查看原文
其他

财政部日前发布的重磅文件,很多人没看懂,事关金融数据主权,7个要点详解

刘典
2024-09-17



点关注不迷路,加星标★更好找

Follow & Favourite


前言


11月13日,中国财政部公布了《会计师事务所数据安全管理暂行办法(征求意见稿)》。本《办法》由中国财政部、国家网信办研究起草,共5章36条。


在习主席赴美前发布该《办法》,明确了数据安全管理规则的国家立场,完善了中国金融数据主权,具有标志性意义。


以下是《办法》的要点内容全文标注,欢迎转发收藏。

01

要点内容

一、未来,明确数据安全管理规则的国家立场,完善中国金融数据主权,将成为中美关系尤其是金融、经贸等领域的关键部分在习主席赴美前的这个时间段发布本办法,具有标志性意义。

二、本《办法》的出台是中国建立数据安全管理规则的一个重要举措事关中国金融数据主权的问题。数据主权是处理数据安全的根本指针,数据安全又是国家安全的重要组成部分。数据正在成为国家之间竞争的战略工具,积极推动数据主权治理的国际合作至关重要。

三、总体考虑

《办法》定位为会计师事务所数据安全管理顶层设计

一是全面对接数据安全法要求
在注册会计师行业对国家数据安全管理制度进行细化。

二是构建注册会计师行业数据安全监管体系
明确各方面的职责范围,建立权责一致的工作机制。

三是明确数据管理要求
明确了会计师事务所数据管理的主要内容、责任人员、管理要求、网络防护等要求,
指导行业健全数据安全管理和技术保护措施,履行保护义务。
四、《办法》明确了适用范围、数据定义和各方主体。
《办法》的适用范围是在中国境内依法设立并为上市公司以及非上市国有金融机构中央企业提供审计服务,或者开展跨境审计会计师事务所及其从业人员
数据是指会计师事务所执行审计业务过程中,从外部获取内部生成的任何以电子或者其他方式对信息的记录
  • 会计师事务所承担本机构的数据安全主体责任
  • 财政部门网信部门是会计师事务所数据安全的监管机构
  • 注册会计师协会是会计师事务所数据安全的自律管理主体

五、《办法》加强了会计师事务所数据管理。
  • 《办法》要求会计师事务所对数据区分核心数据重要数据一般数据进行分级分类管理。
  • 数据管理技术手段数据存储方式日志管理提出具体要求
  • 会计师事务所应当综合采取网络隔离用户认证访问控制数据加密病毒防范非法入侵检测等技术手段加强数据管理相关数据应当存储境内
  • 《办法》同时对跨境审计监管中涉及的数据出境事项作出规范

六、《办法》完善了会计师事务所网络保障。
  • 会计师事务所应当建立完善的网络管理治理架构建立健全内部网络管理制度体系
  • 《办法》要求会计师事务所设置严格的访问控制策略统一管理各类账户

七、《办法》加强了监督检查。
  • 《办法》与《会计师事务所监督检查办法》衔接,明确财政部门网信部门开展会计师事务所数据安全检查及重点检查内容
  • 对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务较多的会计师事务所,将开展全覆盖监督检查,并持续加强日常监管。
  • 一定情况下,可以启动对会计师事务所的网络安全审查机制
  • 《办法》落实法律责任,规定对于违法违规行为,相关部门根据《中华人民共和国数据安全法》相关规定依法作出处理处罚

02

全文标注


会计师事务所数据安全管理暂行办法
(征求意见稿)

第一章 总则

第一条
保障会计师事务所数据安全,规范会计师事务所数据处理活动,
根据《中华人民共和国注册会计师法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等法律法规,制定本办法。

第二条
在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的,适用本办法:
  • (一)为上市公司以及非上市的国有金融机构、中央企业提供审计服务的;
  • (二)开展跨境审计业务的。

第三条
本办法所称
数据
是指会计师事务所执行审计业务过程中
外部获取和内部生成的任何以电子或者其他方式对信息的记录

数据安全,
是指通过采取必要措施,
确保数据持续得到有效保护和合法利用

第四条
会计师事务所承担
本机构的数据安全主体责任
履行数据安全保护义务

第五条
国务院财政部门会同国家网信部门
负责全国会计师事务所数据安全监管工作,
省、自治区、直辖市人民政府财政部门会同省级网信部门
负责本行政区域内会计师事务所数据安全监管工作。

第六条
注册会计师协会应当加强行业自律
指导会计师事务所加强数据安全保护
提高数据安全管理水平

第二章 数据管理

第七条
会计师事务所应当在下列方面履行本所数据安全管理责任
  • (一)建立健全数据安全管理制度,完善数据运营和管控机制;
  • (二)健全数据安全管理组织架构,明确数据安全管理权责机制;
  • (三)实施与业务特点相适应的数据分类分级管理
  • (四)建立数据权限管理策略,按照最小授权原则设置数据访问和处理权限,定期复核并按有关规定保留数据访问记录;
  • (五)组织开展数据安全教育培训
  • (六)法律法规规定的其他事项。

第八条
会计师事务所的首席合伙人(主任会计师)
本所数据安全负责人

第九条
会计师事务所应当
按照相关法律法规的规定和被审计单位所处行业数据分级分类标准
确定核心数据、重要数据和一般数据。

会计师事务所应当
通过业务约定书等方式与被审计单位
明确审计资料分级分类要求
审计资料分级分类的要求应当与被审计单位相关资料分级分类的要求保持一致。

第十条
针对核心数据
会计师事务所应当建立核心数据保护机制
通过专用服务器或者会计师事务所私有云平台设置内部专门空间存储,使用加密虚拟专用网络等技术手段传输,对核心数据的存储、读取、转移应当建立授权与记录机制并保证有效运行。

针对重要数据
会计师事务所应当制定和执行规范的处理流程
将其存放于和互联网逻辑隔离的信息系统中,并严格控制接触人员范围

针对一般数据
会计师事务所应当采取基于用户角色授权访问控制
并且按照最小权限原则授权。

第十一条
会计师事务所的审计工作底稿及相关数据
应当存储在境内不得境外备份

会计师事务所应当
对审计业务相关的信息系统数据库网络设备网络安全设备
设置并启用访问日志记录功能
日志应当存放境内
其中,
日志中的用户登录及访问日志保存期限不得少于十年
其他日志保存期限不得少于六个月

第十二条
会计师事务所应当
明确数据传输操作规程
核心数据重要数据传输过程中应当采用加密技术,保护传输安全。

第十三条
审计工作底稿和相关数据加密设备应当
设置在境内并由境内团队负责运行维护,密钥应当存储在境内。

第十四条
会计师事务所应当
建立数据备份制度。

会计师事务所应当
确保在审计相关应用系统停止使用、被限制使用等情况下,
仍能访问、调取、使用相关审计工作底稿。

第十五条
会计师事务所
不得在业务约定书或类似合同中包含会计师事务所
向境外监管机构提供境内项目资料数据等类似条款。

第十六条
会计师事务所应当
采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段,
及时识别、阻断和溯源相关网络攻击和非法访问
保障数据安全。

第十七条
会计师事务所应当
建立数据安全应急处置机制,
加强数据安全风险监测

  • 发现数据外泄、安全漏洞等风险的,应当立即采取补救处置措施。
  • 发生重大数据安全事件的,应当及时省级以上财政部门报告

第十八条
会计师事务所在境内形成的审计工作底稿应当存放在境内
需要出境的,按照国家有关规定办理审批手续

第十九条
会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制
采取必要措施严格落实审计工作底稿涉密敏感信息管控责任

第三章 网络管理

第二十条
会计师事务所应当
建立完善网络管理治理架构
建立健全内部网络管理制度体系
建立内部决策管理执行和监督机制
确保网络管理能力提供专业服务相适应
为数据安全管理工作提供安全的网络环境

第二十一条
会计师事务所应当
按照业务活动规模复杂程度
配置具备相关职业技能水平的网络管理技术人员
确保合理的网络资源投入资金投入

第二十二条
会计师事务所应当
做好信息系统安全管理技术防护
根据存储、处理数据的级别采取相应的网络物理隔离或者逻辑隔离等措施,
设置严格的访问控制策略
防范未经授权的访问行为

第二十三条 
会计师事务所应当
拥有其使用的审计业务系统中
网络设备网络安全设备配置和管理的最高权限
统一管理、维护系统管理员账户和工作人员账户,不得设置不受限制的超级账户。 

加入国际网络的会计师事务所使用所在国际网络的信息系统的,
应当采取用户隔离和数据隔离等措施。

第四章 监督检查

第二十四条
省级以上财政部门同级网信部门
加强会计师事务所数据安全监管信息共享。

第二十五条
省级以上财政部门省级以上网信部门(以下简称相关部门)
对会计师事务所数据安全情况开展监督检查

在监督检查过程中,
相关部门可以委托国家、行业有关专业机构采用渗透测试、漏洞扫描及信息技术风险评估等方式,
协助对会计师事务所开展监督检查。
相关部门和机构工作人员
对监督检查中知悉的核心数据重要数据个人隐私等数据
应当依法严格保护不得泄露或者非法向他人提供

第二十六条
对于承接金融能源通信交通科技国防科工重要领域审计业务的会计师事务所,
相关部门应当
开展全覆盖监督检查
持续加强日常监管

第二十七条
会计师事务所对于相关部门依法实施数据安全检查
应当予以配合
提供符合要求的相关数据资料和工作便利,不得拒绝、拖延、阻挠。

第二十八条
承接关系国计民生、重要领域审计业务的会计师事务所开展数据处理活动
影响或者可能影响国家安全的,
按照网络安全审查相关机制进行网络安全审查

第二十九条
相关部门在履行数据安全监管职责中,
发现会计师事务所开展数据处理活动存在较大安全风险的,
可以对会计师事务所及其责任人采取约谈、责令限期整改监管措施,消除隐患。

第三十条
会计师事务所及其从业人员违反本办法规定的,
由相关部门依照《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国注册会计师法》等法律、行政法规的规定进行处理处罚。

第三十一条
对会计师事务所及其从业人员违反本办法规定,
涉及其他部门职责权限的,依法移送有关主管部门处理
构成犯罪的,移送司法机关依法追究刑事责任

第五章 附则

第三十二条
会计师事务所及其从业人员开展涉及国家秘密的数据处理活动
适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

第三十三条
会计师事务所开展涉及个人信息的数据处理活动,
应当遵守有关法律、行政法规的规定。

第三十四条
会计师事务所的非审计业务数据管理可参照本办法执行。

第三十五条
本办法由财政部国家网信办负责解释。

第三十六条
本办法自 年 月 日起施行。

——END——



点关注不迷路,加星标更好找

近期内容 ●●

// 1

以“四策”回答亚太发展“三问”,共同做大亚太发展蛋糕,详解习近平APEC领导人非正式会议重要讲话

// 2

打造包容数字经济、弥合数字鸿沟,9个要点详解2023APEC领导人旧金山宣言

// 3

推进数实融合,完善全球科技治理——6个要点详解习近平APEC工商领导人峰会书面演讲

// 4

推动中美AI合作、邀请5万美国青少年来华,习主席这场演讲透露哪些重要信号?

// 5

对比中美两国元首会晤后双方新闻稿,“有异有同”的背后释放怎样的信号?

往期系列内容

点击图片,查看更多


加入全球政经观察员
加微信“x-923604517”拉你入群


 

刘典

复旦大学中国研究院副研究员


主要研究领域为数字经济、数字货币、网络与数据治理,国际政治经济学等。


个人专著包括《非常法史》、《法眼看民国》、《政策沟通:国际合作引擎》;参与编著《“一带一路”大百科》《读懂“一带一路”》《破解中国经济十大难题》、《中国改革大趋势》等。


在《中国金融》、《文化纵横》、《人民论坛》等核心期刊发表十多篇研究论文,在《光明日报》、《经济日报》、《解放军报》、《北京日报》等数十家权威纸媒发表近百篇评论文章。

素材来源官方媒体/网络新闻
继续滑动看下一个
刘典
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存