新法速递 | 首部专业咨询机构的数据安全管理规范即将落地
点击关注“数据与电商研究室”
引言
为加强会计师事务所数据安全管理,规范会计师事务所数据处理活动,财政部会同国家网信办研究起草了《会计师事务所数据安全管理暂行办法(征求意见稿)》(以下简称《办法》),并于2023年11月13日向社会公开征求意见。
《办法》是我国首部针对专业咨询机构的数据安全管理规范,由作为会计师事务所(“会所”)主管机构的财政部联合国家网信办共同发布。我们认为,《办法》的公布与律师事务所、评估事务所、咨询公司等在内的专业咨询机构及其从业者具有较强的关联,对于我们理解和认识此类机构和专业人士的数据保护责任和义务均具有启示意义。
我们简要梳理了《办法》的关键要点以及有关的监管要求,并以问答的形式呈现如下:
Q1:财政部会同国家网信办制定《办法》的总体考虑是什么?
结合《办法》第1条及《办法》的起草说明,主要考虑有三:
1)重点落实《数据安全法》第6条的数据安全行业监管要求;
2)构建注册会计师行业数据安全监管体系,明确财政部、国家网信办、地方财政部门、地方网信部门和注册会计师协会等各方面的职责范围;
3)根据注册会计师行业的实际情况,明确数据管理要求,指导行业相关主体履行数据安全保护义务。
Q2:会所如何判断是否落入《办法》的规制范围?
根据《办法》第2条及附则规定,有下列判断要点:
1. 构成要件。适用《办法》需同时满足以下三个构成要件:
1)属地原则:根据该要件,在中国境内设立的国际会计师事务所在满足要件后,落入《办法》适用范围;
2)业务限定:仅限于两类审计业务:为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;开展跨境审计业务的;
3)数据处理:在执行上述业务过程中所进行的数据处理行为均落入办法管辖。
2. 法律冲突以及适用。结合附则章节内容,《办法》在相关场景中与其他法律有不同的适用范围和优先顺序:
1)特别法优先适用:依据《办法》规定,涉及个人信息、国家秘密的数据处理活动优先适用《个人信息保护法》《保守国家秘密法》等法律;
2)非审计业务参照:依据《办法》规定,非审计业务数据管理非强制要求,可参照《办法》执行。
Q3:如果违反《办法》,会所及其从业人员需要承担何种法律责任?
1. 责任主体
会所+从业人员,不仅涉及企业责任,还会涉及个人责任。
2. 责任方式
《办法》未设定新的法律责任,而是通过转致性规定,仍依照《数据安全法》、《网络安全法》、《注册会计师法》等法律、行政法规的规定进行处理处罚。
3. 具体的法律责任
(点击可查看大图)
除上述行政责任、民事责任外,会所和从业人员在涉及犯罪时,还可能面临承担《办法》第三十一条规定的刑事责任的风险。
Q4:行政执法如何落地?
1. 由谁执法?
1)执法机构:省级以上财政部门、省级以上网信部门开展;
2)委托的机构:国家、行业有关专业机构协助开展。
注:《办法》并未设定作为行业自律机构的注册会计师协会的监督检查权。
2. 如何执法?
1)常规化的技术手段:监管机构采用渗透测试、漏洞扫描及信息技术风险评估等方式开展;
2)全覆盖+日常监管:对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务的会所,监管机构应当开展该类监督检查;
3)配合义务:会所应当予以配合,提供符合要求的相关数据资料和工作便利,不得拒绝、拖延、阻挠。
3. 识别到风险后,有哪些常见执法措施?
监管机构会对会所及其责任人采取约谈、责令限期整改等监管措施,消除隐患。如有严重情形,按照有关法律处理。
Q5:会所应当如何履行数据合规义务?
我们总结有关主要合规义务如下:
1. 制度与管理机制。会所至少需要建立以下制度或管理机制:
1)实施与业务特点相适应的数据分类分级管理(重要,Q6详述);
2)数据权限管理策略;
3)数据传输操作规程;
4)数据备份制度;
5)数据安全应急处置机制;
6)数据安全教育培训;
7)数据本地化及数据出境管理机制(重要,Q7和Q8详述)。
2. 组织架构维度
1)将首席合伙人(主任会计师)设置为本所数据安全负责人;
2)设置数据安全管理组织架构,如数据安全委员会;
3)明确数据安全管理权责机制。
3. 技术手段维度
采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段。
4. 网络安全审查特殊合规义务
适用对象仅为“承接关系国计民生、重要领域审计业务的会所开展数据处理活动,影响或者可能影响国家安全的”,如相关主体涉及,还需履行该项特殊义务。
Q6:会所如何进行数据分类分级?
1. 对哪些数据进行分类分级?
1)结合《办法》规定,分类分级的对象重点为被审计单位提供的数据,以及为被审计单位提供服务的过程中生成的数据。
2)进一步引申的是,会所本身的诸如员工数据在内的与被审计对象无关的数据,可能不落入强制性分类分级范围。
2. 如何判断数据分类分级的标准?
按照相关法律法规的规定和被审计单位所处行业数据分级分类标准进行确认。
3. 数据的类别与级别如何确定?
1)类别:结合上述标准确定具体类别,不同客户数据类别不同;
2)级别:《办法》已确定,包括核心数据、重要数据、一般数据,但具体判断也需要结合上述标准具体识别数据级别。
4. 核心数据、重要数据、一般数据的区分保护要求是什么?
(点击可查看大图)
Q7:会计师事务所如何履行数据本地化义务?
《办法》规定,以下三类数据均需要进行数据本地化存储,有些数据还对处理和运营方进行了严格限定:
1. 审计工作底稿及相关数据
禁止事项:
1)如涉及境外云服务的使用,应当及时停止使用;
2)服务器的冗余设置如存在境外备份情况,应当及时停止使用。
2. 审计业务相关的信息系统、数据库、网络设备、网络安全设备等的访问日志
存储期限要求:日志中的用户登录及访问日志保存期限不得少于十年,其他日志保存期限不得少于六个月。
3. 审计工作底稿和相关数据的密钥本地化
Q8:数据出境有哪些需履行的重点义务?
1. 禁止自行约定
依据《办法》第15条,会所不得在业务约定书或类似合同中约定含会所向境外监管机构提供境内项目资料数据等类似条款。根据规定,该类条款可能会成为类似专业机构的红线事项,有关人员应当予以关注。
2. 双层管控机制
1)内部——逐级复核机制+涉密敏感信息管控:会所内部需要针对审计工作底稿出境事项履行该项合规义务;
2)外部——按照国家有关规定办理审批手续:未经过审批通过的,在境内形成的工作底稿不得出境。
Q9:会所应当如何履行《办法》设定的网络安全合规义务?
与数据管理的合规维度类似,会所在网络安全方面的合规重点如下:
1. 治理架构维度:建立完善的网络管理治理架构;
2. 制度与管理机制维度:建立健全内部网络管理制度体系,建立内部决策、管理、执行和监督机制等;
3. 人力财务投入保障维度:按照业务活动规模及复杂程度配置具备相关职业技能水平的网络管理技术人员,确保合理的网络资源投入和资金投入;
4. 权限管理与隔离机制特别关注:包括最高权限拥有要求、不得设置超级账户要求,以及使用国际网络时的用户隔离和数据隔离等要求。
Q10:会所应当如何应对?
1. 适用性评估:依据Q2回复识别是否落入《办法》的适用范围。
2. 义务履行:对于《办法》的数据管理和网络管理两大合规重点,可重点结合Q5-Q9对照履行数据管理(安全)相关合规义务以及网络管理(安全)合规义务。
3. 提前准备:《办法》目前虽仍为征求意见稿,但绝大多数专业咨询机构的数据管理(安全)及网络管理(安全)的合规工作比较薄弱,且该类合规工作需要充分的认知和熟悉,故我们建议提前准备,以全面履行法规生效后的合规义务。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
往期文章
本期编辑:王梦迪 唐静思
长按二维码一键关注
期待您的“赞”和“分享”