胡耘通（博士生导师）

一、会计师事务所数据安全管理的提出

数据作为新型生产要素，伴随着互联网、大数据、人工智能等新兴技术的发展，数据治理成为国家治理现代化的重要部分，而数据安全尤其关涉国家安全的实现与否。中共中央、国务院于2022 年12 月发布的《关于构建数据基础制度更好发挥数据要素作用的意见》《数字中国建设整体布局规划》，以及《网络安全法》《数据安全法》《个人信息保护法》等党和国家的政策、立法为数据安全保障提供了支持、明确了方向。一直以来，注册会计师扮演着“经济警察”“看门人”等重要角色，努力为维护社会公平正义、规范市场经济秩序、保障国家经济安全提供有力支撑。与律师事务所、税务师事务所、资产评估机构等社会中介机构相比，会计师事务所业务涉猎的范围非常广泛，除了审核财务会计等资料，还需要调查与之相关的合同签订、领导决策、项目投资等管理类资料，尤其能够触及企事业单位甚至政府机关的关键、核心资料，因此对于会计师事务所在执业活动中形成的审计数据的安全管理、保障显得尤为重要。

数据应用贯穿审计全过程，数据安全融合审计全周期（高源，2021）。基于此，为了规范会计师事务所数据处理活动，加强会计师事务所数据安全管理，财政部办公厅、国家网信办秘书局于2023 年11 月共同公布了《会计师事务所数据安全管理暂行办法（征求意见稿）》（简称《办法》），公开向社会征求意见。《办法》共五章三十六条，分为总则、数据管理、网络管理、监督检查、附则等章节。《办法》定位会计师事务所数据安全管理的顶层设计，明确细化数据安全管理内容要求，构建注册会计师行业数据安全监管体系，积极回应了数字时代、数字中国建设的宏观管理需求，填补了注册会计师行业领域关于数据安全管理之空白，开创了社会中介机构之先河，能够有效促进注册会计师行业更加健康、高质量地发展。

二、会计师事务所数据安全管理的重要意义

1.顺应互联网时代的变革趋势。数据要素、数字经济对于各行各业的高质量发展具有深刻、深远的影响，尤其是对于会计、审计等中介服务行业来说，更加需要顺应变革趋势。2020 ～2023年财政部等部门先后发布《关于推进会计师事务所函证数字化相关工作的指导意见》《银行审计函证数据标准（试行版）》《关于加快推进银行函证规范化、集约化、数字化建设的通知》《银行函证电子平台接入会计师事务所和金融机构公告》，会计师事务所率先在函证程序方面进行数字化探索，积极拥抱、推动数字化改革的潮流。2023年3月，中国注册会计师协会发布《注册会计师审计数据规范公共基础》《注册会计师审计数据规范总账》《注册会计师审计数据规范销售》和《注册会计师审计数据规范银行流水》等4项数据规范，以准确识别企业经营的核心数据，规范数据输出格式，提高会计师事务所从被审计单位获取数据的效率（张修权，2023），标志着注册会计师行业正积极向数字化和现代化的方向迈进。数字化转型要求注册会计师更有效率地获取、使用和分析被审计单位的相关数据并将其作为审计证据，从而提高审计效率和质量。《办法》的目的就是进一步规范会计师事务所数据处理活动，确保数据安全，以避免削减大数据带来的便利。

2.回应数据安全保障的紧迫态势。数据安全乃国家安全的重要部分。2021年7月，滴滴公司被发现“存在严重违法违规收集使用个人信息问题”，国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对其处人民币80.26亿元罚款。可见，信息安全、数据安全的有效保护（胡耘通，2023）已经迫在眉睫。2023年2月，财政部、国务院国资委、证监会联合印发《国有企业、上市公司选聘会计师事务所管理办法》（简称《管理办法》），其中第十八条提出，“国有企业、上市公司和会计师事务所应当提高信息安全意识，严格遵守国家有关信息安全的法律法规，认真落实监管部门对信息安全的监管要求，切实担负起信息安全的主体责任和保密责任。国有企业、上市公司在选聘时要加强对会计师事务所信息安全管理能力的审查，在选聘合同中应设置单独条款明确信息安全保护责任和要求，在向会计师事务所提供文件资料时加强对涉密敏感信息的管控，有效防范信息泄露风险。会计师事务所应履行信息安全保护义务，依法依规依合同规范信息数据处理活动”。可见，《管理办法》从选聘机制着手，从客户方反向驱动会计师事务所提升安全管理能力，而《办法》则进一步直接从正面规定了会计师事务所在开展日常业务时的数据安全保障义务。

3.契合衔接相关法律法规的基本形势。网络、数据作为互联网时代的新生事物，面临着诸多安全风险问题。《网络安全法》《数据安全法》《个人信息保护法》从较为宏观的层面规定了数据安全等举措。而聚焦到注册会计师行业，《注册会计师法》作为基本法律，由于其制定于1994年，缺少对互联网、大数据等新兴技术的充分认知，对数据安全管理方面的规定是缺失的。2021 年7 月国务院办公厅印发的《关于进一步规范财务审计秩序促进注册会计师行业健康发展的意见》提出，“完善维护信息安全要求，明确境外机构和人员入境执业等相关监管规定”。2021年4月中国注册会计师协会发布的《注册会计师行业信息化建设规划（2021-2025年）》明确，“坚持安全与发展并重。坚持网络安全与信息化发展并重。遵循积极利用、科学发展、依法管理、确保安全的方针”。2023 年8月财政部印发的《企业数据资源相关会计处理暂行规定》明确，“根据数据资源的持有目的、形成方式、业务模式，以及与数据资源有关的经济利益的预期消耗方式等，对数据资源相关交易和事项进行会计确认、计量和报告”。《办法》要求会计师事务所数据安全管理也是积极对相关规定的衔接与落实，以确保在从事相关业务中获取的数据得到科学保护。

三、会计师事务所数据安全管理的制度完善

1.加强顶层立法设计。现行有效的《注册会计师法》于1994 年施行、2014 年修正，由于制定实施之初，缺乏对数字时代、数字技术等新兴背景的认知，未能设置信息安全、数据安全等相关条款。《网络安全法》《数据安全法》《个人信息保护法》等法律对一般性的数据监管作出了规定，构建了数据安全保护的基本框架，也明确了国家机关相应的安全保护责任与义务，但这些规定是宏观性的、普遍性的（闫夏秋，2023）。财政部在2021年10月公布了《注册会计师法修订草案（征求意见稿）》（简称《修订草案》），其中第四十二条提出，“会计师事务所应当增强信息安全责任意识，建立、实施信息安全制度。会计师事务所、注册会计师执业活动形成的工作底稿及相关文件、资料及电子数据应当存储在境内。对审计数据的储存、访问、使用和传输应当符合国家保密规定和被审计单位的保密要求”。无论是现行《注册会计师法》还是《修订草案》，均未能充分融入数字时代的安全理念。《注册会计师法》作为注册会计师行业的基本法律，必须完善顶层设计，亟需进一步明确“会计师事务所建立、实施数据安全制度。会计师事务所、注册会计师执业活动形成的数据应当存储在境内。对审计数据的储存、访问、使用和传输应当符合法律法规和国家规定”。该条作为《办法》的制定依据，使《办法》更具有行业类的法律依据，从而增强其实施效力。

此外，《办法》第十五条要求“会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款”。而《民法典》第一百五十三条规定，“违反法律、行政法规的强制性规定的民事法律行为无效。但是，该强制性规定不导致该民事法律行为无效的除外”。《办法》属于部门规章或者规范性文件层级，不属于“法律、行政法规”范畴，如果会计师事务所约定了“向境外监管机构提供境内项目资料数据等类似条款”，并不导致条款无效。因此，建议删除该条，或者提高立法层级，纳入《注册会计师法》中规定。

2.明确立法关键概念。数据、数据安全作为《办法》的核心概念，是《办法》运行的基础环节，必须给予准确界定。《办法》将《注册会计师法》《数据安全法》《网络安全法》作为立法依据，需对上位法的相关概念进行引用，或者结合会计师事务所的业务范畴进行一定的细化，但应当保持原始概念的准确性，以免造成概念界定的偏差。《办法》第三条明确，“本办法所称数据，是指会计师事务所执行审计业务过程中，从外部获取和内部生成的任何以电子或者其他方式对信息的记录。数据安全，是指通过采取必要措施，确保数据持续得到有效保护和合法利用”。其中，关于数据和数据安全的界定，均存在偏离《数据安全法》的嫌疑。《数据安全法》第三条规定，“本法所称数据，是指任何以电子或者其他方式对信息的记录。……数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”。由此可见，《数据安全法》并没有限定“对信息的记录”的具体来源，而《办法》强调“从外部获取和内部生成的任何以电子或者其他方式对信息的记录”。关于“外部获取和内部生成”的表述，一方面无法覆盖全部的数据来源，另一方面也可能存在“外部生成”的可能性，反而造成“对信息的记录”的局限。因此，建议删除“外部获取和内部生成”。

此外，关于“数据安全”，除《办法》所明确的“确保数据处于有效保护和合法利用的状态”的情形外，《数据安全法》还强调了“具备保障持续安全状态的能力”，显然，安全状态不仅仅是“有效保护和合法利用”的瞬间情形，其还必须处于“持续”之中，这种“能力”是会计师事务所开展数据安全管理所应当具备的。

建议《办法》与《数据安全法》表述一致，将第三条修改为：“本办法所称数据，是指会计师事务所在执行业务过程中，取得的任何以电子或者其他方式对信息的记录。数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”

3.扩大立法适用范围。法律的适用范围是指法律规定适用的对象、时间、地域等范围。《办法》第二条规定：“在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的，适用本办法：（一）为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的；（二）开展跨境审计业务的。”该条明确了《办法》的具体适用范围，即境内及部分审计业务。“开展跨境审计业务的”，不受被审计单位的限制，而一般审计服务则限定了上市公司、非上市的国有金融机构、中央企业。同时，《办法》第三十四条进一步规定，“会计师事务所的非审计业务数据管理可参照本办法执行”。“参照”的效力大大降低，可以选择不参照执行。

一方面，对于限定“审计业务”而言，《注册会计师法》第十四条规定：“注册会计师承办下列审计业务：（一）审查企业会计报表，出具审计报告；（二）验证企业资本，出具验资报告；（三）办理企业合并、分立、清算事宜中的审计业务，出具有关的报告；（四）法律、行政法规规定的其他审计业务。”《注册会计师法》第十五条规定，“注册会计师可以承办会计咨询、会计服务业务”。对于注册会计师来说，审计业务以及非审计业务均属于法定业务范畴，本条不应当区别对待——将数据处理活动限定在审计业务领域，非审计业务只是参照执行。在实践中，会计师事务所审计业务与非审计业务的比例大约是4∶1，虽然审计业务属于主要业务，但会计师事务所也能够从非审计业务中获取大量数据，对于这部分数据的安全管理也是非常必要的。《修订草案》第四十二条要求“会计师事务所、注册会计师执业活动形成的工作底稿及相关文件、资料及电子数据应当存储在境内”，规范的也是“执业活动”，并非限定在审计业务领域。因此，《办法》不应当区分审计、非审计业务获取的数据。

另一方面，“上市公司以及非上市的国有金融机构、中央企业”是针对被审计单位的要求，但截至2023 年5月，全国仅98家中央企业，31个省、自治区和直辖市，所属有692 家省级地方国有企业。地方国有企业往往也会关系“国家安全、国民经济命脉、重要民生和重大公共利益等”，其数据的安全管理也非常重要和必要。

因此，建议本条修改为：“在中华人民共和国境内依法设立的会计师事务所开展下列业务相关数据处理活动的，适用本办法：（一）为上市公司以及非上市的国有金融机构、国有企业等提供服务的；（二）开展跨境业务的。”当然，《办法》中其他关于“审计业务”的规定，均改为“业务”，取消审计业务的限定。

4.强化法律责任承担。法律责任设置乃确保《办法》权威、有效的重要基础，也是促进权利义务积极实现的基本要求。《办法》在第二十九至三十一条设置了相关法律责任条款。例如，第二十九条要求相关部门可以“采取约谈、责令限期整改等监管措施”，本质上该条仍然属于管理举措，而非违法之后的责任承担要求，而且规定“可以”采取相关监管措施，而非“应当”，这一带有选择性的执法条款也使得监管力度薄弱，无法形成有效、强大的震慑作用。第三十和三十一条内容则相对笼统，带有准用性规范的形式，即遇到违法情形的，依据《数据安全法》《注册会计师法》或者《刑法》等法律、行政法规的规定进行处理处罚。如此规定带来的问题在于，无法凸显会计师事务所在数据安全管理领域的特殊性，以及法律法规内容的针对性，毕竟《数据安全法》《网络安全法》《注册会计师法》等均是针对数据安全管理或者注册会计师工作的一般规范，缺乏足够的特定性。基于此，有必要针对《办法》中的强制性规范，设置专门、对应的法律责任条款，以增强法律约束力和权威性，并确保相关部门在执法监管过程中有法可依。具体来说：

（1）《办法》第九条第一款“会计师事务所应当按照相关法律法规的规定和被审计单位所处行业数据分级分类标准确定核心数据、重要数据和一般数据”。由于《数据安全法》等上位法对此情形没有作出专门规定，针对会计师事务所未能（故意或者过失）准确确定“核心数据、重要数据和一般数据”，甚至拒绝确定数据类型的情形，《办法》应当设置相关的追责条款。参考《数据安全法》第四十五条内容，建议明确“会计师事务所违反本办法第九条规定，由主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。

（2）《办法》第二十五条“省级以上财政部门、省级以上网信部门（以下简称相关部门）对会计师事务所数据安全情况开展监督检查”。对于该条文，没有规定对应的法律责任，如果出现会计师事务所拒绝、拖延甚至阻挠检查的情形，则缺乏相应的责任。参考《数据安全法》第四十八条规定，建议要求“会计师事务所拒绝、拖延、阻挠相关部门依法实施的数据安全检查，或者提供相关数据资料不符合要求的，由主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。

（3）《办法》关于违法向境外提供数据的规定。《修订草案》第四十二条要求“会计师事务所、注册会计师执业活动形成的工作底稿及相关文件、资料及电子数据应当存储在境内”，《办法》也强调审计数据在境内使用、管理、存储，但缺乏关于违法向境外提供数据的处理处罚措施。参考《数据安全法》第四十五条规定，建议新增“会计师事务所违反本办法向境外提供数据的，或者加密设备、密钥未存储在境内的，由主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。

5.细化条文可操作性。《办法》作为部门规章层级的立法，内容规定应当细致，需要进一步提升其可操作性。

（1）《办法》第九条“会计师事务所应当按照相关法律法规的规定和被审计单位所处行业数据分级分类标准确定核心数据、重要数据和一般数据。会计师事务所应当通过业务约定书等方式与被审计单位明确审计资料分级分类要求，审计资料分级分类的要求应当与被审计单位相关资料分级分类的要求保持一致”。本条第一款确定了“数据”的分级分类标准，第二款规定了“审计资料”的分级分类要求，但“数据”与“审计资料”并非同一内容，上下文条款规定不一致。并且，第九条第一款规定了“核心数据、重要数据和一般数据”，但没有明确划分标准，不便于会计师事务所具体操作。《数据安全法》第二十一条明确“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据”，同时参考全国信息安全标准化技术委员会发布的《网络安全标准实践指南——网络数据分类分级指引》（TC260-PG-20212A）中的内容“2.2重要数据，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。2.3 核心数据，即国家核心数据，是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。2.4 一般数据，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对个人、组织合法权益造成危害，但不会危害国家安全、公共利益的数据”，建议《办法》新增第九条第二款“核心数据，是在会计师事务所业务中，关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据；重要数据，是在会计师事务所业务中，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据；一般数据，是在会计师事务所业务中，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对个人、组织合法权益造成危害，但不会危害国家安全、公共利益的数据”。同时，将第九条第二款调整为第三款“会计师事务所应当通过业务约定书等方式与被审计单位明确数据分级分类要求，数据分级分类的要求应当与被审计单位的相关要求保持一致”。

（2）《办法》第十七条“会计师事务所应当建立数据安全应急处置机制，加强数据安全风险监测。发现数据外泄、安全漏洞等风险的，应当立即采取补救、处置措施。发生重大数据安全事件的，应当及时向省级以上财政部门报告”。本条内容与上位法规定不一致，仅明确了“重大数据安全事件”向财政部门报告，缩小了报告数据安全事件的范围。参考《数据安全法》第二十九条“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告”，同时考虑到财政部门、网信部门作为数据安全的主管部门，应当同时报告，而非仅向财政部门报告，建议《办法》第十七条修改为：“会计师事务所应当建立数据安全应急处置机制，加强数据安全风险监测。发现数据外泄、安全漏洞等风险的，应当立即采取补救、处置措施。发生数据安全事件的，应当及时向省级以上财政部门、网信部门报告。”

（3）《办法》第二十五条第三款“相关部门和机构工作人员对监督检查中知悉的核心数据、重要数据、个人隐私等数据应当依法严格保护，不得泄露或者非法向他人提供”。针对核心数据、重要数据应建立专门保护机制，而个人隐私等保密内容则不得泄露。核心数据、重要数据与个人隐私不属于同一层面分类，不应统一规定。参考《数据安全法》第三十八条“国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供”，以及《网络安全法》第四十五条“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供”，建议《办法》第二十五条第三款修改为：“相关部门和机构工作人员对监督检查中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法严格保护，不得泄露或者非法向他人提供。”

（4）《办法》第二十八条“承接关系国计民生、重要领域审计业务的会计师事务所开展数据处理活动，影响或者可能影响国家安全的，按照网络安全审查相关机制进行网络安全审查”。本条明确了“关系国计民生、重要领域”数据处理活动的要求，“重要领域”在《办法》第二十六条“对于承接金融、能源、通信、交通、科技、国防科工等重要领域”进行了明确，但“关系国计民生”的范围未能明确。参考《数据安全法》第二十一条“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据”，国计民生应与“国家安全、国民经济命脉、重要民生、重大公共利益”等领域保持一致。因此，建议《办法》第二十八条修改为：“承接关系国家安全、国民经济命脉、重要民生、重大公共利益及其他重要领域业务的会计师事务所开展数据处理活动，影响或者可能影响国家安全的，按照国家有关规定进行网络安全审查。”

6.符合立法技术要求。《办法》部分其他条款也存在不符合立法技术规范或者含义不明确等情形，需要进一步完善。

（1）《办法》第一条“为保障会计师事务所数据安全，规范会计师事务所数据处理活动，……制定本办法”。《立法技术规范（试行）（一）》要求，“法律一般需要明示立法目的，表述为：‘为了……，制定本法’，用‘为了’，不用‘为’。立法目的的内容表述应当直接、具体。明确，一般按照由直接到间接、由具体到抽象、由微观到宏观的顺序排列”。与“保障会计师事务所数据安全”相比，“规范会计师事务所数据处理活动”更加直接。同时，参考《数据安全法》第一条“为了规范数据处理活动，保障数据安全，……制定本法”的表述，建议《办法》第一条修改为：“为了规范会计师事务所数据处理活动，保障会计师事务所数据安全，根据《中华人民共和国注册会计师法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规，制定本办法。”

（2）《办法》第六条“注册会计师协会应当加强行业自律，指导会计师事务所加强数据安全保护，提高数据安全管理水平”。“注册会计师协会应当……提高数据安全管理水平”表述有歧义，可能存在“提高会计师事务所的数据安全管理水平”，以及“提高协会自身的数据安全管理水平”等不同含义。因此，建议《办法》第六条修改为：“注册会计师协会应当加强行业自律，指导会计师事务所加强数据安全管理。”

（3）《办法》第二十九条“相关部门在履行数据安全监管职责中，发现会计师事务所开展数据处理活动存在较大安全风险的，可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施，消除隐患”。本条仅明确“发现会计师事务所开展数据处理活动存在较大安全风险的”情形，相关部门“可以”采取相关措施，这难以有效防止“安全风险”的隐患发生。因此，建议《办法》第二十九条修改为：“相关部门在履行数据安全监管职责中，发现会计师事务所开展数据处理活动存在安全风险的，应当对会计师事务所及其责任人采取约谈、责令限期整改等监管措施，消除隐患。”

可以预见，作为以审计、鉴证为主要业务的中介机构——会计师事务所，在审计数据的采集、存储、使用过程中，数据安全管理尤为关键，会计师事务所应当在各个环节进行标准化、规范化的管控，建立科学、完善的数据安全管理制度，以切实保障审计数据在全生命周期的安全。基于此，为了顺应互联网时代的变革趋势、回应数据安全保障的紧迫态势、契合衔接相关法律法规的基本形势，《办法》开启了会计师事务所数据安全管理制度建设的崭新篇章，奠定了数据安全管理规范运行的坚实基础，但仍需要在加强顶层立法设计、明确立法关键概念、扩大立法适用范围、强化法律责任承担、细化条文可操作性、符合立法技术要求等方面进行考量和完善。

在全面推进依法治国的战略背景下，“良法善治”是国家治理现代化的重要环节，而会计师事务所数据安全管理制度建设仅仅是科学立法的基本诉求，奠定了“良法”的基础，但“徒法不足以自行”，“善治”才是更高层次的追求。对于会计师事务所而言，如何规范地执行《办法》，真正落实数据安全管理，保障数据安全，方是立法的出发点和落脚点。实际上，会计师事务所数据安全管理并非一蹴而就，未来在《办法》通过、执行过程中，其还需注意以下问题：第一，结合自身实际，专门制定可操作性的数据安全管理规范手册，确保《办法》有效落地，实现预期目标；第二，强化自身及审计人员的数据安全保护意识，确保其能够时刻紧绷数据安全的“弦”；第三，为审计人员提供及时、全面的培训，提升其数据安全保护能力和专业水平。

【 主要参考文献】

高源.《民法典》视角下的审计数据安全维护［J］.审计月刊，2021（10）：25 ～26.

张修权.迈出审计数据规范体系建设的第一步［N］.中国会计报，2023-04-28.

胡耘通.个人信息保护合规审计制度建设思考”［J］.财会月刊，2023（20）：88 ～91.

闫夏秋.《数据安全法》视域下审计数据安全治理框架研究［J］.商业会计，2023（14）：34 ～38.