稅務信息跨境交換框架的新趨勢——簡評保加利亞國稅局稅務信息泄露案
楊佩龍(北京大學法學院)
統一報告標準(CRS)是經濟合作與發展組織(OECD)提出的信息交換標準。實施CRS的目的在于打擊跨境逃避稅,以實現稅收公平。截至2021年3月,已有110個稅收管轄區簽署了CRS多邊主管當局間協議。據統計,2019年世界范圍內各國自動交換了8400萬個金融賬戶信息,涉及總資產達10萬億歐元。以CRS框架為代表的稅務信息跨境交換機制儼然已成為各國稅收立法的主流趨勢。而保加利亞國家稅務局(Bulgarian National Revenue Agency,BNRA)稅務信息泄露案的發生,引發了對國際稅務信息交換制度的冷思考。本文擬對BNRA稅務信息泄露案進行分析,以期為我國納稅人信息保護機制的完善提供思路。
一、基本案情及問題提出
2019年7月15日,黑客入侵保加利亞國家稅務局的內部系統,導致510萬保加利亞公民的個人數據外泄。除此之外,BNRA通過CRS系統獲得的其他稅收管轄區納稅人信息也遭泄露。
2019年7月18日,保加利亞個人數據保護委員會(Commission for Personal Data Protection,CPDP)啟動了對BNRA的審查與訴訟程序。2019年8月29日,CPDP認定,BNRA作為信息保管人,通過內部程序處理信息時未采用合理措施,從而導致信息泄露。根據CPDP調查結果,BNRA泄露的信息主要包含公民個體的姓名、個人識別號碼、地址、電話、電子郵件地址、個人年度納稅申報表,以及個人所得稅金額等信息。
2020年2月27日,作為本案的刑事被告之一,TAD集團的負責人伊萬(Ivan Todorov)成功獲得保釋。該事件又再次將本案引入公眾的視野。從案件的特殊性分析,BNRA稅務信息泄露案是歐盟《通用數據保護條例》(General Data Protection Regulation,GDPR)下的首例政府部門信息泄露案件,也是CRS框架下的首例稅務信息泄露案例。通過對本案的分析,可以進一步明確國際稅務信息交換機制中的納稅人信息權地位,厘清納稅人信息權的救濟途徑,為CRS框架提供合理的完善思路。
二、BNRA稅務信息泄露案的處罰決定與分析
本案發生后,CPDP便立即介入調查。作為歐盟的成員國之一,保加利亞按照GDPR對BNRA作出處罰決定。
(一)針對稅務信息泄露案件的處罰決定
2019年8月29日,CPDP依據GDPR第32條第1款(b)項之規定,對BNRA處以罰金510萬列弗。同日,BNRA發布聲明,抗議CPDP的處罰決定,并辯稱,其已針對納稅人信息采取相關保護技術與措施,但仍不可避免地發生了黑客入侵事件,此次案件應遵照《保加利亞共和國刑法》向黑客提起訴訟并由其承擔相應的金錢賠付責任。此外,BNRA還主張CPDP在調查過程中存在程序性瑕疵。
2019年8月30日,OECD針對本案發表相關聲明,明確本次案件的漏洞系BNRA在本土信息保管環節存在違規行為,與CRS的“共同傳輸系統”無關。在BNRA的本土信息保管系統評估合格之前,CRS框架下其他國家(地區)暫停向保加利亞發送稅務信息。值得關注的是,OECD同樣認為無法根本消除國家(地區)內部數據泄露的可能性。
(二)對于處罰決定的分析
對于該案的處罰具有三個較為鮮明的特點。第一,處罰依據是BNRA作為信息保管人未嚴格履行保管義務。GDPR第32條第1款(b)項規定,數據保管人需確保信息處理系統與相關服務的保密性、公正性、有效性以及重新恢復的能力。CPDP對于處罰依據的選擇,同樣體現了其對于CRS中信息保管人范圍的界定傾向。一般而言,稅務主管當局既是稅務信息采集人,也是相關信息的保管人。信息保管人具有妥善保管數據信息的義務。當其未嚴格履行該項義務時,納稅人可通過救濟途徑維護自身權益。
第二,BNRA所受處罰是行政罰款。行政罰款的去向是國庫,這就意味著BNRA并未直接向權利遭受侵害的納稅人進行賠償。此外,作為行政機關,BNRA的運行成本主要源自財政支出。將財政撥款用于繳納罰款,對于政府整體而言,并未達到“金錢填補權利損失”的效果。故為了保證處罰的有效性,是否應當對處罰的方式和罰款的用途進行更為細致的規定,有待進一步討論。
第三,OECD通過聲明的形式告知其他稅收管轄區暫停向BNRA發送稅務信息,這是否會影響BNRA通過CRS框架向其他稅收管轄區發送稅務信息呢?根據《金融賬戶涉稅信息自動交換多邊主管當局間協議》(以下簡稱《協議》)第七章,簽署一方的主管當局可向另一方主管當局發出書面通知,暫停本協議下的信息交換,前提是明確另一方主管當局存在重大違約行為。而且,根據《協議》的規定,稅務信息交換是以雙方自愿為前提。故OECD本身并不具備直接暫停稅務信息交換的權力。因此,OECD的聲明僅起到提醒作用,不能被直接視作對BNRA的處罰。
三、該案對國際稅務信息交換機制的影響
除了BNRA所遭受的處罰外,本案還引發了其他方面的諸多考量。BNRA信息泄露案是CRS框架下首例因稅務主管當局保管不當造成信息泄露的案件。雖然其本身的處理主要集中于國內行政法范圍內,但其對CRS框架的影響無疑是深遠的。
(一)納稅人信息權保護的實質化
當前,大多數稅收管轄區皆對納稅人的權利保護作了相關規定。美國、加拿大、英國、日本等國家以專門的法案或法律性質的文件規定了納稅人基本權利。但在國際稅務信息交換機制下,納稅人信息權存在“被架空”風險。筆者認為,可以從以下兩方面加強納稅人權利的實質化保障。
第一,強化納稅人信息權在國際稅務信息交換機制中的地位。納稅人信息權是近年稅法理論領域中的新興概念。有學者將其定義為“納稅人享有的能對其涉稅信息加以積極控制和保護、不受稅務機關及相關第三方主體等侵犯或濫用的權利”。廣義上的納稅人信息權還包含納稅人信息決定權、納稅人信息更正權、納稅人信息處理知情權等基于信息而產生的各項子權利。而所謂權利保護的實質化,就是考察權利遭受侵害后是否具有暢通的救濟途徑。
以BNRA稅務信息泄露案為例,在信息泄露之后,BNRA通過應用程序向本國稅收居民告知了情況,并在官方網站公布案件處理進展。CPDP也向BNRA處以罰金,以示懲戒。但對于信息權利遭受侵害的納稅人個體,其無法在上述措施中尋求合適的補償救濟途徑。GDPR在其第8章規定了數據信息主體的救濟方式,即可以通過行政途徑或司法途徑保障權利不受侵害。但在本案中,目前并未發現納稅人通過GDPR第82條獲得賠償。其中主要原因是損害結果難以界定和單獨訴訟成本較為高昂。BNRA在其公告中聲稱,在將非法披露的納稅人信息和真實數據庫信息進行比對后,發現非法披露的信息主要對189人造成較大影響,且其將在第一時間聯系相關人員并告知這一風險(risk)。換言之,BNRA并未將信息泄露的風險與GDPR第82條所稱信息主體權益所受的侵害(damage)進行直接關聯。因此,在后續國際稅務信息交換機制完善的過程中,應當對上述問題予以考量,對信息主體的救濟權利予以落實。
第二,提高稅務信息交換暫停機制的有效性。CRS和美國的《海外賬戶稅收遵從法案》(FATCA)都明確了稅收管轄區之間的信息交換機制需建立在雙方都具有妥善的信息保管能力之上。當一方稅務主管當局的信息保管能力出現問題時,另一方可根據協議暫停信息交換。但從實踐層面觀察,由于不同稅收管轄區之間的管轄權獨立,兩者很難進行有效的互相監督。GDPR第21條規定,數據信息主體在不損害公眾利益的前提下,享有反對自身數據被處理的權利。但在實踐中,發現自身信息權利被侵害的主體則難以行使該項權利。故筆者認為,在CRS未來的完善思路中,一方面應認可稅務主管當局之間的監督,另一方面也應尊重納稅人的反對權。在納稅人掌握一定線索的情形下,可以允許其向自身所屬的稅務主管當局提起申請,稅務主管當局再與另一方稅務主管當局進行溝通,并對納稅人存疑事項進行解答。在無法解答或確認另一方的稅務信息保管機制存在紕漏時,可暫停有關該納稅人的稅務信息交換。若存疑事項具有普遍性,則應當全面暫停雙方的稅務信息交換。
(二)稅務信息保密措施的細節化
CRS框架的另一完善方向乃是使稅務信息保密措施的基本要求更加具體化、細節化。之所以將此作為發展的主流趨勢,是因為稅務信息泄露的情形難以絕對規避。在此情形下,稅務主管當局和相關人員的盡職免責規定便顯得尤為重要。在前者完成CRS所明確的保管措施時,如果仍發生信息泄露事件,可允許其避免主觀惡意的推定。
其實,早在2006年我國就頒布了《國際稅收情報交換工作規程》,以專章的形式對稅收情報交換過程的保密性作了具體規定。2010年美國國會頒布《刺激就業法案》(HIRE Act),其中第501條至541條的內容即為現今的FATCA。隨后,美國國內收入局為FATCA的實施制定了《國際數據保障和基礎設施工作手冊》,規定了稅務信息評估、執法監督、物理存儲的安全性、數據傳輸的安全性等諸多細節問題。
2012年,OECD在其發布的《稅收信息交換保密指南》中對信息交換的安全保護細節作了更為詳細的規定,包括對相關人員的培訓、保密協議的簽署、相關場所的出入限制、訪問電子或實體文件的記錄、電子信息的安全存儲等內容;同時還建議監管部門對稅務部門日常信息保密工作進行抽查,并在違規披露事件發生時立即開展調查。
2021年1月19日,歐盟數據保護委員會(European Data Protection Board,EDPB)發布《關于數據泄露通知示例的指南》(征求意見稿),列舉了最為常見的數據泄露類型案例,如勒索軟件攻擊、數據泄露攻擊,以及設備和紙質文件的丟失或被盜,并對每個案例提供了處理指導意見。
各國(地區)對稅收保密措施的規定越詳細,對納稅人和稅務主管部門就越有助益。一方面,稅務主管部門的盡職免責要求更為具體,不至于在追責過程中因缺乏具體標準而引發相關爭議;另一方面,納稅人的信息保護措施更為詳盡,其相關隱私權的保障也就更加直觀。
(三)法律主體承責方式的明確化
在國際稅務信息交換的過程中,由于成員方稅務部門的介入,其中的法律關系更為復雜。此種背景下,應當對承責主體和承責方式予以明確。
在承責主體方面,稅務部門作為信息保管人,承擔相應的保密義務。但在CRS框架下,其他管轄區的稅務主管當局成為了“共同的”數據信息保管人,其是否應當承擔連帶責任,成為納稅人關注的焦點。本案中,BNRA泄露的信息不僅包含本國納稅人的數據信息,還包含美國、加拿大等其他稅收管轄區的納稅人信息。那么,其他稅收管轄區的納稅人可否就此提起相關的救濟,提起救濟的對象是本國稅務部門還是BNRA,以及提起救濟的方式應通過司法途徑還是國際行政救濟途徑?這些問題都需要進一步明確。
此外,在具體的承責方式上還需要對責任人的處罰形式作出規定。以行政處罰對稅務部門的違規行為進行處罰,實質上并不能彌補納稅人的權利損失。具體而言,稅務部門的運行資金一般來源于中央的財政撥款,其所承擔的罰金最終仍為國庫支出,故這種承責方式并不能對其造成實質影響和約束。同時稅務部門負有征稅職責,通過行政處罰使其不能正常履行職責也不符合稅收管轄區的整體利益。故在此種情形下,如何讓利益受損的納稅人通過對責任人的處罰填平損失,也是下一步應當考慮的問題。
最后,納稅人遭泄露的稅務信息不應直接作為稅務機關課征稅款的依據。澳大利亞高等法院確認澳大利亞稅務局(ATO)可以使用數據泄露中的信息。加拿大稅務局(CRA)則表示其不會通過電話與任何受影響的納稅人建立直接聯系。言下之意便是,CRA不會利用BNRA泄露的稅務信息作為課稅之依據。由此觀之,明確跨境交換的稅務信息,以及通過非正規程序收集的稅務信息在稅收征管體系中的定位,是推動納稅人權益保護機制的重要舉措之一。
四、對中國的啟示與思考
納稅人信息保護機制的構建一直是稅務實踐中的難題,其核心在于稅收效率與納稅人權利之間的價值抉擇。2017年5月9日,國家稅務總局、財政部、中國人民銀行等六部門共同發布《非居民金融賬戶涉稅信息盡職調查管理辦法》,標志著CRS與中國國內立法框架正式銜接。在稅務信息交換的大趨勢下,有關納稅人信息保護機制的思考更應得到重視。
首先,應當清晰、有效地構建涉稅主體在稅務信息保護框架中的法律責任體系。對于其他組織、自然人侵犯公民稅務信息權利的情形,在行政程序中可通過傳統的金錢懲罰和行為懲罰設定法律責任,也可在司法程序中通過民事或刑事訴訟界定主體的法律責任。但是對于稅務機關造成公民稅務信息權利受損的情形,傳統的金錢性質懲罰和行為性質懲罰不足以對其產生足夠的約束,也不能彌補納稅人所遭受的損失。故應借助行政訴訟或民事訴訟的救濟途徑,采用補償、賠償等承責方式,對納稅人進行較為合適的事后救濟。
其次,應當明確跨境交換的稅務信息在稅收征管中的法律定位。稅務信息跨境交換是個人所得稅反避稅的重要舉措之一。如果將交換的稅務信息視作課稅依據,那么稅務機關便可直接據此調整納稅人的納稅義務。若納稅人對上述事項存在爭議,則需要向稅務征管機關提交其他證據進行申訴。如果將交換的稅務信息視作課稅線索,則稅務機關需要在對此進行核實后,方可調整納稅人的納稅義務。二者同樣反映出稅收效率與納稅人權利之間的價值抉擇,我國應當對此問題予以明確。
最后,信息匿名化處理或可成為納稅人稅務信息保護的新路徑,但這種處理仍需兼顧以下兩個方面。一是稅務信息匿名化處理的標準,即對信息處理至何種程度即可認為達到了匿名化標準;二是稅務信息匿名化對于信息交換的效力影響,即匿名化處理的稅務信息是否可以協助稅務機關掌握納稅人在不同稅收管轄區的資產配置情形。如何在上述兩個維度均衡各方考量,同樣是未來CRS框架下稅務信息跨境交換的主要問題之一。
(本文為節選,原文刊發于《國際稅收》2021年第5期)
