稅務(wù)信息跨境交換框架的新趨勢——簡評保加利亞國稅局稅務(wù)信息泄露案

 楊佩龍（北京大學(xué)法學(xué)院）

　　統(tǒng)一報(bào)告標(biāo)準(zhǔn)（CRS）是經(jīng)濟(jì)合作與發(fā)展組織（OECD）提出的信息交換標(biāo)準(zhǔn)。實(shí)施CRS的目的在于打擊跨境逃避稅，以實(shí)現(xiàn)稅收公平。截至2021年3月，已有110個(gè)稅收管轄區(qū)簽署了CRS多邊主管當(dāng)局間協(xié)議。據(jù)統(tǒng)計(jì)，2019年世界范圍內(nèi)各國自動交換了8400萬個(gè)金融賬戶信息，涉及總資產(chǎn)達(dá)10萬億歐元。以CRS框架為代表的稅務(wù)信息跨境交換機(jī)制儼然已成為各國稅收立法的主流趨勢。而保加利亞國家稅務(wù)局（Bulgarian National Revenue Agency，BNRA）稅務(wù)信息泄露案的發(fā)生，引發(fā)了對國際稅務(wù)信息交換制度的冷思考。本文擬對BNRA稅務(wù)信息泄露案進(jìn)行分析，以期為我國納稅人信息保護(hù)機(jī)制的完善提供思路。

一、基本案情及問題提出

　　2019年7月15日，黑客入侵保加利亞國家稅務(wù)局的內(nèi)部系統(tǒng)，導(dǎo)致510萬保加利亞公民的個(gè)人數(shù)據(jù)外泄。除此之外，BNRA通過CRS系統(tǒng)獲得的其他稅收管轄區(qū)納稅人信息也遭泄露。

　　2019年7月18日，保加利亞個(gè)人數(shù)據(jù)保護(hù)委員會（Commission for Personal Data Protection，CPDP）啟動了對BNRA的審查與訴訟程序。2019年8月29日，CPDP認(rèn)定，BNRA作為信息保管人，通過內(nèi)部程序處理信息時(shí)未采用合理措施，從而導(dǎo)致信息泄露。根據(jù)CPDP調(diào)查結(jié)果，BNRA泄露的信息主要包含公民個(gè)體的姓名、個(gè)人識別號碼、地址、電話、電子郵件地址、個(gè)人年度納稅申報(bào)表，以及個(gè)人所得稅金額等信息。

　　2020年2月27日，作為本案的刑事被告之一，TAD集團(tuán)的負(fù)責(zé)人伊萬（Ivan Todorov）成功獲得保釋。該事件又再次將本案引入公眾的視野。從案件的特殊性分析，BNRA稅務(wù)信息泄露案是歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）下的首例政府部門信息泄露案件，也是CRS框架下的首例稅務(wù)信息泄露案例。通過對本案的分析，可以進(jìn)一步明確國際稅務(wù)信息交換機(jī)制中的納稅人信息權(quán)地位，厘清納稅人信息權(quán)的救濟(jì)途徑，為CRS框架提供合理的完善思路。

二、BNRA稅務(wù)信息泄露案的處罰決定與分析

　　本案發(fā)生后，CPDP便立即介入調(diào)查。作為歐盟的成員國之一，保加利亞按照GDPR對BNRA作出處罰決定。

　　（一）針對稅務(wù)信息泄露案件的處罰決定

　　2019年8月29日，CPDP依據(jù)GDPR第32條第1款（b）項(xiàng)之規(guī)定，對BNRA處以罰金510萬列弗。同日，BNRA發(fā)布聲明，抗議CPDP的處罰決定，并辯稱，其已針對納稅人信息采取相關(guān)保護(hù)技術(shù)與措施，但仍不可避免地發(fā)生了黑客入侵事件，此次案件應(yīng)遵照《保加利亞共和國刑法》向黑客提起訴訟并由其承擔(dān)相應(yīng)的金錢賠付責(zé)任。此外，BNRA還主張CPDP在調(diào)查過程中存在程序性瑕疵。

　　2019年8月30日，OECD針對本案發(fā)表相關(guān)聲明，明確本次案件的漏洞系BNRA在本土信息保管環(huán)節(jié)存在違規(guī)行為，與CRS的“共同傳輸系統(tǒng)”無關(guān)。在BNRA的本土信息保管系統(tǒng)評估合格之前，CRS框架下其他國家（地區(qū)）暫停向保加利亞發(fā)送稅務(wù)信息。值得關(guān)注的是，OECD同樣認(rèn)為無法根本消除國家（地區(qū)）內(nèi)部數(shù)據(jù)泄露的可能性。

　　（二）對于處罰決定的分析

　　對于該案的處罰具有三個(gè)較為鮮明的特點(diǎn)。第一，處罰依據(jù)是BNRA作為信息保管人未嚴(yán)格履行保管義務(wù)。GDPR第32條第1款（b）項(xiàng)規(guī)定，數(shù)據(jù)保管人需確保信息處理系統(tǒng)與相關(guān)服務(wù)的保密性、公正性、有效性以及重新恢復(fù)的能力。CPDP對于處罰依據(jù)的選擇，同樣體現(xiàn)了其對于CRS中信息保管人范圍的界定傾向。一般而言，稅務(wù)主管當(dāng)局既是稅務(wù)信息采集人，也是相關(guān)信息的保管人。信息保管人具有妥善保管數(shù)據(jù)信息的義務(wù)。當(dāng)其未嚴(yán)格履行該項(xiàng)義務(wù)時(shí)，納稅人可通過救濟(jì)途徑維護(hù)自身權(quán)益。

　　第二，BNRA所受處罰是行政罰款。行政罰款的去向是國庫，這就意味著BNRA并未直接向權(quán)利遭受侵害的納稅人進(jìn)行賠償。此外，作為行政機(jī)關(guān)，BNRA的運(yùn)行成本主要源自財(cái)政支出。將財(cái)政撥款用于繳納罰款，對于政府整體而言，并未達(dá)到“金錢填補(bǔ)權(quán)利損失”的效果。故為了保證處罰的有效性，是否應(yīng)當(dāng)對處罰的方式和罰款的用途進(jìn)行更為細(xì)致的規(guī)定，有待進(jìn)一步討論。

　　第三，OECD通過聲明的形式告知其他稅收管轄區(qū)暫停向BNRA發(fā)送稅務(wù)信息，這是否會影響B(tài)NRA通過CRS框架向其他稅收管轄區(qū)發(fā)送稅務(wù)信息呢？根據(jù)《金融賬戶涉稅信息自動交換多邊主管當(dāng)局間協(xié)議》（以下簡稱《協(xié)議》）第七章，簽署一方的主管當(dāng)局可向另一方主管當(dāng)局發(fā)出書面通知，暫停本協(xié)議下的信息交換，前提是明確另一方主管當(dāng)局存在重大違約行為。而且，根據(jù)《協(xié)議》的規(guī)定，稅務(wù)信息交換是以雙方自愿為前提。故OECD本身并不具備直接暫停稅務(wù)信息交換的權(quán)力。因此，OECD的聲明僅起到提醒作用，不能被直接視作對BNRA的處罰。

三、該案對國際稅務(wù)信息交換機(jī)制的影響　　

　　除了BNRA所遭受的處罰外，本案還引發(fā)了其他方面的諸多考量。BNRA信息泄露案是CRS框架下首例因稅務(wù)主管當(dāng)局保管不當(dāng)造成信息泄露的案件。雖然其本身的處理主要集中于國內(nèi)行政法范圍內(nèi)，但其對CRS框架的影響無疑是深遠(yuǎn)的。

　?。ㄒ唬┘{稅人信息權(quán)保護(hù)的實(shí)質(zhì)化

　　當(dāng)前，大多數(shù)稅收管轄區(qū)皆對納稅人的權(quán)利保護(hù)作了相關(guān)規(guī)定。美國、加拿大、英國、日本等國家以專門的法案或法律性質(zhì)的文件規(guī)定了納稅人基本權(quán)利。但在國際稅務(wù)信息交換機(jī)制下，納稅人信息權(quán)存在“被架空”風(fēng)險(xiǎn)。筆者認(rèn)為，可以從以下兩方面加強(qiáng)納稅人權(quán)利的實(shí)質(zhì)化保障。

　　第一，強(qiáng)化納稅人信息權(quán)在國際稅務(wù)信息交換機(jī)制中的地位。納稅人信息權(quán)是近年稅法理論領(lǐng)域中的新興概念。有學(xué)者將其定義為“納稅人享有的能對其涉稅信息加以積極控制和保護(hù)、不受稅務(wù)機(jī)關(guān)及相關(guān)第三方主體等侵犯或?yàn)E用的權(quán)利”。廣義上的納稅人信息權(quán)還包含納稅人信息決定權(quán)、納稅人信息更正權(quán)、納稅人信息處理知情權(quán)等基于信息而產(chǎn)生的各項(xiàng)子權(quán)利。而所謂權(quán)利保護(hù)的實(shí)質(zhì)化，就是考察權(quán)利遭受侵害后是否具有暢通的救濟(jì)途徑。

　　以BNRA稅務(wù)信息泄露案為例，在信息泄露之后，BNRA通過應(yīng)用程序向本國稅收居民告知了情況，并在官方網(wǎng)站公布案件處理進(jìn)展。CPDP也向BNRA處以罰金，以示懲戒。但對于信息權(quán)利遭受侵害的納稅人個(gè)體，其無法在上述措施中尋求合適的補(bǔ)償救濟(jì)途徑。GDPR在其第8章規(guī)定了數(shù)據(jù)信息主體的救濟(jì)方式，即可以通過行政途徑或司法途徑保障權(quán)利不受侵害。但在本案中，目前并未發(fā)現(xiàn)納稅人通過GDPR第82條獲得賠償。其中主要原因是損害結(jié)果難以界定和單獨(dú)訴訟成本較為高昂。BNRA在其公告中聲稱，在將非法披露的納稅人信息和真實(shí)數(shù)據(jù)庫信息進(jìn)行比對后，發(fā)現(xiàn)非法披露的信息主要對189人造成較大影響，且其將在第一時(shí)間聯(lián)系相關(guān)人員并告知這一風(fēng)險(xiǎn)（risk）。換言之，BNRA并未將信息泄露的風(fēng)險(xiǎn)與GDPR第82條所稱信息主體權(quán)益所受的侵害（damage）進(jìn)行直接關(guān)聯(lián)。因此，在后續(xù)國際稅務(wù)信息交換機(jī)制完善的過程中，應(yīng)當(dāng)對上述問題予以考量，對信息主體的救濟(jì)權(quán)利予以落實(shí)。

　　第二，提高稅務(wù)信息交換暫停機(jī)制的有效性。CRS和美國的《海外賬戶稅收遵從法案》（FATCA）都明確了稅收管轄區(qū)之間的信息交換機(jī)制需建立在雙方都具有妥善的信息保管能力之上。當(dāng)一方稅務(wù)主管當(dāng)局的信息保管能力出現(xiàn)問題時(shí)，另一方可根據(jù)協(xié)議暫停信息交換。但從實(shí)踐層面觀察，由于不同稅收管轄區(qū)之間的管轄權(quán)獨(dú)立，兩者很難進(jìn)行有效的互相監(jiān)督。GDPR第21條規(guī)定，數(shù)據(jù)信息主體在不損害公眾利益的前提下，享有反對自身數(shù)據(jù)被處理的權(quán)利。但在實(shí)踐中，發(fā)現(xiàn)自身信息權(quán)利被侵害的主體則難以行使該項(xiàng)權(quán)利。故筆者認(rèn)為，在CRS未來的完善思路中，一方面應(yīng)認(rèn)可稅務(wù)主管當(dāng)局之間的監(jiān)督，另一方面也應(yīng)尊重納稅人的反對權(quán)。在納稅人掌握一定線索的情形下，可以允許其向自身所屬的稅務(wù)主管當(dāng)局提起申請，稅務(wù)主管當(dāng)局再與另一方稅務(wù)主管當(dāng)局進(jìn)行溝通，并對納稅人存疑事項(xiàng)進(jìn)行解答。在無法解答或確認(rèn)另一方的稅務(wù)信息保管機(jī)制存在紕漏時(shí)，可暫停有關(guān)該納稅人的稅務(wù)信息交換。若存疑事項(xiàng)具有普遍性，則應(yīng)當(dāng)全面暫停雙方的稅務(wù)信息交換。

　　（二）稅務(wù)信息保密措施的細(xì)節(jié)化

　　CRS框架的另一完善方向乃是使稅務(wù)信息保密措施的基本要求更加具體化、細(xì)節(jié)化。之所以將此作為發(fā)展的主流趨勢，是因?yàn)槎悇?wù)信息泄露的情形難以絕對規(guī)避。在此情形下，稅務(wù)主管當(dāng)局和相關(guān)人員的盡職免責(zé)規(guī)定便顯得尤為重要。在前者完成CRS所明確的保管措施時(shí)，如果仍發(fā)生信息泄露事件，可允許其避免主觀惡意的推定。

　　其實(shí)，早在2006年我國就頒布了《國際稅收情報(bào)交換工作規(guī)程》，以專章的形式對稅收情報(bào)交換過程的保密性作了具體規(guī)定。2010年美國國會頒布《刺激就業(yè)法案》(HIRE Act)，其中第501條至541條的內(nèi)容即為現(xiàn)今的FATCA。隨后，美國國內(nèi)收入局為FATCA的實(shí)施制定了《國際數(shù)據(jù)保障和基礎(chǔ)設(shè)施工作手冊》，規(guī)定了稅務(wù)信息評估、執(zhí)法監(jiān)督、物理存儲的安全性、數(shù)據(jù)傳輸?shù)陌踩缘戎T多細(xì)節(jié)問題。

　　2012年，OECD在其發(fā)布的《稅收信息交換保密指南》中對信息交換的安全保護(hù)細(xì)節(jié)作了更為詳細(xì)的規(guī)定，包括對相關(guān)人員的培訓(xùn)、保密協(xié)議的簽署、相關(guān)場所的出入限制、訪問電子或?qū)嶓w文件的記錄、電子信息的安全存儲等內(nèi)容；同時(shí)還建議監(jiān)管部門對稅務(wù)部門日常信息保密工作進(jìn)行抽查，并在違規(guī)披露事件發(fā)生時(shí)立即開展調(diào)查。

　　2021年1月19日，歐盟數(shù)據(jù)保護(hù)委員會（European Data Protection Board，EDPB）發(fā)布《關(guān)于數(shù)據(jù)泄露通知示例的指南》（征求意見稿），列舉了最為常見的數(shù)據(jù)泄露類型案例，如勒索軟件攻擊、數(shù)據(jù)泄露攻擊，以及設(shè)備和紙質(zhì)文件的丟失或被盜，并對每個(gè)案例提供了處理指導(dǎo)意見。

　　各國（地區(qū)）對稅收保密措施的規(guī)定越詳細(xì)，對納稅人和稅務(wù)主管部門就越有助益。一方面，稅務(wù)主管部門的盡職免責(zé)要求更為具體，不至于在追責(zé)過程中因缺乏具體標(biāo)準(zhǔn)而引發(fā)相關(guān)爭議；另一方面，納稅人的信息保護(hù)措施更為詳盡，其相關(guān)隱私權(quán)的保障也就更加直觀。

　　（三）法律主體承責(zé)方式的明確化

　　在國際稅務(wù)信息交換的過程中，由于成員方稅務(wù)部門的介入，其中的法律關(guān)系更為復(fù)雜。此種背景下，應(yīng)當(dāng)對承責(zé)主體和承責(zé)方式予以明確。

　　在承責(zé)主體方面，稅務(wù)部門作為信息保管人，承擔(dān)相應(yīng)的保密義務(wù)。但在CRS框架下，其他管轄區(qū)的稅務(wù)主管當(dāng)局成為了“共同的”數(shù)據(jù)信息保管人，其是否應(yīng)當(dāng)承擔(dān)連帶責(zé)任，成為納稅人關(guān)注的焦點(diǎn)。本案中，BNRA泄露的信息不僅包含本國納稅人的數(shù)據(jù)信息，還包含美國、加拿大等其他稅收管轄區(qū)的納稅人信息。那么，其他稅收管轄區(qū)的納稅人可否就此提起相關(guān)的救濟(jì)，提起救濟(jì)的對象是本國稅務(wù)部門還是BNRA，以及提起救濟(jì)的方式應(yīng)通過司法途徑還是國際行政救濟(jì)途徑？這些問題都需要進(jìn)一步明確。

　　此外，在具體的承責(zé)方式上還需要對責(zé)任人的處罰形式作出規(guī)定。以行政處罰對稅務(wù)部門的違規(guī)行為進(jìn)行處罰，實(shí)質(zhì)上并不能彌補(bǔ)納稅人的權(quán)利損失。具體而言，稅務(wù)部門的運(yùn)行資金一般來源于中央的財(cái)政撥款，其所承擔(dān)的罰金最終仍為國庫支出，故這種承責(zé)方式并不能對其造成實(shí)質(zhì)影響和約束。同時(shí)稅務(wù)部門負(fù)有征稅職責(zé)，通過行政處罰使其不能正常履行職責(zé)也不符合稅收管轄區(qū)的整體利益。故在此種情形下，如何讓利益受損的納稅人通過對責(zé)任人的處罰填平損失，也是下一步應(yīng)當(dāng)考慮的問題。

　　最后，納稅人遭泄露的稅務(wù)信息不應(yīng)直接作為稅務(wù)機(jī)關(guān)課征稅款的依據(jù)。澳大利亞高等法院確認(rèn)澳大利亞稅務(wù)局（ATO）可以使用數(shù)據(jù)泄露中的信息。加拿大稅務(wù)局（CRA）則表示其不會通過電話與任何受影響的納稅人建立直接聯(lián)系。言下之意便是，CRA不會利用BNRA泄露的稅務(wù)信息作為課稅之依據(jù)。由此觀之，明確跨境交換的稅務(wù)信息，以及通過非正規(guī)程序收集的稅務(wù)信息在稅收征管體系中的定位，是推動納稅人權(quán)益保護(hù)機(jī)制的重要舉措之一。

四、對中國的啟示與思考

　　納稅人信息保護(hù)機(jī)制的構(gòu)建一直是稅務(wù)實(shí)踐中的難題，其核心在于稅收效率與納稅人權(quán)利之間的價(jià)值抉擇。2017年5月9日，國家稅務(wù)總局、財(cái)政部、中國人民銀行等六部門共同發(fā)布《非居民金融賬戶涉稅信息盡職調(diào)查管理辦法》，標(biāo)志著CRS與中國國內(nèi)立法框架正式銜接。在稅務(wù)信息交換的大趨勢下，有關(guān)納稅人信息保護(hù)機(jī)制的思考更應(yīng)得到重視。

　　首先，應(yīng)當(dāng)清晰、有效地構(gòu)建涉稅主體在稅務(wù)信息保護(hù)框架中的法律責(zé)任體系。對于其他組織、自然人侵犯公民稅務(wù)信息權(quán)利的情形，在行政程序中可通過傳統(tǒng)的金錢懲罰和行為懲罰設(shè)定法律責(zé)任，也可在司法程序中通過民事或刑事訴訟界定主體的法律責(zé)任。但是對于稅務(wù)機(jī)關(guān)造成公民稅務(wù)信息權(quán)利受損的情形，傳統(tǒng)的金錢性質(zhì)懲罰和行為性質(zhì)懲罰不足以對其產(chǎn)生足夠的約束，也不能彌補(bǔ)納稅人所遭受的損失。故應(yīng)借助行政訴訟或民事訴訟的救濟(jì)途徑，采用補(bǔ)償、賠償?shù)瘸胸?zé)方式，對納稅人進(jìn)行較為合適的事后救濟(jì)。

　　其次，應(yīng)當(dāng)明確跨境交換的稅務(wù)信息在稅收征管中的法律定位。稅務(wù)信息跨境交換是個(gè)人所得稅反避稅的重要舉措之一。如果將交換的稅務(wù)信息視作課稅依據(jù)，那么稅務(wù)機(jī)關(guān)便可直接據(jù)此調(diào)整納稅人的納稅義務(wù)。若納稅人對上述事項(xiàng)存在爭議，則需要向稅務(wù)征管機(jī)關(guān)提交其他證據(jù)進(jìn)行申訴。如果將交換的稅務(wù)信息視作課稅線索，則稅務(wù)機(jī)關(guān)需要在對此進(jìn)行核實(shí)后，方可調(diào)整納稅人的納稅義務(wù)。二者同樣反映出稅收效率與納稅人權(quán)利之間的價(jià)值抉擇，我國應(yīng)當(dāng)對此問題予以明確。

　　最后，信息匿名化處理或可成為納稅人稅務(wù)信息保護(hù)的新路徑，但這種處理仍需兼顧以下兩個(gè)方面。一是稅務(wù)信息匿名化處理的標(biāo)準(zhǔn)，即對信息處理至何種程度即可認(rèn)為達(dá)到了匿名化標(biāo)準(zhǔn)；二是稅務(wù)信息匿名化對于信息交換的效力影響，即匿名化處理的稅務(wù)信息是否可以協(xié)助稅務(wù)機(jī)關(guān)掌握納稅人在不同稅收管轄區(qū)的資產(chǎn)配置情形。如何在上述兩個(gè)維度均衡各方考量，同樣是未來CRS框架下稅務(wù)信息跨境交換的主要問題之一。

　?。ū疚臑楣?jié)選，原文刊發(fā)于《國際稅收》2021年第5期）