税务信息跨境交换框架的新趋势——简评保加利亚国税局税务信息泄露案
杨佩龙(北京大学法学院)
统一报告标准(CRS)是经济合作与发展组织(OECD)提出的信息交换标准。实施CRS的目的在于打击跨境逃避税,以实现税收公平。截至2021年3月,已有110个税收管辖区签署了CRS多边主管当局间协议。据统计,2019年世界范围内各国自动交换了8400万个金融账户信息,涉及总资产达10万亿欧元。以CRS框架为代表的税务信息跨境交换机制俨然已成为各国税收立法的主流趋势。而保加利亚国家税务局(Bulgarian National Revenue Agency,BNRA)税务信息泄露案的发生,引发了对国际税务信息交换制度的冷思考。本文拟对BNRA税务信息泄露案进行分析,以期为我国纳税人信息保护机制的完善提供思路。
一、基本案情及问题提出
2019年7月15日,黑客入侵保加利亚国家税务局的内部系统,导致510万保加利亚公民的个人数据外泄。除此之外,BNRA通过CRS系统获得的其他税收管辖区纳税人信息也遭泄露。
2019年7月18日,保加利亚个人数据保护委员会(Commission for Personal Data Protection,CPDP)启动了对BNRA的审查与诉讼程序。2019年8月29日,CPDP认定,BNRA作为信息保管人,通过内部程序处理信息时未采用合理措施,从而导致信息泄露。根据CPDP调查结果,BNRA泄露的信息主要包含公民个体的姓名、个人识别号码、地址、电话、电子邮件地址、个人年度纳税申报表,以及个人所得税金额等信息。
2020年2月27日,作为本案的刑事被告之一,TAD集团的负责人伊万(Ivan Todorov)成功获得保释。该事件又再次将本案引入公众的视野。从案件的特殊性分析,BNRA税务信息泄露案是欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)下的首例政府部门信息泄露案件,也是CRS框架下的首例税务信息泄露案例。通过对本案的分析,可以进一步明确国际税务信息交换机制中的纳税人信息权地位,厘清纳税人信息权的救济途径,为CRS框架提供合理的完善思路。
二、BNRA税务信息泄露案的处罚决定与分析
本案发生后,CPDP便立即介入调查。作为欧盟的成员国之一,保加利亚按照GDPR对BNRA作出处罚决定。
(一)针对税务信息泄露案件的处罚决定
2019年8月29日,CPDP依据GDPR第32条第1款(b)项之规定,对BNRA处以罚金510万列弗。同日,BNRA发布声明,抗议CPDP的处罚决定,并辩称,其已针对纳税人信息采取相关保护技术与措施,但仍不可避免地发生了黑客入侵事件,此次案件应遵照《保加利亚共和国刑法》向黑客提起诉讼并由其承担相应的金钱赔付责任。此外,BNRA还主张CPDP在调查过程中存在程序性瑕疵。
2019年8月30日,OECD针对本案发表相关声明,明确本次案件的漏洞系BNRA在本土信息保管环节存在违规行为,与CRS的“共同传输系统”无关。在BNRA的本土信息保管系统评估合格之前,CRS框架下其他国家(地区)暂停向保加利亚发送税务信息。值得关注的是,OECD同样认为无法根本消除国家(地区)内部数据泄露的可能性。
(二)对于处罚决定的分析
对于该案的处罚具有三个较为鲜明的特点。第一,处罚依据是BNRA作为信息保管人未严格履行保管义务。GDPR第32条第1款(b)项规定,数据保管人需确保信息处理系统与相关服务的保密性、公正性、有效性以及重新恢复的能力。CPDP对于处罚依据的选择,同样体现了其对于CRS中信息保管人范围的界定倾向。一般而言,税务主管当局既是税务信息采集人,也是相关信息的保管人。信息保管人具有妥善保管数据信息的义务。当其未严格履行该项义务时,纳税人可通过救济途径维护自身权益。
第二,BNRA所受处罚是行政罚款。行政罚款的去向是国库,这就意味着BNRA并未直接向权利遭受侵害的纳税人进行赔偿。此外,作为行政机关,BNRA的运行成本主要源自财政支出。将财政拨款用于缴纳罚款,对于政府整体而言,并未达到“金钱填补权利损失”的效果。故为了保证处罚的有效性,是否应当对处罚的方式和罚款的用途进行更为细致的规定,有待进一步讨论。
第三,OECD通过声明的形式告知其他税收管辖区暂停向BNRA发送税务信息,这是否会影响BNRA通过CRS框架向其他税收管辖区发送税务信息呢?根据《金融账户涉税信息自动交换多边主管当局间协议》(以下简称《协议》)第七章,签署一方的主管当局可向另一方主管当局发出书面通知,暂停本协议下的信息交换,前提是明确另一方主管当局存在重大违约行为。而且,根据《协议》的规定,税务信息交换是以双方自愿为前提。故OECD本身并不具备直接暂停税务信息交换的权力。因此,OECD的声明仅起到提醒作用,不能被直接视作对BNRA的处罚。
三、该案对国际税务信息交换机制的影响
除了BNRA所遭受的处罚外,本案还引发了其他方面的诸多考量。BNRA信息泄露案是CRS框架下首例因税务主管当局保管不当造成信息泄露的案件。虽然其本身的处理主要集中于国内行政法范围内,但其对CRS框架的影响无疑是深远的。
(一)纳税人信息权保护的实质化
当前,大多数税收管辖区皆对纳税人的权利保护作了相关规定。美国、加拿大、英国、日本等国家以专门的法案或法律性质的文件规定了纳税人基本权利。但在国际税务信息交换机制下,纳税人信息权存在“被架空”风险。笔者认为,可以从以下两方面加强纳税人权利的实质化保障。
第一,强化纳税人信息权在国际税务信息交换机制中的地位。纳税人信息权是近年税法理论领域中的新兴概念。有学者将其定义为“纳税人享有的能对其涉税信息加以积极控制和保护、不受税务机关及相关第三方主体等侵犯或滥用的权利”。广义上的纳税人信息权还包含纳税人信息决定权、纳税人信息更正权、纳税人信息处理知情权等基于信息而产生的各项子权利。而所谓权利保护的实质化,就是考察权利遭受侵害后是否具有畅通的救济途径。
以BNRA税务信息泄露案为例,在信息泄露之后,BNRA通过应用程序向本国税收居民告知了情况,并在官方网站公布案件处理进展。CPDP也向BNRA处以罚金,以示惩戒。但对于信息权利遭受侵害的纳税人个体,其无法在上述措施中寻求合适的补偿救济途径。GDPR在其第8章规定了数据信息主体的救济方式,即可以通过行政途径或司法途径保障权利不受侵害。但在本案中,目前并未发现纳税人通过GDPR第82条获得赔偿。其中主要原因是损害结果难以界定和单独诉讼成本较为高昂。BNRA在其公告中声称,在将非法披露的纳税人信息和真实数据库信息进行比对后,发现非法披露的信息主要对189人造成较大影响,且其将在第一时间联系相关人员并告知这一风险(risk)。换言之,BNRA并未将信息泄露的风险与GDPR第82条所称信息主体权益所受的侵害(damage)进行直接关联。因此,在后续国际税务信息交换机制完善的过程中,应当对上述问题予以考量,对信息主体的救济权利予以落实。
第二,提高税务信息交换暂停机制的有效性。CRS和美国的《海外账户税收遵从法案》(FATCA)都明确了税收管辖区之间的信息交换机制需建立在双方都具有妥善的信息保管能力之上。当一方税务主管当局的信息保管能力出现问题时,另一方可根据协议暂停信息交换。但从实践层面观察,由于不同税收管辖区之间的管辖权独立,两者很难进行有效的互相监督。GDPR第21条规定,数据信息主体在不损害公众利益的前提下,享有反对自身数据被处理的权利。但在实践中,发现自身信息权利被侵害的主体则难以行使该项权利。故笔者认为,在CRS未来的完善思路中,一方面应认可税务主管当局之间的监督,另一方面也应尊重纳税人的反对权。在纳税人掌握一定线索的情形下,可以允许其向自身所属的税务主管当局提起申请,税务主管当局再与另一方税务主管当局进行沟通,并对纳税人存疑事项进行解答。在无法解答或确认另一方的税务信息保管机制存在纰漏时,可暂停有关该纳税人的税务信息交换。若存疑事项具有普遍性,则应当全面暂停双方的税务信息交换。
(二)税务信息保密措施的细节化
CRS框架的另一完善方向乃是使税务信息保密措施的基本要求更加具体化、细节化。之所以将此作为发展的主流趋势,是因为税务信息泄露的情形难以绝对规避。在此情形下,税务主管当局和相关人员的尽职免责规定便显得尤为重要。在前者完成CRS所明确的保管措施时,如果仍发生信息泄露事件,可允许其避免主观恶意的推定。
其实,早在2006年我国就颁布了《国际税收情报交换工作规程》,以专章的形式对税收情报交换过程的保密性作了具体规定。2010年美国国会颁布《刺激就业法案》(HIRE Act),其中第501条至541条的内容即为现今的FATCA。随后,美国国内收入局为FATCA的实施制定了《国际数据保障和基础设施工作手册》,规定了税务信息评估、执法监督、物理存储的安全性、数据传输的安全性等诸多细节问题。
2012年,OECD在其发布的《税收信息交换保密指南》中对信息交换的安全保护细节作了更为详细的规定,包括对相关人员的培训、保密协议的签署、相关场所的出入限制、访问电子或实体文件的记录、电子信息的安全存储等内容;同时还建议监管部门对税务部门日常信息保密工作进行抽查,并在违规披露事件发生时立即开展调查。
2021年1月19日,欧盟数据保护委员会(European Data Protection Board,EDPB)发布《关于数据泄露通知示例的指南》(征求意见稿),列举了最为常见的数据泄露类型案例,如勒索软件攻击、数据泄露攻击,以及设备和纸质文件的丢失或被盗,并对每个案例提供了处理指导意见。
各国(地区)对税收保密措施的规定越详细,对纳税人和税务主管部门就越有助益。一方面,税务主管部门的尽职免责要求更为具体,不至于在追责过程中因缺乏具体标准而引发相关争议;另一方面,纳税人的信息保护措施更为详尽,其相关隐私权的保障也就更加直观。
(三)法律主体承责方式的明确化
在国际税务信息交换的过程中,由于成员方税务部门的介入,其中的法律关系更为复杂。此种背景下,应当对承责主体和承责方式予以明确。
在承责主体方面,税务部门作为信息保管人,承担相应的保密义务。但在CRS框架下,其他管辖区的税务主管当局成为了“共同的”数据信息保管人,其是否应当承担连带责任,成为纳税人关注的焦点。本案中,BNRA泄露的信息不仅包含本国纳税人的数据信息,还包含美国、加拿大等其他税收管辖区的纳税人信息。那么,其他税收管辖区的纳税人可否就此提起相关的救济,提起救济的对象是本国税务部门还是BNRA,以及提起救济的方式应通过司法途径还是国际行政救济途径?这些问题都需要进一步明确。
此外,在具体的承责方式上还需要对责任人的处罚形式作出规定。以行政处罚对税务部门的违规行为进行处罚,实质上并不能弥补纳税人的权利损失。具体而言,税务部门的运行资金一般来源于中央的财政拨款,其所承担的罚金最终仍为国库支出,故这种承责方式并不能对其造成实质影响和约束。同时税务部门负有征税职责,通过行政处罚使其不能正常履行职责也不符合税收管辖区的整体利益。故在此种情形下,如何让利益受损的纳税人通过对责任人的处罚填平损失,也是下一步应当考虑的问题。
最后,纳税人遭泄露的税务信息不应直接作为税务机关课征税款的依据。澳大利亚高等法院确认澳大利亚税务局(ATO)可以使用数据泄露中的信息。加拿大税务局(CRA)则表示其不会通过电话与任何受影响的纳税人建立直接联系。言下之意便是,CRA不会利用BNRA泄露的税务信息作为课税之依据。由此观之,明确跨境交换的税务信息,以及通过非正规程序收集的税务信息在税收征管体系中的定位,是推动纳税人权益保护机制的重要举措之一。
四、对中国的启示与思考
纳税人信息保护机制的构建一直是税务实践中的难题,其核心在于税收效率与纳税人权利之间的价值抉择。2017年5月9日,国家税务总局、财政部、中国人民银行等六部门共同发布《非居民金融账户涉税信息尽职调查管理办法》,标志着CRS与中国国内立法框架正式衔接。在税务信息交换的大趋势下,有关纳税人信息保护机制的思考更应得到重视。
首先,应当清晰、有效地构建涉税主体在税务信息保护框架中的法律责任体系。对于其他组织、自然人侵犯公民税务信息权利的情形,在行政程序中可通过传统的金钱惩罚和行为惩罚设定法律责任,也可在司法程序中通过民事或刑事诉讼界定主体的法律责任。但是对于税务机关造成公民税务信息权利受损的情形,传统的金钱性质惩罚和行为性质惩罚不足以对其产生足够的约束,也不能弥补纳税人所遭受的损失。故应借助行政诉讼或民事诉讼的救济途径,采用补偿、赔偿等承责方式,对纳税人进行较为合适的事后救济。
其次,应当明确跨境交换的税务信息在税收征管中的法律定位。税务信息跨境交换是个人所得税反避税的重要举措之一。如果将交换的税务信息视作课税依据,那么税务机关便可直接据此调整纳税人的纳税义务。若纳税人对上述事项存在争议,则需要向税务征管机关提交其他证据进行申诉。如果将交换的税务信息视作课税线索,则税务机关需要在对此进行核实后,方可调整纳税人的纳税义务。二者同样反映出税收效率与纳税人权利之间的价值抉择,我国应当对此问题予以明确。
最后,信息匿名化处理或可成为纳税人税务信息保护的新路径,但这种处理仍需兼顾以下两个方面。一是税务信息匿名化处理的标准,即对信息处理至何种程度即可认为达到了匿名化标准;二是税务信息匿名化对于信息交换的效力影响,即匿名化处理的税务信息是否可以协助税务机关掌握纳税人在不同税收管辖区的资产配置情形。如何在上述两个维度均衡各方考量,同样是未来CRS框架下税务信息跨境交换的主要问题之一。
(本文为节选,原文刊发于《国际税收》2021年第5期)