查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《法学》
税收情报自动交换中的个人数据保护问题
【作者】 彭岳【作者单位】 南京大学法学院
【分类】 税收法
【中文关键词】 税收情报自动交换;个人数据保护;“隐私盾”总协议;体制冲突
【期刊年份】 2018年【期号】 1
【页码】 156
【摘要】

随着税收情报自动交换成为新的国际通例,纳税人个人数据的保护问题正凸显其重要性。当前的税收情报自动交换存在两类国际体制,一类以美国的《海外账户税收合规法案》为代表,具有单边主义特征,另一类以《多边税收征管互助公约》为代表,具有多边主义特征,无论是哪一类税收情报自动交换体制,均存在欧盟国家依据欧洲个人数据保护法而拒绝提供纳税人信息的可能性。为了促进跨境个人数据的流动,美欧签署了“隐私盾”总协议,在一定程度上规避了欧洲法的强制性要求,而中国除了被动遵守欧盟国家关于个人数据保护法的相关规定外,尚无良策。面对此境况,中国可考虑制定一部综合性的个人数据保护法,在提高个人数据保护水准的同时,为发展跨境大数据经济确立稳定的法律框架。

【全文】法宝引证码CLI.A.1235633    
  一、问题的缘起
  税收情报交换为一国税收当局执行税收协定及国内税法提供了不可或缺的数据支持和事实依据。在各国竞相加入税收竞争、经济高度全球化和信息技术快速发展的多重作用下,各国高净额财产所有人利用离岸金融中心逃税,跨国公司采取激进税收筹划降低税负等已成普遍现象。为应对日渐突出的双重不征税问题,2008年国际金融危机爆发之前,国际社会大多将关注点集中在扩大情报交换范围、提高情报交换有效性等事项上。[1]2008年国际金融危机爆发之后,欧美发达国家的财政普遍趋紧,LGT银行丑闻及其所引发的连锁反应更加彰显了打击国际逃避税、促进税负公平的必要性。[2]
  为了强化国际税收行政合作,改组后的二十国集团(G20)领导人于2009年伦敦峰会上发表声明,宣称“银行拥有保密权的时代已经结束”[3],并针对OECD发布的对84个国家和地区实施国际公认税务标准的调查评价清单,明确提出对不合作的国家和地区(包括“避税天堂”)采取一致行动。[4]
  2010年,美国国会通过了具有域外管辖效力的《海外账户税收合规法案》(FATCA),通过对源于美国的支付威胁征收30%预提税的方式要求外国金融机构向美国国税局(IRS)提供美国人账户信息,并要求某些非金融外国实体向预提机构提供实际美国所有人(substantial U.S. owners)的信息。[5]截至2014年7月1日,全球共有超过80000家外国金融机构在美国国税局注册,表示愿意根据FATCA的要求向美国国税局提供情报;全球共有近百个国家或已与美国签订协定,或正在与美国积极磋商签订协定,以便在政府与政府层面通过自动情报交换实施FATCA。[6]
  与此同时,在国际多边层面,G20也在不断推进税收情报交换工作,重申加强税收透明度和全面情报交换的承诺。在2012年洛斯卡洛斯峰会宣言中,G20对全球税收论坛所报告的进展表示肯定,欢迎OECD关于自动情报交换的实践报告,并鼓励所有辖区签署《多边税收征管互助公约》(以下简称《公约》)。[7]其后,2013年的圣彼得堡峰会声明、2014年的布里斯班峰会宣言、2015年的安塔利亚峰会公报均将实施自动情报交换标准作为核心的国际税收议题。2016年G20杭州峰会公报呼吁所有尚未承诺采纳税收情报自动交换标准的相关国家(包括所有金融中心和辖区)尽快作出承诺,最迟于2018年前实施自动情报交换标准,签署并批准《公约》。[8]
  在各类单边主义和多边主义措施的合力推动下,税收自动情报交换已经成为新的国际通例。与专项情报交换[9]不同的是,税收自动情报交换指的是税收主管机关之间根据约定,以批量形式自动提供有关纳税人取得专项收入的情报。随着大规模纳税人的敏感信息被收集、整理、归类和传递,如何保护这类人的数据不被滥用和误用,在税收主管机关获取情报与个人数据保护之间维持平衡,便具有了重要的制度价值和实践意义。
  在单一国内法体系的语境下,一国如何保护纳税人个人数据涉及多方面的价值评判和利益考量,由此产生了不同的法律制度设计。尽管各国关于纳税人个人数据保护的具体规定存在形式和内容上的差异,但有一个共识是确定的,即相关法律制度应以保证税收的“有效性”(efficient)为目标。这种有效性体现在两个层面:(1)效率(efficiency)层面,即相关法律规则和政策应当有助于降低纳税人的遵守成本,并便利税收主管机关的管理和执行。⑵公平(fairness)层面,即相关法律规则和政策应尊重纳税人的基本权利,特别是纳税人的隐私权。[10]一旦法律制度确立,纳税人的个人数据保护就被确定在某一相对稳定的水准之上。
  然而,在跨境情报交换的语境下,存在于一国国内法体系下的这种平衡被打破了,异于本国法律体系的外部规范可分别通过国际法和国内法域外管辖机制对现有的纳税人保护制度提出额外要求。就国际法机制而言,相关国际税收多边公约、双边税收协定中的个人数据保护条款对缔约国具有法律拘束力;就国内法域外管辖机制而言,税收情报提供国可对情报接收国的个人数据保护水准提出要求,否则,将拒绝提供相关的税收情报。是故,随着税收情报自动交换成为国际通例,如何协调税收情报提供国与情报接收国之间个人数据保护的法律制度及履行一国在国际条约项下的个人数据保护义务便成为当前亟待解决的重要问题。
  作为G20的重要成员,中国一直表示支持OECD有关税收情报自动交换议题下的各项倡议,并从多边与双边层面搭建基本的法律框架。在多边层面,2013年8月27日中国正式签署了《公约》[11],2015年12月17日中国签署了《金融账户涉税信息自动交换之多边政府间协议》(Multilateral Competent Authority Agreementon Automatic Exchange of Financial Account Information,以下简称MCAA),承诺以《通用报告准则》(Common Reporting Standard,以下简称CRS)为标准进行金融账户自动情报交换;[12]在双边层面,2014年6月中国与美国就政府间协议(IGA)中的实质性内容达成一致,两国将采取“IGA 1”模式进行互惠式税收情报自动交换。[13]在此法律框架下,为了促进自动情报交换的顺利进行,当前的主要任务便落在了梳理国际法和情报提供国国内法对于个人数据保护的要求,界定满足要求的路径以及作出法律应对上。
  二、自动情报交换国际条约对个人数据保护的要求
  本文所指的自动情报交换国际条约是一个特定的集合概念,包括中国签署、批准、接受或加入的对中国具有法律拘束力的所有涉及自动情报交换事项的条约。据统计,截至2017年1月1日,中国已与102个国家或地区签署了避免双重征税协定,与10个国家或地区签署了税收情报交换协定。[14]虽然这些协定均含有税收情报交换条款或专门规定税收情报交换事项,但是相关内容仅限于应请求的交换,与自动情报交换无直接关联。所以,目前真正涉及到自动情报交换事项并对中国生效的条约是《公约》及与之配套的MCAA。[15]
  (一)《公约》关于个人数据保护的规定
  《公约》最初由欧洲委员会和OECD于1988年联合公布,向本组织成员开放签署。为回应2009年G20伦敦峰会的呼吁,修订后的《公约》与国际情报交换实践保持了一致,并于2011年6月1日向所有国家开放。《公约》第1条将征管协助分为三项:(1)情报交换,包括同期税务检查及参与境外税务检查。(2)追索协助,包括保全措施。(3)文书送达。[16]就情报交换问题,《公约》第6条将自动情报交换界定为“两个或两个以上的缔约方根据相互协商所确定的程序自动交换涉及不同种类案件的情报”,该情报所涉税种应在《公约》涵盖的范围内,并且与缔约方运用或实施相关国内法有可预见的相关性。
  对于税收情报交换下的个人数据保护问题,《公约》序言及第22条皆有明确的规定。首先,序言从保护纳税人合法权益的角度论及个人数据问题。《公约》指出,国际合作可在合理确定纳税义务、帮助纳税人保障其权利方面发挥重要的促进作用;缔约方应当承认,个人权利和义务由适当法律程序确定的基本原则同样适用于税收事项,各国应当努力保护纳税人的合法权益,包括合理防止出现歧视或双重征税。因此,缔约国在采取相关措施或提供情报时,应当虑及情报保密的必要性,并参考与保护个人隐私及个人数据传递相关的国际法律文件。法小宝
  其次,《公约》第22条就保密何题作出了专门规定。该条共有四款,第1款是整条的核心,第2款至第4款旨在限制税收情报的使用目的。根据第1款,缔约一方在《公约》项下所获得的任何情报均应视同通过其国内法获得的情报予以保密,并且为确保个人数据保护的必要水准,提供情报的缔约方可依据本国法提出特别要求,获得情报的缔约方应采取措施执行此类保障措施。
  从法律强制性角度言,序言采取了倡导性的“应当(should)”一词,表明当缔约国采取措施或提供情报时,并没有条约法项下的义务来参考关于保护个人隐私及个人数据传递的国际法律文件。但是,该表述也相当于授予了情报提供国一项权利,即相关国家有权参考相关国际法律文件,在提供情报时,要求情报接收国施加保护个人隐私或保护个人数据等要求。不仅如此,作为条约的序言,即使相关表述并无法律强制力,依然可构成解释具体条款的上下文,影响到条约的实施。[17]与序言不同的是,第22条所规定的义务是强制性的,这意味着,除依据本国国内法保护个人数据外,获得情报的缔约方还应对提供情报的缔约方的要求作出回应,并提供额外的保护。
  由上可知,就如何保护个人数据,《公约》确立了三个重要的法律渊源,其中两个渊源是强制性的,为情报交换各方的国内法;另一个渊源是倡导性的,为“保护个人隐私及个人数据传递相关的国际法律文件”。在《公约》的法律框架下,获得情报的缔约国依据本国国内法,参照国际法律文件保护个人数据不会对本国个人数据保护法律造成重大冲击,[18]但是,在国内执行情报提供国的特别要求时可能会引发制度冲突。
  (二)MCAA关于个人数据保护的规定
  MCAA是实施《公约》的配套协议。根据《公约》第6条,两个或两个以上的缔约方应根据相互协商所确定的程序自动交换情报。通过签署多边而非双边政府间协议,中国政府可与其他签署MCAA的政府根据CRS自动交换税收情报。就个人数据保护事项,MCAA第5条和第7条有详细的规定。OECD范本释义指出,纳税人信息保密问题是税收体系的基石,第5条和第7条的规定有助于明确如何实施保密和数据保障措施。[19]其中,第5条(保密与数据保障)规定了个人数据保护的总体法律框架,第7条(协议条款)规定了实施保护的具体方法。MCAA第5条包含两款,其中第1款重申,根据MCAA进行的情报自动交换应当符合《公约》关于保密条款和其他保证措施的规定,包括诸如限制被交换情报的用途,以及确保个人数据保护的必要水准等。与《公约》第6条的规定有所不同,MCAA第5条第1款规定,提供情报一方依据本国法所提出的具体保障措施应列举在MCCA附件C之中。MCAA第5条第2款就缔约方违反第1款的行为作出安排,即主管当局应立即通知协调机构秘书处,包括违反保密或实施保障措施的情况,以及任何与之相关的处罚或救济措施等。秘书处在收到此类通知后,应立即通知与报告主管当局存在有效协议关系的其他主管当局。MCAA第7条第1款规定了政府间协议生效的时间,以及主管当局应向协调机构秘书处通告的法律事项。其中,与个人数据保护有关的内容有:(1)作为提供情报的一方,界定旨在保护个人数据的保障措施,并列举在附件C之中。(2)作为获取情报的一方,说明拥有充足的措施来确保要求的保密性以及满足数据保障措施标准,并将完成的保密和数据保障措施调查表附在附件D之中。第7条第3款进一步规定,如果某一主管当局认为另一主管当局严重违反本协议的规定,前者可通知后者中止协议项下的情报交换,其中的严重违反包括但不限于违反协议中的保密和数据保证条款。
  中国政府已经加入了《公约》并签署了MCAA,上述关于个人数据保护的规定适用于中国与其他缔约国之间的自动情报交换。对于通过自动情报交换所获取的情报,中国税务主管机关除了根据本国法的相关规定对纳税人个人数据实施保护外,还应该遵守和执行提供情报的一方在MCAA附件C中所特别列举的保障措施。否则,该提供情报的缔约方可依据MCAA第7条第3款的规定中止情报交换。
  三、高保护水准国家的法律对跨境个人数据保护的要求
  《公约》和MCAA就如何保护个人数据并没有规定强制性的国际实体义务,而是留由缔约国的国内法加以确定。根据《公约》第22条和MCAA第5条之规定,情报接收国需承担累积性的个人数据保护义务。据此,当相关纳税人的个人数据被跨境传递时,情报接收国只有采取从高保护水准方能符合条约之规定。虽然OECD指出,MCAA第5条第1款项下的保障措施应当限制在保护个人数据所需的范围之内,不能过度阻碍或延迟有效情报交换,[20]但是上述累积性保护义务的实施极易形成一种事实上的制度偏好,有助于高保护水准国家个人数据保护法的国际化。
  2008年国际金融危机爆发之后,一份针对监视、隐私权和个人信息的国别调查研究结果指出,各主要国家的个人数据保护水准存在较大的差异。在调查样本中,欧盟国家(法国、匈牙利和西班牙)和加拿大的专门立法体现出较高的保护水准,美国的部门立法采用了中等保护水准,一些新兴经济体(墨西哥、巴西和中国)或是缺少相关立法或是相关立法对个人数据的保护水准较低。[21]根据上述条约体系所确立的最高保护水准原则,[22]本部分将以欧盟国家相关法律为例,探讨跨国个人数据流动中的法律保护问题。
  (一)欧洲个人数据保护法的一般规定
  目前,大多数欧盟国家均有专门的国内立法对个人数据的保护进行规制。[23]除此之外,欧盟成员还受到欧洲法的制约。广义的欧洲法包括两大国际组织——欧洲委员会和欧盟框架下的国际法。[24]其中,欧盟法具有超国家法律效力,除了基础性条约外,欧盟法的条例和指令直接约束欧盟国家。欧盟国家在提供情报时,有义务根据欧洲委员会和欧盟条约以及欧盟条例或指令的相关要求对接收情报的国家提出个人数据保障措施的要求。[25]在国际法层面,一当事国不得以援引国内法规定为理由而不履行条约。[26]因此,如果欧盟国家与其他国家签订税收情报自动交换协定,即使提供相关纳税人信息的行为违反了本国的个人数据保护法,欧盟国家也需要依照协定之规定进行情报交换。然而,如果欧盟国家依据另一个自成一体的国际法体制——欧洲法(特别是欧盟法)的规定,拒绝提供纳税人信息,则构成国际法体制之间的冲突(对此类冲突有进一步分析之必要,囿于篇幅,不作讨论)。有鉴于此,本文将特别关注欧洲法关于个人数据保护的法律规定。
  首先,在欧洲委员会的法律框架之下,有两个条约涉及到个人数据保护问题。1950年《欧洲人权公约》(ECHR)第8条规定,人人有权享有使自己的私人和家庭生活、住所和通信得到尊重的权利,只有在特定条件下,公共机构方可干预此类权利的行使。根据欧洲人权法院的观点,第8条不仅限制政府采取违反公约权利的行为,有时还要求政府采取积极行动以确保对私人和家庭生活的尊重。[27]1981年《关于在个人数据自动处理方面保护个人的公约》(以下简称“第108号公约”)开放签字,这是迄今为止唯一针对保护个人数据的专门多边公约。“第108号公约”适用于私人和公共部门的个人数据处理,其相关原则包括如下几项:(1)应公平与合法地收集和自动处理数据。(2)在必要时间内基于特定合法的目的储存数据,不得用于与该目的不相容的用途。⑶数据应当充分、相关、相称和准确等。另外,就数据跨境流动,公约在规定自由流动原则的同时,对未能提供同等保护水准的国家施加了限制。2001年新的附加议定书还就缔约国与非缔约国(第三国)之间的跨境流动问题作出了规定。[28]
  其次,在欧盟的法律框架下,欧盟基本条约与次级立法均有关于个人数据保护的规定。2000年欧盟公布了一份内容广泛的政治文件《基本权利宪章》。随着2009年12月1日《里斯本条约》的生效,使得《基本权利宪章》具有了拘束欧盟国家的效力,[29]其相关条款与《欧盟运行条约》(TFEU)第16条共同构成了欧盟个人数据保护的基本法。[30]《基本权利宪章》不仅规定了对私人和家庭生活的尊重(第7条),还规定了对个人数据的保护问题(第8条[31]),具体涉及权利、原则以及机构设置等方面,从而将数据保护提升至欧盟基本法的高度。欧盟次级立法关于个人数据的保护更是全面和详细。早在1995年,为了促进和规制欧洲内部市场的数据流动,协调成员国数据保护法,欧盟制定了《个人数据保护指令》,充实和扩展了体现在“第108号公约”中的相关原则。[32]欧洲法院认为,《个人数据保护指令》旨在确保在个人数据处理方面各成员国对个人权利和自由的保护应处于同等水准。相关国内法的适用不应减损而应确保欧盟的保护水准,因此“对国内法的协调程度只能是就高不就低”。[33]2001年欧盟制定条例要求欧盟各机构和组织对个人数据的处理和流动也应采取与《个人数据保护指令》类似的保护措施。[34]除了上述一般性的个人数据保护规定外,欧盟还在电子通讯、临床诊断、官方统计、金融数据等方面制定了若干个专项指令或条例,相关个人数据保护的内容与《个人数据保护指令》保持一致。
  虽然《个人数据保护指令》在概念、结构和制度设计等方面均走在世界前列,但是该指令并不能满足“互联网从个人电脑时代进入到移动互联网时代、发展到大数据和云计算时代之后个人数据保护面临的新局面、新形势”,也难以应对互联网产业格局对欧盟提出的新要求。[35]2012年欧盟启动对《个人数据保护指令》的修订工作,2016年4月欧盟《自然人数据保护通用条例》(GDPR,以下简称《通用条例》)正式通过,将于2018年5月正式实施。[36]《通用条例》对《个人数据保护指令》进行了全面改革,主要的变化包括以下几项:(1)适用范围极大扩展。(2)除少数例外事项,条例直接适用于成员国。⑶建立“一站式”监管机制。(4)处理数据合法性依据的细化。⑶数据主体权利的细化。(6)严格问责数据控制者和处理者。(7)完善跨境数据流动机制。(8)对数据画像活动作出特别规制。(9)增强监督机构的执法权和司法救济机制等。通过修订,个人数据保护被深嵌到组织运营之中,“抽象的保护理论转化为实实在在的行为实践。”[37]借助该条例,欧盟旨在实现降低数据保护过程中的碎片化现象,确保对自然人保护的高水准和一致性,消除欧盟内部个人数据流动之障碍。[38]由此,欧盟诸国对个人数据的保护水准继续领先世界。
  (二)欧洲个人数据跨国流动的特别规定
  无论是“第108号公约”(包括附加议定书)还是《通用条例》均有关于跨境数据流动之规定,跨境数据流动在类型上可分为两类:一类是欧盟内部流动,另一类是欧盟国家与欧盟之外第三国之间的流动。对于前者,“第108号公约”第12(2)条以及《通用条例》第4(24)条均提出了自由流动原则;对于后者,“第108号公约”附加议定书以及《通用条例》第44条均提出了充分保护原则。[39]本部分仅讨论欧盟国家与第三国之间的跨境数据流动问题。[40]
  所谓充分保护原则,指的是欧盟国家只有在第三国满足欧洲法规定的情况下,才允许个人数据的自由流动。具体而言,根据“第108号公约”第2(1)条的规定,如果接收国或相关组织能够确保意在传递的个人数据获得充分保护,那么允许公约缔约国的数据自由流转到第三国。《通用条例》第44条明确规定,为确保本条例所保证的保护水准不受侵蚀,任何被传递到第三国的数据,包括第三国继续传递到其他第三国的数据,当接受处理或意在接受处理时,须符合本条例之规定。
  尽管“第108号公约”与《通用条例》均承认充分保护原则,但在具体认定第三国是否达到充分保护水准的问题上仍存在制度上的差异。其中,“第108号公约”授权缔约国根据其国内法来确定如何评估第三国的数据保护水准,以及由谁来加以评估等;《通用条例》则规定应由欧盟委员会来决定第三国是否满足了

  ······

法宝用户,请登录下跌你应该笑还是哭后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1235633      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多