陈 茹
(华东政法大学,上海 200042)
信息化和大数据技术的应用是当今时代发展的主流趋势,现代税收征管自然也离不开大数据技术的支持。在纳税申报制度的背景下,认定经济行为所需要的信息由纳税人掌控,而税务机关所掌握的信息主要来自于纳税人的自主申报。随着“互联网+”模式在经济领域的快速发展,市场交易行为的创新性、纳税人收入形式的多样性与隐蔽性都使税务机关在信息层面处于弱势地位。如果纳税人利用信息优势选择有利于自身的纳税申报,一旦这样的行为得不到有效遏制,必然会导致纳税人在申报上“逐底竞争”,最终造成大量税款流失。因此在这场信息博弈中,必须赋予税务机关一定的特权。而通过大数据和云计算等新信息技术的应用可有效缓解信息不对称的困境。
近年来,我国政府一直强调税收征管信息化建设,《中华人民共和国税收征管理法》第六条也对此做出了原则性指导,并提倡在税收征管中应用现代信息技术。实践中,税收信息化从TMSIS运用到CTAIS(China Tax Administration Information System中国税收征管信息系统)上线,从1994年金税工程一期的启动到2016年金税工程三期的全国统一应用,税收征管逐步进入数据化时代。数据化税收征管,即通过现代化的网络硬件平台和专业软件系统将信息技术应用于税收征管的每一个环节,对涉税信息进行采集、分析、处理、应用以提升税收管理、监控、服务等效能。税务机关依靠大数据技术对纳税人提供的信息、经授权自行采集的信息以及其他政府部门、银行、交易平台等第三方共享的纳税人信息进行存储、使用、分析,从而改善信息不对称的处境。数据化税收征管对税务机关在解决信息不对称、提高征管效率、发挥监督职能、保证税款应收尽收等方面都发挥着不容小觑的作用。
然而这场围绕涉税信息的博弈再一次打破了税务机关与纳税人之间的动态平衡,赋予税务机关的特权如果不经限制,必然会对纳税人的权利造成侵犯。因此需要借助法律明晰税务机关在信息保护方面的权责以及纳税人应享有的权利。我国法律法规对纳税人涉税信息的保护早有体现,但是随着数据化税收征管模式的不断推进,纳税人信息保护的制度发展却停滞不前。
《中华人民共和国税收征收管理法》(以下简称《税收征管法》)中有3个条文涉及纳税人信息保护问题。首先,第八条第二款对纳税人信息保护做出了原则性的规定,纳税人、扣缴义务人有权要求税务机关对纳税人信息保密。其次,第五十九条规定,在税务检查中,税务人员有责任为被检查人保守秘密。最后,第八十七条规定,对于不履行保密责任的给予直接责任主管和直接责任人员行政处分。以上规定虽缺乏可操作性,但不可否认的是纳税人信息保护在立法层面上得到了制度支持。
《中华人民共和国税收征收管理法实施细则》(以下简称《税收征管法实施细则》)第五条进一步细化了“纳税人、扣缴义务人保密的情况”,将其范围限定为商业秘密与个人隐私并排除了税收违法行为,对纳税人、扣缴义务人的税收违法行为不予保密。
《国家税务总局关于加强年所得12万元以上个人自行纳税申报信息保密管理的通知》(国税函〔2007〕1248号,以下简称《通知》)进一步明确了税务机关的保密义务、细化保密措施、落实责任追究机制等,提高了税务机关保密制度的可操作性。保密范围包括纳税人身份信息、境内外收入信息、纳税义务信息、商业秘密和与个人隐私有关的内部资料等;保密信息工作全覆盖于纳税申报的各个环节,并由专人负责;未经当事人同意禁止对外泄漏纳税人涉税信息;对于违反保密义务的工作人员不仅追究其行政责任,涉嫌犯罪的还将依法追究其刑事责任。以上规定具体细致、可操作性强,但并不适用于年所得12万元以下的个人以及非居民纳税人。
《纳税人涉税保密信息管理暂行办法》(以下简称《办法》)为我国纳税人涉税信息保护提供了基本的制度性依据。其中第二条内容是对《税收征管法实施细则》第五条“商业秘密、个人隐私”的具体解释,保密范围主要包括纳税人的技术信息、经营信息和纳税人、主要投资人以及经营者不愿公开的个人事项。第六条至第十一条规定了涉税保密信息的内部管理,明确税务机关在税收征管的各个环节都应对涉税保密信息进行保密,并配以保密措施。第十二条至第二十一条是对涉税保密信息的外部查询管理,规定了查询主体范围以及程序性条件。第二十二条至第二十五条是从责任追究方面对《税收征管法》第八十七条的细化,列举了违反保密义务的具体情形,包括各个环节对外泄露保密信息的相关行为。
《国家税务总局关于纳税人权利与义务的公告》(公告2009年第1号,以下简称《公告》)规定了纳税人享有的14项权利,其中第二条明确纳税人享有保密权。
《涉税信息查询管理办法》(公告2016年第41号)第五条强调了涉税信息的安全可控,并采取有效措施予以切实保障,不再将保密范围局限于涉税保密信息,但该办法的规制重点在于信息公开而不是信息保护。
关于纳税人涉税信息的保护,《税收征管法》以及《税收征管法实施细则》只做出了原则性规定,可操作性有限,而国家税务总局在规章制度上做出了更多的尝试。税收征管模式从传统型转向数据化、现代化带来了税务机关征管权在信息领域的不断扩张,纳税人在权力面前逐渐成为“信息透明人”(Transparent man)。在此背景下,纳税人信息保护制度却停滞于10多年前的状态,纳税人被迫面临税务机关“一网打尽”各类信息、信息安全缺乏保障以及信息被侵犯后陷入求助无门的窘迫。
在税务机关与纳税人之间围绕涉税信息的博弈中,税务机关需要通过尽可能多地获取更全面的信息来削弱信息不对称带来的消极影响,并由此加强整个行政结构所维持的控制秩序,因此大数据应用、信息共享机制得到大力发展。涉税信息共享机制主要依据《税收征管法》第六条的规定,然而只有原则性的规定而缺乏明确的具体要素,就为税务机关获取信息留下了很大的操作空间。具体而言,提供涉税信息的第三方主体不明确,以“政府其他管理机关、其他有关单位”这样概括式的表述难以对提供主体加以限制;提供涉税信息的范围不明确,对于是否属于必要提取的纳税人信息,税务机关享有较大的裁量权;提供的方式是概括性的还是有选择性的等。诸多要素的空缺将导致税务机关过度采集、储存、共享纳税人信息,最终使大量与税收征管无关的信息游离于数据终端,而纳税人的所有行为都将被迫处于全面监控之下。例如,《中华人民共和国个人所得税法》第十五条规定了涉税信息提供制度,相关部门应当向税务机关提供大病医疗等专项附加扣除信息。在这一过程中,医院、医保单位提供的大病医疗信息具体应包含哪些内容,是否有涉及个人隐私的可能。倘若对税务机关的信息提取权不加以限制,那么通过纳税人的身份信息便可轻易追踪到纳税人的邮箱、银行账户、平台消费记录等一切生活轨迹,纳税人将处于无限的透明中。因此,税务机关在信息提取上的特权应该是有限制的,在全面建设信息共享机制的同时,既要提升税收征管的效率,降低征税成本,又要防止过度采集纳税人信息,这对税务机关来说是一项不得不接受的挑战。
我国法律法规对纳税人信息保护范围主要限定于商业秘密以及个人隐私,虽然《通知》中将保密范围扩大至纳税人身份信息、境内外收入信息、纳税义务信息等,但该规定仅适用于年所得12万元以上且自行纳税申报的个人,反而造成不同纳税人享有不同权利的情况,偏颇性保护造成了权利不平等。因此纳税人信息能否得到保护,首先是涉密的判断,《办法》中将个人隐私界定为不愿公开的个人事项,以纳税人视角做出了带有主观色彩的抽象规定,但在具体执行中需要税务机关进行判断,双方的理解偏差使个人隐私的范围存在极大的不确定性。商业秘密的判断同样存在自由裁量权空间大的问题。“密”与“非密”的判断直接决定了该信息能否得到保护,而反过来说,纳税人的其他信息就没有保护的必要吗?获取的第三方主体信息又该如何处理?在如今这个信息能够产生极大价值的时代,信息便是财富,各类信息经过大数据技术采集,进行分析,掌握信息资源的人便如同拥有了一定的特权,社会成员便没有隐私可言。因此,除纳税人商业秘密以及个人隐私之外的信息也应得到有效保护,法律规定的信息保密范围需要重新审视。
《公告》中列举了纳税人享有的14项权利,其中第二条明确规定了纳税人的保密权,然而无救济则无权利,纵观纳税人信息保护的相关规定并没有权利救济的内容,在信息保护本就规定不完善的前提下,救济手段的缺失使众多规定成为一纸空文。一方面,纳税人很可能因为税务机关没有告知其信息收集、使用的范围而并不知道侵犯其信息的主体,抑或是税务机关并未告知纳税人权利被侵犯的救济途径而被迫接受成为“信息透明人”的现实。因此保障纳税人的知情权应是权利救济的首要条件,而现实中纳税人反而被蒙在鼓里,这又形成了另一种信息不对称的局面。另一方面,纳税人权利救济的方式极为有限,如果按照一般侵权的救济选择,可分为诉讼救济与非诉讼救济。而在纳税人信息被侵犯的情况下,首先,行政诉讼这条途径就很难进行。《税收征管法》第八十七条规定,对不履行保密责任的,给予直接责任主管和直接责任人员行政处分。行政处分是内部人事处分,属于内部行政行为的范畴,作为相对人的纳税人不能提出异议或行政诉讼。其次,缺乏对纳税人损失予以民事赔偿的救济制度设计,而刑事诉讼救济渠道往往因达不到情节严重的标准而不了了之。最后,非诉讼救济主要是通过投诉、社会监督等方式,而在司法救济不能保障的前提下,税务机关与纳税人之间不平等的地位使非诉讼救济难有成效。纳税人信息保护制度如果缺乏救济环节,那立法者对于纳税人信息保护的初衷便存在落空的可能,因此救济制度的设计必须予以重视。
数据化税收征管模式正处于大力推进过程中,现阶段其建设重心仍是打通信息壁垒,解决信息不对称等问题,税务机关将海量纳税人信息都囊括在手,因而在纳税人信息保护方面逐渐偏向国库中心主义。为减少纳税人成为“信息透明人”的风险,加强纳税人信息保护,首先在理念的选择上应坚持纳税人中心主义,深化纳税人权利保护意识在信息领域的应用。由于价值取向不同,税收征管权与纳税人信息保护之间存在公权力与私权利、公共利益与私人利益的天然冲突,当两者无法兼顾时,价值的最终选择还是应偏向于纳税人权利保护。因为一旦纳税人信息被侵犯,其所遭受的损失是无法逆转的,而政府在短期内丧失一些税收来源并不会影响其整体的前进方向。而调和矛盾、平衡利益的具体路径是谦抑性原则,即要求国家尽可能地控制权力边界,以调和国库中心主义与纳税人中心主义的“二元化立场”。因此,在数据化税收征管中纳税人信息保护的路径首先应坚持私权利保护、公权力制衡的理念,限制税务机关在信息收集、使用等方面的特权,完善纳税人信息保护制度,进一步发挥数据化税收征管的优势。
1.限制涉税信息提取权。在建设涉税信息共享机制时,因为法律规定缺乏可操作性,税务机关提取信息的权力边界模糊,以至于纳税人在日常生活、经营活动中产生的所有信息都有被共享的风险,因此有必要对税务机关的信息提取权予以限制。发达国家的税务机关在享有涉税信息提取权力的同时,也要受到相应的限制,如德国税务机关一次性大量提取银行信息的权力受限,自动提取纳税人账户信息时只限于个别交易数据;日本税务机关向第三方机构获取信息的前置性条件是向纳税义务直接相关人进行调查后仍不能取得充分的资料时,即需要穷尽本人调查后才可以向第三方机构提取信息,且必须满足客观性和必要性的标准。
对于税务机关提取信息的权力应设置限制条件。一是限制税务机关从第三方机构一次性、概括性、批量地提取信息。除法律规定外,只能在税务稽查特定案件时从第三方机构有针对性地获取信息。二是穷尽现有的涉税信息获取方式后,才可以向第三方机构提取信息,如纳税人自行申报的信息、金税三期应用、增值税发票比对系统等。三是提取的信息需满足关联性、合目的性以及必要性。其中,关联性是基础性条件,税务机关所提取的信息应是纳税人应税活动中产生的,与税收征管有所关联的信息即涉税信息;合目的性是将涉税信息限于有益税收征管目的实现的范围,税务机关不得采集无益于税收征管或不符合税收征管目的的信息;必要性是对关联性、合目的性标准的补充,税务机关提取的信息应是为实现税收征管目的所必需的信息,意在增强该信息的地位、强调其不可或缺性。因此,在数据化税收征管的建设中需补足纳税人信息保护的空缺,尤其是在涉税信息共享制度中,原则性的规定需要进一步细化,包括但不限于信息共享的主体、范围、方式、程序、法律责任等内容,进一步限制税务机关的信息提取权。
2.进一步落实保密义务。现行涉税信息的保护范围局限于涉密部分,而涉密的界定边界模糊导致信息能否得到保护最终取决于税务机关的自由裁量,因而要从以下三方面入手进一步落实税务机关保密义务。
首先,要明确纳税人信息的保密范围。在比较法的视阈下,他国对于税务机关保密的范围有较为宽泛的规定。美国《国内收入法典》(Internal Revenue Code, 以下简称IRC)第6103条规定,除法律明文规定外,纳税人税收申报表及其信息应当保密,不接受任何形式的披露,并辅之以技术、行政以及物理方面的保障。新西兰《税务局宪章》规定,除非出于税务目的或法律例外情况,税务机关应将纳税人所有信息视为隐私和机密,不得披露并确保信息安全。随着信息化与经济社会的深度融合,个人信息数据成为大数据时代的核心和基础,因此在税务机关保密范围的设定上,应将涉密信息扩展到涉税信息,除应当披露部分以及法律规定的例外情况外,税务机关应确保纳税人所有信息的安全。
其次,落实税务机关保密义务还需依靠技术支持,保密手段应随着大数据的应用而有所升级,如完善数据加密算法、安全密钥等保障措施。一旦数据泄漏,将会给纳税人造成无以估量的损失,因此仅对接触电子数据的人员进行限制是远远不够的,数据管理平台的安全问题更需要引起重视,排除因病毒、黑客入侵等导致数据泄漏的隐患都需要可靠的技术手段支持。
最后,为保证税务机关履行保密义务,有必要设立专门机构对纳税人信息保护工作进行监管。目前,纳税人信息保护的监管主要由税务部门负责,缺少独立性,因而鲜少发生对违反保密义务的责任人员进行追责的情况。通过设立专门的监督管理机构,对税务机关的信息处理行为进行监管,接受、处理纳税人以及信息被侵犯的第三人的投诉举报,调查相关人员的违法违规活动等。通过外部机构的专门监管进一步限制税务机关的信息管理权,增强税务人员信息保护意识。
3.完善纳税人救济制度。 纳税人信息受到侵犯时,仅有《税收征管法》第八十七条对不履行保密责任的税务人员给予行政处分的相关规定。我国关于纳税人信息保护方面的事后救济,无论是行政、民事还是刑事途径,皆是举步维艰。美国自20世纪便开始重视纳税人信息保护,在权利救济制度的尝试上有较为成熟的经验,对我国的制度建设有一定的借鉴意义。当涉税信息被非法披露或查阅时,纳税人可根据IRC第7431条提起民事损害赔偿诉讼,由纳税人对被告的侵权行为承担证明责任;在赔偿范围上,纳税人除了获得损失赔偿,还可因为被告的非法行为获得每项不少于1 000美元的赔偿,故意、重大过失情况下还可获得适当的惩罚性赔偿。刑事责任方面,美国采取宽严相济的模式,根据《纳税人信息浏览保护法》第7213条规定,税务人员因过失违反保密义务的,处1年以下有期徒刑并处1 000美元以下罚金,此为轻罪;税务人员故意违反保密义务的,根据IRC第7231条规定处5年以下有期徒刑并处5 000美元以下罚金,此为重罚。在行政救济方面,纳税人可通过专门的复议部(Appeal Office)提出行政复议,违法的税务人员也将受到行政处分。
目前在完善我国纳税人事后救济方式中,建立民事赔偿制度显得最为紧迫。行政救济方式对于纳税人来说是一项需要慎重考虑的选择,往往维权成本高且效果不佳,导致纳税人宁愿放弃权益也不愿选择行政维权的道路。刑事诉讼方式更侧重于对相关责任人员的惩罚,对信息被侵犯的纳税人来说弥补损失的效果甚微,并且考虑刑法的谦抑性,若将税务工作人员的过失行为纳入刑法规制,难免引起很大争议。相比之下,民事救济方式更能有效保护纳税人利益,使其切实看到维权效果,进而激励其进行维权。在制度设计时,应考虑纳税人与税务机关之间技术能力差距悬殊的现实情况,慎重分配证明责任、界定赔偿范围等。除了事后救济,事前预防性救济也需引起重视,具体表现为督促税务机关履行告知义务以充分尊重纳税人的知情权。税务机关须告知纳税人信息采集的范围、信息共享的主体范围、信息处理的方式等,并取得其同意,告知方式无需局限于传统的纸质通知,选择既便利纳税人又符合新型税收服务模式的方式即可。通过事前预防性手段以及事后救济制度,筑好纳税人信息保护的最后一道防线。
2016年金税工程三期在全国统一应用,从此税收征管正式进入数据化时代,新形势也面临新挑战,纳税人信息保护工作任重道远。2020年10月21日,《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法》)在中国人大网正式公布,在现行法律基础上制定出台专门的个人信息保护法,为个人信息保护提供了更加有力的法律保障。其中对国家机关处理个人信息做出了特别规定,明确国家机关处理个人信息不得超出履行法定职责所必需的范围和限度;应当依法向个人告知并取得其同意;不得公开或向他人提供个人信息,范围不再局限于涉密信息;违反义务除承担行政责任外,新增民事赔偿责任;侵害众多个人权益的,由检察院、履行个人信息保护职责的部门以及国家网信部门确定的组织依法提起公益诉讼。《个人信息保护法》是国家在信息保护领域的重要探索,扩大了个人信息保护范围,明晰了国家机关的权责,健全了权利救济制度,完善了信息保护工作的监管。《个人信息保护法》正式落地后,在税收征管工作中个人信息保护如何落实以及非居民纳税人信息保护如何完善都值得期待。