數(shù)字經(jīng)濟下財務數(shù)據(jù)安全治理路徑探析

財務數(shù)據(jù)是支撐企業(yè)數(shù)字化轉(zhuǎn)型的關鍵數(shù)據(jù)資源。但是此類核心數(shù)據(jù)在其生命周期內(nèi)面臨著種類繁雜的各種安全問題。傳統(tǒng)財務數(shù)據(jù)防護手段主要依賴本地化防御模式，數(shù)字時代背景下其適應性已顯著不足。被泄露抑或被篡改甚至遭遇非法盜用的情況一旦發(fā)生，企業(yè)日常經(jīng)營管理活動將受到直接影響，更嚴重的會使企業(yè)經(jīng)濟蒙受損失，甚至國家經(jīng)濟發(fā)展安全亦可能遭受波及。由此可見，基于云計算等大數(shù)據(jù)技術構(gòu)建新型財務數(shù)據(jù)安全治理框架已迫在眉睫。如何構(gòu)建全方位、多層次的財務數(shù)據(jù)綜合性安全防護體系，已成為現(xiàn)代企業(yè)發(fā)展過程中無法回避的重要議題。

一、數(shù)字經(jīng)濟下財務數(shù)據(jù)安全治理的現(xiàn)狀

（一）數(shù)字經(jīng)濟的發(fā)展對財務數(shù)據(jù)的影響

數(shù)字經(jīng)濟的迅猛發(fā)展給企業(yè)經(jīng)營管理帶來重大影響的同時也給企業(yè)核心價值載體的財務數(shù)據(jù)帶來全方位的影響。這種影響集中體現(xiàn)在財務數(shù)據(jù)的來源和流轉(zhuǎn)過程中，并最終導致了數(shù)據(jù)安全防護技術的提升和數(shù)據(jù)治理體系的革新。

1.財務數(shù)據(jù)來源的多元化

作為企業(yè)財務狀況、經(jīng)營成果和資金流動情況的載體，財務數(shù)據(jù)貫穿了企業(yè)運行的全周期。在數(shù)字化浪潮的推動之下，業(yè)財稅三者的深度融合現(xiàn)象已然形成，由此帶來的是可供財務分析利用的原始數(shù)據(jù)源數(shù)量顯著增加。傳統(tǒng)模式下局限于本地化存儲的結(jié)構(gòu)化賬務核算內(nèi)容已發(fā)生根本性改變。除了財務會計領域常規(guī)的賬務處理事項、資金結(jié)算活動與財務報表編制工作外，企業(yè)內(nèi)部流轉(zhuǎn)的生產(chǎn)計劃文檔、電商平臺產(chǎn)生的交易流水記錄、客戶關系管理系統(tǒng)中存儲的信用評估與支付驗證信息，以及供應鏈協(xié)同平臺積累的訂單跟蹤與物流配送數(shù)據(jù)等，均已成為現(xiàn)代企業(yè)財務部門開展預測建模、風險管控和決策支持工作時不可或缺的基礎性依據(jù)[1]。

2.財務數(shù)據(jù)處理的云端化

目前，隨著云數(shù)據(jù)庫、云存儲服務的廣泛采用，傳統(tǒng)本地服務器存儲方式正逐步被基于云端的分布式處理架構(gòu)所替代。財務類軟件系統(tǒng)正經(jīng)歷著從傳統(tǒng)本地化部署向SaaS模式（軟件即服務）的轉(zhuǎn)型。云ERP系統(tǒng)和財務共享云等新形態(tài)應運而生，使得企業(yè)用戶不再需要在本機環(huán)境中完整安裝各類應用軟件，僅需通過多終端設備的網(wǎng)絡連接即可完成財務數(shù)據(jù)的相關處理操作。服務器集群的構(gòu)建與維護任務，以及數(shù)據(jù)庫系統(tǒng)和軟件本身的運維工作，均由軟件供應方承擔。物理邊界的模糊化卻伴隨著云端數(shù)據(jù)安全風險因素的增加現(xiàn)象。數(shù)據(jù)安全治理責任主要由使用者（企業(yè)機構(gòu)）與供應方（軟件服務提供商）共同承擔。

（二）數(shù)字經(jīng)濟下財務數(shù)據(jù)安全治理的現(xiàn)狀

1.政策法規(guī)框架系統(tǒng)化建設現(xiàn)狀

我國目前已形成了初步的數(shù)據(jù)安全法規(guī)體系，為核心的財務數(shù)據(jù)安全提供了堅實的制度保障。近年來，在《數(shù)據(jù)安全法》和《個人信息保護法》相繼出臺后，2024年9月發(fā)布的《網(wǎng)絡數(shù)據(jù)安全管理條例》，對數(shù)據(jù)處理者提出要建立健全數(shù)據(jù)安全戰(zhàn)略規(guī)劃、數(shù)據(jù)全生命周期安全保護、數(shù)據(jù)安全管理體系和技術安全運行管理等內(nèi)容要求，加強包括財務數(shù)據(jù)在內(nèi)的數(shù)據(jù)重要性保障；財政部于同年8月修訂發(fā)布的《會計信息化工作規(guī)范》和《會計軟件基本功能和服務規(guī)范》，從行業(yè)監(jiān)管角度提出了電子憑證適配的強制性要求、涵蓋生成傳輸存儲各環(huán)節(jié)的系統(tǒng)安全管控規(guī)定以及跨境安全評估等具體內(nèi)容。值得注意的是，上述規(guī)范的適用范圍已擴展至所有單位組織類型，如表1所示。

2.財務數(shù)據(jù)安全治理發(fā)展現(xiàn)狀

數(shù)字化轉(zhuǎn)型企業(yè)通過財務共享中心等財務云平臺，將各環(huán)節(jié)的業(yè)務與財務相連接，并聚合前中后端的財務數(shù)據(jù)。伴隨著各系統(tǒng)間的業(yè)務交互，數(shù)據(jù)體量日益龐大。但國內(nèi)大部分企業(yè)對此尚未開展財務數(shù)據(jù)治理。在財務數(shù)據(jù)的采集、傳輸、存儲和分析過程中，數(shù)據(jù)泄露、篡改、丟失等安全隱患成為潛在的風險[]。

表 12024～2025 年財務數(shù)據(jù)安全治理關鍵政策法規(guī)

傳統(tǒng)邊界安全技術包括防火墻防病毒軟件等，在企業(yè)應用階段早已得到大規(guī)模部署，構(gòu)成當前財務數(shù)據(jù)安全防護的基礎防線。然而，隨著財務數(shù)據(jù)處理環(huán)境向云端遷移，僅依賴本地邊界防御已顯現(xiàn)明顯不足。由此可見安全防護范圍必須擴展至財務數(shù)據(jù)本體及流轉(zhuǎn)全過程。針對財務數(shù)據(jù)本身的防護，TLS/SSL高強度加密技術現(xiàn)已被主流財務軟件普遍采用，用于保障數(shù)據(jù)安全本身。數(shù)據(jù)庫加密技術應用率提升顯著則體現(xiàn)在財務報表銀行存款等核心敏感財務數(shù)據(jù)的防護層面。但隨著財務數(shù)據(jù)的智能化分析和多終端訪問需求的增加，數(shù)字經(jīng)濟時代API高頻調(diào)用引發(fā)的動態(tài)風險、電子發(fā)票平臺上線帶來的新型威脅等因素共同作用，傳統(tǒng)財務數(shù)據(jù)安全防護技術顯現(xiàn)出適應性不足的問題。

二、數(shù)字經(jīng)濟背景下財務數(shù)據(jù)安全面臨的新挑戰(zhàn)

財務數(shù)據(jù)安全治理技術隨著數(shù)字經(jīng)濟的蓬勃發(fā)展正在不斷優(yōu)化，但新技術的應用必然導致新挑戰(zhàn)，這些挑戰(zhàn)集中在技術層、組織層和戰(zhàn)略層三個方面。

（一）技術架構(gòu)變革帶來的安全挑戰(zhàn)

數(shù)字經(jīng)濟下財務數(shù)據(jù)正向云平臺化、API調(diào)用高頻率化、智能化的發(fā)展方向轉(zhuǎn)型。傳統(tǒng)靜態(tài)防護機制由此顯現(xiàn)出失效現(xiàn)象。責任主體界定困難、攻擊路徑動態(tài)演變、風險潛伏性增強等新型特征，在這種技術架構(gòu)變革背景下已然成為常態(tài)。

責任主體界定困難重點體現(xiàn)在即便法規(guī)政策要求云服務商確保用戶數(shù)據(jù)保密性、完整性，但安全責任具體的認定較為困難。企業(yè)與云服務商之間的安全職責邊界難以被清晰劃分。攻擊路徑動態(tài)演變表現(xiàn)在高頻調(diào)用的財務API接口所伴隨的動態(tài)惡意攻擊風險。而這些風險常伴隨著例如模型竊取等具有較強隱蔽性的智能技術[。

（二）組織管理中的適應性挑戰(zhàn)

在組織管理層面，企業(yè)內(nèi)部的財務數(shù)據(jù)安全管理制度尚未完全適應數(shù)字經(jīng)濟的發(fā)展要求。企業(yè)內(nèi)部訪問權限管控體系呈現(xiàn)松散態(tài)勢，用戶身份識別認證架構(gòu)尚未構(gòu)建完善，最小權限原則執(zhí)行力度亦顯不足。數(shù)據(jù)訪問環(huán)節(jié)普遍存在寬松化現(xiàn)象，財務信息泄露事件由此頻發(fā)。在數(shù)據(jù)訪問權限上都比較寬松，從而導致了財務數(shù)據(jù)泄密問題。部分企業(yè)還面對財務數(shù)據(jù)管理制度在數(shù)據(jù)的采集、存儲、使用和銷毀等環(huán)節(jié)都缺乏相應的規(guī)范和培訓。

（三）財務數(shù)據(jù)平臺化帶來的制度性挑戰(zhàn)

近年來，盡管我國已出臺了相關政策法規(guī)，但因財務數(shù)據(jù)的云端化，出現(xiàn)了產(chǎn)權責任邊界模糊問題，匿名化處理技術規(guī)范尚存漏洞等現(xiàn)象，這說明當前我國仍需要完善財務數(shù)據(jù)類安全防護機制。例如，財政部于2024年提出的《企業(yè)數(shù)據(jù)資源相關會計處理暫行規(guī)定》雖然將數(shù)據(jù)資源歸入無形資產(chǎn)或存貨的核算范圍，但未對價值評估方法做出明確規(guī)定。同時，在財務大數(shù)據(jù)環(huán)境下，傳統(tǒng)的匿名化技術標準容易被重新識別，可能無法完全滿足《通用數(shù)據(jù)保護條例》（GDPR）中提到的數(shù)據(jù)最小化和匿名化要求，或者在滿足要求的同時會大幅降低數(shù)據(jù)的可用性。

三、數(shù)字經(jīng)濟下財務數(shù)據(jù)安全治理路徑

面對日趨嚴峻的新挑戰(zhàn)，本文結(jié)合財務共享中心數(shù)據(jù)治理的新特點，探析構(gòu)建“技術防控一管理重構(gòu)一制度完善”三位一體的治理路徑。

（一）技術防控層

在技術防控層面，企業(yè)應打造以數(shù)據(jù)要素為核心的全周期防護機制。重點針對財務數(shù)據(jù)存在的主要風險點，采用自主可控的技術手段，形成自數(shù)據(jù)采集環(huán)節(jié)起始至終止階段的動態(tài)化防御閉環(huán)系統(tǒng)。

在數(shù)據(jù)生命周期的初期一一數(shù)據(jù)采集端，鑒于財務數(shù)據(jù)來源具有多元化特征，隱私計算技術的運用顯得尤為必要。API動態(tài)網(wǎng)關安全接入機制的建立同樣不可或缺，這些措施能夠有效防止數(shù)據(jù)在傳輸過程中遭到泄露或被非法篡改。企業(yè)宜選擇國產(chǎn)的隱私計算平臺，比如螞蟻集團的螞蟻鏈摩斯、京東科技聯(lián)邦學習平臺等，在保護好數(shù)據(jù)隱私的同時也能滿足企業(yè)對于數(shù)據(jù)共享、協(xié)同方面的需求。

在數(shù)據(jù)傳輸階段，企業(yè)應在使用傳輸加密技術（TLS/SSL）的基礎上根據(jù)財務數(shù)據(jù)核心數(shù)據(jù)的特點。采取動態(tài)脫敏技術來規(guī)避風險。這類技術可以實現(xiàn)實時脫敏，在不改變原數(shù)據(jù)意義的情況下改變財務數(shù)據(jù)，并保證數(shù)據(jù)的可用性，從而最大化地實現(xiàn)數(shù)據(jù)的隱私性。

在數(shù)據(jù)存儲和使用過程中，會計軟件應當滿足數(shù)據(jù)可靠存儲的要求[。可見，會計軟件供應商所采用的安全技術也對著財務數(shù)據(jù)存儲與訪問的安全性起著決定性作用。因此，企業(yè)在選擇財務云服務時，應重點考察服務商是否具備ISO27001信息安全管理體系認證、ISO9001質(zhì)量管理體系認證及SaaS等資質(zhì)認證項。企業(yè)和云服務商均應在數(shù)據(jù)庫加密技術基礎上建立嚴格的訪問控制機制[3]，并針對不同的類型的數(shù)據(jù)采用不同的授權方式。這一機制應以數(shù)據(jù)庫加密技術為根基，針對不同類別數(shù)據(jù)實施差異化的授權策略。特別是財務核心數(shù)據(jù)域，必須貫徹最小化授權原則，僅允許特定人員接觸該類數(shù)據(jù)。為實現(xiàn)對授權訪問過程的實監(jiān)控性，數(shù)據(jù)庫審計系統(tǒng)的應用顯得尤為重要，該系統(tǒng)能夠追蹤數(shù)據(jù)庫操作日志記錄并監(jiān)測訪問者的異常行為特征。

隨著數(shù)據(jù)生命周期的終止據(jù)會計信息法規(guī)的相關規(guī)定，企業(yè)保管期滿且無未了事項數(shù)據(jù)，須經(jīng)單位檔案管理機構(gòu)、會計管理機構(gòu)及信息系統(tǒng)管理機構(gòu)派員共同監(jiān)銷，方可對存儲介質(zhì)進行安全擦除，防止被他人惡意恢復并利用。在此數(shù)據(jù)銷毀階段，企業(yè)可采用基于國密非對稱加密算法SM2等區(qū)塊鏈存證技術記錄數(shù)據(jù)銷毀行為，保證數(shù)據(jù)銷毀記錄的真實性與完整性。

（二）管理重構(gòu)層

在組織管理層面，為適應匹配數(shù)字經(jīng)濟下財務數(shù)據(jù)呈現(xiàn)的新特點，企業(yè)應打破組織管理障礙、消除責任不明的弊端，構(gòu)建會計信息化下的跨部門制衡的保障機制，并將保障機制劃分為計劃層、執(zhí)行層、監(jiān)督層，促進治理方式向精準化發(fā)展。

計劃層由企業(yè)管理層承擔整體財務數(shù)據(jù)安全管理工作的規(guī)劃與實施任務。包括但不限于制定企業(yè)財務數(shù)據(jù)安全目標體系與關鍵防護指標項等核心要素內(nèi)容。這些規(guī)劃內(nèi)容需要與企業(yè)整體戰(zhàn)略保持高度一致性特征。同時還需針對不同數(shù)據(jù)類型制定分類分級標準規(guī)范文件，明確相應的防護等級要求條款。執(zhí)行層主要是由財務部門主要負責對數(shù)據(jù)敏感字段標記的工作，以及由風控團隊執(zhí)行實時動態(tài)脫敏的財務數(shù)據(jù)，以保證數(shù)據(jù)在被使用的時候滿足安全的要求，降低因數(shù)據(jù)引發(fā)的財務舞弊的風險。在監(jiān)督層內(nèi)，內(nèi)審部門可依托區(qū)塊鏈溯源工具，驗證各類財務數(shù)據(jù)業(yè)務流程中是否存在被篡改和利用的行為。監(jiān)督層還需定期對財務數(shù)據(jù)處理流程進行審計，發(fā)現(xiàn)潛在安全風險問題并提出改進建議，推動數(shù)據(jù)安全管理的持續(xù)完善。通過此類型管理重構(gòu)，企業(yè)可以將財務數(shù)據(jù)安全防護結(jié)合到日常運營中，形成多部門制衡、全流程管理的數(shù)據(jù)安全文化。

（三）制度完善層

在政策制度層面，政府也應構(gòu)建出適配數(shù)字經(jīng)濟的財務數(shù)據(jù)安全治理制度細則。面對前述的數(shù)字產(chǎn)權界定模糊等問題，政府應盡快完善適應大數(shù)據(jù)環(huán)境的數(shù)據(jù)保護法規(guī)條例，給企業(yè)予以指引。例如，在《無錫市數(shù)據(jù)條例》上“三權分置”制度基礎上形成國家標準，成立統(tǒng)一的數(shù)據(jù)產(chǎn)權登記中心，明確原始數(shù)據(jù)持有權、衍生品經(jīng)營權和收益分配的比例，并且使用區(qū)塊鏈技術做到跨區(qū)域互認，從而有利于界定財務數(shù)據(jù)安全責任。

現(xiàn)行會計準則體系下，加密脫敏等安全防護支出的資本化處理標準應當細化修訂。符合特定條件的隱私計算平臺采購費用支出、密碼模塊改造費用支出等，允許其進行資本化會計處理。通過不斷地完善與創(chuàng)新各項有關的數(shù)據(jù)治理相關的法規(guī)條例與制度標準，對財務數(shù)據(jù)能夠?qū)崿F(xiàn)更為堅實的保護，適應于數(shù)字經(jīng)濟發(fā)展的具體要求。

四、結(jié)論

數(shù)字經(jīng)濟的快速發(fā)展極大地改變了財務數(shù)據(jù)的來源、處理方式和安全治理模式。財務數(shù)據(jù)來源的多元化、處理的云端化以及分析手段的智能化，給傳統(tǒng)以靜態(tài)防御為主的數(shù)據(jù)安全治理模式帶來了嚴峻挑戰(zhàn)。對此，基于“技術防控、管理重構(gòu)和制度完善”三位一體的財務數(shù)據(jù)安全治理路徑將為構(gòu)建完善的財務數(shù)據(jù)安全治理體系提供一定的參考，有助于企業(yè)在數(shù)字經(jīng)濟時代中降低財務數(shù)據(jù)安全風險，提升數(shù)據(jù)安全管理能力。

參考文獻：

[1]吳逸君.數(shù)字時代企業(yè)財務分析存在的問題及優(yōu)化對策0].老字號品牌營銷，2025（07）：130-132.

[2]蔣琴昭.數(shù)字化背景下企業(yè)財務數(shù)據(jù)治理探究U]中國鄉(xiāng)鎮(zhèn)企業(yè)會計，2025（05）：167-169.

[3]郝義飛.集團企業(yè)財務共享中心數(shù)據(jù)安全治理研究[D].揚州大學，2023.

[4]中華人民共和國財政部.會計軟件基本功能和服務規(guī)范[A].2024-08-12（2025-6-18）.https：//www.gov.cn/zhengce/zhengceku/202408/content_6967134.htm.

（作者單位：蘇州工業(yè)職業(yè)技術學院）