會計師事務(wù)所數據安(ān)全管理(lǐ)暫行辦(bàn)法

各省、自治區(qū)、直轄市财政廳（局）、網信辦(bàn)，新(xīn)疆生産(chǎn)建設兵團财政局、網信辦(bàn)，深圳市财政局：

       為(wèi)貫徹落實《國(guó)務(wù)院辦(bàn)公(gōng)廳關于進一步規範财務(wù)審計秩序 促進注冊會計師行業健康發展的意見》（國(guó)辦(bàn)發〔2021〕30号）有(yǒu)關要求，加強會計師事務(wù)所數據安(ān)全管理(lǐ)，規範會計師事務(wù)所數據處理(lǐ)活動，我們制定了《會計師事務(wù)所數據安(ān)全管理(lǐ)暫行辦(bàn)法》，現予印發，請遵照執行。

       附件：會計師事務(wù)所數據安(ān)全管理(lǐ)暫行辦(bàn)法

财政部 國(guó)家互聯網信息辦(bàn)公(gōng)室

2024年4月15日

會計師事務(wù)所數據安(ān)全管理(lǐ)暫行辦(bàn)法

第一章 總則

第一條 為(wèi)保障會計師事務(wù)所數據安(ān)全，規範會計師事務(wù)所數據處理(lǐ)活動，根據《中(zhōng)華人民(mín)共和國(guó)注冊會計師法》、《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》等法律法規，制定本辦(bàn)法。

第二條 在中(zhōng)華人民(mín)共和國(guó)境内依法設立的會計師事務(wù)所開展下列審計業務(wù)相關數據處理(lǐ)活動的，适用(yòng)本辦(bàn)法：

（一）為(wèi)上市公(gōng)司以及非上市的國(guó)有(yǒu)金融機構、中(zhōng)央企業等提供審計服務(wù)的；

（二）為(wèi)關鍵信息基礎設施運營者或者超過100萬用(yòng)戶的網絡平台運營者提供審計服務(wù)的；

（三）為(wèi)境内企業境外上市提供審計服務(wù)的。

會計師事務(wù)所從事的審計業務(wù)不屬于前款規定的範圍，但涉及重要數據或者核心數據的，适用(yòng)本辦(bàn)法。

第三條 本辦(bàn)法所稱數據，是指會計師事務(wù)所執行審計業務(wù)過程中(zhōng)，從外部獲取和内部生成的任何以電(diàn)子或者其他(tā)方式對信息的記錄。

數據安(ān)全，是指通過采取必要措施，确保數據處于有(yǒu)效保護和合法利用(yòng)的狀态，以及具(jù)備保障持續安(ān)全狀态的能(néng)力。

第四條 會計師事務(wù)所承擔本所的數據安(ān)全主體(tǐ)責任，履行數據安(ān)全保護義務(wù)。

第五條 财政部負責全國(guó)會計師事務(wù)所數據安(ān)全監管工(gōng)作(zuò)，省級（含深圳市、新(xīn)疆生産(chǎn)建設兵團）财政部門負責本行政區(qū)域内會計師事務(wù)所數據安(ān)全監管工(gōng)作(zuò)。

第六條 注冊會計師協會應當加強行業自律，指導會計師事務(wù)所加強數據安(ān)全保護，提高數據安(ān)全管理(lǐ)水平。

第二章 數據管理(lǐ)

第七條 會計師事務(wù)所應當在下列方面履行本所數據安(ān)全管理(lǐ)責任：

（一）建立健全數據全生命周期安(ān)全管理(lǐ)制度，完善數據運營和管控機制；

（二）健全數據安(ān)全管理(lǐ)組織架構，明确數據安(ān)全管理(lǐ)權責機制；

（三）實施與業務(wù)特點相适應的數據分(fēn)類分(fēn)級管理(lǐ)；

（四）建立數據權限管理(lǐ)策略，按照最小(xiǎo)授權原則設置數據訪問和處理(lǐ)權限，定期複核并按有(yǒu)關規定保留數據訪問記錄；

（五）組織開展數據安(ān)全教育培訓；

（六）法律法規規定的其他(tā)事項。

第八條 會計師事務(wù)所的首席合夥人（主任會計師）是本所數據安(ān)全負責人。

第九條 會計師事務(wù)所應當按照法律、行政法規的規定和被審計單位所處行業數據分(fēn)類分(fēn)級标準确定核心數據、重要數據和一般數據。

會計師事務(wù)所和被審計單位應當通過業務(wù)約定書、确認函等方式明确審計資料中(zhōng)核心數據和重要數據的性質(zhì)、内容和範圍等。

第十條 會計師事務(wù)所對核心數據、重要數據的存儲處理(lǐ)，應當符合國(guó)家相關規定。

存儲核心數據的信息系統要落實四級網絡安(ān)全等級保護要求。存儲重要數據的信息系統要落實三級及以上網絡安(ān)全等級保護要求。

數據彙聚、關聯後屬于國(guó)家秘密事項的，應當依照有(yǒu)關保守國(guó)家秘密的法律、行政法規規定處理(lǐ)。

第十一條 會計師事務(wù)所應當對審計業務(wù)相關的信息系統、數據庫、網絡設備、網絡安(ān)全設備等設置并啓用(yòng)訪問日志(zhì)記錄功能(néng)。

涉及核心數據的，相關日志(zhì)留存時間不少于三年。涉及重要數據的，相關日志(zhì)留存時間不少于一年；涉及向他(tā)人提供、委托處理(lǐ)、共同處理(lǐ)重要數據的相關日志(zhì)留存時間不少于三年。

第十二條 會計師事務(wù)所應當明确數據傳輸操作(zuò)規程。核心數據、重要數據傳輸過程中(zhōng)應當采用(yòng)加密技(jì )術，保護傳輸安(ān)全。

第十三條 審計工(gōng)作(zuò)底稿應當按照法律、行政法規和國(guó)家有(yǒu)關規定存儲在境内。相關加密設備應當設置在境内并由境内團隊負責運行維護，密鑰應當存儲在境内。

第十四條 會計師事務(wù)所應當建立數據備份制度。會計師事務(wù)所應當确保在審計相關應用(yòng)系統因外部技(jì )術原因被停止使用(yòng)、被限制使用(yòng)等情況下，仍能(néng)訪問、調取、使用(yòng)相關審計工(gōng)作(zuò)底稿。

第十五條 會計師事務(wù)所不得在業務(wù)約定書或者類似合同中(zhōng)包含會計師事務(wù)所向境外監管機構提供境内項目資料數據等類似條款。

第十六條 會計師事務(wù)所應當采用(yòng)網絡隔離、用(yòng)戶認證、訪問控制、數據加密、病毒防範、非法入侵檢測等技(jì )術手段，及時識别、阻斷和溯源相關網絡攻擊和非法訪問，保障數據安(ān)全。

第十七條 會計師事務(wù)所應當建立數據安(ān)全應急處置機制，加強數據安(ān)全風險監測。發現數據外洩、安(ān)全漏洞等風險的，應當立即采取補救、處置措施。發生重大數據安(ān)全事件，導緻核心數據或者重要數據洩露、丢失或者被竊取、篡改的，應當及時向有(yǒu)關主管部門報告。

第十八條 會計師事務(wù)所向境外提供其在境内運營中(zhōng)收集和産(chǎn)生的個人信息和重要數據的，應當遵守國(guó)家數據出境管理(lǐ)有(yǒu)關規定。

第十九條 會計師事務(wù)所對于審計工(gōng)作(zuò)底稿出境事項應當建立逐級複核機制，采取必要措施嚴格落實數據安(ān)全管控責任。對于需要出境的審計工(gōng)作(zuò)底稿，按照國(guó)家有(yǒu)關規定辦(bàn)理(lǐ)審批手續。

第三章 網絡管理(lǐ)

第二十條 會計師事務(wù)所應當建立完善的網絡安(ān)全管理(lǐ)治理(lǐ)架構，建立健全内部網絡安(ān)全管理(lǐ)制度體(tǐ)系，建立内部決策、管理(lǐ)、執行和監督機制，确保網絡安(ān)全管理(lǐ)能(néng)力與提供的專業服務(wù)相适應，為(wèi)數據安(ān)全管理(lǐ)工(gōng)作(zuò)提供安(ān)全的網絡環境。

第二十一條 會計師事務(wù)所應當按照業務(wù)活動規模及複雜程度配置具(jù)備相應職業技(jì )能(néng)水平的網絡管理(lǐ)技(jì )術人員，确保合理(lǐ)的網絡資源投入和資金投入。

第二十二條 會計師事務(wù)所應當做好信息系統安(ān)全管理(lǐ)和技(jì )術防護，根據存儲、處理(lǐ)數據的級别采取相應的網絡物(wù)理(lǐ)隔離或者邏輯隔離等措施，設置嚴格的訪問控制策略，防範未經授權的訪問行為(wèi)。

第二十三條 會計師事務(wù)所應當擁有(yǒu)其審計業務(wù)系統中(zhōng)網絡設備、網絡安(ān)全設備的自主管理(lǐ)權限，統一設置、維護系統管理(lǐ)員賬戶和工(gōng)作(zuò)人員賬戶，不得設置不受限制、不受監控的超級賬戶，不得将管理(lǐ)員賬号交由第三方運維機構管理(lǐ)使用(yòng)。

加入國(guó)際網絡的會計師事務(wù)所使用(yòng)所在國(guó)際網絡的信息系統的，應當采取必要措施，使其符合國(guó)家數據安(ān)全法律、行政法規和本辦(bàn)法的規定，确保本所數據安(ān)全。

第四章 監督檢查

第二十四條 财政部和省級财政部門（以下統稱省級以上财政部門）與同級網信部門、公(gōng)安(ān)機關、國(guó)家安(ān)全機關加強會計師事務(wù)所數據安(ān)全監管信息共享。

第二十五條 省級以上财政部門、省級以上網信部門對會計師事務(wù)所數據安(ān)全情況開展監督檢查。公(gōng)安(ān)機關、國(guó)家安(ān)全機關依法在職責範圍内承擔會計師事務(wù)所數據安(ān)全監管職責。

第二十六條 對于承接金融、能(néng)源、電(diàn)信、交通、科(kē)技(jì )、國(guó)防科(kē)工(gōng)等重要領域審計業務(wù)且符合本辦(bàn)法第二條規定範圍的會計師事務(wù)所，省級以上财政部門在監督檢查工(gōng)作(zuò)中(zhōng)予以重點關注，并持續加強日常監管。

第二十七條 會計師事務(wù)所對于依法實施的數據安(ān)全監督檢查，應當予以配合，不得拒絕、拖延、阻撓。

第二十八條 會計師事務(wù)所開展數據處理(lǐ)活動，影響或者可(kě)能(néng)影響國(guó)家安(ān)全的，應當按照國(guó)家安(ān)全審查機制進行安(ān)全審查。

第二十九條 相關部門在履行數據安(ān)全監管職責中(zhōng)，發現會計師事務(wù)所開展數據處理(lǐ)活動存在較大安(ān)全風險的，可(kě)以對會計師事務(wù)所及其責任人采取約談、責令限期整改等監管措施，消除隐患。

第三十條 會計師事務(wù)所及相關人員違反本辦(bàn)法規定的，應當按照《中(zhōng)華人民(mín)共和國(guó)注冊會計師法》、《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》等法律、行政法規的規定予以處理(lǐ)處罰；涉及其他(tā)部門職責權限的，依法移送有(yǒu)關主管部門處理(lǐ)；構成犯罪的，移送司法機關依法追究刑事責任。

第三十一條 相關部門工(gōng)作(zuò)人員在履行會計師事務(wù)所數據安(ān)全監管職責過程中(zhōng)，玩忽職守、濫用(yòng)職權、徇私舞弊的，依法追究法律責任。

第五章 附則

第三十二條 會計師事務(wù)所及相關人員開展涉及國(guó)家秘密的數據處理(lǐ)活動，适用(yòng)《中(zhōng)華人民(mín)共和國(guó)保守國(guó)家秘密法》等法律、行政法規的規定。

第三十三條 會計師事務(wù)所及相關人員開展其他(tā)涉及個人信息的數據處理(lǐ)活動，應當遵守有(yǒu)關法律、行政法規的規定。

第三十四條 會計師事務(wù)所可(kě)以參照本辦(bàn)法加強對非審計業務(wù)數據的管理(lǐ)。

第三十五條 本辦(bàn)法由财政部、國(guó)家網信辦(bàn)負責解釋。

第三十六條 本辦(bàn)法自2024年10月1日起施行。