會計師事務所數據安全管理暫行辦法

關於印發《會計師事務所數據安全管理暫行辦法》的通知

財會〔2024〕6號

各省、自治區、直轄市財政廳（局）、網信辦，新疆生產建設兵團財政局、網信辦，深圳市財政局：

　　為貫徹落實《國務院辦公廳關於進一步規範財務審計秩序 促進註冊會計師行業健康發展的意見》（國辦發〔2021〕30號）有關要求，加強會計師事務所數據安全管理，規範會計師事務所數據處理活動，我們制定了《會計師事務所數據安全管理暫行辦法》，現予印發，請遵照執行。

　　附屬檔案：會計師事務所數據安全管理暫行辦法

　　財政部 國家網際網路信息辦公室

　　2024年4月15日

2023年11月2日，財政部、國家網信辦聯合起草了《會計師事務所數據安全管理暫行辦法（徵求意見稿）》。

2024年4月15日，財政部、國家網信辦聯合印發《會計師事務所數據安全管理暫行辦法》。

第一條 為保障會計師事務所數據安全，規範會計師事務所數據處理活動，根據《中華人民共和國註冊會計師法》、《中華人民共和國網路安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規，制定本辦法。

第二條 在中華人民共和國境內依法設立的會計師事務所開展下列審計業務相關數據處理活動的，適用本辦法：

（一）為上市公司以及非上市的國有金融機構、中央企業等提供審計服務的；

（二）為關鍵信息基礎設施運營者或者超過100萬用戶的網路平台運營者提供審計服務的;

（三）為境內企業境外上市提供審計服務的。會計師事務所從事的審計業務不屬於前款規定的範圍，但涉及重要數據或者核心數據的，適用本辦法。

第三條 本辦法所稱數據，是指會計師事務所執行審計業務過程中，從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。數據安全，是指通過採取必要措施，確保數據處於有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

第四條 會計師事務所承擔本所的數據安全主體責任，履行數據安全保護義務。

第五條 財政部負責全國會計師事務所數據安全監管工作，省級（含深圳市、新疆生產建設兵團）財政部門負責本行政區域內會計師事務所數據安全監管工作。

第六條 註冊會計師協會應當加強行業自律，指導會計師事務所加強數據安全保護，提高數據安全管理水平。

第七條 會計師事務所應當在下列方面履行本所數據安全管理責任：

（一）建立健全數據全生命周期安全管理制度，完善數據運營和管控機制；

（二）健全數據安全管理組織架構，明確數據安全管理權責機制；

（三）實施與業務特點相適應的數據分類分級管理；

（四）建立數據許可權管理策略，按照最小授權原則設定數據訪問和處理許可權，定期覆核並按有關規定保留數據訪問記錄；

（五）組織開展數據安全教育培訓；

（六）法律法規規定的其他事項。

第八條 會計師事務所的首席合伙人（主任會計師）是本所數據安全負責人。

第九條 會計師事務所應當按照法律、行政法規的規定和被審計單位所處行業數據分類分級標準確定核心數據、重要數據和一般數據。會計師事務所和被審計單位應當通過業務約定書、確認函等方式明確審計資料中核心數據和重要數據的性質、內容和範圍等。

第十條 會計師事務所對核心數據、重要數據的存儲處理，應當符合國家相關規定。存儲核心數據的信息系統要落實四級網路安全等級保護要求。存儲重要數據的信息系統要落實三級及以上網路安全等級保護要求。數據匯聚、關聯後屬於國家秘密事項的，應當依照有關保守國家秘密的法律、行政法規規定處理。

第十一條 會計師事務所應當對審計業務相關的信息系統、資料庫、網路設備、網路安全設備等設定並啟用訪問日誌記錄功能。涉及核心數據的，相關日誌留存時間不少於三年。涉及重要數據的，相關日誌留存時間不少於一年；涉及向他人提供、委託處理、共同處理重要數據的相關日誌留存時間不少於三年。

第十二條 會計師事務所應當明確數據傳輸操作規程。核心數據、重要數據傳輸過程中應當採用加密技術，保護傳輸安全。

第十三條 審計工作底稿應當按照法律、行政法規和國家有關規定存儲在境內。相關加密設備應當設定在境內並由境內團隊負責運行維護，密鑰應當存儲在境內。

第十四條 會計師事務所應當建立數據備份制度。會計師事務所應當確保在審計相關套用系統因外部技術原因被停止使用、被限制使用等情況下，仍能訪問、調取、使用相關審計工作底稿。

第十五條 會計師事務所不得在業務約定書或者類似契約中包含會計師事務所向境外監管機構提供境內項目資料數據等類似條款。

第十六條 會計師事務所應當採用網路隔離、用戶認證、訪問控制、數據加密、病毒防範、非法入侵檢測等技術手段，及時識別、阻斷和溯源相關網路攻擊和非法訪問，保障數據安全。

第十七條 會計師事務所應當建立數據安全應急處置機制，加強數據安全風險監測。發現數據外泄、安全漏洞等風險的，應當立即採取補救、處置措施。發生重大數據安全事件，導致核心數據或者重要數據泄露、丟失或者被竊取、篡改的，應當及時向有關主管部門報告。

第十八條 會計師事務所向境外提供其在境內運營中收集和產生的個人信息和重要數據的，應當遵守國家數據出境管理有關規定。

第十九條 會計師事務所對於審計工作底稿出境事項應當建立逐級覆核機制，採取必要措施嚴格落實數據安全管控責任。對於需要出境的審計工作底稿，按照國家有關規定辦理審批手續。

第二十條 會計師事務所應當建立完善的網路安全管理治理架構，建立健全內部網路安全管理制度體系，建立內部決策、管理、執行和監督機制，確保網路安全管理能力與提供的專業服務相適應，為數據安全管理工作提供安全的網路環境。

第二十一條 會計師事務所應當按照業務活動規模及複雜程度配置具備相應職業技能水平的網路管理技術人員，確保合理的網路資源投入和資金投入。

第二十二條 會計師事務所應當做好信息系統安全管理和技術防護，根據存儲、處理數據的級別採取相應的網路物理隔離或者邏輯隔離等措施，設定嚴格的訪問控制策略，防範未經授權的訪問行為。

第二十三條 會計師事務所應當擁有其審計業務系統中網路設備、網路安全設備的自主管理許可權，統一設定、維護系統管理員賬戶和工作人員賬戶，不得設定不受限制、不受監控的超級賬戶，不得將管理員賬號交由第三方運維機構管理使用。加入國際網路的會計師事務所使用所在國際網路的信息系統的，應當採取必要措施，使其符合國家數據安全法律、行政法規和本辦法的規定，確保本所數據安全。

第二十四條 財政部和省級財政部門（以下統稱省級以上財政部門）與同級網信部門、公安機關、國家安全機關加強會計師事務所數據安全監管信息共享。

第二十五條 省級以上財政部門、省級以上網信部門對會計師事務所數據安全情況開展監督檢查。公安機關、國家安全機關依法在職責範圍內承擔會計師事務所數據安全監管職責。

第二十六條 對於承接金融、能源、電信、交通、科技、國防科工等重要領域審計業務且符合本辦法第二條規定範圍的會計師事務所，省級以上財政部門在監督檢查工作中予以重點關注，並持續加強日常監管。

第二十七條 會計師事務所對於依法實施的數據安全監督檢查，應當予以配合，不得拒絕、拖延、阻撓。

第二十八條 會計師事務所開展數據處理活動，影響或者可能影響國家安全的，應當按照國家安全審查機制進行安全審查。

第二十九條 相關部門在履行數據安全監管職責中，發現會計師事務所開展數據處理活動存在較大安全風險的，可以對會計師事務所及其責任人採取約談、責令限期整改等監管措施，消除隱患。

第三十條 會計師事務所及相關人員違反本辦法規定的，應當按照《中華人民共和國註冊會計師法》、《中華人民共和國網路安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律、行政法規的規定予以處理處罰；涉及其他部門職責許可權的，依法移送有關主管部門處理；構成犯罪的，移送司法機關依法追究刑事責任。

第三十一條 相關部門工作人員在履行會計師事務所數據安全監管職責過程中，玩忽職守、濫用職權、徇私舞弊的，依法追究法律責任。

第三十二條 會計師事務所及相關人員開展涉及國家秘密的數據處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

第三十三條 會計師事務所及相關人員開展其他涉及個人信息的數據處理活動，應當遵守有關法律、行政法規的規定。

第三十四條 會計師事務所可以參照本辦法加強對非審計業務數據的管理。

第三十五條 本辦法由財政部、國家網信辦負責解釋。

第三十六條 本辦法自 2024年10月1日起施行。

《會計師事務所數據安全管理暫行辦法》主要包括五方面內容，一是總則，主要明確制定依據、適用對象、責任主體；二是數據管理，主要包括總體責任、責任人員、數據分類分級、日誌管理、數據傳輸管理、數據加密管理、數據備份、業務約定書、技術保護手段、日常安全監測、數據出境等內容；三是網路管理，主要包括網路管理制度、資源投入、訪問控制、系統賬戶管理等內容；四是監督檢查，主要包括信息共享、日常檢查、重點檢查對象、安全審查、行政監管措施、行政處罰等內容；五是附則。

從具體內容看，主要對六方面內容進行了規範：

一是明確適用對象。《暫行辦法》主要適用於境內依法設立的會計師事務所開展的審計業務相關數據處理活動，包括為上市公司以及非上市的國有金融機構或中央企業等提供審計服務；為關鍵信息基礎設施運營者或者超過100萬用戶的網路平台運營者提供審計服務；為境內企業境外上市提供審計服務。會計師事務所未從事前述三類業務，但審計業務涉及重要數據或者核心數據，也應根據《暫行辦法》進行數據處理活動。數據包括會計師事務所執行審計業務過程中從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。

二是規範數據分類分級。《暫行辦法》要求會計師事務所應按照相關法律法規的規定和被審計單位所處行業數據分類分級的標準，確定核心數據、重要數據和一般數據，並對核心數據和重要數據的存儲、相關日誌、傳輸等作出明確要求。被審計單位有義務通過業務約定書、確認函等方式告知會計師事務所審計資料中的核心數據和重要數據相關信息。在數據存儲上，存儲重要數據的信息系統要落實三級及以上網路安全等級保護要求，存儲核心數據的信息系統要落實四級網路安全等級保護要求。在日誌管理上，要求涉及核心數據的相關日誌，留存時間不少於三年，涉及重要數據的相關日誌，留存時間不少於一年，其中向他人提供、委託處理、共同處理重要數據的相關日誌留存時間不少於三年。涉及一般數據，按照國家相關規定處理，《暫行辦法》不作特別要求。

三是規範底稿管理。截至目前，我國有35家會計師事務所加入或創建了28個國際會計網路，行業對外交流合作日益密切。《暫行辦法》規定，會計師事務所審計工作底稿應按相關規定存放在境內。會計師事務所不得在業務約定書或類似契約中包含會計師事務所向境外監管機構提供境內項目資料數據等類似條款。境外監管機構因監管需要確需調取境內審計工作底稿的，應通過相應的跨境監管合作機制依法依規獲取，相應審計工作底稿出境應當辦理審批手續。會計師事務所對審計工作底稿出境事項應當建立逐級覆核機制，落實數據安全管控責任。

四是強化網路管理。《暫行辦法》對會計師事務所在建立內部網路安全管理制度、網路管理資源投入、網路安全技術防護、網路管理賬戶許可權等方面做出具體要求，指導會計師事務所為數據安全管理工作提供安全的網路環境。會計師事務所應當建章立制並有效執行，確保網路安全管理能力與提供的專業服務相適應；做好信息系統安全管理和技術防護，設定嚴格的訪問控制策略，防範未經授權的訪問行為。

五是聚焦安全可控。《暫行辦法》要求會計師事務所建立數據備份制度，確保在審計相關套用系統因外部技術原因被停止使用、被限制使用等情況下，仍能訪問、調取、使用相關審計工作底稿。加密設備應當設定在境內並由境內團隊負責運行維護，密鑰應當存儲在境內。會計師事務所應當擁有其審計業務系統中網路設備、網路安全設備的自主管理許可權，統一設定、維護系統管理員賬戶和工作人員賬戶，不得設定不受限制、不受監控的超級賬戶，不得將管理員賬號交由第三方運維機構管理使用。

六是壓實監管責任。《暫行辦法》明確了財政部門、網信部門、公安機關、國家安全機關對會計師事務所數據安全的監管職責。省級以上財政部門、省級以上網信部門對會計師事務所開展監督檢查，公安機關、國家安全機關依法在職責範圍內承擔會計師事務所數據安全監管職責。會計師事務所對於依法實施的數據安全監督檢查，應當予以配合。

《辦法》的適用範圍是在中國境內依法設立並為上市公司以及非上市的國有金融機構、中央企業等提供審計服務,或者開展跨境審計的會計師事務所及其從業人員。數據是指會計師事務所執行審計業務過程中，從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。會計師事務所承擔本機構的數據安全主體責任。財政部門和網信部門是會計師事務所數據安全的監管機構。註冊會計師協會是會計師事務所數據安全的自律管理主體。

一是落實相關法律要求。《暫行辦法》全面落實網路安全法、數據安全法、個人信息保護法等法律要求，是在註冊會計師行業對國家網路和數據安全管理相關規定的細化，為會計師事務所開展數據安全管理活動提供依據，有利於推動註冊會計師行業數據安全管理工作制度化、規範化。

二是落實國務院有關檔案要求。《國務院辦公廳關於進一步規範財務審計秩序 促進註冊會計師行業健康發展的意見》（國辦發〔2021〕30號）強調，要加快推進註冊會計師行業基礎制度建設，及時跟進健全相關制度規定。《暫行辦法》順應數字經濟發展趨勢，進一步完善了註冊會計師行業基礎制度體系。

三是落實財會監督有關要求。《暫行辦法》構建了橫向協同、縱向聯動的行業數據安全監管機制,明確財政部門、網信部門、公安機關、國家安全機關等各方職責，確保有效銜接，加強信息共享，推動實現跨地區、跨部門、跨層級協同監管。

在深入分析註冊會計師行業數據安全管理現狀和需求的基礎上，財政部會同國家網信辦起草了《暫行辦法》初稿，並對部分會計師事務所開展實地調研，組織會計師事務所和數據安全專家專題討論，形成《暫行辦法》徵求意見稿。

2023年11月，兩部門聯合面向地方財政部門、網信部門、會計師事務所和社會公眾公開徵求意見。反饋意見總體認為，《暫行辦法》內容全面、條理清晰、指導性強，有助於加強會計師事務所數據安全管理，規範會計師事務所數據處理活動。同時，部分反饋意見提出了一些具體的修改意見。我們對所有反饋意見進行了認真梳理，並充分吸收採納，在反覆研討、徵求相關部門意見的基礎上，對徵求意見稿進行了修改完善。

一是加大宣傳和指導力度。各級財政部門、網信部門要高度重視，積極宣傳，指導會計師事務所建立健全數據安全管理制度並確保有效實施，切實提升會計師事務所數據安全管理水平。二是加大監督檢查力度。各相關部門應根據監管職責，落實會計師事務所數據安全管理日常監管、重點檢查、安全審查等有關要求，對存在違規行為的會計師事務所要依法嚴肅處理。三是加強協同配合。各相關部門應加強監管信息共享，加強溝通協調，健全完善工作機制，形成工作合力，認真做好貫徹實施《暫行辦法》的各項工作。