胡耘通（博士生導(dǎo)師）

一、會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理的提出

數(shù)據(jù)作為新型生產(chǎn)要素，伴隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新興技術(shù)的發(fā)展，數(shù)據(jù)治理成為國家治理現(xiàn)代化的重要部分，而數(shù)據(jù)安全尤其關(guān)涉國家安全的實(shí)現(xiàn)與否。中共中央、國務(wù)院于2022 年12 月發(fā)布的《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》《數(shù)字中國建設(shè)整體布局規(guī)劃》，以及《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等黨和國家的政策、立法為數(shù)據(jù)安全保障提供了支持、明確了方向。一直以來，注冊會(huì)計(jì)師扮演著“經(jīng)濟(jì)警察”“看門人”等重要角色，努力為維護(hù)社會(huì)公平正義、規(guī)范市場經(jīng)濟(jì)秩序、保障國家經(jīng)濟(jì)安全提供有力支撐。與律師事務(wù)所、稅務(wù)師事務(wù)所、資產(chǎn)評估機(jī)構(gòu)等社會(huì)中介機(jī)構(gòu)相比，會(huì)計(jì)師事務(wù)所業(yè)務(wù)涉獵的范圍非常廣泛，除了審核財(cái)務(wù)會(huì)計(jì)等資料，還需要調(diào)查與之相關(guān)的合同簽訂、領(lǐng)導(dǎo)決策、項(xiàng)目投資等管理類資料，尤其能夠觸及企事業(yè)單位甚至政府機(jī)關(guān)的關(guān)鍵、核心資料，因此對于會(huì)計(jì)師事務(wù)所在執(zhí)業(yè)活動(dòng)中形成的審計(jì)數(shù)據(jù)的安全管理、保障顯得尤為重要。

數(shù)據(jù)應(yīng)用貫穿審計(jì)全過程，數(shù)據(jù)安全融合審計(jì)全周期（高源，2021）?；诖?，為了規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)，加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理，財(cái)政部辦公廳、國家網(wǎng)信辦秘書局于2023 年11 月共同公布了《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法（征求意見稿）》（簡稱《辦法》），公開向社會(huì)征求意見?！掇k法》共五章三十六條，分為總則、數(shù)據(jù)管理、網(wǎng)絡(luò)管理、監(jiān)督檢查、附則等章節(jié)?！掇k法》定位會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理的頂層設(shè)計(jì)，明確細(xì)化數(shù)據(jù)安全管理內(nèi)容要求，構(gòu)建注冊會(huì)計(jì)師行業(yè)數(shù)據(jù)安全監(jiān)管體系，積極回應(yīng)了數(shù)字時(shí)代、數(shù)字中國建設(shè)的宏觀管理需求，填補(bǔ)了注冊會(huì)計(jì)師行業(yè)領(lǐng)域關(guān)于數(shù)據(jù)安全管理之空白，開創(chuàng)了社會(huì)中介機(jī)構(gòu)之先河，能夠有效促進(jìn)注冊會(huì)計(jì)師行業(yè)更加健康、高質(zhì)量地發(fā)展。

二、會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理的重要意義

1.順應(yīng)互聯(lián)網(wǎng)時(shí)代的變革趨勢。數(shù)據(jù)要素、數(shù)字經(jīng)濟(jì)對于各行各業(yè)的高質(zhì)量發(fā)展具有深刻、深遠(yuǎn)的影響，尤其是對于會(huì)計(jì)、審計(jì)等中介服務(wù)行業(yè)來說，更加需要順應(yīng)變革趨勢。2020 ～2023年財(cái)政部等部門先后發(fā)布《關(guān)于推進(jìn)會(huì)計(jì)師事務(wù)所函證數(shù)字化相關(guān)工作的指導(dǎo)意見》《銀行審計(jì)函證數(shù)據(jù)標(biāo)準(zhǔn)（試行版）》《關(guān)于加快推進(jìn)銀行函證規(guī)范化、集約化、數(shù)字化建設(shè)的通知》《銀行函證電子平臺(tái)接入會(huì)計(jì)師事務(wù)所和金融機(jī)構(gòu)公告》，會(huì)計(jì)師事務(wù)所率先在函證程序方面進(jìn)行數(shù)字化探索，積極擁抱、推動(dòng)數(shù)字化改革的潮流。2023年3月，中國注冊會(huì)計(jì)師協(xié)會(huì)發(fā)布《注冊會(huì)計(jì)師審計(jì)數(shù)據(jù)規(guī)范公共基礎(chǔ)》《注冊會(huì)計(jì)師審計(jì)數(shù)據(jù)規(guī)范總賬》《注冊會(huì)計(jì)師審計(jì)數(shù)據(jù)規(guī)范銷售》和《注冊會(huì)計(jì)師審計(jì)數(shù)據(jù)規(guī)范銀行流水》等4項(xiàng)數(shù)據(jù)規(guī)范，以準(zhǔn)確識(shí)別企業(yè)經(jīng)營的核心數(shù)據(jù)，規(guī)范數(shù)據(jù)輸出格式，提高會(huì)計(jì)師事務(wù)所從被審計(jì)單位獲取數(shù)據(jù)的效率（張修權(quán)，2023），標(biāo)志著注冊會(huì)計(jì)師行業(yè)正積極向數(shù)字化和現(xiàn)代化的方向邁進(jìn)。數(shù)字化轉(zhuǎn)型要求注冊會(huì)計(jì)師更有效率地獲取、使用和分析被審計(jì)單位的相關(guān)數(shù)據(jù)并將其作為審計(jì)證據(jù)，從而提高審計(jì)效率和質(zhì)量?！掇k法》的目的就是進(jìn)一步規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)，確保數(shù)據(jù)安全，以避免削減大數(shù)據(jù)帶來的便利。

2.回應(yīng)數(shù)據(jù)安全保障的緊迫態(tài)勢。數(shù)據(jù)安全乃國家安全的重要部分。2021年7月，滴滴公司被發(fā)現(xiàn)“存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問題”，國家網(wǎng)信辦依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《行政處罰法》等法律法規(guī)，對其處人民幣80.26億元罰款?？梢?，信息安全、數(shù)據(jù)安全的有效保護(hù)（胡耘通，2023）已經(jīng)迫在眉睫。2023年2月，財(cái)政部、國務(wù)院國資委、證監(jiān)會(huì)聯(lián)合印發(fā)《國有企業(yè)、上市公司選聘會(huì)計(jì)師事務(wù)所管理辦法》（簡稱《管理辦法》），其中第十八條提出，“國有企業(yè)、上市公司和會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)提高信息安全意識(shí)，嚴(yán)格遵守國家有關(guān)信息安全的法律法規(guī)，認(rèn)真落實(shí)監(jiān)管部門對信息安全的監(jiān)管要求，切實(shí)擔(dān)負(fù)起信息安全的主體責(zé)任和保密責(zé)任。國有企業(yè)、上市公司在選聘時(shí)要加強(qiáng)對會(huì)計(jì)師事務(wù)所信息安全管理能力的審查，在選聘合同中應(yīng)設(shè)置單獨(dú)條款明確信息安全保護(hù)責(zé)任和要求，在向會(huì)計(jì)師事務(wù)所提供文件資料時(shí)加強(qiáng)對涉密敏感信息的管控，有效防范信息泄露風(fēng)險(xiǎn)。會(huì)計(jì)師事務(wù)所應(yīng)履行信息安全保護(hù)義務(wù)，依法依規(guī)依合同規(guī)范信息數(shù)據(jù)處理活動(dòng)”?？梢姡豆芾磙k法》從選聘機(jī)制著手，從客戶方反向驅(qū)動(dòng)會(huì)計(jì)師事務(wù)所提升安全管理能力，而《辦法》則進(jìn)一步直接從正面規(guī)定了會(huì)計(jì)師事務(wù)所在開展日常業(yè)務(wù)時(shí)的數(shù)據(jù)安全保障義務(wù)。

3.契合銜接相關(guān)法律法規(guī)的基本形勢。網(wǎng)絡(luò)、數(shù)據(jù)作為互聯(lián)網(wǎng)時(shí)代的新生事物，面臨著諸多安全風(fēng)險(xiǎn)問題?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》從較為宏觀的層面規(guī)定了數(shù)據(jù)安全等舉措。而聚焦到注冊會(huì)計(jì)師行業(yè)，《注冊會(huì)計(jì)師法》作為基本法律，由于其制定于1994年，缺少對互聯(lián)網(wǎng)、大數(shù)據(jù)等新興技術(shù)的充分認(rèn)知，對數(shù)據(jù)安全管理方面的規(guī)定是缺失的。2021 年7 月國務(wù)院辦公廳印發(fā)的《關(guān)于進(jìn)一步規(guī)范財(cái)務(wù)審計(jì)秩序促進(jìn)注冊會(huì)計(jì)師行業(yè)健康發(fā)展的意見》提出，“完善維護(hù)信息安全要求，明確境外機(jī)構(gòu)和人員入境執(zhí)業(yè)等相關(guān)監(jiān)管規(guī)定”。2021年4月中國注冊會(huì)計(jì)師協(xié)會(huì)發(fā)布的《注冊會(huì)計(jì)師行業(yè)信息化建設(shè)規(guī)劃（2021-2025年）》明確，“堅(jiān)持安全與發(fā)展并重。堅(jiān)持網(wǎng)絡(luò)安全與信息化發(fā)展并重。遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針”。2023 年8月財(cái)政部印發(fā)的《企業(yè)數(shù)據(jù)資源相關(guān)會(huì)計(jì)處理暫行規(guī)定》明確，“根據(jù)數(shù)據(jù)資源的持有目的、形成方式、業(yè)務(wù)模式，以及與數(shù)據(jù)資源有關(guān)的經(jīng)濟(jì)利益的預(yù)期消耗方式等，對數(shù)據(jù)資源相關(guān)交易和事項(xiàng)進(jìn)行會(huì)計(jì)確認(rèn)、計(jì)量和報(bào)告”?！掇k法》要求會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理也是積極對相關(guān)規(guī)定的銜接與落實(shí)，以確保在從事相關(guān)業(yè)務(wù)中獲取的數(shù)據(jù)得到科學(xué)保護(hù)。

三、會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理的制度完善

1.加強(qiáng)頂層立法設(shè)計(jì)?，F(xiàn)行有效的《注冊會(huì)計(jì)師法》于1994 年施行、2014 年修正，由于制定實(shí)施之初，缺乏對數(shù)字時(shí)代、數(shù)字技術(shù)等新興背景的認(rèn)知，未能設(shè)置信息安全、數(shù)據(jù)安全等相關(guān)條款?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律對一般性的數(shù)據(jù)監(jiān)管作出了規(guī)定，構(gòu)建了數(shù)據(jù)安全保護(hù)的基本框架，也明確了國家機(jī)關(guān)相應(yīng)的安全保護(hù)責(zé)任與義務(wù)，但這些規(guī)定是宏觀性的、普遍性的（閆夏秋，2023）。財(cái)政部在2021年10月公布了《注冊會(huì)計(jì)師法修訂草案（征求意見稿）》（簡稱《修訂草案》），其中第四十二條提出，“會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)增強(qiáng)信息安全責(zé)任意識(shí)，建立、實(shí)施信息安全制度。會(huì)計(jì)師事務(wù)所、注冊會(huì)計(jì)師執(zhí)業(yè)活動(dòng)形成的工作底稿及相關(guān)文件、資料及電子數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)。對審計(jì)數(shù)據(jù)的儲(chǔ)存、訪問、使用和傳輸應(yīng)當(dāng)符合國家保密規(guī)定和被審計(jì)單位的保密要求”。無論是現(xiàn)行《注冊會(huì)計(jì)師法》還是《修訂草案》，均未能充分融入數(shù)字時(shí)代的安全理念?！蹲詴?huì)計(jì)師法》作為注冊會(huì)計(jì)師行業(yè)的基本法律，必須完善頂層設(shè)計(jì)，亟需進(jìn)一步明確“會(huì)計(jì)師事務(wù)所建立、實(shí)施數(shù)據(jù)安全制度。會(huì)計(jì)師事務(wù)所、注冊會(huì)計(jì)師執(zhí)業(yè)活動(dòng)形成的數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)。對審計(jì)數(shù)據(jù)的儲(chǔ)存、訪問、使用和傳輸應(yīng)當(dāng)符合法律法規(guī)和國家規(guī)定”。該條作為《辦法》的制定依據(jù)，使《辦法》更具有行業(yè)類的法律依據(jù)，從而增強(qiáng)其實(shí)施效力。

此外，《辦法》第十五條要求“會(huì)計(jì)師事務(wù)所不得在業(yè)務(wù)約定書或類似合同中包含會(huì)計(jì)師事務(wù)所向境外監(jiān)管機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料數(shù)據(jù)等類似條款”。而《民法典》第一百五十三條規(guī)定，“違反法律、行政法規(guī)的強(qiáng)制性規(guī)定的民事法律行為無效。但是，該強(qiáng)制性規(guī)定不導(dǎo)致該民事法律行為無效的除外”。《辦法》屬于部門規(guī)章或者規(guī)范性文件層級，不屬于“法律、行政法規(guī)”范疇，如果會(huì)計(jì)師事務(wù)所約定了“向境外監(jiān)管機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料數(shù)據(jù)等類似條款”，并不導(dǎo)致條款無效。因此，建議刪除該條，或者提高立法層級，納入《注冊會(huì)計(jì)師法》中規(guī)定。

2.明確立法關(guān)鍵概念。數(shù)據(jù)、數(shù)據(jù)安全作為《辦法》的核心概念，是《辦法》運(yùn)行的基礎(chǔ)環(huán)節(jié)，必須給予準(zhǔn)確界定?！掇k法》將《注冊會(huì)計(jì)師法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》作為立法依據(jù)，需對上位法的相關(guān)概念進(jìn)行引用，或者結(jié)合會(huì)計(jì)師事務(wù)所的業(yè)務(wù)范疇進(jìn)行一定的細(xì)化，但應(yīng)當(dāng)保持原始概念的準(zhǔn)確性，以免造成概念界定的偏差?！掇k法》第三條明確，“本辦法所稱數(shù)據(jù)，是指會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)過程中，從外部獲取和內(nèi)部生成的任何以電子或者其他方式對信息的記錄。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)持續(xù)得到有效保護(hù)和合法利用”。其中，關(guān)于數(shù)據(jù)和數(shù)據(jù)安全的界定，均存在偏離《數(shù)據(jù)安全法》的嫌疑。《數(shù)據(jù)安全法》第三條規(guī)定，“本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄?！瓟?shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力”。由此可見，《數(shù)據(jù)安全法》并沒有限定“對信息的記錄”的具體來源，而《辦法》強(qiáng)調(diào)“從外部獲取和內(nèi)部生成的任何以電子或者其他方式對信息的記錄”。關(guān)于“外部獲取和內(nèi)部生成”的表述，一方面無法覆蓋全部的數(shù)據(jù)來源，另一方面也可能存在“外部生成”的可能性，反而造成“對信息的記錄”的局限。因此，建議刪除“外部獲取和內(nèi)部生成”。

此外，關(guān)于“數(shù)據(jù)安全”，除《辦法》所明確的“確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)”的情形外，《數(shù)據(jù)安全法》還強(qiáng)調(diào)了“具備保障持續(xù)安全狀態(tài)的能力”，顯然，安全狀態(tài)不僅僅是“有效保護(hù)和合法利用”的瞬間情形，其還必須處于“持續(xù)”之中，這種“能力”是會(huì)計(jì)師事務(wù)所開展數(shù)據(jù)安全管理所應(yīng)當(dāng)具備的。

建議《辦法》與《數(shù)據(jù)安全法》表述一致，將第三條修改為：“本辦法所稱數(shù)據(jù)，是指會(huì)計(jì)師事務(wù)所在執(zhí)行業(yè)務(wù)過程中，取得的任何以電子或者其他方式對信息的記錄。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！?/p>

3.擴(kuò)大立法適用范圍。法律的適用范圍是指法律規(guī)定適用的對象、時(shí)間、地域等范圍?！掇k法》第二條規(guī)定：“在中華人民共和國境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所開展下列審計(jì)業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)的，適用本辦法：（一）為上市公司以及非上市的國有金融機(jī)構(gòu)、中央企業(yè)等提供審計(jì)服務(wù)的；（二）開展跨境審計(jì)業(yè)務(wù)的?！痹摋l明確了《辦法》的具體適用范圍，即境內(nèi)及部分審計(jì)業(yè)務(wù)?！伴_展跨境審計(jì)業(yè)務(wù)的”，不受被審計(jì)單位的限制，而一般審計(jì)服務(wù)則限定了上市公司、非上市的國有金融機(jī)構(gòu)、中央企業(yè)。同時(shí)，《辦法》第三十四條進(jìn)一步規(guī)定，“會(huì)計(jì)師事務(wù)所的非審計(jì)業(yè)務(wù)數(shù)據(jù)管理可參照本辦法執(zhí)行”?！皡⒄铡钡男ЯΥ蟠蠼档?，可以選擇不參照執(zhí)行。

一方面，對于限定“審計(jì)業(yè)務(wù)”而言，《注冊會(huì)計(jì)師法》第十四條規(guī)定：“注冊會(huì)計(jì)師承辦下列審計(jì)業(yè)務(wù)：（一）審查企業(yè)會(huì)計(jì)報(bào)表，出具審計(jì)報(bào)告；（二）驗(yàn)證企業(yè)資本，出具驗(yàn)資報(bào)告；（三）辦理企業(yè)合并、分立、清算事宜中的審計(jì)業(yè)務(wù)，出具有關(guān)的報(bào)告；（四）法律、行政法規(guī)規(guī)定的其他審計(jì)業(yè)務(wù)。”《注冊會(huì)計(jì)師法》第十五條規(guī)定，“注冊會(huì)計(jì)師可以承辦會(huì)計(jì)咨詢、會(huì)計(jì)服務(wù)業(yè)務(wù)”。對于注冊會(huì)計(jì)師來說，審計(jì)業(yè)務(wù)以及非審計(jì)業(yè)務(wù)均屬于法定業(yè)務(wù)范疇，本條不應(yīng)當(dāng)區(qū)別對待——將數(shù)據(jù)處理活動(dòng)限定在審計(jì)業(yè)務(wù)領(lǐng)域，非審計(jì)業(yè)務(wù)只是參照執(zhí)行。在實(shí)踐中，會(huì)計(jì)師事務(wù)所審計(jì)業(yè)務(wù)與非審計(jì)業(yè)務(wù)的比例大約是4∶1，雖然審計(jì)業(yè)務(wù)屬于主要業(yè)務(wù)，但會(huì)計(jì)師事務(wù)所也能夠從非審計(jì)業(yè)務(wù)中獲取大量數(shù)據(jù)，對于這部分?jǐn)?shù)據(jù)的安全管理也是非常必要的?！缎抻啿莅浮返谒氖l要求“會(huì)計(jì)師事務(wù)所、注冊會(huì)計(jì)師執(zhí)業(yè)活動(dòng)形成的工作底稿及相關(guān)文件、資料及電子數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)”，規(guī)范的也是“執(zhí)業(yè)活動(dòng)”，并非限定在審計(jì)業(yè)務(wù)領(lǐng)域。因此，《辦法》不應(yīng)當(dāng)區(qū)分審計(jì)、非審計(jì)業(yè)務(wù)獲取的數(shù)據(jù)。

另一方面，“上市公司以及非上市的國有金融機(jī)構(gòu)、中央企業(yè)”是針對被審計(jì)單位的要求，但截至2023 年5月，全國僅98家中央企業(yè)，31個(gè)省、自治區(qū)和直轄市，所屬有692 家省級地方國有企業(yè)。地方國有企業(yè)往往也會(huì)關(guān)系“國家安全、國民經(jīng)濟(jì)命脈、重要民生和重大公共利益等”，其數(shù)據(jù)的安全管理也非常重要和必要。

因此，建議本條修改為：“在中華人民共和國境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所開展下列業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)的，適用本辦法：（一）為上市公司以及非上市的國有金融機(jī)構(gòu)、國有企業(yè)等提供服務(wù)的；（二）開展跨境業(yè)務(wù)的?！碑?dāng)然，《辦法》中其他關(guān)于“審計(jì)業(yè)務(wù)”的規(guī)定，均改為“業(yè)務(wù)”，取消審計(jì)業(yè)務(wù)的限定。

4.強(qiáng)化法律責(zé)任承擔(dān)。法律責(zé)任設(shè)置乃確保《辦法》權(quán)威、有效的重要基礎(chǔ)，也是促進(jìn)權(quán)利義務(wù)積極實(shí)現(xiàn)的基本要求。《辦法》在第二十九至三十一條設(shè)置了相關(guān)法律責(zé)任條款。例如，第二十九條要求相關(guān)部門可以“采取約談、責(zé)令限期整改等監(jiān)管措施”，本質(zhì)上該條仍然屬于管理舉措，而非違法之后的責(zé)任承擔(dān)要求，而且規(guī)定“可以”采取相關(guān)監(jiān)管措施，而非“應(yīng)當(dāng)”，這一帶有選擇性的執(zhí)法條款也使得監(jiān)管力度薄弱，無法形成有效、強(qiáng)大的震懾作用。第三十和三十一條內(nèi)容則相對籠統(tǒng)，帶有準(zhǔn)用性規(guī)范的形式，即遇到違法情形的，依據(jù)《數(shù)據(jù)安全法》《注冊會(huì)計(jì)師法》或者《刑法》等法律、行政法規(guī)的規(guī)定進(jìn)行處理處罰。如此規(guī)定帶來的問題在于，無法凸顯會(huì)計(jì)師事務(wù)所在數(shù)據(jù)安全管理領(lǐng)域的特殊性，以及法律法規(guī)內(nèi)容的針對性，畢竟《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《注冊會(huì)計(jì)師法》等均是針對數(shù)據(jù)安全管理或者注冊會(huì)計(jì)師工作的一般規(guī)范，缺乏足夠的特定性?；诖?，有必要針對《辦法》中的強(qiáng)制性規(guī)范，設(shè)置專門、對應(yīng)的法律責(zé)任條款，以增強(qiáng)法律約束力和權(quán)威性，并確保相關(guān)部門在執(zhí)法監(jiān)管過程中有法可依。具體來說：

（1）《辦法》第九條第一款“會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)按照相關(guān)法律法規(guī)的規(guī)定和被審計(jì)單位所處行業(yè)數(shù)據(jù)分級分類標(biāo)準(zhǔn)確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)”。由于《數(shù)據(jù)安全法》等上位法對此情形沒有作出專門規(guī)定，針對會(huì)計(jì)師事務(wù)所未能（故意或者過失）準(zhǔn)確確定“核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)”，甚至拒絕確定數(shù)據(jù)類型的情形，《辦法》應(yīng)當(dāng)設(shè)置相關(guān)的追責(zé)條款。參考《數(shù)據(jù)安全法》第四十五條內(nèi)容，建議明確“會(huì)計(jì)師事務(wù)所違反本辦法第九條規(guī)定，由主管部門責(zé)令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款”。

（2）《辦法》第二十五條“省級以上財(cái)政部門、省級以上網(wǎng)信部門（以下簡稱相關(guān)部門）對會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全情況開展監(jiān)督檢查”。對于該條文，沒有規(guī)定對應(yīng)的法律責(zé)任，如果出現(xiàn)會(huì)計(jì)師事務(wù)所拒絕、拖延甚至阻撓檢查的情形，則缺乏相應(yīng)的責(zé)任。參考《數(shù)據(jù)安全法》第四十八條規(guī)定，建議要求“會(huì)計(jì)師事務(wù)所拒絕、拖延、阻撓相關(guān)部門依法實(shí)施的數(shù)據(jù)安全檢查，或者提供相關(guān)數(shù)據(jù)資料不符合要求的，由主管部門責(zé)令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款”。

（3）《辦法》關(guān)于違法向境外提供數(shù)據(jù)的規(guī)定。《修訂草案》第四十二條要求“會(huì)計(jì)師事務(wù)所、注冊會(huì)計(jì)師執(zhí)業(yè)活動(dòng)形成的工作底稿及相關(guān)文件、資料及電子數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)”，《辦法》也強(qiáng)調(diào)審計(jì)數(shù)據(jù)在境內(nèi)使用、管理、存儲(chǔ)，但缺乏關(guān)于違法向境外提供數(shù)據(jù)的處理處罰措施。參考《數(shù)據(jù)安全法》第四十五條規(guī)定，建議新增“會(huì)計(jì)師事務(wù)所違反本辦法向境外提供數(shù)據(jù)的，或者加密設(shè)備、密鑰未存儲(chǔ)在境內(nèi)的，由主管部門責(zé)令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款”。

5.細(xì)化條文可操作性?！掇k法》作為部門規(guī)章層級的立法，內(nèi)容規(guī)定應(yīng)當(dāng)細(xì)致，需要進(jìn)一步提升其可操作性。

（1）《辦法》第九條“會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)按照相關(guān)法律法規(guī)的規(guī)定和被審計(jì)單位所處行業(yè)數(shù)據(jù)分級分類標(biāo)準(zhǔn)確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)。會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)通過業(yè)務(wù)約定書等方式與被審計(jì)單位明確審計(jì)資料分級分類要求，審計(jì)資料分級分類的要求應(yīng)當(dāng)與被審計(jì)單位相關(guān)資料分級分類的要求保持一致”。本條第一款確定了“數(shù)據(jù)”的分級分類標(biāo)準(zhǔn)，第二款規(guī)定了“審計(jì)資料”的分級分類要求，但“數(shù)據(jù)”與“審計(jì)資料”并非同一內(nèi)容，上下文條款規(guī)定不一致。并且，第九條第一款規(guī)定了“核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)”，但沒有明確劃分標(biāo)準(zhǔn)，不便于會(huì)計(jì)師事務(wù)所具體操作?！稊?shù)據(jù)安全法》第二十一條明確“關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)”，同時(shí)參考全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》（TC260-PG-20212A）中的內(nèi)容“2.2重要數(shù)據(jù)，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。2.3 核心數(shù)據(jù)，即國家核心數(shù)據(jù)，是指關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的數(shù)據(jù)。2.4 一般數(shù)據(jù)，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能對個(gè)人、組織合法權(quán)益造成危害，但不會(huì)危害國家安全、公共利益的數(shù)據(jù)”，建議《辦法》新增第九條第二款“核心數(shù)據(jù)，是在會(huì)計(jì)師事務(wù)所業(yè)務(wù)中，關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的數(shù)據(jù)；重要數(shù)據(jù)，是在會(huì)計(jì)師事務(wù)所業(yè)務(wù)中，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)；一般數(shù)據(jù)，是在會(huì)計(jì)師事務(wù)所業(yè)務(wù)中，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能對個(gè)人、組織合法權(quán)益造成危害，但不會(huì)危害國家安全、公共利益的數(shù)據(jù)”。同時(shí)，將第九條第二款調(diào)整為第三款“會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)通過業(yè)務(wù)約定書等方式與被審計(jì)單位明確數(shù)據(jù)分級分類要求，數(shù)據(jù)分級分類的要求應(yīng)當(dāng)與被審計(jì)單位的相關(guān)要求保持一致”。

（2）《辦法》第十七條“會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測。發(fā)現(xiàn)數(shù)據(jù)外泄、安全漏洞等風(fēng)險(xiǎn)的，應(yīng)當(dāng)立即采取補(bǔ)救、處置措施。發(fā)生重大數(shù)據(jù)安全事件的，應(yīng)當(dāng)及時(shí)向省級以上財(cái)政部門報(bào)告”。本條內(nèi)容與上位法規(guī)定不一致，僅明確了“重大數(shù)據(jù)安全事件”向財(cái)政部門報(bào)告，縮小了報(bào)告數(shù)據(jù)安全事件的范圍。參考《數(shù)據(jù)安全法》第二十九條“開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告”，同時(shí)考慮到財(cái)政部門、網(wǎng)信部門作為數(shù)據(jù)安全的主管部門，應(yīng)當(dāng)同時(shí)報(bào)告，而非僅向財(cái)政部門報(bào)告，建議《辦法》第十七條修改為：“會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測。發(fā)現(xiàn)數(shù)據(jù)外泄、安全漏洞等風(fēng)險(xiǎn)的，應(yīng)當(dāng)立即采取補(bǔ)救、處置措施。發(fā)生數(shù)據(jù)安全事件的，應(yīng)當(dāng)及時(shí)向省級以上財(cái)政部門、網(wǎng)信部門報(bào)告。”

（3）《辦法》第二十五條第三款“相關(guān)部門和機(jī)構(gòu)工作人員對監(jiān)督檢查中知悉的核心數(shù)據(jù)、重要數(shù)據(jù)、個(gè)人隱私等數(shù)據(jù)應(yīng)當(dāng)依法嚴(yán)格保護(hù)，不得泄露或者非法向他人提供”。針對核心數(shù)據(jù)、重要數(shù)據(jù)應(yīng)建立專門保護(hù)機(jī)制，而個(gè)人隱私等保密內(nèi)容則不得泄露。核心數(shù)據(jù)、重要數(shù)據(jù)與個(gè)人隱私不屬于同一層面分類，不應(yīng)統(tǒng)一規(guī)定。參考《數(shù)據(jù)安全法》第三十八條“國家機(jī)關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)，應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進(jìn)行；對在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供”，以及《網(wǎng)絡(luò)安全法》第四十五條“依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的個(gè)人信息、隱私和商業(yè)秘密嚴(yán)格保密，不得泄露、出售或者非法向他人提供”，建議《辦法》第二十五條第三款修改為：“相關(guān)部門和機(jī)構(gòu)工作人員對監(jiān)督檢查中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法嚴(yán)格保護(hù)，不得泄露或者非法向他人提供?！?/p>

（4）《辦法》第二十八條“承接關(guān)系國計(jì)民生、重要領(lǐng)域?qū)徲?jì)業(yè)務(wù)的會(huì)計(jì)師事務(wù)所開展數(shù)據(jù)處理活動(dòng)，影響或者可能影響國家安全的，按照網(wǎng)絡(luò)安全審查相關(guān)機(jī)制進(jìn)行網(wǎng)絡(luò)安全審查”。本條明確了“關(guān)系國計(jì)民生、重要領(lǐng)域”數(shù)據(jù)處理活動(dòng)的要求，“重要領(lǐng)域”在《辦法》第二十六條“對于承接金融、能源、通信、交通、科技、國防科工等重要領(lǐng)域”進(jìn)行了明確，但“關(guān)系國計(jì)民生”的范圍未能明確。參考《數(shù)據(jù)安全法》第二十一條“關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)”，國計(jì)民生應(yīng)與“國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益”等領(lǐng)域保持一致。因此，建議《辦法》第二十八條修改為：“承接關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益及其他重要領(lǐng)域業(yè)務(wù)的會(huì)計(jì)師事務(wù)所開展數(shù)據(jù)處理活動(dòng)，影響或者可能影響國家安全的，按照國家有關(guān)規(guī)定進(jìn)行網(wǎng)絡(luò)安全審查?！?/p>

6.符合立法技術(shù)要求?！掇k法》部分其他條款也存在不符合立法技術(shù)規(guī)范或者含義不明確等情形，需要進(jìn)一步完善。

（1）《辦法》第一條“為保障會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全，規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)，……制定本辦法”。《立法技術(shù)規(guī)范（試行）（一）》要求，“法律一般需要明示立法目的，表述為：‘為了……，制定本法’，用‘為了’，不用‘為’。立法目的的內(nèi)容表述應(yīng)當(dāng)直接、具體。明確，一般按照由直接到間接、由具體到抽象、由微觀到宏觀的順序排列”。與“保障會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全”相比，“規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)”更加直接。同時(shí)，參考《數(shù)據(jù)安全法》第一條“為了規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，……制定本法”的表述，建議《辦法》第一條修改為：“為了規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)，保障會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全，根據(jù)《中華人民共和國注冊會(huì)計(jì)師法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)，制定本辦法?！?/p>

（2）《辦法》第六條“注冊會(huì)計(jì)師協(xié)會(huì)應(yīng)當(dāng)加強(qiáng)行業(yè)自律，指導(dǎo)會(huì)計(jì)師事務(wù)所加強(qiáng)數(shù)據(jù)安全保護(hù)，提高數(shù)據(jù)安全管理水平”?！白詴?huì)計(jì)師協(xié)會(huì)應(yīng)當(dāng)……提高數(shù)據(jù)安全管理水平”表述有歧義，可能存在“提高會(huì)計(jì)師事務(wù)所的數(shù)據(jù)安全管理水平”，以及“提高協(xié)會(huì)自身的數(shù)據(jù)安全管理水平”等不同含義。因此，建議《辦法》第六條修改為：“注冊會(huì)計(jì)師協(xié)會(huì)應(yīng)當(dāng)加強(qiáng)行業(yè)自律，指導(dǎo)會(huì)計(jì)師事務(wù)所加強(qiáng)數(shù)據(jù)安全管理?！?/p>

（3）《辦法》第二十九條“相關(guān)部門在履行數(shù)據(jù)安全監(jiān)管職責(zé)中，發(fā)現(xiàn)會(huì)計(jì)師事務(wù)所開展數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的，可以對會(huì)計(jì)師事務(wù)所及其責(zé)任人采取約談、責(zé)令限期整改等監(jiān)管措施，消除隱患”。本條僅明確“發(fā)現(xiàn)會(huì)計(jì)師事務(wù)所開展數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的”情形，相關(guān)部門“可以”采取相關(guān)措施，這難以有效防止“安全風(fēng)險(xiǎn)”的隱患發(fā)生。因此，建議《辦法》第二十九條修改為：“相關(guān)部門在履行數(shù)據(jù)安全監(jiān)管職責(zé)中，發(fā)現(xiàn)會(huì)計(jì)師事務(wù)所開展數(shù)據(jù)處理活動(dòng)存在安全風(fēng)險(xiǎn)的，應(yīng)當(dāng)對會(huì)計(jì)師事務(wù)所及其責(zé)任人采取約談、責(zé)令限期整改等監(jiān)管措施，消除隱患?！?/p>

可以預(yù)見，作為以審計(jì)、鑒證為主要業(yè)務(wù)的中介機(jī)構(gòu)——會(huì)計(jì)師事務(wù)所，在審計(jì)數(shù)據(jù)的采集、存儲(chǔ)、使用過程中，數(shù)據(jù)安全管理尤為關(guān)鍵，會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)在各個(gè)環(huán)節(jié)進(jìn)行標(biāo)準(zhǔn)化、規(guī)范化的管控，建立科學(xué)、完善的數(shù)據(jù)安全管理制度，以切實(shí)保障審計(jì)數(shù)據(jù)在全生命周期的安全。基于此，為了順應(yīng)互聯(lián)網(wǎng)時(shí)代的變革趨勢、回應(yīng)數(shù)據(jù)安全保障的緊迫態(tài)勢、契合銜接相關(guān)法律法規(guī)的基本形勢，《辦法》開啟了會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理制度建設(shè)的嶄新篇章，奠定了數(shù)據(jù)安全管理規(guī)范運(yùn)行的堅(jiān)實(shí)基礎(chǔ)，但仍需要在加強(qiáng)頂層立法設(shè)計(jì)、明確立法關(guān)鍵概念、擴(kuò)大立法適用范圍、強(qiáng)化法律責(zé)任承擔(dān)、細(xì)化條文可操作性、符合立法技術(shù)要求等方面進(jìn)行考量和完善。

在全面推進(jìn)依法治國的戰(zhàn)略背景下，“良法善治”是國家治理現(xiàn)代化的重要環(huán)節(jié)，而會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理制度建設(shè)僅僅是科學(xué)立法的基本訴求，奠定了“良法”的基礎(chǔ)，但“徒法不足以自行”，“善治”才是更高層次的追求。對于會(huì)計(jì)師事務(wù)所而言，如何規(guī)范地執(zhí)行《辦法》，真正落實(shí)數(shù)據(jù)安全管理，保障數(shù)據(jù)安全，方是立法的出發(fā)點(diǎn)和落腳點(diǎn)。實(shí)際上，會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理并非一蹴而就，未來在《辦法》通過、執(zhí)行過程中，其還需注意以下問題：第一，結(jié)合自身實(shí)際，專門制定可操作性的數(shù)據(jù)安全管理規(guī)范手冊，確?！掇k法》有效落地，實(shí)現(xiàn)預(yù)期目標(biāo)；第二，強(qiáng)化自身及審計(jì)人員的數(shù)據(jù)安全保護(hù)意識(shí)，確保其能夠時(shí)刻緊繃數(shù)據(jù)安全的“弦”；第三，為審計(jì)人員提供及時(shí)、全面的培訓(xùn)，提升其數(shù)據(jù)安全保護(hù)能力和專業(yè)水平。

【 主要參考文獻(xiàn)】

高源.《民法典》視角下的審計(jì)數(shù)據(jù)安全維護(hù)［J］.審計(jì)月刊，2021（10）：25 ～26.

張修權(quán).邁出審計(jì)數(shù)據(jù)規(guī)范體系建設(shè)的第一步［N］.中國會(huì)計(jì)報(bào)，2023-04-28.

胡耘通.個(gè)人信息保護(hù)合規(guī)審計(jì)制度建設(shè)思考”［J］.財(cái)會(huì)月刊，2023（20）：88 ～91.

閆夏秋.《數(shù)據(jù)安全法》視域下審計(jì)數(shù)據(jù)安全治理框架研究［J］.商業(yè)會(huì)計(jì)，2023（14）：34 ～38.