會計師事務所數據安全管理制度研究

DOI：10．19641/j．cnki．42-1290/f．2024．06．011

【摘要】互聯網、 大數據、 人工智能等新興技術的發展， 對數據安全提出了更高標準的要求。會計師事務所作為社會中介機構的典型代表， 其業務范圍覆蓋政府機關、 企事業單位的核心資料與數據， 對于數據安全的管理、" 保護尤其關鍵。2023年11月財政部辦公廳、 國家網信辦秘書局公布的《會計師事務所數據安全管理暫行辦法（征求意見稿）》具有重大意義， 包括順應互聯網時代的變革趨勢、 回應數據安全保障的緊迫態勢、 契合銜接相關法律法規的基本形勢。但是， 仍需要在加強頂層立法設計、 明確立法關鍵概念、 擴大立法適用范圍、 強化法律責任承擔、 細化條文可操作性、 符合立法技術要求等方面， 進一步創新和完善會計師事務所的數據安全管理制度。

【關鍵詞】會計師事務所；數據安全；管理；立法

【中圖分類號】 F239" " "【文獻標識碼】A" " " 【文章編號】1004-0994（2024）06-0080-5

一、 會計師事務所數據安全管理的提出

數據作為新型生產要素， 伴隨著互聯網、 大數據、 人工智能等新興技術的發展， 數據治理成為國家治理現代化的重要部分， 而數據安全尤其關涉國家安全的實現與否。中共中央、 國務院于2022年12月發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》《數字中國建設整體布局規劃》， 以及《網絡安全法》《數據安全法》《個人信息保護法》等黨和國家的政策、 立法為數據安全保障提供了支持、 明確了方向。一直以來， 注冊會計師扮演著“經濟警察”“看門人”等重要角色， 努力為維護社會公平正義、 規范市場經濟秩序、 保障國家經濟安全提供有力支撐。與律師事務所、 稅務師事務所、 資產評估機構等社會中介機構相比， 會計師事務所業務涉獵的范圍非常廣泛， 除了審核財務會計等資料， 還需要調查與之相關的合同簽訂、 領導決策、 項目投資等管理類資料， 尤其能夠觸及企事業單位甚至政府機關的關鍵、 核心資料， 因此對于會計師事務所在執業活動中形成的審計數據的安全管理、 保障顯得尤為重要。

數據應用貫穿審計全過程， 數據安全融合審計全周期（高源，2021）。基于此， 為了規范會計師事務所數據處理活動， 加強會計師事務所數據安全管理， 財政部辦公廳、 國家網信辦秘書局于2023年11月共同公布了《會計師事務所數據安全管理暫行辦法（征求意見稿）》（簡稱《辦法》）， 公開向社會征求意見。《辦法》共五章三十六條， 分為總則、 數據管理、 網絡管理、 監督檢查、 附則等章節。《辦法》定位會計師事務所數據安全管理的頂層設計， 明確細化數據安全管理內容要求， 構建注冊會計師行業數據安全監管體系， 積極回應了數字時代、 數字中國建設的宏觀管理需求， 填補了注冊會計師行業領域關于數據安全管理之空白， 開創了社會中介機構之先河， 能夠有效促進注冊會計師行業更加健康、 高質量地發展。

二、 會計師事務所數據安全管理的重要意義

1. 順應互聯網時代的變革趨勢。數據要素、 數字經濟對于各行各業的高質量發展具有深刻、 深遠的影響， 尤其是對于會計、 審計等中介服務行業來說， 更加需要順應變革趨勢。2020 ～ 2023年財政部等部門先后發布《關于推進會計師事務所函證數字化相關工作的指導意見》《銀行審計函證數據標準（試行版）》《關于加快推進銀行函證規范化、 集約化、 數字化建設的通知》《銀行函證電子平臺接入會計師事務所和金融機構公告》， 會計師事務所率先在函證程序方面進行數字化探索， 積極擁抱、 推動數字化改革的潮流。2023年3月， 中國注冊會計師協會發布《注冊會計師審計數據規范 公共基礎》《注冊會計師審計數據規范 總賬》《注冊會計師審計數據規范 銷售》和《注冊會計師審計數據規范 銀行流水》等4項數據規范， 以準確識別企業經營的核心數據， 規范數據輸出格式， 提高會計師事務所從被審計單位獲取數據的效率（張修權，2023）， 標志著注冊會計師行業正積極向數字化和現代化的方向邁進。數字化轉型要求注冊會計師更有效率地獲取、 使用和分析被審計單位的相關數據并將其作為審計證據， 從而提高審計效率和質量。《辦法》的目的就是進一步規范會計師事務所數據處理活動， 確保數據安全， 以避免削減大數據帶來的便利。

2. 回應數據安全保障的緊迫態勢。數據安全乃國家安全的重要部分。2021年7月， 滴滴公司被發現“存在嚴重違法違規收集使用個人信息問題”， 國家網信辦依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規， 對其處人民幣80.26億元罰款。可見， 信息安全、 數據安全的有效保護（胡耘通，2023）已經迫在眉睫。2023年2月， 財政部、 國務院國資委、 證監會聯合印發《國有企業、 上市公司選聘會計師事務所管理辦法》（簡稱《管理辦法》）， 其中第十八條提出， “國有企業、 上市公司和會計師事務所應當提高信息安全意識， 嚴格遵守國家有關信息安全的法律法規， 認真落實監管部門對信息安全的監管要求， 切實擔負起信息安全的主體責任和保密責任。國有企業、 上市公司在選聘時要加強對會計師事務所信息安全管理能力的審查， 在選聘合同中應設置單獨條款明確信息安全保護責任和要求， 在向會計師事務所提供文件資料時加強對涉密敏感信息的管控， 有效防范信息泄露風險。會計師事務所應履行信息安全保護義務， 依法依規依合同規范信息數據處理活動”。可見， 《管理辦法》從選聘機制著手， 從客戶方反向驅動會計師事務所提升安全管理能力， 而《辦法》則進一步直接從正面規定了會計師事務所在開展日常業務時的數據安全保障義務。

3. 契合銜接相關法律法規的基本形勢。網絡、 數據作為互聯網時代的新生事物， 面臨著諸多安全風險問題。《網絡安全法》《數據安全法》《個人信息保護法》從較為宏觀的層面規定了數據安全等舉措。而聚焦到注冊會計師行業， 《注冊會計師法》作為基本法律， 由于其制定于1994年， 缺少對互聯網、 大數據等新興技術的充分認知， 對數據安全管理方面的規定是缺失的。2021年7月國務院辦公廳印發的《關于進一步規范財務審計秩序促進注冊會計師行業健康發展的意見》提出， “完善維護信息安全要求， 明確境外機構和人員入境執業等相關監管規定”。2021年4月中國注冊會計師協會發布的《注冊會計師行業信息化建設規劃（2021-2025年）》明確， “堅持安全與發展并重。堅持網絡安全與信息化發展并重。遵循積極利用、 科學發展、 依法管理、 確保安全的方針”。2023年8月財政部印發的《企業數據資源相關會計處理暫行規定》明確， “根據數據資源的持有目的、 形成方式、 業務模式， 以及與數據資源有關的經濟利益的預期消耗方式等， 對數據資源相關交易和事項進行會計確認、 計量和報告”。《辦法》要求會計師事務所數據安全管理也是積極對相關規定的銜接與落實， 以確保在從事相關業務中獲取的數據得到科學保護。

三、 會計師事務所數據安全管理的制度完善

1. 加強頂層立法設計。現行有效的《注冊會計師法》于1994年施行、 2014年修正， 由于制定實施之初， 缺乏對數字時代、 數字技術等新興背景的認知， 未能設置信息安全、 數據安全等相關條款。《網絡安全法》《數據安全法》《個人信息保護法》等法律對一般性的數據監管作出了規定， 構建了數據安全保護的基本框架， 也明確了國家機關相應的安全保護責任與義務， 但這些規定是宏觀性的、 普遍性的（閆夏秋，2023）。財政部在2021年10月公布了《注冊會計師法修訂草案（征求意見稿）》（簡稱《修訂草案》）， 其中第四十二條提出， “會計師事務所應當增強信息安全責任意識， 建立、 實施信息安全制度。會計師事務所、 注冊會計師執業活動形成的工作底稿及相關文件、 資料及電子數據應當存儲在境內。對審計數據的儲存、 訪問、 使用和傳輸應當符合國家保密規定和被審計單位的保密要求”。無論是現行《注冊會計師法》還是《修訂草案》， 均未能充分融入數字時代的安全理念。《注冊會計師法》作為注冊會計師行業的基本法律， 必須完善頂層設計， 亟需進一步明確“會計師事務所建立、 實施數據安全制度。會計師事務所、 注冊會計師執業活動形成的數據應當存儲在境內。對審計數據的儲存、 訪問、 使用和傳輸應當符合法律法規和國家規定”。該條作為《辦法》的制定依據， 使《辦法》更具有行業類的法律依據， 從而增強其實施效力。

此外， 《辦法》第十五條要求“會計師事務所不得在業務約定書或類似合同中包含會計師事務所向境外監管機構提供境內項目資料數據等類似條款”。而《民法典》第一百五十三條規定， “違反法律、 行政法規的強制性規定的民事法律行為無效。但是， 該強制性規定不導致該民事法律行為無效的除外”。《辦法》屬于部門規章或者規范性文件層級， 不屬于“法律、 行政法規”范疇， 如果會計師事務所約定了“向境外監管機構提供境內項目資料數據等類似條款”， 并不導致條款無效。因此， 建議刪除該條， 或者提高立法層級， 納入《注冊會計師法》中規定。

2. 明確立法關鍵概念。數據、 數據安全作為《辦法》的核心概念， 是《辦法》運行的基礎環節， 必須給予準確界定。《辦法》將《注冊會計師法》《數據安全法》《網絡安全法》作為立法依據， 需對上位法的相關概念進行引用， 或者結合會計師事務所的業務范疇進行一定的細化， 但應當保持原始概念的準確性， 以免造成概念界定的偏差。《辦法》第三條明確， “本辦法所稱數據， 是指會計師事務所執行審計業務過程中， 從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。數據安全， 是指通過采取必要措施， 確保數據持續得到有效保護和合法利用”。其中， 關于數據和數據安全的界定， 均存在偏離《數據安全法》的嫌疑。《數據安全法》第三條規定， “本法所稱數據， 是指任何以電子或者其他方式對信息的記錄。……數據安全， 是指通過采取必要措施， 確保數據處于有效保護和合法利用的狀態， 以及具備保障持續安全狀態的能力”。由此可見， 《數據安全法》并沒有限定“對信息的記錄”的具體來源， 而《辦法》強調“從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄”。關于“外部獲取和內部生成”的表述， 一方面無法覆蓋全部的數據來源， 另一方面也可能存在“外部生成”的可能性， 反而造成“對信息的記錄”的局限。因此， 建議刪除“外部獲取和內部生成”。

此外， 關于“數據安全”， 除《辦法》所明確的“確保數據處于有效保護和合法利用的狀態”的情形外， 《數據安全法》還強調了“具備保障持續安全狀態的能力”， 顯然， 安全狀態不僅僅是“有效保護和合法利用”的瞬間情形， 其還必須處于“持續”之中， 這種“能力”是會計師事務所開展數據安全管理所應當具備的。

建議《辦法》與《數據安全法》表述一致， 將第三條修改為： “本辦法所稱數據， 是指會計師事務所在執行業務過程中， 取得的任何以電子或者其他方式對信息的記錄。數據安全， 是指通過采取必要措施， 確保數據處于有效保護和合法利用的狀態， 以及具備保障持續安全狀態的能力。”

3. 擴大立法適用范圍。法律的適用范圍是指法律規定適用的對象、 時間、 地域等范圍。《辦法》第二條規定： “在中華人民共和國境內依法設立的會計師事務所開展下列審計業務相關數據處理活動的， 適用本辦法： （一）為上市公司以及非上市的國有金融機構、 中央企業等提供審計服務的； （二）開展跨境審計業務的。”該條明確了《辦法》的具體適用范圍， 即境內及部分審計業務。“開展跨境審計業務的”， 不受被審計單位的限制， 而一般審計服務則限定了上市公司、 非上市的國有金融機構、 中央企業。同時， 《辦法》第三十四條進一步規定， “會計師事務所的非審計業務數據管理可參照本辦法執行”。“參照”的效力大大降低， 可以選擇不參照執行。

一方面， 對于限定“審計業務”而言， 《注冊會計師法》第十四條規定： “注冊會計師承辦下列審計業務： （一）審查企業會計報表， 出具審計報告； （二）驗證企業資本， 出具驗資報告； （三）辦理企業合并、 分立、 清算事宜中的審計業務， 出具有關的報告； （四）法律、 行政法規規定的其他審計業務。”《注冊會計師法》第十五條規定， “注冊會計師可以承辦會計咨詢、 會計服務業務”。對于注冊會計師來說， 審計業務以及非審計業務均屬于法定業務范疇， 本條不應當區別對待——將數據處理活動限定在審計業務領域， 非審計業務只是參照執行。在實踐中， 會計師事務所審計業務與非審計業務的比例大約是4∶1， 雖然審計業務屬于主要業務， 但會計師事務所也能夠從非審計業務中獲取大量數據， 對于這部分數據的安全管理也是非常必要的。《修訂草案》第四十二條要求“會計師事務所、 注冊會計師執業活動形成的工作底稿及相關文件、 資料及電子數據應當存儲在境內”， 規范的也是“執業活動”， 并非限定在審計業務領域。因此， 《辦法》不應當區分審計、 非審計業務獲取的數據。

另一方面， “上市公司以及非上市的國有金融機構、 中央企業”是針對被審計單位的要求， 但截至2023年5月， 全國僅98家中央企業， 31個省、 自治區和直轄市， 所屬有692家省級地方國有企業。地方國有企業往往也會關系“國家安全、 國民經濟命脈、 重要民生和重大公共利益等”， 其數據的安全管理也非常重要和必要。

因此， 建議本條修改為： “在中華人民共和國境內依法設立的會計師事務所開展下列業務相關數據處理活動的， 適用本辦法： （一）為上市公司以及非上市的國有金融機構、 國有企業等提供服務的； （二）開展跨境業務的。”當然， 《辦法》中其他關于“審計業務”的規定， 均改為“業務”， 取消審計業務的限定。

4. 強化法律責任承擔。法律責任設置乃確保《辦法》權威、 有效的重要基礎， 也是促進權利義務積極實現的基本要求。《辦法》在第二十九至三十一條設置了相關法律責任條款。例如， 第二十九條要求相關部門可以“采取約談、 責令限期整改等監管措施”， 本質上該條仍然屬于管理舉措， 而非違法之后的責任承擔要求， 而且規定“可以”采取相關監管措施， 而非“應當”， 這一帶有選擇性的執法條款也使得監管力度薄弱， 無法形成有效、 強大的震懾作用。第三十和三十一條內容則相對籠統， 帶有準用性規范的形式， 即遇到違法情形的， 依據《數據安全法》《注冊會計師法》或者《刑法》等法律、 行政法規的規定進行處理處罰。如此規定帶來的問題在于， 無法凸顯會計師事務所在數據安全管理領域的特殊性， 以及法律法規內容的針對性， 畢竟《數據安全法》《網絡安全法》《注冊會計師法》等均是針對數據安全管理或者注冊會計師工作的一般規范， 缺乏足夠的特定性。基于此， 有必要針對《辦法》中的強制性規范， 設置專門、 對應的法律責任條款， 以增強法律約束力和權威性， 并確保相關部門在執法監管過程中有法可依。具體來說：

（1） 《辦法》第九條第一款“會計師事務所應當按照相關法律法規的規定和被審計單位所處行業數據分級分類標準確定核心數據、 重要數據和一般數據”。由于《數據安全法》等上位法對此情形沒有作出專門規定， 針對會計師事務所未能（故意或者過失）準確確定“核心數據、 重要數據和一般數據”， 甚至拒絕確定數據類型的情形， 《辦法》應當設置相關的追責條款。參考《數據安全法》第四十五條內容， 建議明確“會計師事務所違反本辦法第九條規定， 由主管部門責令改正， 給予警告， 并處五萬元以上五十萬元以下罰款， 對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”。

（2） 《辦法》第二十五條“省級以上財政部門、 省級以上網信部門（以下簡稱相關部門）對會計師事務所數據安全情況開展監督檢查”。對于該條文， 沒有規定對應的法律責任， 如果出現會計師事務所拒絕、 拖延甚至阻撓檢查的情形， 則缺乏相應的責任。參考《數據安全法》第四十八條規定， 建議要求“會計師事務所拒絕、 拖延、 阻撓相關部門依法實施的數據安全檢查， 或者提供相關數據資料不符合要求的， 由主管部門責令改正， 給予警告， 并處五萬元以上五十萬元以下罰款， 對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”。

（3） 《辦法》關于違法向境外提供數據的規定。《修訂草案》第四十二條要求“會計師事務所、 注冊會計師執業活動形成的工作底稿及相關文件、 資料及電子數據應當存儲在境內”， 《辦法》也強調審計數據在境內使用、 管理、 存儲， 但缺乏關于違法向境外提供數據的處理處罰措施。參考《數據安全法》第四十五條規定， 建議新增“會計師事務所違反本辦法向境外提供數據的， 或者加密設備、 密鑰未存儲在境內的， 由主管部門責令改正， 給予警告， 并處五萬元以上五十萬元以下罰款， 對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”。

5. 細化條文可操作性。《辦法》作為部門規章層級的立法， 內容規定應當細致， 需要進一步提升其可操作性。

（1） 《辦法》第九條“會計師事務所應當按照相關法律法規的規定和被審計單位所處行業數據分級分類標準確定核心數據、 重要數據和一般數據。會計師事務所應當通過業務約定書等方式與被審計單位明確審計資料分級分類要求， 審計資料分級分類的要求應當與被審計單位相關資料分級分類的要求保持一致”。本條第一款確定了“數據”的分級分類標準， 第二款規定了“審計資料”的分級分類要求， 但“數據”與“審計資料”并非同一內容， 上下文條款規定不一致。并且， 第九條第一款規定了“核心數據、 重要數據和一般數據”， 但沒有明確劃分標準， 不便于會計師事務所具體操作。《數據安全法》第二十一條明確“關系國家安全、 國民經濟命脈、 重要民生、 重大公共利益等數據屬于國家核心數據”， 同時參考全國信息安全標準化技術委員會發布的《網絡安全標準實踐指南——網絡數據分類分級指引》（TC260-PG-20212A）中的內容“2.2 重要數據， 一旦遭到篡改、 破壞、 泄露或者非法獲取、 非法利用， 可能危害國家安全、 公共利益的數據。2.3 核心數據， 即國家核心數據， 是指關系國家安全、 國民經濟命脈、 重要民生、 重大公共利益等的數據。2.4 一般數據， 一旦遭到篡改、 破壞、 泄露或者非法獲取、 非法利用， 可能對個人、 組織合法權益造成危害， 但不會危害國家安全、 公共利益的數據”， 建議《辦法》新增第九條第二款“核心數據， 是在會計師事務所業務中， 關系國家安全、 國民經濟命脈、 重要民生、 重大公共利益等的數據； 重要數據， 是在會計師事務所業務中， 一旦遭到篡改、 破壞、 泄露或者非法獲取、 非法利用， 可能危害國家安全、 公共利益的數據； 一般數據， 是在會計師事務所業務中， 一旦遭到篡改、 破壞、 泄露或者非法獲取、 非法利用， 可能對個人、 組織合法權益造成危害， 但不會危害國家安全、 公共利益的數據”。同時， 將第九條第二款調整為第三款“會計師事務所應當通過業務約定書等方式與被審計單位明確數據分級分類要求， 數據分級分類的要求應當與被審計單位的相關要求保持一致”。

（2） 《辦法》第十七條“會計師事務所應當建立數據安全應急處置機制， 加強數據安全風險監測。發現數據外泄、 安全漏洞等風險的， 應當立即采取補救、 處置措施。發生重大數據安全事件的， 應當及時向省級以上財政部門報告”。本條內容與上位法規定不一致， 僅明確了“重大數據安全事件”向財政部門報告， 縮小了報告數據安全事件的范圍。參考《數據安全法》第二十九條“開展數據處理活動應當加強風險監測， 發現數據安全缺陷、 漏洞等風險時， 應當立即采取補救措施； 發生數據安全事件時， 應當立即采取處置措施， 按照規定及時告知用戶并向有關主管部門報告”， 同時考慮到財政部門、 網信部門作為數據安全的主管部門， 應當同時報告， 而非僅向財政部門報告， 建議《辦法》第十七條修改為： “會計師事務所應當建立數據安全應急處置機制， 加強數據安全風險監測。發現數據外泄、 安全漏洞等風險的， 應當立即采取補救、 處置措施。發生數據安全事件的， 應當及時向省級以上財政部門、 網信部門報告。”

（3） 《辦法》第二十五條第三款“相關部門和機構工作人員對監督檢查中知悉的核心數據、 重要數據、 個人隱私等數據應當依法嚴格保護， 不得泄露或者非法向他人提供”。針對核心數據、 重要數據應建立專門保護機制， 而個人隱私等保密內容則不得泄露。核心數據、 重要數據與個人隱私不屬于同一層面分類， 不應統一規定。參考《數據安全法》第三十八條“國家機關為履行法定職責的需要收集、 使用數據， 應當在其履行法定職責的范圍內依照法律、 行政法規規定的條件和程序進行； 對在履行職責中知悉的個人隱私、 個人信息、 商業秘密、 保密商務信息等數據應當依法予以保密， 不得泄露或者非法向他人提供”， 以及《網絡安全法》第四十五條“依法負有網絡安全監督管理職責的部門及其工作人員， 必須對在履行職責中知悉的個人信息、 隱私和商業秘密嚴格保密， 不得泄露、 出售或者非法向他人提供”， 建議《辦法》第二十五條第三款修改為： “相關部門和機構工作人員對監督檢查中知悉的個人隱私、 個人信息、 商業秘密、 保密商務信息等數據應當依法嚴格保護， 不得泄露或者非法向他人提供。”

（4） 《辦法》第二十八條“承接關系國計民生、 重要領域審計業務的會計師事務所開展數據處理活動， 影響或者可能影響國家安全的， 按照網絡安全審查相關機制進行網絡安全審查”。本條明確了“關系國計民生、 重要領域”數據處理活動的要求， “重要領域”在《辦法》第二十六條“對于承接金融、 能源、 通信、 交通、 科技、 國防科工等重要領域”進行了明確， 但“關系國計民生”的范圍未能明確。參考《數據安全法》第二十一條“關系國家安全、 國民經濟命脈、 重要民生、 重大公共利益等數據屬于國家核心數據”， 國計民生應與“國家安全、 國民經濟命脈、 重要民生、 重大公共利益”等領域保持一致。因此， 建議《辦法》第二十八條修改為： “承接關系國家安全、 國民經濟命脈、 重要民生、 重大公共利益及其他重要領域業務的會計師事務所開展數據處理活動， 影響或者可能影響國家安全的， 按照國家有關規定進行網絡安全審查。”

6. 符合立法技術要求。《辦法》部分其他條款也存在不符合立法技術規范或者含義不明確等情形， 需要進一步完善。

（1） 《辦法》第一條“為保障會計師事務所數據安全， 規范會計師事務所數據處理活動， ……制定本辦法”。《立法技術規范（試行）（一）》要求， “法律一般需要明示立法目的， 表述為： ‘為了……， 制定本法’， 用‘為了’， 不用‘為’。立法目的的內容表述應當直接、 具體。明確， 一般按照由直接到間接、 由具體到抽象、 由微觀到宏觀的順序排列”。與“保障會計師事務所數據安全”相比， “規范會計師事務所數據處理活動”更加直接。同時， 參考《數據安全法》第一條“為了規范數據處理活動， 保障數據安全， ……制定本法”的表述， 建議《辦法》第一條修改為： “為了規范會計師事務所數據處理活動， 保障會計師事務所數據安全， 根據《中華人民共和國注冊會計師法》《中華人民共和國數據安全法》《中華人民共和國網絡安全法》等法律法規， 制定本辦法。”

（2）《辦法》第六條“注冊會計師協會應當加強行業自律， 指導會計師事務所加強數據安全保護， 提高數據安全管理水平”。“注冊會計師協會應當……提高數據安全管理水平”表述有歧義， 可能存在“提高會計師事務所的數據安全管理水平”， 以及“提高協會自身的數據安全管理水平”等不同含義。因此， 建議《辦法》第六條修改為： “注冊會計師協會應當加強行業自律， 指導會計師事務所加強數據安全管理。”

（3） 《辦法》第二十九條“相關部門在履行數據安全監管職責中， 發現會計師事務所開展數據處理活動存在較大安全風險的， 可以對會計師事務所及其責任人采取約談、 責令限期整改等監管措施， 消除隱患”。本條僅明確“發現會計師事務所開展數據處理活動存在較大安全風險的”情形， 相關部門“可以”采取相關措施， 這難以有效防止“安全風險”的隱患發生。因此， 建議《辦法》第二十九條修改為： “相關部門在履行數據安全監管職責中， 發現會計師事務所開展數據處理活動存在安全風險的， 應當對會計師事務所及其責任人采取約談、 責令限期整改等監管措施， 消除隱患。”

可以預見， 作為以審計、 鑒證為主要業務的中介機構——會計師事務所， 在審計數據的采集、 存儲、 使用過程中， 數據安全管理尤為關鍵， 會計師事務所應當在各個環節進行標準化、 規范化的管控， 建立科學、 完善的數據安全管理制度， 以切實保障審計數據在全生命周期的安全。基于此， 為了順應互聯網時代的變革趨勢、 回應數據安全保障的緊迫態勢、 契合銜接相關法律法規的基本形勢， 《辦法》開啟了會計師事務所數據安全管理制度建設的嶄新篇章， 奠定了數據安全管理規范運行的堅實基礎， 但仍需要在加強頂層立法設計、 明確立法關鍵概念、 擴大立法適用范圍、 強化法律責任承擔、 細化條文可操作性、 符合立法技術要求等方面進行考量和完善。

在全面推進依法治國的戰略背景下， “良法善治”是國家治理現代化的重要環節， 而會計師事務所數據安全管理制度建設僅僅是科學立法的基本訴求， 奠定了“良法”的基礎， 但“徒法不足以自行”， “善治”才是更高層次的追求。對于會計師事務所而言， 如何規范地執行《辦法》， 真正落實數據安全管理， 保障數據安全， 方是立法的出發點和落腳點。實際上， 會計師事務所數據安全管理并非一蹴而就， 未來在《辦法》通過、 執行過程中， 其還需注意以下問題： 第一， 結合自身實際， 專門制定可操作性的數據安全管理規范手冊， 確保《辦法》有效落地，實現預期目標； 第二， 強化自身及審計人員的數據安全保護意識， 確保其能夠時刻緊繃數據安全的“弦”； 第三， 為審計人員提供及時、 全面的培訓，提升其數據安全保護能力和專業水平。

【 主 要 參 考 文 獻 】

高源．《民法典》視角下的審計數據安全維護［ J］．審計月刊，2021（10）：25 ～ 26．

張修權．邁出審計數據規范體系建設的第一步［N］．中國會計報，2023-04-28．

胡耘通．個人信息保護合規審計制度建設思考”［ J］．財會月刊，2023（20）：88 ～ 91．

閆夏秋．《數據安全法》視域下審計數據安全治理框架研究［ J］．商業會計，2023（14）：34 ～ 38．

（責任編輯·校對： 陳晶" 劉鈺瑩）

【基金項目】重慶市社會科學規劃項目（項目編號：2022NDYB18）；重慶市教委人文社會科學研究項目（項目編號：23SKSZ009）；重慶市高等

教育教學改革研究項目（項目編號：233134）；重慶市高等教育學會高等教育科學研究項目

【作者單位】西南政法大學法務會計與財稅合規研究中心， 重慶 401120