税收情报自动交换机制的立法完善
——基于纳税人信息保护视角*

何秋霞

（华东政法大学经济法学院，上海 200042）

一、问题的提出

国际税收情报自动交换制度发源于全球一体化背景下反避税、反贪腐、打击跨境犯罪等跨境信息管理的需要。2003年欧盟《利息税指令》（EU Saving Directive）是世界上第一套真正意义上的跨境金融账户涉税信息自动交换制度，但其适用范围较窄，仅限于自然人的储蓄收入。2010年美国的《海外账户税收合规法案》（Foreign Account Tax Compliance Act，以下简称FATCA）采取单边行动模式，要求美国境外的所有金融机构向美国联邦税务局申报美国税收居民持有的金融账户信息。2014年经合组织以FATCA为蓝本，制定了全球金融账户信息自动交换的共同报告标准（Common Reporting Standard，以下简称CRS），税务情报自动交换机制得到更广泛的运行。

国际税收情报自动交换制度通过不同税收管辖区之间高效、全面的信息交流，促使隐藏资本浮出表面，帮助税务当局快速、准确地确定纳税居民的税务责任，打击跨境逃税行为。同时，相比于依请求交换的专项情报交换形式，信息自动交换的模式大幅提高了信息交换效率，信息内容也更为全面，有效降低执法成本。［1］

跨境税收情报自动交换制度对我国亦有着重要意义。但是，我国在税收情报自动交换领域却进展迟缓，截至目前仅与10个国家签订有税收情报交换协定，且所采取的皆为专项情报交换模式，［2］与信息自动交换无涉。2014年我国与美国初步达成以IGA 1a双边互换模式签订FATCA的实质性协议，我国为开展双边互换一直在积极准备，截至2021年年11月底，按照FATCA的要求注册取得全球机构申报号码的中国金融机构已达3014家［3］，但双边税务信息交换却迟迟未开展。

我国在税收情报自动交换领域取得的真正突破性进展当属2013—2015年期间加入的CRS框架：2013年我国签署《多边税收征管互助公约》（以下简称《公约》），并于2014年承诺实施CRS，于2015年签署《金融账户涉税信息自动交换多边主管当局间协议》（Multilateral competent Authority Agreement On Automatic Exchange Of Financial Account Information，以下简称MCAA），真正拥有了金融账户涉税信息自动交换操作层面的多边法律工具。［4］

总体来看，我国的税收情报自动交换工作呈现出被“裹挟”的追随者［5］的特点，在实施CRS前未能自行与境外达成有效的税收情报自动交换合作，而是借助税收情报合作向国际化延伸的大势，乘势进入信息自动交换的大阵营。

反思其中缘由，我国纳税人信息保护的严重缺位难辞其咎。纳税人敏感信息的大批量交换对信息安全产生的现实威胁要求信息交换方应当具备强有力的信息安全保障机制以保证纳税人的合法权益，但是我国此前长期欠缺纳税人信息保护意识，在纳税人信息保护领域留存较多立法空白，在此背景下，高保护力度地区对于将纳税人敏感信息自动交换给我国无疑将存有信息保护方面的顾虑，而致与我国开展税务信息自动交换的合作意愿不高。

当前，为回应税收情报国际协作对纳税人信息保护的现实需要，贯彻落实我国健全个人信息保护立法的内在要求，通过加强纳税人信息保护以完善我国的税收情报自动交换机制，应成为当前包括《中华人民共和国税收征收管理法》（简称《税收征管法》）在内的一系列法律法规的修订、制定等工作的一项重点内容。

二、税收情报自动交换中的纳税人信息安全隐患

随着信息自动交换参与国以及数据体量的不断增加，更多的纳税人数据被大批量地快速传输，更多的主管当局及个人能够接触到纳税人隐私数据，客观上增加了纳税人信息安全隐患。

1.信息泄露问题。存储系统受到恶意攻击、存储机关过失乃至故意泄露等都可能导致敏感信息的泄露。此类案件在实践中屡见不鲜：2015年美国联邦税务局官网近72万人的纳税数据遭窃，［6］2019年保加利亚税收征管系统遭黑客攻击导致近510万纳税人信息泄露，［7］2021年美国数千名富人长达15年的联邦税务文件被泄露给媒体［8］等。在国际范围的信息交换之中，某个信息接受国的信息保管不善，牵扯面更将扩至国际。

2.信息不当使用问题。由于缔约国国内立法的差异，信息提供国国内立法不允许接触信息的个人或当局，在信息接受国就可能被允许访问、使用信息——各国涉税当局可能是许多不同的行政机构。其次，信息一经交换，可能无法保证信息被依约使用，甚至可能被滥用作为政治工具制裁公民，侵犯人权。［9］

3.信息错误问题。如果信息提供国错误地处理并传输了信息，无辜纳税人可能受到另一国家的不当处罚。在提供国的国家公信力面前，纳税人显然还面临抗辩的困难。在Aloe Vera of America Incorporated v.United States案中，美国调查员在填表时明知没有估计具体金额的确切依据，但由于上级“必须列出数字”的要求，无依据地填报了约3200万美元的未报告收入。相关错误信息被交换到日本后又被日本税务当局泄露给媒体，对纳税人的声誉和经营造成了恶劣影响。［10］

总而言之，在信息交换内容、交换国皆不断增加的多边信息自动交换体制之中，纳税人所面临的信息泄露、信息被不当使用、信息被错误处理等问题愈加突出，这些严重的信息安全问题波及面广，危害性强，为此，加强纳税人的信息安全保护尤显重要。

三、纳税人信息权与税收征管有效性的平衡

纳税人的信息安全保护应当贯彻信息的收集、交换、存储、事后救济等各个阶段。具言之，第一，信息情报的收集应合理适度，以满足税收征管之必要限度为限；第二，纳税人应享有一定知情权，对信息的收集与处理有权被告知；第三，纳税人应享有一定参与权，有权陈述、抗辩，对自身涉税信息主张“更正、补充与删除”［11］；第四，纳税人应享有信息保密权，有权要求信息受到严格保密、信息的用途受到严格限制；第五，纳税人有权对信息保护的失败主张救济，获得赔偿等。

然而，纳税人知情权、参与权等权利的实现可能需要牺牲一定的税收征管效率。知情权是纳税人行使后续权利的前提，但信息的提前告知可能会导致问题纳税人提前采取应对行动，参与权也可能被滥用以拖延税收信息的交换，从而影响纳税监管效果。对此冲突，各国立法抉择亦存在显著差异，部分国家侧重于纳税人权利保护，尽可能满足纳税人知情及参与的诉求，但也因此受到相反态度持有者的批判，反之亦然。［12］

应当看到，税收征管效率及纳税人信息权利具有不可偏废的价值，此二者的考量重点在于平衡税收征管所要达到的目的与因之牺牲的纳税人权利之间的比例关系［13］。为此，税收情报自动交换机制的设计应符合比例原则，尽力在保障税收情报有效交换的同时实现对纳税人最小侵害的目标。

交换机制的设计应以优先保护纳税人权利为原则，但当存在对特定纳税人之权益是否值得保护的合理怀疑时，应当例外地优先考虑税收征管手段的有效性。理由在于，国家的征税权天生伴随对个人隐私的“侵入”，因满足了更广泛的公共利益的需要而具备合法性，但要具备合理性还需满足“最少侵犯”的条件。在纳税人信息的无差别交换之中，所牵涉的不仅是恶意隐瞒资产者的违法事实，也关乎无辜纳税人的合法权益。而在如此大体量的信息交换过程中，信息安全问题更显重要。因此，征税权之合理性所必须的“最少侵犯”原则要求纳税人理应享有必要的知情权与参与权。但同时，为避免恶意纳税人借此逃脱惩罚，这些权利亦应受到限制，立法上应明确规定知情权与参与权的例外情形，以实现公共利益与个人利益的平衡，具体路径将于下文详述。

四、CRS框架下的纳税人信息权利保护

梳理《公约》及MCAA对纳税人信息权利保护的有关规定可以发现，两份文件总体上强调了对纳税人信息的保密和安全性的要求，树立了保护纳税人信息权利的原则。

首先，《公约》在序言部分即明确要求各国应对纳税人信息保密，并在第22条要求情报获得方将接收的情报视同国内取得并给予同等保护。对于通过公约取得的信息，第31条规定即使缔约方退出公约也仍受公约保密条款约束。其次，对信息的收集和使用作出限制，《公约》第21条排除了“可能泄露贸易、经营、工业、商业、专业秘密或交易过程……或一旦泄露可能违反公共秩序（公法）的情报”的交换，并通过第22条要求信息只能用于税收目的、能够接触并使用信息的机关也仅限于税收职能人员或机构，仅在“情报提供方法律允许，且提供方主管当局也授权”的情况下，情报获得方可将所获情报用于其他目的。并且，经情报提供方事先授权，情报获得方才可将获得的情报传送给第三方。

MCAA为保障《公约》的具体实施，在序言部分对督促缔约国健全配套机制、完善国内立法等方面作出了进一步的规定，并通过第五章再次强调信息保密、用途限定、信息保护的要求。同时，MCAA在第四章规定了信息存在错误或不完整、报送出现重大不合规时的处理要求，并在第七章明确了一方主管当局违约时，另一方可以书面通知暂停信息交换的违约后果。此外，MCAA还设立了协调机构秘书处以执行信息交换工作中的双边及多边协调和对信息保护的监督工作。

但是，《公约》及MCAA对纳税人的信息权利保护力度仍属偏弱。其一，就广度而言，两份文件并未全面覆盖纳税人信息保护的要求，对纳税人的程序性权利缺乏足够的保障，例如公约第6条即把税收情报的自动交换程序留给缔约方相互协商确定，事实上，对于重要的程序性权利即纳税人知情权，有所规定的专项情报交换和自发情报交换制度中也仅是“可以”通知，而非“应当”通知；其二，就深度而言，《公约》及MCAA的多数规定停留在框架性、原则性层面，缺乏更为具体明确的要求或是限制，为缔约国的国内立法留下了较大的回旋余地，尤其是在涉及纳税人权利保护的关键性问题上，《公约》及MCAA仅规定根据情报接受国的国内立法确定，例如重要的情报保密级别问题，《公约》第22条规定由接受国视同通过根据其本国法获得的情报予以同等保密，而各国对税收情报保密的重视程度显然有着极大差别，这一规定事实上削弱了《公约》对纳税人信息的保护力度。

五、税收情报自动交换中纳税人信息保护的国内立法

（一）《税收征管法》及《税收征管法实施细则》

我国现行《税收征管法》（2015年）及《税收征管法实施细则》（2016年）初步确立了纳税人的一定程序权利，包括知情权、保密权、陈述权、申辩权、申请行政复议、提起行政诉讼、请求国家赔偿等权利。但是，这两部法律法规对前述权利的规定仍属于初步确立权利的原则性立法，规定较为粗糙，对纳税人权利的具体行使以及必要的限制皆缺乏操作层面的细致规定。

1.跨境信息交换知情权保障不足。《税收征管法》第八条规定纳税人有权了解税收法规和纳税程序有关情况，国税总局《纳税人权利与义务公告》进一步释明纳税人有权了解现行税收法律法规、政策规定，办税流程及必要资料，税务行政处理的法律、事实依据及计算方法、可以采取的纠纷救济途径及相关条件［14］。从中可见，《税收征管法》第八条确立的纳税人知情权范围基本局限于国内税收征管事务，但对于包括信息收集、处理及交换等在内的跨境税收情报交换程序中的纳税人知情权则缺乏必要规制。

2.保密权保障不足。《税收征管法》第八条规定纳税人有权要求税务机关对其情况保密，税务机关应当依法保密。《税收征管法实施细则》第五条进一步明确，前款所述保密的范围限于纳税人的商业秘密及个人隐私，即“技术信息、经营信息以及纳税人、主要投资人以及经营者不愿公开的个人事项”。普遍而言，收入、存款等可以认为是不愿公开的个人事项，因此税收情报交换所涉及的纳税人金融账户信息可以作为个人隐私得到纳税机关的依法保密。但是，违反保密义务的后果显著缺乏威慑力。根据《税收征管法》第八十七条的规定，未按照该法规定履行保密义务的，直接负责的主管人员和其他直接责任人员仅由所在单位或者有关单位依法给予行政处分，又据《税收征管法实施细则》第六条规定，下级税务机关的税收违法行为由上级税收机关及时予以纠正。可见在《税收征管法》的框架之下，违反保密义务的行政人员只需承担行政处分，同时，由于《税收征管法》未直接规定赔偿事宜，若纳税人主张赔偿，仍需单独提起国家赔偿诉讼。这样的规定一方面难以与信息泄漏给纳税人造成的损害后果相适应，另一方面也难以起到足够的震慑效果。同时，保密义务主体欠全面。在《税收征管法》框架下，纳税人信息的保密义务主体只有税务机关及相关行政人员，对于直接掌握大量纳税人隐私信息的金融机构却缺乏必要的限制，鉴于金融机构数量之多、持有的纳税人信息之全面，即使金融业内部存在信息保密的要求，税收征管领域亦应对其作出应有限制，以保障更为主动、有效的监管。

3.陈述与申辩权适用阶段有限。《税收征管法》第八条规定纳税人对税务机关作出的决定享有陈述权、申辩权，结合《纳税人权利与义务公告》的释明所体现的涵义，前述陈述与申辩权仅适用于税务机关作出的行政处罚，那么具体到税收情报自动交换体制之中，由于不涉及行政处罚，则在《税收征管法》体系下纳税人将不具备必要的陈述与申辩权，如此显然存在保障缺口。

4.纳税人信息用途缺乏必要限制。纳税人信息用途的限制在《税收征管法》体系下仅见于第五十四条第六款的规定，即税务机关调查税收违法案件时经批准可以查询有关人员的储蓄存款，查询所获得的资料不得用于税收以外的用途。除此之外未有限制纳税人信息使用目的的其他规定。由此可知，在税务情报自动交换的场合，《税收征管法》体系对纳税人信息用途以及有权接触、使用机关的限制是缺失的。

（二）相关行政规章

目前，我国税收情报自动交换工作主要通过《非居民金融账户涉税信息尽职调查管理办法》（以下简称《尽职调查管理办法》）及其《尽职调查细则》（2017年），以及《国际税收情报交换工作规程》（2006年）（以下简称《工作规程》）等行政规章进行规制。暂且不论《税收征管法》暂无规定的情况下，前述行政规章对税收情报自动交换工作的规定是否具备足够的正当性，单论这些文件的内容规定本身，亦不足以形成对纳税人信息权利的有效保障。

1.跨境信息交换知情权保障不足的问题依然存在。《尽职调查管理办法》仅要求金融机构说明“需履行的信息收集和报送义务”，金融机构是仅告知收集和报送本身，抑或一并告知信息内容以及相应救济权利。条款的语焉不详给实际操作留下了逃避通知义务的空间。《工作规程》第二十七条规定税务机关“可以”将收集情报的目的、情报的来源和内容告知纳税人，并明确了告知会影响案件调查、缔约国声明不得告知的两类不得告知的例外。该条规定相对具体，并且考虑了不得通知的例外，值得肯定，但在该条款“可以”告知的用语下，通知程序却成了税务机关的权利而非义务。

2.情报接触主体过多，超过税收用途的授权亦不符合CRS框架要求。据《尽职调查管理办法》第三十一条的规定，金融机构可以委托基金管理公司、信托公司等第三方参与调查，履行调查程序，又据《尽职调查管理办法》第四十二条、《工作规程》第二十九条的规定，国家税务总局与有关金融主管部门建立涉税信息共享机制，经国税总局批准，国家审计部门、纪律检查部门、反金融犯罪部门也可以获得相关税收情报。一方面，信息可接触机构越多，信息安全的风险越大。并且，允许金融机构委托第三方调查的安排也存在第三方工作是否足够规范的问题，尽管金融机构需对此承担责任，但首先在委托过程中金融机构对第三方的操作几乎不可控，信息安全风险客观上提高，其次在发生信息安全问题之后再承担责任对纳税人而言无异于亡羊补牢，更何况金融机构需承担的责任未必与造成的损失相称。另一方面，在前述规章体系之下，税收情报超出税收目的的使用经过国内立法、国内税务机关的准许即实现了正当化，但根据《公约》的规定，情报取得方要将情报用于其他目的，除情报接收国国内法律允许外，还应经过情报提供方主管当局的授权，前述规定显然不符合《公约》的要求。

3.违反保密义务的责任同样偏轻，《工作规程》对税务机关仅确立了“通报批评”的处罚，《尽职调查管理办法》对金融机构也仅规定了“责令改正”和“记录纳税信用评价”的违规后果，责任不可谓不轻。

4.纳税人救济性权利缺失。前述文件均未确立纳税人陈述、申辩、纠正错误信息的权利，亦无突发事件应对措施的规定，而这些救济性权利对于避免损失或是及时止损显然都十分重要。

总而言之，我国现行税收征管法律体系对于纳税人的信息安全尚未形成全面、有力的保障，尤其是现行《税收征管法》在国际税收征管协作领域规制缺位的问题突出。为此，有必要借《税收征管法》修订的契机，填补在国际税务协作领域的立法空白，完善税收情报自动交换体制下的纳税人信息保护。

六、我国税收情报自动交换中纳税人信息保护制度的立法完善

2015年国务院发布的《税收征管法修订草案（征求意见稿）》中主要有三项内容关涉税收情报自动交换机制：其一，增设自然人的纳税人识别号制度（第八条）；其二，新增“信息披露”章，明确纳税人及有关第三方提交涉税信息的法律义务（第三十条）、银行等金融机构向税务机关提供账户持有人相关账户信息的义务（第三十二条）以及前述提供义务方未报送涉税信息的法律责任（第九十四条第六款、第一百一十一条）。其三，规定通过国际税收情报交换机制取得的信息经审核可作为确定纳税责任的依据，并由纳税人承担异议举证责任（第一百三十一条）。但以上修订尚不足以完善我国税收情报自动交换机制。［15］尽管《公约》及MCAA对纳税人信息权利的保障尚有不足，但即使如此我国亦尚未满足其要求。因此，一方面，我国需继续落实《公约》及MCAA的有关要求，确保符合高效交换、数据安全的基本标准。另一方面，考虑到《公约》及MCAA信息权利保护的欠缺，我国可参考国际上更为全面、先进的个人信息保护立法，例如欧盟《一般数据保护条例》（General Data Protection Regulation，即GDPR）等，结合我国国情，切实有效地完善立法。

1.设立税收征管国际协作专章。目前我国《税收征管法》的规定主要集中于国内税收征管，在国际税收情报合作上存有大片立法空白，局部修订难以支撑税收情报自动交换的制度所需［16］，宜在《税收征管法》中专章纳入国际税收征管协作内容，以“国际税收征管协助”命名，［17］以情报交换国际合作作为立法内容的一部分。

2.明确信息保护基本原则。基本原则的确立有利于明确信息保护的基本方向，在具体法律规范尚不能满足实践需要时提供正确的方向指引。在我国纳税人信息保护的起步阶段，确立基本原则具有突出必要性。GDPR第5条确立了数据收集、存储、处理的“目的限制”“数据最小化”“数据准确性”“存储限制”“保密性”以及“问责制”原则。结合《中华人民共和国个人信息保护法》及税收情报有关部门规章，可以发现前述原则的精神内涵在我国立法文件中都有所体现，故可认为，将前述原则纳入我国《税收征管法》具备立法实践上的可行性。因此，《税收征管法》的修订可以考虑在总则章吸收前述数据保护原则。

3.限定信息用途及使用机关。如前所述，目前我国有关部门规章中存在允许超税收目的使用税收情报的规定，根据《公约》的要求，规范的超税收目的使用情报尚需情报提供国的授权，对此《税收征管法》可作出补充，规范授权。此外，对于我国提供给他国的情报，也应明确限定用途和限定接触机关，对禁止适用领域作出明文禁止。

4.加强信息安全保障。首先，明确税收情报保密级别及相应的保密要求、存储期限，确保个人数据的存储不超过必要时间。其次，明确信息安全责任主体，至少应包括税务机关、金融机构及经授权取得税收情报的其他行政机关。此外，合理提高信息保护失败的责任。对于行政保密主体可以参考我国《行政处罚法》第八十一条的规定，要求行政保密主体对造成的损失依法予以赔偿，对直接负责的主管人员和其他直接责任人员依法给予处分；情节严重构成犯罪的，依法追究刑事责任。对于金融机构，其一，应当要求其赔偿损失；其二，扩大税务机关的处罚权，增加罚款内容；其三，明确规定对于金融机构的严重违规行为，有关金融主管部门应当依法作出处罚。同时，明确信息泄露时的补救责任，要求责任主体尽快采取措施，尽可能消除影响、减轻伤害。对此可参考GDPR第33条的规定，要求责任主体在发生信息泄露时及时向主管部门报告，报告的内容应包括泄露信息的性质、可能后果、已经采用或计划采用的措施。此外，GDPR在此方面还提出了“数据保护官”的概念，数据保护官适当、及时地参与有关个人数据保护的所有事宜，承担通知、建议、监督、配合监管、与数据主体联系等任务。鉴于我国在信息保护领域尚属稚嫩，行政机关在处理信息保护工作方面缺少足够经验，我国亦可借鉴“数据保护官”制度理念，设置数据保护专员，由具备数据保护专门知识和技能的专业人员担任，对税务机关的信息保护工作提供指导、充分监督。为保证其充分履职，数据保护专员的岗位设置应具备足够的权威与独立性。

5.加强纳税人知情权保障。首先，宜将《国际税收情报交换工作规程》第二十七条规定的税务机关“可以”通知修改为“应当”通知，并在《税收征管法》中予以明确。其次，《税收征管法》宜明确纳税人对于跨境税收情报交换程序的知情权，具体包括信息的收集及其内容、信息的交换及其内容、信息接收国家、信息用途及使用机关（当信息用途改变时同样需要在信息被进一步处理之前通知纳税人用途的扩张）、信息的储存期限、信息的泄露及应对措施、主张救济的途径，等等。同时，应当明确纳税人知情权的例外，如果需要传输的信息性质非常紧急或者存在合理怀疑认为事先告知将妨碍调查处理时，不应将信息告知纳税人。［18］为防范纳税人可能转移财产行为，在履行通知程序之后可加强金融账户监管，可以规定合理期限、一定额度的金融账户交易限制，对被通知后纳税人金融账户的异动及时上报。

6.加强纳税人参与权保障。首先，建议《税收征管法》扩大纳税人陈述、申辩权的适用阶段，赋予纳税人在整个税收情报的收集和交换过程中依法接受通知后针对通知内容提出陈述、申辩的权利。由于陈述、申辩权建立在被允许通知的初步信任之上，因此纳税人的申诉应产生中止信息交换的效力，但为防止纳税人借此拖延时间逃脱监管，应规定较短期限的审查期限，并将审查内容限于以排除数据的无依据填报、计算错误、书写错误、翻译错误等低级错误为主的初步审查，初步审查无误后继续交换，同时明确规定我国的初步审查结果不能作为接受国未经实质调查即作处罚的依据。其次，建议《税收征管法》增加纳税人更正、补充信息的权利。对于被通知的信息，若内容存在错误或者不完整，纳税人有权申请更正、补充相关数据。此外，建议增加纳税人删除信息的权利。具体而言，被收集的涉税信息到达既定储存期限、与公共利益不再相关后应被删除。删除的权利在GDPR框架下表现为清除效果更为彻底的“被遗忘权”，但鉴于其与公民知情权、公共利益等冲突之大、对技术、成本要求之高，在我国暂无推广的可行性，但GDPR第十九条规定的通知责任在我国仍有推行的可能，参考该条规定，税务机关应将删除处理告知接受信息披露的每个接收者，无法告知或者告知成本过高的除外。