸等作出明確要求。被審計單位有義務通過業(yè)務約定書、確認函等方式告知會計師事務所審計資料中的核心數據和重要數據相關信息。在數據存儲上，存儲重要數據的信息系統(tǒng)要落實三級及以上網絡安全等級保護要求，存儲核心數據的信息系統(tǒng)要落實四級網絡安全等級保護要求。在日志管理上，要求涉及核心數據的相關日志，留存時間不少于三年，涉及重要數據的相關日志，留存時間不少于一年，其中向他人提供、委托處理、共同處理重要數據的相關日志留存時間不少于三年。涉及一般數據，按照國家相關規(guī)定處理，《暫行辦法》不作特別要求。

　　三是規(guī)范底稿管理。截至目前，我國有35家會計師事務所加入或創(chuàng)建了28個國際會計網絡，行業(yè)對外交流合作日益密切�！稌盒修k法》規(guī)定，會計師事務所審計工作底稿應按相關規(guī)定存放在境內。會計師事務所不得在業(yè)務約定書或類似合同中包含會計師事務所向境外監(jiān)管機構提供境內項目資料數據等類似條款。境外監(jiān)管機構因監(jiān)管需要確需調取境內審計工作底稿的，應通過相應的跨境監(jiān)管合作機制依法依規(guī)獲取，相應審計工作底稿出境應當辦理審批手續(xù)。會計師事務所對審計工作底稿出境事項應當建立逐級復核機制，落實數據安全管控責任。

　　四是強化網絡管理。《暫行辦法》對會計師事務所在建立內部網絡安全管理制度、網絡管理資源投入、網絡安全技術防護、網絡管理賬戶權限等方面做出具體要求，指導會計師事務所為數據安全管理工作提供安全的網絡環(huán)境。會計師事務所應當建章立制并有效執(zhí)行，確保網絡安全管理能力與提供的專業(yè)服務相適應；做好信息系統(tǒng)安全管理和技術防護，設置嚴格的訪問控制策略，防范未經授權的訪問行為。

　　五是聚焦安全可控�！稌盒修k法》要求會計師事務所建立數據備份制度，確保在審計相關應用系統(tǒng)因外部技術原因被停止使用、被限制使用等情況下，仍能訪問、調取、使用相關審計工作底稿。加密設備應當設置在境內并由境內團隊負責運行維護，密鑰應當存儲在境內。會計師事務所應當擁有其審計業(yè)務系統(tǒng)中網絡設備、網絡安全設備的自主管理權限，統(tǒng)一設置、維護系統(tǒng)管理員賬戶和工作人員賬戶，不得設置不受限制、不受監(jiān)控的超級賬戶，不得將管理員賬號交由第三方運維機構管理使用。

　　六是壓實監(jiān)管責任�！稌盒修k法》明確了財政部門、網信部門、公安機關、國家安全機關對會計師事務所數據安全的監(jiān)管職責。省級以上財政部門、省級以上網信部門對會計師事務所開展監(jiān)督檢查，公安機關、國家安全機關依法在職責范圍內承擔會計師事務所數據安全監(jiān)管職責。會計師事務所對于依法實施的數據安全監(jiān)督檢查，應當予以配合。

　　問：如何做好《暫行辦法》的貫徹落實？ 

　　答：一是加大宣傳和指導力度。各級財政部門、網信部門要高度重視，積極宣傳，指導會計師事務所建立健全數據安全管理制度并確保有效實施，切實提升會計師事務所數據安全管理水平。二是加大監(jiān)督檢查力度。各相關部門應根據監(jiān)管職責，落實會計師事務所數據安全管理日常監(jiān)管、重點檢查、安全審查等有關要求，對存在違規(guī)行為的會計師事務所要依法嚴肅處理。三是加強協(xié)同配合。各相關部門應加強監(jiān)管信息共享，加強溝通協(xié)調，健全完善工作機制，形成工作合力，認真做好貫徹實施《暫行辦法》的各項工作。