紧跟全球数字化转型，会计事务所生产存储了海量的客户财务信息、税务资料等敏感数据，这些信息时刻面临被盗、丢失等数据安全问题，给会计事务所和客户带来了巨大的潜在风险。针对这一现状，需要完善的法律法规，以监管会计事务所在存储、传输和处理数据等各环节都必须遵守安全标准和流程，确保数据不会受到未经授权的访问或篡改。

为更好贯彻落实数据安全法、网络安全法等相关法律的要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动，财政部、国家网信办联合起草了《会计师事务所数据安全管理暂行办法（征求意见稿）》（以下简称《征求意见稿》）。

明确职责，划分主体责任

《征求意见稿》第四条和第五条明确提出，会计师事务所承担本机构的数据安全主体责任，并履行数据安全保护义务，国务院财政部门会同国家网信部门负责全国会计师事务所数据安全监管工作，省、自治区、直辖市人民政府财政部门会同省级网信部门负责本行政区域内会计师事务所数据安全监管工作。

会计事务所应该履行那些数据管理责任？谁承担数据安全主要负责人？《征求意见稿》第七条强调会计事务所应当建立健全数据安全管理制度，完善数据运营和管控机制、健全数据安全管理组织架构，明确数据安全管理权责机制、实施与业务特点相适应的数据分类分级管理、建立数据权限管理策略，按照最小授权原则设置数据访问和处理权限，定期复核并按有关规定保留数据访问记录，组织开展数据安全教育培训，并在第八条中规定会计师事务所的首席合伙人（主任会计师）是本所数据安全负责人。

做好数据分类分级，建立完善管理制度

对内部数据分类分级一直是实体组织保护内部数据资源的重要手段之一，《征求意见稿》第九条和第十条中，要求会计师事务所应当按照相关法律法规的规定和被审计单位所处行业数据分级分类标准，确定核心数据、重要数据和一般数据。

对于核心数据会计师事务所应当建立核心数据保护机制，通过专用服务器或者会计师事务所私有云平台设置内部专门空间存储，使用加密虚拟专用网络等技术手段传输，对核心数据的存储、读取、转移应当建立授权与记录机制并保证有效运行。

针对重要数据，会计师事务所应当制定和执行规范的处理流程，将其存放于和互联网逻辑隔离的信息系统中，并严格控制接触人员范围。一般数据的话，会计师事务所应当采取基于用户角色的授权访问控制，并且按照最小权限原则授权。《征求意见稿》第十一条还要求会计师事务所应当明确数据传输操作规程，核心数据、重要数据传输过程中应当采用加密技术，保护传输安全。

对于数据出境问题，《征求意见稿》在第十二条中做出严格要求，规定会计师事务所的审计工作底稿及相关数据应当存储在境内，不得在境外备份。不仅如此，会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能，日志应当存放境内，其中日志中的用户登录及访问日志保存期限不得少于十年，其他日志保存期限不得少于六个月。

《征求意见稿》对会计事务所的网络管理同样提出了更高的要求，规定会计师事务所应当建立完善的网络管理治理架构，建立健全内部网络管理制度体系，建立内部决策、管理、执行和监督机制，确保网络管理能力与提供的专业服务相适应，为数据安全管理工作提供安全的网络环境。

相关单位做好监督管理工作

《征求意见稿》第二十四条和第二十五条规定省级以上财政部门与同级网信部门加强会计师事务所数据安全监管信息共享，省级以上财政部门、省级以上网信部门（以下简称相关部门）对会计师事务所数据安全情况开展监督检查，并且提出在监督检查过程中，相关部门可以委托国家、行业有关专业机构采用渗透测试、漏洞扫描及信息技术风险评估等方式，协助对会计师事务所开展监督检查。

会计师事务所对相关部门依法实施的数据安全检查，应当予以配合，提供符合要求的相关数据资料和工作便利，不得拒绝、拖延、阻挠。在履行监管职责过程中，一旦发现会计师事务所开展数据处理活动存在较大安全风险的，可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施，消除隐患。

对违反《征求意见稿》的会计师事务所及其从业人员，《征求意见稿》第三十条和第三十一条指出由相关部门依照《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国注册会计师法》等法律、行政法规的规定进行处理处罚，涉及其他部门职责权限的，依法移送有关主管部门处理构成犯罪的，移送司法机关依法追究刑事责任。

《征求意见稿》全文：《会计师事务所数据安全管理暂行办法（征求意见稿）》