大数据背景下自然人涉税信息的界定与区分保护

温春辉 段茗琪

内容提要：大数据背景下，税务机关利用自然人涉税信息一方面促进了税收管理，另一方面也带来了危害自然人信息权益的风险。在构建纳税人信息权和各方利益平衡制约的理论框架下，分析研究自然人涉税信息的保护困境，认为应当以《民法典》和《个人信息保护法》的个人信息为上位概念指引涉税信息内涵和外延的确定，超越传统隐私权的范围；根据自然人涉税信息的不同类型，应当施以不同程度的区分保护。在大数据时代涉税信息广泛利用的背景下，应完善立法、把握涉税信息的流动链条，对自然人涉税信息进行整体全面而又相互区分的保护，以此平衡自然人纳税人信息权与其他权力的冲突，提高征税公平与效率。

保护纳税人信息权和保护个人信息理念交汇之下，纳税人涉税信息保护成为大数据背景下税务管理的关注重点，其中自然人涉税信息与《民法典》《个人信息保护法》高度关联，因而在概念的厘清和保护的方式上需要更多的思考。自然人涉税信息利用既能提高税务机关的征税效率，同时也是纳税人个人信息权益保护的重要领域。当前实践中，对于涉税信息的利用与保护严重失衡，未能形成纳税人个人信息在税收领域的特殊保护方式。对该问题的研究，既有的观点多集中于纳税人信息权的理论建构（曹阳，2020），以及在理论上探究纳税人信息权和税务信息管理权的平衡（闫海，2019）。本研究在此基础上，从自然人涉税信息本身出发，结合《民法典》《个人信息保护法》对于个人信息的界定与保护，合理界定自然人涉税信息的范畴，进而提出根据涉税信息的不同类别进行区分保护。在《税收征收管理法》修订和推动个人信息保护的背景下，明确自然人涉税信息，一方面能够促进个人信息保护在税收领域的具体化，另一方面作为客体的涉税信息能够反推纳税人信息权的含义和内容，为其提供理论基础。

一、问题的缘起

随着大数据技术在税收领域的运用，自然人纳税人的个人信息高度集中于税务机关成为涉税信息，一方面极大地便利了税收管理，另一方面也可能引发多种风险。具体而言，首先，涉税信息在数字经济时代附带高经济价值，税收征管过程中收集的个人信息涵盖姓名、身份证号、工作单位、银行账户等，既是数据驱动企业进行用户画像、个性化推荐和优化服务吸引用户的重要“生产原料”，也可能成为电信诈骗等违法犯罪的工具；其次，税务机关管理、保护个人信息的能力不足，一方面保护机制不够完善，如存在涉税信息定位不清、信息处理缺乏程序性保障、责任不明确以及救济手段单一等问题，另一方面信息保护技术发展滞后，如有学者认为保护技术和设备的滞后导致涉税信息在互联网空间更容易被泄露，同时税收机关工作人员的技术能力和保护意识也有所欠缺（尚静，2021；于春敏，2018）。基于上述背景，不法分子出于谋取经济利益的动机，利用当前保护的漏洞，使得涉税信息既存在通过内部渠道被滥用、泄露以及贩卖的风险，也存在被网络黑客窃取等风险。实践中已出现多起涉税信息泄露的案例。该问题的理论根源在于自然人涉税信息的保护与利用之平衡。围绕该问题，有学者深入研究了纳税人信息保护与税务机关信息管理的协调与平衡（闫海，2019），并构建出纳税人信息权权利束（曹阳，2020）。

在上述理论框架之下，自然人涉税信息因其特殊性而值得关注：涉税信息集分散于各单位的个人信息于一体，因具有高度集中性而产生巨大经济价值，引起逐利之人的关注；同时，涉税信息的利用需要平衡纳税人中心主义与国库主义，税收征管效率、税收公平负担与纳税人信息安全等诸多价值理念，实质上限缩了纳税人的信息权益（朱大旗和曹阳，2020）。正是由于上述特殊之处使自然人涉税信息面临更高的风险，为其设置特别的保护规则具有必要性。

首先，保护涉税信息能够平衡税收征管权力与纳税人信息权益。涉税信息既承载着个人信息权益，又联系着税收征管权力。因为纳税人相对于税务机关的弱势地位，涉税信息的保护缺失会导致权力对权益的侵袭，如税务机关过度收集信息、不正当的披露或共享涉税信息等。因此，保护涉税信息能够界定和平衡征管权力和个人信息权益之间的关系。

其次，保护涉税信息能够保障征税效率。纳税人基于税务机关的公信力而提供涉税信息，税务机关进而利用涉税信息提高征税效率，因此征税效率提高的重要因素之一在于税务机关的公信力。在涉税信息的收集和利用中，公信力来源于纳税人对税务机关合理、安全处理涉税信息的信任。保护不足会导致公信力减损，进而引发纳税人对涉税信息安全的担忧，造成瞒报、谎报或过度保护涉税信息的结果。因此，以保护涉税信息提高税务机关公信力，有助于在纳税人与税务机关之间形成良性的信任关系，保障征税效率。

最后，保护涉税信息有利于维护个人信息的利用秩序。自然人涉税信息本质上仍然属于个人信息和数据，《数据安全法》规定“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”在经济利益的驱动下，不法分子可能会利用涉税信息保护的漏洞，通过税务机关工作人员的泄露或技术手段窃取等方式获取涉税信息，破坏个人信息的利用秩序。如非法利用个人隐私信息进行电信诈骗，或者分析利用涉税信息提供个性化广告、改善服务来获得不正当竞争优势。解决此问题的关键在于以适当的保护方式阻断其非法获取涉税信息的途径，确保个人信息在利用环节的合理秩序。

同时，自然人涉税信息可以限定纳税人信息权和信息保护的客体范围，对于涉税信息的保护路径则是权利的主要内容，因此厘清自然人涉税信息的范畴、探究如何保护涉税信息具有必要性。

二、涉税信息保护的现状及困境

作为税收管理法与个人信息保护法律的交汇点，涉税信息具有一定的特殊性，从促进征税效率和个人信息保护的角度来看，保护涉税信息具有必要性。从现实情况看，司法实践中对于自然人涉税信息保护存在不足；从法律实践的角度，当前我国对于涉税信息的保护路径包括税收领域立法以及《民法典》《刑法》和《个人信息保护法》中关于个人信息的相关规范，但两种途径都面临一定的困境。

（一）涉税信息保护不足

自然人涉税信息保护应从现实问题出发，考察既有规范能否调整侵害涉税信息的行为，并最终体现于司法实践之中。

现实层面，自然人涉税信息保护存在切实的问题与威胁。2019 年保加利亚国税局向外界公布其遭遇历史上最大的黑客袭击，高达70%的税务信息被盗，该事件引发了人们在税收透明时代对涉税信息安全性的担忧，多国税务部门开始强化信息安全。①《保加利亚爆出史上最大涉税信息泄露案》，中国税网，http：//www.ctaxnews.com.cn/2019-09/10/content_954725.html。除泄露信息的行为之外，随着科学技术发展和大数据在税收征管工作中的引入，自然人对于自身涉税信息的知情与控制能力不断弱化，因而在信息的收集、存储、使用、共享等各个环节均面临更多的风险。具体到我国的实际情况，在北大法宝网站检索“侵害个人信息”司法案例，其中包含“税务”这一关键词的案件已发生多起，大多数为税务机关工作人员泄露或贩卖在征收工作中收集的自然人涉税信息进而获利。实务中上述案例通常以“侵犯公民个人信息罪”处罚，法院在判决中并未援引税收法律规范；案件中多论证税务机关收集的信息是否属于“个人信息”，而未体现出自然人“涉税信息”这一概念，也未体现以自然人纳税人为核心维护自身涉税信息权益的特征，即追究刑事责任与税收规范之间难以衔接。②如“刘玉周等非法获取、出售、提供工商、税务登记信息侵犯公民个人信息案”，江苏省南京市中级人民法院（2017）苏 01 刑终 870 号判决书。

税收法律规范层面，既有的涉税信息保护规范，主要包括《税收征收管理法》第8 条、《税收征收管理法实施细则》（国务院令第362 号，后文简称《实施细则》）第5 条以及国家税务总局《纳税人涉税保密信息管理暂行办法》（国税发〔2008〕93 号，后文简称《暂行办法》）的相关规定。通过北大法宝网站检索，近五年来约有8 起案件适用上述规范解决涉税信息问题（剔除当事人相同的重复关联案件、同一案件的不同审级）。从纠纷内容来看，上述案例均为第三人起诉税务机关要求公开纳税人涉税信息，并未体现纳税人尤其是自然人纳税人对涉税信息权益的主张及救济；同时，案件集中于“公开”涉税信息的行为，未见信息的收集、存储、使用等行为相关的案件。从涉税信息的界定来看，实务中将涉税信息限定于“涉税保密信息”，如“张某某等与广州市荔湾区地方税务局信息公开行政纠纷上诉案”中，法院认为涉案公司的年度缴纳税收信息属于不愿为他人知晓的商业秘密；③参见“张某某等与广州市荔湾区地方税务局信息公开行政纠纷上诉案”，广州铁路运输中级法院（2016）粤71行终6 号判决书。“陈某与江苏省常州市地方税务局行政纠纷案”中，法院认为自然人的个人纳税信息属于个人隐私，作为税务机关应当为其保密。①参见“陈某与江苏省常州市地方税务局二审行政判决书”，江苏省常州市中级人民法院（2016）苏04 行终67号判决书。整体上来看，在适用税收规范的司法案例中，未体现出对于姓名、年龄、银行账户、工资收入等自然人涉税信息的保护、主张和救济。

综上所述，现存的涉税信息保护问题未能经由税收法律规范调整形成涉税信息保护纠纷和司法案例，并非由于自然人涉税信息无需保护，而根本原因在于既有规范对自然人涉税信息保护不足、纳税人救济渠道不畅通，进而无法通过税收领域的法律规范维护自身合法的纳税人涉税信息权益，难以形成司法实践。

（二）既有涉税信息保护规范难以发挥作用

1.税收法律规范存在矛盾与不足

当前我国税收立法中注重涉税信息的利用而忽略了涉税信息的保护，在这种理念的引导下，导致自然人涉税信息的界定和保护的具体法律规范之间相互冲突且模糊不清。

首先，缺乏对自然人涉税信息的内涵界定。作为税收基本法《税收征收管理法》并未以专条专款定义涉税信息，仅在第八条以“纳税人、扣缴义务人有权要求税务机关为纳税人、扣缴义务人的情况保密”的方式一笔带过；通常认为规定了涉税保密信息的《实施细则》和《暂行办法》也只是以“个人隐私”“不愿公开的个人事项”这种较为笼统的方式简单说明，对于涉税信息的丰富内涵和具体内容并未涉及。

其次，既有规定中涉税信息的外延相互矛盾。一方面，如前所述在《税收征收管理法》《实施细则》和《暂行办法》中，自然人涉税信息的范围限于个人隐私信息即涉税保密信息；而在国家税务总局出台的《涉税信息查询管理办法》中将涉税信息扩展为“税务机关专属掌握可对外提供查询的信息，以及有助于纳税人履行纳税义务的税收信息”，不同立法之间存在冲突。另一方面，《暂行办法》规定了个人隐私信息作为涉税保密信息，明确了涉税保密信息与非涉密涉税信息的区分方式，但同时第四条规定了四种可例外披露的涉税信息“根据纳税人信息汇总的行业性、区域性等综合涉税信息、税收核算分析数据、纳税信用等级以及定期定额户的定额”，该例外披露的涉税信息与非涉密涉税信息在范围上并不等同，因此也带来了区分涉密与非涉密涉税信息的难题。因此，即使不考虑涉税信息的范围是否只局限于个人隐私信息（详见后述），当前的法律规范依旧难以明确涉税信息的范围。

再次，对于涉税信息的保护单薄。从上述税收立法可知，当前税收领域对于涉税信息的保护主要体现于对信息披露的限制，赋予税务机关保密义务。但涉税信息的处理，包括收集、存储、使用、加工、传输、提供、公开、删除等，在这些过程中对于涉税信息的保护分别表现为纳税人的知情、涉税信息的安全保障、涉税信息的异议与修改等内容，与此相比，当前对于涉税信息的保护片面而单薄。

最后，税收立法层级过低。如上述《实施细则》《暂行办法》分别由国务院、国家税务总局发布，在适用上因为层级不够而缺乏足够的权威性。

综上，当前税收领域的法律规范未能明确涉税信息的内涵、难以合理划定涉税信息的外延，无法发挥全面保护涉税信息的作用。

2.个人信息保护的一般规则无法直接适用

当前我国已基本形成了以《民法典》人格权编第六章和《个人信息保护法》为核心的个人信息保护的一般规则，《刑法》第253 条也规定了“侵犯个人信息罪”，但是基于涉税信息的特殊性，个人信息保护的一般规则只能指导涉税信息保护而无法直接适用。

从理论上来看，涉税信息的特殊性主要来源于税收制度。一方面，税收具有公益性，是基于纳税人的权利让渡所作的以社会公共利益为导向的安排，因此相对于一般个人信息的保护，对于纳税人基于税收而提供的涉税信息的保护要受到一定限制，有学者认为纳税人对涉税信息的决定权范围较小、程度较低（曹阳，2020）。试举一例，《个人信息保护法》第七条和第十三条第一款分别规定：处理个人信息应当公开个人信息处理规则、个人信息处理者处理个人信息原则上要经过个人的同意，即处理个人信息要满足“知情—同意”规则；但在涉税信息的收集过程中，基于税收法定性和认定课税事实的需要，税务机关在公开处理规则的前提下，纳税人无权拒绝提供符合税收征管正当要求的涉税信息，即仅知情而不需同意。另一方面，正是由于税收征管中对于涉税信息保护的限制，导致自然人的涉税信息更容易受到侵害，因此在平衡涉税信息利用和保护过程中更应当谨慎。

综上，个人信息保护的一般规则不能直接适用于涉税信息保护。但是，自然人涉税信息与个人信息的概念、法律定性、特征具有高度契合的种属关系，个人信息在某种程度上是涉税信息的上位概念，因此涉税信息概念的界定、保护路径的选择仍需要参照个人信息保护法规进行设置，对其进行承继和发展（阳建勋，2021）。

三、自然人涉税信息的范畴及对应保护路径

从自然人涉税信息现实保护的不足来看，亟需厘清涉税信息的范畴、明确其保护路径。在构建涉税信息保护规则的过程中，一方面要平衡涉税信息保护与利用之间的关系，另一方面要参考《民法典》和《个人信息保护法》所确定的个人信息保护基础规则，同时基于涉税信息范畴所表现出的特点确定相适应的保护方式。

（一）涉税信息的合理范畴

1.自然人涉税信息的内涵

厘定涉税信息内涵是保护纳税人信息权的起点。当前立法中并未明确自然人涉税信息的内涵，学界对此有不同的看法：有学者认为，涉税信息是税收征管过程中涉及的信息与影响税收征管工作环境的外部信息的总和（蔡金，2018）；有学者认为，涉税信息是与特定自然人纳税人及其纳税义务有关的信息，包括收入、支出、财产、行为、货币资金等流量性和存量性信息（闫海，2019）；还有学者认为，纳税人的涉税信息是指纳税人所享有、可为税务机关或相关第三方主体掌握且与税收征管有关的信息，既包括税务机关或相关第三方主体主动收集、掌握的与税收征管有关的纳税人相关信息，也包括纳税人主动提供给税务机关或相关第三方主体的与税收征管有关的该纳税人相关信息（朱大旗和曹阳，2020）。

合理界定涉税信息的内涵范围，要在高效利用涉税信息和全面保护涉税信息之间找到平衡点，在个人信息保护一般规则的基础上，可以对涉税信息提炼以下几个主要要素：（1）涉税信息的主体为纳税人，个人信息以可识别性为特点具体指向到个人，因此涉税信息应当以纳税人为主体，其他主体的信息不是涉税信息；（2）涉税信息的收集方式既包括主动收集也包括主动提供，既包括第三方主体收集也包括税务机关收集，不同的收集方式和不同的来源不影响涉税信息所代表的自然人纳税人的个人信息权益；（3）涉税信息产生于应税活动，税务机关收集涉税信息必须与税收管理具有密切关系，不得收集无关税收的个人信息；（4）涉税信息的属性为个人信息，《民法典》和《个人信息保护法》规定了概念明确的个人信息概念，作为涉税信息的上位概念，其可以充分覆盖涉税信息的范畴，个人信息以可识别性为主要特征，区分了涉税信息与一般信息的区别，限定了涉税信息保护的范围。

2.自然人涉税信息的外延

概念的外延以分类的方式展现，现有法律规范对自然人涉税信息进行两个维度的分类：首先，《税收征收管理法》《实施细则》和《暂行办法》强调保护以个人隐私为核心的涉税保密信息，从而将非涉密涉税信息排除在外；其次，《暂行办法》第二条规定“纳税人的税收违法行为信息不属于保密信息范围”，从而将合法涉税信息纳入保护，排除非法涉税信息。

从涉密与非涉密的维度来看，现有规范仅保护个人隐私这一涉税保密信息。数字经济时代之前，个人信息往往与隐私利益密切相关，并由此纳入个人隐私权的保护范围；但随着数字经济的发展，个人信息作为数据生产要素的来源，通过流通与处理带来经济价值，逐渐脱离单纯的隐私利益而产生独立的价值取向。具体而言，以个人隐私为外延的涉税信息保护存在以下问题：

首先，个人隐私范围难以涵盖个人信息。涉税信息的本质属性是个人信息，根据我国《民法典》第一千零三十四条的规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。因此个人信息与隐私信息应当是包含与被包含的关系，个人信息除了个人隐私信息，还应当包括具有识别性的一般个人信息（王利明，2021）。具体到涉税信息，滥用或泄露许多不构成隐私信息但可以通过分析识别到特定自然人的一般个人信息，依然会对特定纳税人造成巨大损害，如姓名、年龄等（朱大旗和曹阳，2021a）。

其次，个人信息与个人隐私的判断标准不同。涉税信息所保护的个人信息，以可识别性为主要判断依据；而个人隐私信息，通常既具有可识别性，又要符合自身不愿为他人知晓的标准，而后者通常在判断上具有模糊性。

最后，仅针对个人隐私的保护难以覆盖个人信息利用与保护的全过程。以个人隐私为基础保护涉税信息主要集中在税务机关存储涉税信息中的保密义务，而个人信息作为涉税信息，其利用的过程包括收集、存储、使用、加工、传输、提供、公开、删除等，在这些过程中不仅有税务机关的被动义务，也包括纳税人的同意、更正、删除等主动保护的行为。综上，涉税保密信息和非涉密涉税信息只要表现为具有可识别性的个人信息，均应纳入涉税信息的范畴进行保护。

从违法涉税信息与合法涉税信息的维度，如前所述，作为个人信息在税收领域的具体表现，涉税信息的判断应当以可识别性为依据，违法涉税信息不影响涉税信息的可识别性，对于该信息不当处理仍然会损害相应纳税人的个人信息利益，因此违法涉税信息也应当纳入涉税信息的范畴（王霞和刘珊，2016）。

综上所述，自然人涉税信息指自然人纳税人在应税活动中产生的，主动向税务机关或第三方机构提供，以及有税务机关或第三方机构被动收集的个人信息，个人信息的范围参照《民法典》的规定。

（二）自然人涉税信息的区分保护路径

1.保护路径的抉择

保护涉税信息需要基于涉税信息的范畴所表现的特点，从利益平衡的角度出发，在保护缺失与过度保护之间寻求适当的界限。具体而言，税务机关保护管理涉税信息的负担要与涉税信息所承载的纳税人利益相适应，达到税收征管成本与自然人涉税信息权益的平衡。

一般个人信息利益保护中的利益平衡，要综合考量不同的信息处理人、不同类型的个人信息和利用信息的不同目的等因素，不同情境下个人信息保护的程度和措施有所区别。具体到涉税信息问题，信息处理人限于税务机关，利用目的限于公共利益，只有涉税信息的类型有所区分。即在涉税信息广泛的范畴内，不同类型的涉税信息承载着不同的利益，因此处理不同类型的信息对自然人纳税人造成的影响不尽相同（张怡和魏琼，2013）。利益差别化为保护路径的选择提出了问题，以金融账户信息和年龄信息为例，前者承载着巨大的经济利益，税务机关需要承担保密等层次更高的适当义务；而以同样的保护方式适用于后者，无疑加重其管理负担，属于过度保护。为了达到合理的利益平衡，有学者提出对涉税信息施行一体但分层的保护标准，即整体上全面保护，在具体不同信息中采取区别的措施（朱大旗和曹阳，2021b）。而我国《个人信息保护法》第五十一条也规定个人信息处理者要对个人信息实行分类化管理，体现了对个人信息区分保护的指导思想。

应该说，在涉税信息内容及利益多样化的基础上，具体问题具体分析的方式更有利于在不同的涉税信息内容项下达到利益平衡，因此不同涉税信息区分保护的路径具有合理性。在构建自然人涉税信息保护制度时，应当承继一般个人信息保护的理念，以涉税信息的类型为标准设置不同的规则。

2.区分保护的方式

对于涉税信息的区分保护，有学者依照信息敏感度的逐渐降低，将自然人涉税信息分为三类：保密信息、敏感信息和一般信息（闫晴，2018）；有学者按照传统上税务信息披露对信息本人不同的影响进行分类管理，以是否涉密为标准将涉税信息区分为涉密涉税信息和非涉密涉税信息（曹阳，2020）。结合我国当前税收法律体系中对个人隐私的涉税保密信息保护，以及《民法典》和《个人信息保护法》的分类标准，可将涉税信息分为敏感涉税信息、一般涉税信息，其中一般涉税信息又可分为未公开和已公开。

敏感涉税信息主要参照《个人信息法》第二十八条的规定，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”，敏感信息通常包括生物识别、金融账户、特定身份等信息。因为该类信息包括个人隐私信息和不愿为他人知晓的重要个人信息，因此在保护过程中可以使用《暂行规定》关于涉税保密信息的保护方式：以不公开为原则，以披露为例外。原则上税务机关需要对其进行高标准的信息安全保障履行保密义务；在法定的例外情形，如自身查询、经纳税人同意公开或面向法定的披露对象，如公安、检察院、法院、质权人等查询的情形才能够公开。同时，在公开前要进行脱敏和去识别化处理。除此之外，还有学者提出，与人格尊严直接相关的具有敏感性信息即隐私信息，不应成为征税依据，乃是课税禁区，不应成为纳税主体、客体及其归属关系的确定依据（闫海，2019）。对于部分个人生活信息，如亲友互助、利用个人休闲时间、可处分之知识等隐私信息，在收集环节可以引入必要性原则，综合考量是否将其排除在收集范围之外。

一般涉税信息则指具有可识别性、但不构成敏感涉税信息的一般个人信息。从《民法典》关于一般个人信息的保护精神来看，主要体现为适当利用个人信息并发挥其应有的价值。因此，对于一般涉税信息应当在符合程序、符合目的、披露利用规则的前提下，通过去识别化技术，收集、存储、分析、传输、共享来提高税收效率。值得注意的是，一般涉税信息的利用通常需要通知纳税人，基于是否需要通知，该类信息又可进一步分为未公开的一般涉税信息和公开的一般涉税信息。已通过一定途径合理公开的一般涉税信息，推定为已通知，但同时仍然需要按照法定程序、法定目的，并采取去识别化措施。

在上述的基础上，不具有可识别性的普通信息被排除于涉税信息之外，而在判定是否构成普通信息的过程中，需要综合考虑不具有识别性的标准。当前在我国的法律体系，不具有识别性应当符合两个要件：一是单独信息不能识别到具体自然人；二是不能和其他信息共同结合识别出某个特定人（李悦和陈秋竹，2020）。

综上所述，对于涉税信息内涵和外延的认识，明确了保护涉税信息的前提，同时也为适当保护界定范围；而根据不同类型的涉税信息分层次加以保护则更好地平衡保护与利用之间的利益冲突。

四、自然人涉税信息保护制度的具体完善

为自然人涉税信息界定范围并选择保护路径之后，自然人涉税信息的保护还需要落实到具体的利用过程之中。信息所体现的因素纷繁复杂、难以捉摸，而只有把握住涉税信息流动的链条，才能避免保护有所缺漏。具体来说，既需要在立法中对规则加以完善，同时司法实践也需要发挥一定的指引作用。

（一）完善涉税信息保护的法律体系

涉税信息保护的法律体系要形成严密的保护网络，一方面从更广义的个人信息保护层面出发，继续细化《民法典》和《个人信息保护法》中个人信息的内涵与外延，为自然人涉税信息保护提供规范和理论基础。

另一方面，完善具体税收征管法律中的涉税信息保护规则。针对立法层级低以及规则冲突的问题，应在《税收征收管理法》及其《实施细则》中专门规定纳税人涉税信息相关条款，提高其立法等级。如采用专章规定涉税信息保护规则，具体内容包括：涉税信息的定义、税务机关处理涉税信息的权利及义务、纳税人基于涉税信息的权益及义务、侵害涉税信息权益的责任等。

（二）完善涉税信息流动全链条保护的实施细则

信息流动链条可将涉税信息处理过程中的主体、行为、权利义务等内容进行固定，以此入手，可以避免保护中的缺漏；同时，把握信息流动环节可以将不同环节的权利类型固定化，在保护涉税信息的基础上为完善纳税人信息权提供一定借鉴。

《民法典》规定“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”，从涉税信息在税收征管中的作用出发，可将涉税信息的利用划定为以下环节：收集、存储、使用、共享和公开等。

1.涉税信息收集

在涉税信息的收集环节，既包括向纳税人收集，也包括向第三方收集；既包括主动申报也包括被动检查的收集方式。

一方面，明确收集环节税务机关必须遵循严格的条件和程序来获得相关涉税信息。《民法典》第一千零三十五条规定了普遍意义上的“知情—同意”规则，即“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”，涉税信息基于公益性和法定性符合例外情形。因此，自然人纳税人无“同意”权限，但税务机关仍要遵守“通知规则”来保证纳税人的知情权（已公开的涉税信息除外）（闫海，2019）。例如，可以规定“税务机关收集个人信息的，需要公开处理信息的规则、明示处理信息的目的、方式和范围”。

另一方面，要明确涉税信息的收集范围，即规定涉税信息的定义和分类。从定义的角度，可以原则性规定、列举式规定和兜底规定相结合的定义方式对纳税人涉税信息加以周延规定（曹阳，2020）。在原则性规定中确定“应当遵循合法、正当、必要原则，不得过度收集”的理念，为判断一些争议个人信息是否属于涉税信息提供解释的空间，如事关人格尊严的个人隐私信息等。从分类的角度，区分涉税信息是进行合理保护的前提，在具体规则中可以直接界定“敏感涉税信息”概念的方式，将其与一般涉税信息相区分，同时也能够强调重点保护该信息的指导思想。

2.涉税信息存储

在涉税信息的存储环节，主要涉及涉税信息的保密和安全维护，应当基于涉税信息的私密性和公开度的不同，进行区分保护。如《个人信息法》第二十八条规定，“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”。具体来说，可规定“涉税信息的存储与安全保障，要采取与信息属性相对应程度的保护措施”。

3.涉税信息使用

涉税信息的使用是信息处理的落脚点和价值所在，主要是通过对涉税信息的挖掘分析获得课税事实基础，进而征收合理的税赋。使用环节对涉税信息的保护主要体现在防止过度分析，当前通过对大数据的挖掘进而获取经济利益的商业模式层出不穷，涉税信息作为高度集中化的完美样本，要避免不当利用。具体而言，可规定在涉税信息使用前税务机关要履行告知义务，告知使用目的和方式并保持不变。

4.涉税信息共享和公开

涉税信息的公开披露和共享均是与税务机关保密义务的对抗，要坚持涉税信息的区分保护路径，提高税收效率的同时避免个人信息的泄露。整体上，涉税信息的公开和共享都需要遵守法定的程序和规则，即通知纳税人并且对涉税信息进行脱敏和去识别化处理，但特殊情况下，如向司法机关共享或披露涉税信息可不进行去识别化处理。从区分保护的角度，敏感涉税信息主要以保密为原则，只有在例外的情形下才可以披露；一般涉税信息则以公开为原则，例外情况下纳税人有合理理由拒绝公开的才能拒绝公开。上述具体规则可在当前税收征管法律关于涉税保密信息的规定之上，对客体、主体和责任加以完善。

5.自然人纳税人的主动权利

根据《民法典》第一千零三十七条规定的意旨①《民法典》第一千零三十七条规定，“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”，税务机关处理、利用涉税信息的过程中，自然人纳税人享有可以主动行使查阅、更正和删除的权利，通过上述权利，对税务机关的涉税信息管理权力进行一定的限制（苟学珍，2020）。如规定“纳税人可以依法向税务机关查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施”。

（三）发挥司法实践的指引作用

立法通常具有滞后性，而涉税信息的保护却已刻不容缓。我国当前税法立法中，仅规定了税务机关的行政处分责任，尤其是民事救济的缺失导致自然人主张涉税信息保护救济的渠道不够通畅。事实上，《数据安全法》《个人信息保护法》和《刑法》中关于个人信息保护的规定，不仅调整平等主体之间的个人信息保护关系，也可指引自然人与税务机关之间的涉税信息保护问题。具体而言，司法机关至少可以从两个方面指引涉税信息保护问题的实践。

首先，司法中明确涉税信息的范围界定。一方面，《个人信息保护法》和《数据安全法》基本上明确了个人信息的范围与判定标准，理论上与涉税信息存在包含关系，因此可作为界定涉税信息的准则。另一方面，在处理争议信息是否属于涉税信息的问题中，可以比例原则认定税务机关收集行为的合理性，如该信息与征税行为的关联性、平衡该信息的利益属性和公共利益之间的关系。

其次，对侵害涉税信息的行为进行惩处，引导税务机关与纳税人形成良性的合作税收关系。一方面，对税务机关不当处理涉税信息的行为进行惩处，包括未依照法定程序处理和未对涉税信息采取合适的安全保障措施；另一方面，税务机关工作人员实施泄露、贩卖涉税信息等严重侵害涉税信息利益的行为可依照刑法中关于个人信息犯罪的规定施加刑罚。

司法不仅能够解决当前的实际问题，同时能够指引税务机关与纳税人之间达成最佳实践，反过来也为立法提供极具现实性意义的素材。

五、结 语

在推动数字管税、涉税信息共享和“互联网+ 税务”的过程中，对于自然人涉税信息的保护和侵权的防范永无止境，自然人涉税信息保护任重道远。从涉税信息的范畴出发根据平衡私人利益与公共利益的理念区分保护，只是保护纳税人信息权的一个起点，以此为出发点，构建完备的纳税人信息权权利体系，协调纳税人信息权和税务信息管理权，是大数据背景下税收领域的必然命题和路径，对此有待进一步的发展与研究。