《个人信息保护法》与涉税个人信息共享机制的规制研究

张甄元

(华东政法大学，上海 200042)

近年来，随着我国税收制度改革的不断深化，税收征管与相关税务服务的规范性和精准性要求不断提高。2021年3月，中共中央办公厅、国务院办公厅印发的《关于进一步深化税收征管改革的意见》提出，到2023年，要基本建成“无风险不打扰、有违法要追究、全过程强智控”的税务执法新体系，实现从“以票管税”向“以数治税”分类精准监管的转变。在此背景下，涉税信息共享机制的建立和完善被认为是解决各机关之间信息不对称困局，实现“精确征管”“以数治税”的有效手段。

涉税信息共享机制包括国内和国外两个领域。国内涉税信息共享机制通常是指税务机关在获取纳税人个人信息后，通过数据共享的方式将信息在其他行政机关以及银行等第三方机构之间进行交换和使用的机制。其目的在于消除各机构之间的信息不对称局面，从而提高行政执法效率，同时加强对纳税人的监管力度，保障税款应收尽收。国际涉税信息共享机制又称情报自动交换机制，其架构是在国内涉税信息共享机制的基础上，通过签订国际协定的方式使纳税人金融账户的相关涉税信息在各国税务机关之间实现互通，从而达到加强国际税务合作、维护各国税收主权的目的。

然而，虽然涉税信息共享机制具有诸多优势，赋予征税机关以收集和使用纳税人个人信息的权力，但是由于相关政策以及科学技术的不完善，纳税人个人信息存在泄露以及不正当使用的风险，也在一定程度上加剧了社会对于这一制度的不信任。与此同时，对自然人纳税人而言，个人信息的私密性与涉税信息的公益性之间存在天然的矛盾。随着2021年11月《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的正式实施，进一步完善了对个人信息的保护，也对涉税个人信息的使用提出了更高要求。对此，本文将从涉税个人信息的特殊性出发，结合当前相关法律的规定与不足之处，对完善涉税个人信息保护提出相关建议。

一、涉税个人信息共享机制的界定

(一)涉税个人信息的概念

目前，涉税个人信息在法律层面尚无明确的定义，仅在《纳税人涉税保密信息管理暂行办法》(国税发〔2008〕93号)中有所提及，指的是税务机关在征税过程中依法获取的与纳税人经营、技术有关的商业秘密与个人隐私。这一解释目前来看略显粗糙，其较低的立法层级也未能体现对这一概念的重视。从学理上看，目前对涉税个人信息的解读主要存在以下两种观点：一种认为涉税个人信息是指自然人纳税人在经济活动过程中形成的流量性和存量性课税资料；另一种则认为涉税个人信息是指税务机关在征税过程中涉及一切与影响税收征管工作环境有关的外部信息。司法实践中往往采取的是后一种观点。站在税务机关的角度来说，获取的外部信息越多，就越能在税收征管时占据有利地位，也越有可能足额征税。因此纳税人在日常各项活动中产生的与税务征收有关的所有个人信息均被视为涉税个人信息，也理所当然地属于可被共享的信息。

然而，无论何种解释都或多或少地存在一定的不足之处。一方面，突出涉税信息的隐私性将限制其共享范围，而追求信息共享则会不可避免地与个体的隐私权相冲突。随着2021年《中华人民共和国民法典》(以下简称《民法典》)将人格权单独成编，对个人信息与隐私权的保护被提升到了一个新的高度，也要求有关机关在该领域做出更为细致的立法实践。在这一背景下，2021年11月生效的《个人信息保护法》第二十八条规定了敏感个人信息，从广义角度将涉税个人信息涵盖其中，也为涉税个人信息的定义指明了方向。

综上所述，本文认为涉税个人信息应当是在税收征管过程中，税务机关或第三方掌握的与纳税人履行义务有关的敏感信息，应当符合以下特性：第一，只有在税收征管过程所取得的个人信息才是涉税个人信息，也只有在这一时间段内才会产生有关机关对其实施的行政行为应承担的保密义务；第二，涉税个人信息应当是纳税人在履行纳税义务时产生并被获取的信息，因此相比一般的个人信息而言更具有针对性；第三，涉税个人信息属于敏感信息，对涉税个人信息的泄露以及越权使用将不可避免地危害纳税人的相关权益，因此更需要税务机关及第三方机构对涉税信息予以针对性的保护和监督管理。

(二)涉税个人信息共享机制的特点

1.制度初衷：涉税个人信息蕴藏经济管理效益。税收收入一直是国家财政的重中之重。随着国家对于反避税措施的逐渐重视，近年来加强税收管控的呼声不断涌现。2018年新修订的《中华人民共和国个人所得税法》(以下简称《个人所得税法》)中首次增加专项附加扣除，几乎把纳税人的所有个人信息都涵盖在涉税信息的范畴中。在此背景下，涉税个人信息蕴藏的经济效益远超以往。通过对涉税个人信息的分析，税务机关能够精确勾勒出纳税人画像，进而加强对纳税人的掌控力度，提高税收征管效率。因此，从税务机关的角度而言，就需要统筹尽可能多的涉税个人信息。“往后最懂你的人是税务局”，这句话将不再只是一句笑谈，可以说掌握涉税个人信息就等于掌握了纳税人的全部命脉。

2.机制特征：税务机关占据优势地位。作为政策的制定者，在涉税信息共享机制的建设过程中，税务机关天然地占据着优势地位。法律赋予纳税人及第三方机构向税务机关提供涉税信息的义务，对税务机关而言则更多是收集和使用涉税信息的权力。随着参与涉税信息共享的主体越来越壮大，意味着更多的主体将承担协税义务，相应地税务机关的权力也随之扩张。涉税信息范围的扩大也将赋予税务机关更大的控制权力。

3.技术要件：对信息技术的强依赖性。信息技术的发展为涉税个人信息的获取和储存提供了便利，也在无形中加大了对信息技术的依赖程度。目前，纳税人的各类涉税经济活动均呈现电子化、数据化的趋势。行政机关对于涉税个人信息的收集、输送以及储存都依赖于信息技术。涉税信息共享机制要求海量信息以高频率在各部门乃至第三方之间流动，这也离不开大数据技术的支持。面对日益复杂的经济社会环境，涉税信息共享对信息技术的需求与日俱增。对信息技术的强依赖性一方面要求有关部门积极推动技术更新，另一方面也对信息安全提出了更高层次的要求。

二、涉税个人信息共享机制的困境

目前，涉税个人信息共享相关内容的规定主要集中在《中华人民共和国税收征收管理法》(以下简称《税收征收管理法》)第六条和《中华人民共和国税收征收管理法实施细则》(以下简称《税收征收管理法实施细则》)第四条。但是由于以上条款的表述过于简单，对信息共享的主体、客体以及信息保护等均未做出具体规定，导致在实践过程中缺乏明确的操作指引，也造成了如今涉税个人信息共享机制迟迟无法完全建立的局面。具体来说，涉税个人信息共享机制的建立仍存在以下问题。

(一)信息共享条款的立法不足

2015年修订的《税收征收管理法》对于涉税个人信息共享的规定比较模糊，仅仅做出原则性的表述，并且在之后的实施细则中也未予回应，在一定程度上导致涉税个人信息质量缺乏保障。这对行政机关之间乃至行政机关与第三方机构之间应当如何相互配合传递信息造成一定障碍。从我国现行的行政架构可以得知，目前我国绝大多数行政机关遵循的是下级服从上级的原则，在未收到上级统一指示的前提下，各下级机关无法贸然进行信息共享，尤其涉及的是纳税人个人的敏感信息。法律条款的缺失在很大程度上影响了涉税个人信息的共享程度，也导致信息共享缺乏效率的局面。通过整理现行法律的相关规定可以发现，在税法领域中明确规定行政机关之间应当建立信息共享机制的仅有车辆购置税、耕地占用税以及契税等小税种，在增值税等方面立法中并无相关内容，而且即使是那些规定了共享信息的法律，对于涉及行政机关的表述方式也不尽相同，造成了信息共享机制的体系性缺失。

除此之外，从经济学角度分析，根据法律规定要求相关部门共享其掌握的涉税信息，将不可避免地要求这些部门承担更多的治理成本。与此同时，由于涉税信息牵涉到纳税人的个人隐私，因此在很多时候纳税人对于提供涉税信息的要求较为排斥。结果就是征纳双方对履行各自义务时都处于消极的状态，这对于涉税信息共享机制的运作明显不利。在这种情况下，一方面需要对消极不履行义务的行为提出惩罚措施，另一方面也可以适当建立激励机制，对主动推进涉税信息共享机制进程的机关和个人给予鼓励。然而较为遗憾的是，目前立法界尚未规定未履行义务的法律后果，各地的政府规章对于这一问题也很少涉及。那么根据税收法定原则的要求，就不能对相关主体追究法律责任，惩罚与激励机制的缺失使涉税个人信息共享机制难以在法律上有强制性要求，降低了相关行政机关执行的力度和刚性。

(二)征纳双方信息的不对称

与一般民事主体之间信息交换不同的是，纳税人与税务机关或其他行政机关之间就涉税信息的提供与交换存在天然的不平等地位，也导致双方信息不对称以及信息失真的不利局面。一方面，税务机关代表国家权力机关，对税收政策的执行和落实承担责任，相比于纳税人而言，在了解国家政策信息方面具有绝对的优势地位，纳税人往往只能被动接受国家指令。另一方面，纳税人在征税过程中又是涉税信息最主要的提供方。对于行政机关而言，获取信息的真实性和可靠性在极大程度上取决于纳税人的个人品质。这又造成税务机关等行政机关在涉税信息的获取上成为弱势方。一旦纳税人在提交涉税信息时造假，那么税务机关就需要花费极大的成本进行纠正。此外，随着社会的不断发展，行政机关面临越来越复杂的涉税信息管理形势。涉税信息的不对称意味着税务机关不得不承担更大的管理风险和压力，同时也会导致纳税人的道德风险和税务部门的逆向选择问题，造成税收生态恶化的不利后果。这些都将对涉税个人信息共享机制的建立和运行带来障碍。

(三)第三方机构定位及作用的不清晰

目前，针对第三方机构尤其是金融机构在涉税信息共享中的地位和作用尚无统一的结论。仅在《个人所得税法》第十五条中提及了第三方机构的协助义务。作为同样掌握纳税人海量信息的主体，第三方机构法律地位的模糊会使其在信息共享机制下的处境较为尴尬。由于第三方机构的定位不明，也会导致其在履行协助义务和保护个人隐私之间产生冲突。第三方机构掌握的纳税人信息拓展了行政机关的信息渠道，但是行政机关直接从第三方获取该类信息的行为在一定程度上弱化了纳税人对个人涉税信息的掌控力度。与此同时，第三方机构在日常经营中与纳税人开展业务属于民商事领域活动，双方之间本是平等主体关系，因此这些机构天然地对纳税人的个人信息负有保密义务。行政机关如果强制要求第三方机构提供纳税人涉税信息，将很可能与保密义务发生冲突。如果第三方机构掌握的纳税人个人信息在涉税信息共享机制下得不到应有的保护，就意味着纳税人的涉税信息安全将面临新的风险。

(四)法律救济措施的不完善

涉税个人信息的使用本质上属于纳税人信息权的一种，行政机关对于该类信息的共享，理论上需要经过纳税人从知情到同意的一个授权过程。但是根据现有的法律规定，行政机关在使用纳税人个人信息时仅存在《个人信息保护法》中规定的告知义务，纳税人同意与否对其信息的“被共享”影响不大。这就导致了纳税人在涉税信息共享机制下的被动性，增加了纳税人的信息安全风险。除此之外，涉税个人信息共享属于税务机关的行政行为，但其性质上并不属于现有的税收保全或强制执行等措施。根据2009年国家税务总局发布的《关于纳税人权利与义务的公告》(国家税务总局公告2009年第1号)，纳税人只在税务机关违法实施行政处罚等行为时享有救济权。当涉税个人信息被行政机关不当使用时，或者纳税人对行政机关共享其信息的决定不服时，纳税人的救济行为并无法律上的支持，纳税人涉税个人信息侵权的救济路径存在漏洞。

此外，在司法层面，纳税人涉税个人信息的救济也存在举证难度大、维权成本高等问题。涉税信息共享的一大特点就在于实施的主体是行政机关，对于纳税人而言具有天然的优势地位。在实践中个人涉税信息泄露的源头较多，纳税人很难确定信息是否是从税务机关泄露的。即使纳税人察觉自己的涉税信息被不当使用后，也很难从行政机关处取得并保留相应证据，这也进一步增加了纳税人的维权成本。纳税人缺乏对涉税信息共享平台的技术性了解也将导致举证门槛提高。与此同时，由于行政裁量权的主体也是税务机关，因此纳税人的举证也很难超越税务机关的裁量权。以上问题都将导致纳税人涉税信息得不到足够的保护和救济，纳税人处于被动的不利局面。

三、《个人信息保护法》视角下涉税个人信息共享机制的规制路径

综上所述，目前涉税个人信息共享机制的建立仍然面临诸多困境。随着2021年11月《个人信息保护法》的正式生效，个人信息保护有了更加体系化和详尽的规定。作为个人信息中较为敏感的涉税信息，也自然而然地纳入了《个人信息保护法》的保护范围。因此，本文结合《个人信息保护法》的相关规定，为涉税个人信息共享机制的完善提供建议和路径。

(一)“告知同意”规则的修正

首先，强化告知义务，构建标准告知流程。在《个人信息保护法》出台前，对于个人信息处理的“告知同意”规则，在各项法律中并不统一，涵盖了诸如“告知+同意”“告知+无需同意”“无需告知+无需同意”等不同模式。诸多模式的混乱导致实践中对个人信息保护的不充分。《个人信息保护法》出台后以上情况将得到改善。《个人信息保护法》第十七条对个人信息处理者的告知义务提出了更为详细具体的要求。在此基础上，第三十五条将告知义务扩大到行政机关对个人信息的处理方面。根据第十七条规定，个人信息处理者在处理信息时，应当秉持简洁明了的理念，将处理过程中所涉及的实体与程序问题向本人进行说明。结合《个人信息保护法》第二十九条规定，行政机关在开展涉税个人信息共享前还需要对信息的性质进行事先划分，明确区分敏感信息与非敏感信息。针对可能归类为敏感信息的涉税个人信息，行政机关还需要考虑其是否需要获得纳税人的同意。据此，以税务机关为代表的行政机关在涉税个人信息共享机制下的一条标准告知流程被构建出来，各行政机关均应当以该流程为指引，积极履行告知义务，以确保纳税人对自身信息的流向有准确清晰的认知。

其次，建立以风险评估为基础的事前信息审批机制。《个人信息保护法》第五十五条和第五十六条对个人信息处理者提出事先审查与风险评估的要求。通过上文分析可知，涉税个人信息具有多重属性，导致该类信息的不当使用存在更大风险。因此，结合第五十五条和第五十六条规定，行政机关在实施涉税信息共享前应当建立风险评估程序，对需要共享的纳税人个人信息进行筛选，并基于风险评估报告，通过平台数据信息应用予以公示。

最后，需要说明的是，作为公权力的代表，以税务机关为代表的国家行政机关在涉税个人信息处理过程中具有天然的强势地位，因此更需要相关法律予以规制，防止权力的滥用。《个人信息保护法》中专门规定了国家机关的特殊职责，体现出对这一问题的重视。在个人所得税反避税规则逐渐完善的当下，更需要严格落实《个人信息保护法》中的告知同意规则，确保行政机关在税收征管过程中的合法性、公开性，切实保障纳税人的信赖利益不受损害。

(二)行政机关职能的再定位

涉税个人信息共享机制的建立意味着行政机关之间信息流通效率的加强，一方面为行政机关提高效率带来便利，另一方面也使行政机关的角色发生转变。作为税收政策的制定者，行政机关本身也承担着监管的职责。如今，行政机关作为信息的处理者，与纳税人之间产生了基于信息处理的行政法律关系。通过参与涉税个人信息的处理活动，行政机关实现了从监管者向被监管者的转变。“监管者被监管”也成为《个人信息保护法》的一大特点。

因此，在《个人信息保护法》的视角下，涉税个人信息共享机制的落实更需要平衡好税收协调与行政控权之间的关系。当前，《个人信息保护法》构建了多主体的监管体系。一方面，由国家网信部门主要负责对个人信息处理的统筹协调；另一方面，国务院及县级以上地方人民政府的有关部门也在相应的职责范围内负有监管职能。这样的设计虽然存在争议，但是仍有一定的现实基础。鉴于涉税个人信息形态和涉及领域的多样性，通过设置专门机构进行统筹协调是提高监管效率、防止权力集中化的重要方式。由此来看，在《个人信息保护法》视野下对行政机关处理涉税个人信息时的职责再定位是十分重要的。

(三)司法救济措施的完善

如上文所述，涉税个人信息共享机制的建立面临的一大难题是现有法律救济措施的不完善。现行《税收征收管理法》对涉税信息侵权行为并未做出定性，且行政机关与纳税人之间存在天然的地位不平等以及信息不对称局面，导致纳税人权利受到侵害时举证难、申诉难、维权成本高。《个人信息保护法》第六十九条对个人信息侵权行为的举证责任做出规定，明确采取过错推定原则，在一定程度上缓解了纳税人举证难等问题。根据第六十九条规定，个人信息处理者需要自证没有过错才可以不承担赔偿责任。针对赔偿数额的计算，《个人信息保护法》借鉴了《民法典》中有关侵权责任划分的规定，以实际损失作为主要的计量标准。据此，通过将行政救济民事化的方式，《个人信息保护法》完成了涉税个人信息共享机制建立中最为关键的一环。当纳税人察觉自己的涉税信息被不当使用后，无需纠结该行为的定性问题，直接援引《个人信息保护法》的相关规定即可追究行政机关的责任。这样既保障了纳税人的权利，也提高了行政司法的效率。

(四)明确第三方机构的职责定位

在涉税个人信息交换机制下，第三方机构是指银行等掌握纳税人财务信息的金融机构。与行政机关不同的是，这些第三方机构本身并不是通过税收征管的方式获取纳税人个人信息的。但是由于它们在经营中的特殊身份，其对纳税人个人信息尤其是金融账户信息的掌控程度在一定程度上并不低于行政机关。在《个人信息保护法》的框架下，作为另一类个人信息的处理者，第三方机构需要明确自身定位，这对完善涉税个人信息共享机制同样具有十分重要的意义。

在《个人信息保护法》的视角下，第三方机构在涉税个人信息共享机制中应当有明确定位。其一，第三方机构并不是代替税务机关获取纳税人信息的工具，因而应当具有独立地位。其二，第三方机构即使在涉税信息交换机制中仍对纳税人个人信息负有保密义务，这是《个人信息保护法》第十八条对个人信息持有者的基本要求。第三方机构向行政机关交换的信息应当是经过审查处理的客观信息，而非纳税人的原始个人信息。其三，根据《个人信息保护法》第二十三条规定，第三方机构相比行政机关具有更加谨慎的告知义务。第三方机构需要在纳税人接到通知并表示同意后，才可以向行政机关报送相关信息。如果纳税人不同意共享信息，则可行使第二十三条规定的拒绝权，并依照拒绝权的相应程序判断是否应当报送信息。此外，《个人信息保护法》对信息共享的程序做出规定，因此建议建立行政机关与第三方机构之间的信息隔离机制，行政机关在获取涉税个人信息时要进行严格筛查，防止第三方机构成为行政机关附属下的“信息仓库”。

四、结语

涉税信息共享是提升税收征管效率、促进税收执法公平的有效手段，对于保障国家财政收入具有重要的现实意义。完善的制度设计，确保纳税人个人信息的妥善使用，是推进涉税个人信息共享机制的坚实基础和根本保障。2021年出台的《个人信息保护法》对于加强我国个人信息的保护具有鲜明的时代意义。通过对《个人信息保护法》的参照适用，本文为涉税个人信息共享机制提供了可行的规制路径。随着我国法治建设的不断推进，相信我国的信息保护制度与税收征管制度也会不断完善，届时对纳税人涉税信息的法律保护也将更加周密详实。