La Cina introduce Nuove Regole di Conformità dei Dati per le Società Contabili

Nell’era digitale, la sicurezza dei dati è diventata una questione cruciale per le operazioni aziendali, specialmente per le società contabili che gestiscono una grande quantità di informazioni finanziarie sensibili. Recentemente, il Ministero delle Finanze e l’Amministrazione cinese per il Cyberspazio hanno emanato le Misure Provvisorie per la gestione della sicurezza dei dati delle imprese contabili (di seguito “Misure Provvisorie”), che entreranno in vigore il 1° ottobre 2024. Tali Misure Provvisorie mirano a fornire indicazioni chiare per le società di contabilità circa la gestione della sicurezza dei dati, nonché a rafforzare tale gestione e a promuovere lo sviluppo sano del settore. Questo articolo offre una breve introduzione ai contenuti di tali Misure Provvisorie.

  1. Le Misure Provvisorie Specificano il loro Ambito di Applicazione

Le Misure Provvisorie verranno applicate alle attività di trattamento dei dati associate ai seguenti servizi di revisione contabile forniti da società legalmente stabilite nel territorio della Repubblica Popolare Cinese: (1) fornitura di servizi di revisione contabile a società quotate in borsa, istituzioni finanziarie statali e imprese centrali non quotate in borsa, ecc; (2) fornitura di servizi di revisione contabile a operatori di infrastrutture informatiche critiche o a operatori di piattaforme online con più di un milione di utenti; e (3) fornitura di servizi di revisione contabile a imprese nazionali per la quotazione all’estero. Le Misure Provvisorie si applicano anche alle attività di revisione contabile delle società di revisione che non rientrano nell’ambito di applicazione specificato nel presente paragrafo, ma che riguardano dati importanti o dati fondamentali.

  • Le Società di Revisione Contabile Devono Effettuare una Gestione Classificata e Graduata dei Dati

Le Misure Provvisorie prevedono che la società di revisione contabile, in conformità alle disposizioni delle leggi e dei regolamenti pertinenti, nonché agli standard di classificazione dei dati del settore in cui opera l’unità sottoposta a revisione, determini i dati fondamentali, i dati importanti e i dati generali. La società di revisione deve stabilire chiaramente i requisiti per l’archiviazione dei dati fondamentali e importanti, in particolare per quanto riguarda la trasmissione dei registri. L’unità sottoposta a revisione ha l’obbligo di informare la società di revisione dei dati fondamentali e delle informazioni importanti contenuti nei materiali di revisione tramite la lettera di incarico commerciale, la lettera di conferma e altri mezzi.

 Dati ImportantiDati FondamentaliDati Generali
Memorizzazione dei Dati  I sistemi informativi per l’archiviazione di dati importanti devono soddisfare i requisiti di protezione della cybersecurity di livello 3 o superiore.  I sistemi informativi per l’archiviazione dei dati fondamentali devono soddisfare i requisiti per la protezione di livello 4 della sicurezza informatica.  Le Misure Provvisorie non prevedono requisiti
Gestione dei RegistriSe si tratta di dati importanti, il relativo registro deve essere conservato per non meno di un anno; se i dati importanti sono forniti ad altri, trattati come affidati o trattati congiuntamente, il relativo registro deve essere conservato per non meno di tre anni.  Se si tratta di dati fondamentali, il relativo registro deve essere conservato per non meno di tre anni.
  • La Documentazione della Revisione Contabile deve essere conservata in Cina

Le Misure Provvisorie stabiliscono che la documentazione delle società di revisione contabile deve essere conservata in Cina, in conformità alle normative vigenti. Una società di revisione contabile non può includere nell’accordo commerciale o in un contratto analogo clausole che prevedano la fornitura di informazioni e dati su progetti nazionali alle autorità di regolamentazione estere. Se un’autorità di regolamentazione estera necessita di ottenere documentazione di revisione nazionale per scopi normativi, deve farlo attraverso il corrispondente meccanismo di cooperazione normativa transfrontaliera, in conformità con le leggi e i regolamenti. La documentazione di revisione corrispondente deve passare attraverso le formalità di approvazione prima di lasciare il paese. Le società di revisione contabile devono stabilire un meccanismo di revisione graduale per l’esportazione di tale documentazione e implementare le responsabilità di gestione e controllo della sicurezza dei dati.

  • Le Imprese Contabili Devono Rafforzare la Gestione della Sicurezza Informatica e Creare un Sistema di Backup dei Dati

Le Misure Provvisorie stabiliscono requisiti specifici per le società di revisione contabile, che devono stabilire sistemi interni di gestione della sicurezza della rete, investimenti in risorse di gestione della rete, protezione tecnica della sicurezza della rete e autorità di account di gestione della rete, nonché garantire la gestione della sicurezza del sistema informativo e la protezione tecnica, istituire politiche rigorose di controllo degli accessi e prevenire l’accesso non autorizzato.

Inoltre, le società di revisione contabile devono istituire un sistema di backup dei dati per garantire la possibilità di accedere, recuperare e utilizzare la documentazione pertinente nel caso in cui l’uso dei sistemi applicativi relativi alla revisione sia sospeso o limitato per motivi tecnici esterni. I dispositivi di crittografia devono essere installati nel territorio del Paese e devono essere gestiti e mantenuti dal team nazionale, mentre le chiavi devono essere conservate nel territorio.

In sintesi, le Misure Provvisorie regolano ulteriormente le attività di trattamento dei dati delle società contabili, in particolare il trasferimento transfrontaliero dei documenti e il rafforzamento della gestione della sicurezza dei dati. Le società di revisione contabile devono svolgere il lavoro di conformità dei dati alla luce delle proprie condizioni aziendali, per garantire che le attività commerciali siano svolte in modo conforme.

Aris Xie Aris Xie

Aris Xie

Senior Associate
Aris è un Senior Associate di D'Andrea & Partners Legal Counsel con sede a Shanghai
Jennie Lin Jennie Lin

Jennie Lin

Associate
Jennie è una Junior Associate dello studio legale D'Andrea & Partners

CONTATTACI PER UNA PRIMA CONSULENZA GRATUITA

*limitato ad un'unica consulenza di 30 minuti

Contact US - Italian

Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.