这是一个令人不安的事实:如果你在上个纳税季为付费客户准备过哪怕一份纳税申报表,且存档中没有书面信息安全计划 (WISP),那么从技术层面讲,你的经营行为已违反联邦法律。联邦贸易委员会 (FTC) 每天可针对每项违规行为处以高达 46,517 美元的罚款。国税局 (IRS) 可以吊销你的报税员税务识别号码 (PTIN)。而你的执业过失保险公司可能会在发生数据泄露后,以缺少该文件为由拒绝理赔。
大多数报税员和簿记员都听说过“WISP”这个缩写,但往往认为那是别人的事——是那些拥有合规官的大型事务所才需要操心的。这种假设已经过时大约五年了。经修订的 FTC《保障规则》(Safeguards Rule) 自 2023 年 6 月起全面生效,它将独立报税员、小型 CPA 事务所和簿记行直接纳入了与社区银行相同的监管体系。每一位申请或更新 PTIN 的付费报税员现在都必须在 W-12 表格第 11 行确认,他们了解自己的数据安全义务。
本指南将详细介绍什么是 WISP、FTC 和 IRS 期望看到的九个要素、从“最佳实践”转变为“强制要求”的技术控制措施,以及如何制定一份在实际审计中经得起推敲的计划,而不仅仅是文件夹里的一纸空文。
导致现状的两项法律
两条重叠的监管路径指向了同一个结果:你需要一份书面计划。
《格雷姆-里奇-比利雷法案》(GLBA) 与 FTC 《保障规则》。 国会于 1999 年通过了 GLBA,用于管理金融机构如何处理客户信息。FTC 的执行条例——《保障规则》(16 CFR Part 314)——对“金融机构”的定义非常广泛,涵盖了任何“显著从事”金融活动的业务。FTC 长期以来一直认为税务准备、簿记及类似服务符合条件。该规则在 2021 年 12 月进行了大幅修订,新的技术要求(多因素身份验证 MFA、加密、合格人员、书面计划)已于 2023 年 6 月 9 日全面生效。
IRS 第 4557 号出版物与 PTIN 确认。 《国内税收法》第 7216 条和第 6713 条已经对未经授权披露纳税申报表信息的行为规定了处罚。国税局通过发布第 4557 号出版物(《保护纳税人数据》)和第 5708 号出版物(《为你的税务和会计执业创建书面信息安全计划》)提供了实践路线图。2024 年 PTIN 更新周期增加了一个强制勾选项:报税员必须在 W-12 表格第 11 行承认其 WISP 合规性。在该行撒谎本身就是一个严重问题。
最终结果是:购物中心里的单人报税店与地区性 CPA 事务所适用相同的底线要求。该规则会根据你的规模和复杂程度调整控制措施,但拥有书面计划的义务是绝对的——要么有,要么没有。
谁实际上必须拥有一份计划
如果你符合以下情况,则需要 WISP:
- 为获取报酬准备任何联邦纳税申报表(包括偶尔为付费客户提供的副业)
- 持有 PTIN、EFIN,或者是国税局授权的电子申报提供商
- 提供涉及客户财务信息的簿记、薪资或会计服务
- 担任虚拟 CFO、分时财务主管或外包会计师
- 经营注册投资顾问 (RIA)、抵押贷款经纪、支票兑现或其他受 GLBA 约束的实体
业务量并不重要。该规则不会因为你准备的申报表少于 X 份或赚取的费用低于 Y 元而豁免。一个每年准备 20 份申报表的独立注册税务师与一家拥有 200 人的公司受到的约束完全相同——两者都必须拥有一份书面的、最新的且已签署的计划。
《保障规则》中针对维护少于 5,000 名消费者信息的机构提供了一项狭义豁免,放宽了少量文档要求(如书面风险评估、事件响应计划、向董事会提交的年度报告)。但核心义务——指定一名合格人员、实施保障措施以及制定书面程序——无论规模大小均适用。
WISP 必须包含的九个要素
修订后的《保障规则》规定了九个必要的组成部分。你的 WISP 不需要完全使用这些标题,但文件中的某个地方必须涵盖其中的每一项。IRS 第 5708 号出版物模板也遵循同样的结构。
1. 指定一名合格人员
你必须正式指定一人负责监督信息安全计划。对于独立报税员来说,那个人就是你。对于事务所来说,通常是管理合伙人、IT 主管,或者越来越多地采用外包的虚拟首席信息安全官 (vCISO)。合格人员不一定要是安全专家,但他们需要有权做出决策并向所有者或董事会报告。
请以书面形式记录该任命,包括开始日期、授权范围和报告路径。
2. 进行书面风险评估
识别你收集哪些客户信息、存储位置、访问权限以及可能出现的风险。评估必须以书面形式进行并定期更新——至少每年更新一次,或者在你的环境发生重大变化(新软件、新员工、新办公室、数据泄露)时更新。
最低覆盖范围:
- 数据清单:社会安全号码、出生日期、金融账户号码、W-2 和 1099 副本、银行对账单、往年纳税申报单、EIN 数据、K-1
- 存储位置:税务软件数据库、云备份、邮件附件、客户门户、纸质文件、移动设备、USB 驱动器
- 威胁场景:网络钓鱼、勒索软件、笔记本电脑丢失、违规员工、供应商泄露、物理入侵
- 可能性和影响:对每种场景进行排名,以便你的防护措施能够与之匹配
3. 设计并实施安全防护措施
这是书面信息安全计划(WISP)的核心内容。该规则要求特定的技术和管理控制,其中有几项已不再是可选项:
- 访问控制:根据“按需知密”原则限制对客户数据的访问;员工离职后立即撤销访问权限
- 静态加密和传输加密:在所有设备、硬盘、备份和可移动介质上使用 AES-256(或同等标准);对传输中的数据使用 TLS 1.2 或更高版本;对每台笔记本电脑和工作站进行全盘加密
- 多因素身份验证:任何通过系统(税务软件、电子申报门户、云存储、电子邮件、远程访问工具)访问客户信息的人员都必须进行 MFA。仅限短信的 MFA 正逐渐被淘汰;请尽可能使用身份验证器应用或硬件密钥
- 安全开发与配置:如果你开发或定制软件,请应用安全编码标准;按定义的节奏对系统进行补丁更新
- 清单与处置:跟踪设备并安全处置介质(根据 NIST 800-88 标准进行粉碎或清除)
- 变更管理:记录并批准处理客户数据的系统变更
4. 定期监控和测试安全防护措施
你必须验证控制措施是否实际有效。该规则提供了两条可接受的途径:
- 持续监控:使用 SIEM、EDR 或托管检测与响应服务等工具,对可疑活动进行日志记录和警报
- 年度渗透测试加半年一次的漏洞评估:如果你没有实施持续监控,则需进行传统的第三方测试
对于独立报税员,“持续监控”可以指配置得当的端点防护产品,它能对异常情况发出警报。对于较大的事务所,预计需要聘请外部测试服务。
5. 培训你的员工
所有接触客户数据的人员(包括合同工和季节性报税员)都必须接受年度安全意识培训。主题必须包括识别网络钓鱼、密码卫生、设备安全、社交工程和事故报告。
保留出勤记录。“我在团队会议上告诉过他们”这种说法是无效的。
6. 监督服务提供商
每个有权访问客户数据的供应商——税务软件、云存储、文档管理、IT 支持、工资发放服务商、电子签名工具,甚至是你的碎纸公司——都必须:
- 经过对其安全实践的尽职调查后选定
- 受书面合同约束,要求其采取适当的防护措施
- 定期重新评估(通常每年一次)
向供应商索要 SOC 2 Type II 报告或同等文件。合同应包含泄露通知条款,并明确界定时间线——大多数事务所要求在发现泄露后的 72 小时内获得通知。
7. 保持计划的实时更新
每当威胁环境发生变化或你的业务运营发生变动时,请重新评估并调整 WISP。搬进新办公室了?安装了新软件?收购了一家小型事务所?请更新计划。
8. 制定书面事故响应计划
该计划必须涵盖:
- 内部升级:谁先获知事故,按什么顺序
- 遏制与补救:谁来止损
- 外部通知:客户、各州总检察长、联邦贸易委员会 (FTC) 和国税局 (IRS)
- 文档记录:保存日志、证据和时间线
- 经验教训:通过记录在案的纠正措施进行事后总结
IRS 要求税务代制人在发现数据失窃后的 24 小时内,通过 IRS 利益相关者联络员和税务管理联合会报告。根据 2024 年 5 月 13 日生效的《安全保护规则》修正案,对于影响 500 名或更多消费者的任何安全事件,你还必须在发现后 30 天内通知 FTC——该备案是公开的。
9. 向董事会(或所有者)报告
合资格人员必须至少每年向董事会提交一份书面报告,对于较小的事务所,则提交给负责的高级管理人员。报告内容包括计划的总体状况、风险评估结果、年度重大事件以及任何建议的变更。
独立报税员?你自己写好报告,签字并存档。是的,真的要这么做。
簿记记录:被遗忘的合规证明
如果监管机构或审计人员上门,他们首先索要的就是证明文件。你的 WISP 说你在 3 月份培训了员工,在 7 月份支付了外部渗透测试供应商费用,在 9 月份更换了工作站,并在 11 月份续保了网络安全保险——而你需要收据、发票和账簿条目来支持所有这些声明。那些将安全支出仅仅视为信用卡对账单上的一项杂费的事务所,最终都会陷入混乱。
为安全相关的支出(培训、软件、审计、保险、硬件)设置清晰的会计科目表分类,以便你可以根据需要提取整洁的年度同比报告。在 FTC 询问你如何落实计划时,那些在报税季满足 CPA 要求的纯文本记录就会成为你的证据文件。
那些让人栽跟头的技术控制措施
在实践中,WISP 失败的大部分原因可归结为两项要求。
多因素身份验证(MFA),无处不在。 该准则不允许“在方便的地方”才使用 MFA。它适用于任何从任何系统访问客户信息的人员。这包括你的税务软件、电子报税门户、客户门户、电子邮件(其中包含带税务数据的附件)、云存储、会计软件以及任何远程访问工具。IRS 强烈建议使用身份验证器应用程序或硬件令牌,而非容易受到 SIM 卡交换攻击的短信方式。
快速自查:退出你使用的所有业务应用程序。尝试重新登录。如果其中任何一个只需要密码,你就发现了一个安全漏洞。
静态数据加密。 存储客户信息的每台设备都必须进行全盘加密——包括季节性报税员带到家庭办公室的个人笔记本电脑。Windows Pro 上的 BitLocker 和 macOS 上的 FileVault 在正确配置后即可满足要求。加密备份、USB 驱动器和任何便携式介质。当电子邮件包含客户数据时,请对其进行加密(客户门户通常是比加密邮件更好的解决方案)。
另一个常见的缺失控制是供应商监督。许多事务所拥有其税务软件供应商的 SOC 2 报告,但对于去年签约的精品云存储工具、试用的电子签名插件或拥有管理员权限的 IT 承包商,却没有合同或评估。建立供应商清单并每年更新。
当你出错时会发生什么
这些处罚并非停留在理论层面:
- FTC 民事罚款:根据修订后的《安全保障准则》,每项违规每天最高可罚款 46,517 美元
- 通知失败罚款:在已公布的案例中,罚款已达到 500,000 美元
- PTIN 暂停或吊销:由 IRS 执行,这实际上终结了你提供报税服务的能力
- 州总检察长行动:根据各州的数据泄露通知法(全美 50 个州均有此类法律)
- 私人诉讼:受影响客户发起的诉讼,在某些州涉及法定赔偿
- 保险拒赔:当执业过失或网络保险政策将因违规引起的索赔排除在外时
- 声誉受损:对于税务师事务所来说,这通常意味着在 12 个月内流失大量客户
IRS 已明确表示,缺失 WISP 会被视为更广泛合规失败的证据,而不仅仅是文书工作问题。
建立可辩护 WISP 的务实路线图
对于独立报税员来说,从零开始制定一份可辩护的计划是一个为期四到六周的项目;对于较大的事务所来说,则是为期数月的工作。一个切合实际的序列:
第 1 周:盘点。 列出接触客户数据的每个系统、具有访问权限的每个员工或承包商、数据链中的每个供应商以及你拥有的每台设备。这是你的原始资料。
第 2 周:风险评估。 梳理针对盘点清单的潜在威胁。为每个场景评分。确定你的前五个风险敞口。
第 3 周:差距分析。 将你当前的控制措施与九个核心要素进行比较。记录每一个差距。对于小型事务所,最大的差距通常是 MFA 覆盖范围、供应商合同和事件响应程序。
第 4 周:修复。 在所有地方开启 MFA。在每台设备上部署全盘加密。与关键供应商签署书面协议。安排培训。记录一切。
第 5 周:编写 WISP。 使用 IRS Publication 5708 模板作为起点并进行深度定制——一份复制粘贴的计划比没有计划更糟糕,因为它显示了主观上的懈怠。由负责该事项的合格人员签名。
第 6 周(及每年):测试、培训、报告。 对你的事件响应计划进行桌面演习。开展年度培训。生成向所有者的年度报告。安排下一次审查。
为年度周期设置日历提醒。最常见的合规失败不是初始 WISP 的缺失,而是事务所在 2023 年编写了一份后就再也没有动过它。
几个常见的误区
“我的税务软件通过了 SOC 2 认证,所以我已经安全了。” 并不是。软件提供商的合规性覆盖的是他们的环境,而不是你的。你仍然需要为在该平台之外进行的每一项操作(电子邮件、本地文件、你的办公网络)制定 WISP。
“我在家办公,所以规则不同。” 并非如此。居家办公的事务所与在办公室办公的事务所承担相同的 WISP 义务。如果说有什么不同的话,那就是控制难度更大了,因为个人系统和业务系统之间的界限变得模糊。
“我将记账外包给了境外团队,所以由他们处理安全。” 根据准则,他们是你的供应商。你负责对他们进行评估、签订合同并监督他们的控制措施。
“我有网络保险,所以我受保护。” 现在大多数网络保险政策都将拥有 WISP 作为承保条件。在发生泄露后阅读细则才发现这一点就太晚了。
从第一天起就保持财务井井有条
一份可辩护的 WISP 建立在文档基础之上,一套可辩护的账目也是如此。无论你是跟踪用于证明合规计划真实的各种安全软件订阅、培训发票和审计费用,还是仅仅保存客户信任你处理的簿记记录,纯文本会计都能为你提供黑盒软件无法提供的东西:完全的透明度、版本控制和你真正拥有的审计线索。Beancount.io 提供透明、受版本控制且支持 AI 的纯文本会计——没有供应商锁定,没有不透明的导出。免费开始使用 了解为什么开发人员和财务专业人士正在转向纯文本会计。