李 悦，陈秋竹

(西南政法大学 经济法学院，重庆 401120)

党的十九届四中全会提出“坚持和完善中国特色社会主义行政体制，构建职责明确、依法行政的政府治理体系”顶层理念，进而明确在构建政府行政权责体系的过程中，应当“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则”，“深入推进数字政府建设，加强数据有序共享，依法保护个人信息”。毋庸讳言，数字政务和数字化治理是建设“数字中国”的重要环节，更是实现我国治理体系和治理能力现代化的基础命题。政府作为社会管理主体，应积极寻求信息化转型，借助数据科技回应今后社会治理的现实需求，通过大数据提升政府的管理和决策能力。与此同时，依法行政要求政府行政必须在法律框架内展开，因此，政府使用数据应严格遵循相应法律标准，从而保障行政管理权的规范运行，连同行政相对人的个人信息保护。

将“数字中国”的制度意向向我国税收征管领域推进，“数据管税”无疑是我国实现税收现代化的重要表现。数据管税的核心在于，税务机关将海量数据作为分析及决策的依据，以此制定和调整契合经济发展的科学化征管策略。但同时应注意，税务机关作为政府的公共管理部门，在收集、处理和使用纳税人信息的过程中，其行政权力必然受到法律的限制，防止税务机关对纳税人隐私权的肆意侵害。我们认为，确定纳税人信息匿名化的法律标准，是实现“数据管税”科学化、规范化开展必不可少的法治方式，也是推动数字政务建设以及数字化治理背景下，通过落实税收法定原则实现税收法治现代化的题中应有之义。[1]101

一、纳税人信息匿名化是践行“数据管税”的基础

(一)“数据管税”引领我国税收征管模式变迁

自2015年国家税务总局提出《“互联网+税务”行动计划》以来，各级税务机关日益重视涉税数据的采集、分析、利用和共享。学者认为，“数据管税”必将成为我国继“以账控税”、“以票控税”、“信息管税”之后，新时代税收征管的核心模式。[2]39通常而言，税务机关主要依据纳税人提供的原始数据确定应纳税款，抑或对这些原始数据存有疑问时依职权予以税收核定，最终将纳税人承担的税款缴纳义务同纳税人的税负承担能力相匹配。

与此同时，因为纳税人数据的内容存在法律强制约束而确保了真实性，税务机关还可以通过“银税联动”的协同机制，向金融机构有限度提供纳税人的税务信息，“以税定贷”，促进企业良性发展并最终实现企业、金融、税务的三方共赢。[3]108

但如前所述，因涉税数据往往直接牵涉攸关纳税人发展的财产情况和个人信息，处于信息优势方的纳税人存在隐瞒真实信息的动机，往往倾向于拒绝提供信息甚或提供虚假信息，最终将造成征管过程中严重的信息不对称问题。[4]38“数据管税”能对税收征纳产生的涉税数据予以全程管控，其依托的大数据技术具有数据规模大、类型多以及处理快等多个方面的特点[5]3，能够提升“非合作博弈”前提下税务机关获取信息的有效性，从根本上缓解税收征管中的征纳双方信息不对称。深入推进“数据管税”模式的主要优势在于：(1)深入发掘纳税人的差异需求，并有针对性地完善纳税服务；(2)准确评价纳税人税收信用，有目的性地改进征管流程；(3)全面把握行业宏观税负，为我国财税体制改革提供建设性决策依据，等等。综上所述，“数据管税”以海量涉税数据为基础，以多元纳税人信息为驱动，以获取税务信息为制度改进愿景，对征管的思维模式、技术手段和法律规范产生了深远影响，毋庸讳言，其必将成为推动我国税收治理现代化的重要引擎。

(二)纳税人信息开放与隐私保护异质法益的冲突

1.纳税人信息与税务信息。纳税人信息是指基于纳税人个体可识别性产生的信息总称，大致可分为：(1)商业秘密信息；(2)个体隐私信息；(3)基本生产经营信息；(4)涉税负面信息。[6]24以拥有法人资格的企业纳税人为例，纳税人信息具体包括企业的基本生产经营信息，如工商登记信息、纳税登记信息、基本经营信息、基本生产信息以及投资人信息等；隐私信息包括纳税人所纳税款的具体金额、税种税目、申报起止等，同时也应当包括企业发票领用和开具的相关信息等；商业秘密信息包括企业的业务明细，未上市企业的资产负债表、现金流量表和利润表，核心技术等；涉税负面信息则包括企业受到税务处罚的事由和内容、企业曾受税务稽查的具体情形和后续处理、企业欠税的额度和缴款期限，等等。

从法律制度的视角来看，我国实定法就纳税人信息保护问题，可划分为“专门权利保护”和“个人信息保护”两条路径。首先，我国以《税收征收管理法》(1)《税收征收管理法》第八条：“ 纳税人、扣缴义务人有权要求税务机关为纳税人、扣缴义务人的情况保密。税务机关应当依法为纳税人、扣缴义务人的情况保密。”、《纳税人涉税保密信息管理暂行办法》(2)《纳税人涉税保密信息管理暂行办法》第二条：“本办法所称纳税人涉税保密信息，是指税务机关在税收征收管理工作中依法制作或者采集的，以一定形式记录、保存的涉及到纳税人商业秘密和个人隐私的信息。主要包括纳税人的技术信息、经营信息和纳税人、主要投资人以及经营者不愿公开的个人事项。”第三条：“对于纳税人的涉税保密信息，税务机关和税务人员应依法为其保密。”(以下简称《暂行办法》)和《关于纳税人权利和义务的公告》对纳税人的信息权利予以专门保护。前述法律法规明确对未经处理的纳税人信息(即数据法所指涉的“原始数据”)，税务机关应予以保密。与此同时，从《民法总则》关于个人信息保护(3)《民法总则》以第一百一十一条和第一百二十七条对“数据”和“信息”做出了区分。相关研究形成的通说观点认为，数据是信息的载体，而信息是数据的解释，直接承载数据主体的人格和财产利益。，连同《刑法》“侵犯公民个人信息罪”的文本规定看(4)参见《刑法》第二百五十三条之一和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条。，作为个人信息的自然人纳税人信息，包括但不限于公民姓名、身份证号和财产状况等，在法律规定的范围内应禁止公开共享。前述规定结合《网络安全法》的立法宗旨，援用私法领域类推解释方法，银行账号、交易记录等能够识别法人纳税人的信息，在我国范围内也应作为个人信息予以保护。(5)参见《网络安全法》第四十四条和《电信和互联网用户个人信息保护的规定》第十条。值得注意的是，以可识别性为标志的个人信息并非仅保护自然人，而无论法人纳税人信息已受法律何种程度的保护，《网络安全法》“保护公民、法人和其他组织的合法权益”的立法宗旨，似更能体现数据主体受同等保护的理念。虽然纳税人信息具有显著的经济与社会价值，但因其仍相对完整地保留了针对特定纳税人的可识别性，根据《暂行办法》的规定，原则上纳税人信息只应由税务部门用于税收征管；除法定之纳税人信息的合理使用情形外，不能向其他主体提供或作其它用途。(6)参见《暂行办法》第二条和第三条。学者对《暂行办法》的纳税人信息合理使用规则进行评价后，认为其相较于美国《国内税收法典》(Internal Revenue Code)的第6103条，我国的规定仍显得过于粗糙并缺乏实践的可操作性。[7]51

税务信息通常指税务机关进行税收征管时，对收集到的包含纳税人信息在内的原始数据予以分析后形成的衍生信息，即纳税人信息被记录、存储后，经过算法的加工、计算、聚合而成系统的、可读取的、有使用价值的数据信息。[8]因此，税务信息系税务机关将大量纳税人信息予以汇总再利用后的产物，其相对于纳税人信息的敏感性和识别性更低，同时针对具体纳税人的指向性和人身属性相对较弱。总而言之，税务信息是将带有纳税人个人身份信息或隐私信息的原始数据，经脱敏(完全过滤掉包含纳税人个人信息要素)处理后，所形成的可用数据，是与纳税人相关的、涉及各种税收信息的总和，包含纳税人在缴纳税款过程中主动给税务机关及第三方提供的，或者由税务机关或第三方强制性掌握的有关纳税人身份、财产状况、经营状况等有关信息。[9]125本体论上的税务信息构成“数据管税”之基础，是税务机关对纳税人的涉税数据予以收集基础上，通过纳税人信息分级和多层利用衍生的管理信息。《暂行办法》第四条所设置的税务机关信息披露机制，其对象更多地指向“税务信息”而非“纳税人信息”，更不必说本源意义上需要绝对保密的涉税数据。(7)《暂行办法》第四条所列举的“根据纳税人信息汇总”的“行业性、区域性等综合涉税信息、税收核算分析数据、纳税信用等级以及定期定额户的定额”等税务信息显然并不具备可识别性，对其予以披露不需要法律的明确规定或纳税人的知情同意。基于前述原因，税务信息而非纳税人信息将可直接用于改进税收征管，政府披露税务信息不需要寻求纳税人的知情同意；前述税务信息的用途也不局限于税收征管，可广泛应用于教育、医疗、金融、社会保障等相关公共领域，继而提升我国各政府公共管理部门的协同水平。

2.异质法益下的纳税人隐私权。诚如前述，税务机关“数据管税”之基础在于对纳税人信息予以分析处理后得到的税务信息，而在信息收集过程中，税务机关往往倾向于尽可能全面采集纳税人涉税数据，或者充分挖掘既有涉税数据所蕴藏的纳税人信息。那么在税收征管机关采集、存储和分析涉税数据时，纳税人隐私权与信息开放异质法益之间的冲突逐渐显现：一方面，出于公共管理的需要，要求征纳税过程中税务信息在相关部门之间开放；另一方面，具有显著个人标识性的纳税人信息理应纳入隐私权保护范围。因此，税务机关如何适用法律提供的合理明确限度，使自身既能够获得“数据管税”所不可或缺的纳税人信息，又避免搜集过多的纳税人信息从而侵犯纳税人隐私权，是当下亟待探讨需加以解决的法律问题。易言之，如何在由于公权力与私权利的冲突不可避免、纳税人信息的经济价值增长等因素导致税务机关与纳税人在纳税人信息领域存在紧张关系前提下[10]153，借助法律调和信息开放和隐私保护的异质法益冲突，寻求纳税人信息向税务信息转换的合宜法律标准，成为援用“数据管税”征管模式前亟需解决的法治问题。

“纳税人隐私权”的提出对数据开放和隐私保护的异质法益冲突进行了相关的理论回应，其意指纳税人享有的税收征纳过程产生的纳税人信息不受侵犯的法律权利。既有研究表明，相较于传统的民法隐私权，纳税人隐私权具有以下要素特征：(1)主体包括企业法人和其它组织；(2)内容主要以信息形态存在；(3)客体只能在税收征管过程中形成；(4)不仅是精神上的抽象权利，更关乎实在的经济利益；(5)相较民事隐私权有更强的集合性。[11]55作为特殊类型的隐私权抑或独立的新型权利(8)美国法沿用数据隐私权(Data Privacy Right)的权益保障路径，同欧盟以“个人数据受保护的权利”(Right to the Protection of Personal Data)描述的新型独立权利形成鲜明对比。，其根源于美国信息隐私学说和实定法“纳税人信息保密权”的纳税人隐私权，其税法意义在于：其一，纳税人隐私权的集合性要求法律予以主动的概括保护，纳税人隐私权的保障对象并非全然是业已存在的纳税人信息，仅靠主体自身并不能对纳税人信息实现全面的控制和掌握，这使纳税人隐私权摆脱了主体自决而具有显著的社会权色彩；其二，纳税人隐私权的保障直接有赖于由税法设置的，以准备条件、予以配合甚或提供帮助的国家义务，法律借助义务划定何部分纳税人信息应作为税务信息，同时建立纳税人信息匿名化后再识别的责任追究机制。总而言之，纳税人隐私权从路径上借鉴了隐私权类型化的保护标准，在我国税收基本法和纳税人权利保护法缺位前提下，无论是回应因监管不力导致涉税数据泄露的管理风险，抑或税务信息被再识别导致纳税人信息权益受损的技术风险，都需要审慎考虑援用纳税人隐私权的法律保护进路，系统全面地探讨纳税人信息的公法和私法保护。

3.信息匿名化对异质法益冲突的现实缓解。诚如前述，纳税人信息既是纳税人在征管过程中标识自己的重要工具，同时也是具有强经济属性的纳税人隐私权益，更是“数据管税”下税务机关识别、了解某个纳税人进而课征税款的依据。设若在“数据管税”模式下，纳税人信息的公开共享严格遵循信息的知情同意原则，即税务机关公开共享纳税人信息必须得到其同意，那么，纳税人信息本身的应然作用和实然效率将受到制度阻碍，难以实现纳税人信息对税制征管改进、跨部门信息共享、乃至国际税收情报交换的价值。譬如在大企业税收服务当中，某些纳税人并不当然同意公开共享其信息，甚或该纳税人信息公开共享涉及敏感权益，但该纳税人信息对于“数据管税”具有重要作用，将其依《暂行办法》予以保密显然影响到税务机关征管改善。那么，在使用和共享以纳税人信息为来源的税务信息，业已成国家治理和公共管理的显著趋势，涉税数据的存储传输始终难以避免个人隐私、商业秘密和数据安全受威胁的当下，纳税人信息匿名化成为因应税收法定、平衡征纳利益、管控数据风险，妥善缓解前述的异质法益冲突的重要技术手段。

所谓匿名化直接来源于我国《网络安全法》第四十二条的除外条款，其与“去识别化”的含义基本相同[12]65，现下主要的匿名化方式包括假名、加密、哈希函数、随机化和泛化等技术手段。既有立法通常将“可识别性”作为判断数据是否属于个人信息的标准，亦即已进行匿名化而不具备可识别性的信息，被完全排除出个人信息保护法的适用范畴。(9)这些典型立法如欧盟《通用数据保护条例》、美国《儿童在线隐私保护法》、英国《数据保护法案》、日本《个人信息保护法》，等等。我国《网络安全法》、澳门地区《个人资料保护法》、香港地区《个人资料(私隐)条例》和台湾地区“个人资料保护有关规定”。尽管匿名化是缓解信息开放和隐私保护异质法益冲突的主要手段，但目前学界对匿名化的研究主要集中于信息技术层面，而对匿名化法律标准问题的探讨仍堪称论者寥寥。(10)目前，个人信息匿名化的法律治理探讨主要停留在比较法阶段，理论界很少讨论数据匿名化的有关法律问题，司法实践关于信息隐私保护制度也并不健全。譬如在CNKI以“数据匿名化”、“匿名化”和“法学/法律”为关键词对核心期刊数据库予以检索后发现，仅有张涛(2019)；韩旭至(2018)和张晨原(2017)以匿名化为主题开展了专门研究；武长海、常铮(2018)；石丹(2018)和齐爱民、张哲(2018)等，则将匿名化作为信息法治的组成部分展开了探讨。我们认为，税务信息管理要求的纳税人信息匿名化同个人信息的匿名化大同小异，即指将具有纳税人个体属性的涉税数据从数据集中剥离，而保留“数据管税”所需的具有经济社会管理属性信息，主要作用于税务机关基于纳税人信息形成可资管理和共享的税务信息这个过程，并保证本环节公开共享的信息符合相应法律的强制规定，故其同涉税数据的收集过程如纳税人的所得税申报等并无关涉。

按照《暂行办法》第四条之规定，税务机关在特定范围内可以披露纳税人的涉税信息(11)《暂行办法》第四条规定：“根据法律、法规的要求和履行职责的需要，税务机关可以披露纳税人的有关涉税信息，主要包括：根据纳税人信息汇总的行业性、区域性等综合涉税信息、税收核算分析数据、纳税信用等级以及定期定额户的定额等信息。”，而通过将纳税人信息予以匿名化形成税务信息，将大为拓展政府纳税人信息的可用范围：(1)在涉税数据采集的初始目的，即税收征管以外使用纳税人信息；(2)借助其他手段分析纳税人信息，并对额外取得的信息予以利用；(3)向第三方提供纳税人信息的交互接口。因使用匿名化处理的税务信息不再需要纳税人知情同意，且不受采集纳税人信息时征管专门目的限制，处理后的税务信息已不再属保密的涉税数据范畴，因而可通过文字、数字或图像的形式予以公开，并根据“法无禁止即自由”的私法自治原则向社会共享，最大限度地发挥纳税人信息对公共部门决策、管理和服务的价值。综上所述，作为“数据管税”模式下重要的纳税人信息管理手段，纳税人信息匿名化能有效缓和数据开放和隐私保护的异质法益冲突，因应税收法定、平衡征纳利益、管控数据风险的制度需要，从而为落实“数据管税”征管模式提供现实基础。但与此同时，纳税人信息匿名化的合宜法律标准，也成为税收信息管理亟需研判的关键问题。

二、纳税人信息匿名化法律标准的比较考察

作为个人信息重要组成部分的纳税人信息，若要用于“数据管税”则必须进行匿名化处理，从而满足税务信息开放共享全程的合规需要。但与此同时，现行《网络安全法》第四十二条的法律规定(12)《网络安全法》第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”其中，提出网络运营商向他人提供个人信息需要知情同意的例外标准为“经过处理无法识别特定个人且不能复原”。，并未能充分揭示纳税人信息匿名化的法律标准，“经过处理无法识别个人且不能复原”的表述，虽适合我国数据产业起步发展的处境，但这种原则性的规定相较现实情形显得过于简陋，可能无从适应“数据管税”的多元需要。与此同时，既有的《个人信息安全规范》(GB/T 35273～2017)作为推荐标准，甚至不具有规范性文件的法律效力，导致细致明确的高位阶纳税人信息匿名化标准始终缺位。标准缺位无论对税务信息使用者抑或纳税人而言，都无法起到预期的促进信息开放或隐私保护作用。故有必要参考域外的纳税人信息匿名化法律标准，对匿名化作为数据共享的除外适用规则予以确定。

(一)欧盟模式：穷尽所有可能性标准

欧盟法受大陆法系立法的思维路径影响，法律予以认可的隐私权利范围非常狭窄，因个人信息产生的权益被视为同隐私权有所区别的新型权利。纳税人信息更多地被视为个人信息予以保护，其始于1980年经济合作与发展组织签订的指导原则，即“经合组织隐私原则”。[13]18欧盟有关个人信息匿名化的立法始于1995年的《数据保护指令》，但该指令被欧盟委员会2016年4月通过的《通用数据保护条例》(以下简称GDPR)[14]所取代。GDPR中关于个人信息匿名化法的强制性规定，主要集中在前言部分、第四条“术语定义”和第十一条“不需识别的处理”部分(13)GDPR第四条第(5)项定义的“匿名化”实则为“假名化”，结合前言第28段“本条例对‘假名化’明确的介绍并非意图排除其他数据保护手段”的表述，可知假名化是为实现匿名化目的的方式。, 其在前言的第26段前半部列举了匿名化技术应当达到的标准。即当有攻击者企图从已匿名化的数据中再识别出数据主体时，规章对这种再识别的手段应当有何强制性要求。[15]54总的来说，欧盟构建的匿名化标准较为严苛，因GDPR要求的再识别手段需要考虑所有的客观因素，在目的限制之前提下，必须考虑“直接或间接所能联想到的任何合理可能的手段”的文本表述，为匿名化设置的法律标准几乎等同于当前技术手段的极限。而以移除识别符手段因应“穷尽所有可能性”的个人信息匿名化，在纳税人信息保护实践过程中最终能否实现仍然有待商榷。

(二)美国模式：隐私权类型保护标准

美国法下，个人信息保护问题的本质基本等同于公民隐私权保护问题，同个人信息相关的隐私权保护规则散见于诸法律文件中。(14)如美国1970年制定的《公平信用法》对信用报告者在处理消费者个人数据时，应当遵循的隐私权保护原则进行了规范；1974年《家庭教育权和隐私权》法案规定18周岁以下学生的父母、年满18周岁及以上的学生，有权检查、相应控制或要求修改教育机构发布的与该学生相关的个人信息；1978年《金融隐私保护法》对联邦政府获取个人金融记录的行为予以规制；1998年《儿童在线隐私保护法》专门针对13岁以下儿童的网络个人隐私进行倾斜性保护，如2012年颁布的《消费者隐私权利法案(草案)》直接针对大数据时代的消费者权利保护，等等。相应在纳税人信息保护方面，主要因循纳税人信息的隐私权保护进路，通过扩张公民隐私权的权利范围至纳税人信息，进而同政府的税收信息管理权力形成双向制衡关系。而就税收征管领域而言，美国1976年出台的《国内税收法典》第6103条 (a) 款对纳税人涉税信息保护做了原则性规定：除本条明确规定的例外情形外, 纳税申报书及申报信息应当保密。[6]51(15)这些信息主要包括纳税人身份、所得来源、支付款、资产净值、过高估价、预约定价协议等。目前，披露纳税信息被认为仅仅在涉及刑事和民事诉讼、儿童抚养费执行以及反恐等目标下才能适用。[8]58这也导致了目前美国并不存在关于个人信息匿名化的权威定义，更不必说归整并可资借鉴的纳税人信息匿名化法律标准。总体而言，相较于欧盟GDPR使用的“匿名化”概念，美国法惯常使用“去识别化”这一表述，譬如美国标准与技术协会对数据的去识别化的界定，是对于数据集中个人可识别信息的改变或删除。[16]此外，美国对于纳税人信息匿名化的立法例共识，是该方法可以通过去除或模糊涉税数据中的可识别性，从而最终避免纳税人信息向第三方暴露。[17]

与具象美术、意象美术不同，抽象美术完全不对应于现实世界存在的一切事物，是想象的，虚拟的，装饰形式或者画面是来源于艺术家的精神世界。抽象美术不再是写实写意，他是介于自然之外的精神追求，一般是艺术家表达自己的心境，或者对宇宙浩瀚的敬畏，也可能是对社会风气的讽刺。艺术家往往是通过装饰形式，笔触，色彩来表达。

(三)中国模式：不可识别和复原标准

当前，我国实行纳税人信息专门保护与纳入个人信息范围保护的“双轨制”。就纳税人信息作为个人信息加以保护这一路径而言，根据个人数据保护法对个人数据界定的反向推导，法律语义下的匿名化数据至少要满足两个标准：(1)仅从该数据本身无法指向特定的个人；(2)即使结合其他数据也无法指向特定个人。[18]39承前所述，《网络安全法》第四十二条除外条款所确立的，能够直接适用于纳税人信息匿名化的法律标准大致为：其一，经匿名化处理后的税务信息无法识别特定纳税人；其二，经匿名化处理后的税务信息不能被再次复原。结合该法第七十六条的规定予以体系解释后，易知符合我国法律标准的纳税人信息匿名化，要求对相关税务信息予以不具有复原可能的技术处理，规制路径类同于GDPR要求的“绝对匿名化”模式。[19]因作为使用纳税人信息须遵循“知情同意”原则的例外规定，毋庸讳言，该除外条款构成了我国“数据管税”法律标准的基础规范。与此同时，尽管存在《暂行办法》等规定的“纳税人信息保密权”，由于最终共享的税务信息已完全被切断同特定纳税人的联系，因而经技术处理后并无识别到特定纳税人之可能的信息，便不再受纳税人隐私权保护，政府可不经纳税人同意即对税务信息予以共享使用，税务机关也无需再为纳税人隐私权提供保障。

(四)评价

从近年来各个国家和地区个人信息保护法对匿名化的理解看，基于目的论的纳税人信息匿名化法律标准，相较于技术视域下的纳税人信息匿名化显得更为精准，但前述各种标准显然存在缺点和不足：

其一，就欧盟GDPR设置的法律标准而言，因个人信息匿名化绝不意味着绝对的不可再识别，我们认为，该法律标准忽视了匿名化处理的技术限度，来源于技术规范的法律标准不可谓不“严苛”。(16)从技术上来说，所有数据的匿名化处理至少包括两个步骤：(1)去除或改变个人信息中的直接标识符；(2)去除或保留个人信息中的准标识符。该准标识符本身并不能识别特定个人，但可与其他数据的信息相联系以识别信息主体。平心而论，法律治理为技术手段的使用提供了规范导向，并以自身权威确保技术手段的实现和运行；技术手段应当是法律治理的辅助和补充，而不应该以技术手段取代或突破既有的法治架构。具体而言，个人信息匿名化处理并不代表要将数据中的身份识别信息完全去除，而应当对数据中具有识别性的部分进行风险评估和判定，基于判定结果决定该数据端对个人信息的可能暴露程度。从这个意义上说，哪怕已经对纳税人信息予以匿名化处理后，仍存在从税务信息中被再次识别的相当风险，GDPR过高地设置了纳税人信息匿名化标准，将不可避免地背离信息经济时代所持的开放价值。

其二，美国将纳税人信息纳入隐私权范围予以保护，设置国内收入署监督委员会乃至“纳税人权利保护官”的进路，恐仍无法实现对纳税人信息权益的全面保护。首先，分散立法模式导致不同层级的税务机关，就不同的事宜适用不同个人信息保护规定，纳税人信息保护的充分性和全面性时刻面临法律漏洞的现实制约。但必须承认，对于数据进行普遍性的法律保护是必要的[20]62，作为纳税人隐私权客体的“纳税人信息”范围更加宽泛，甚或因当下信息技术高速发展而产生不确定性，导致隐私权保护进路的适用范围受到显著限制。然后，美国对公共部门或公共事务进行专门信息保护立法，而对于非公共部门信息数据主要依靠自律性规范予以调整，体现了追求有效性、能动性和灵活性的实用主义法治理念，但也因规范的规制口径不同而造成跨部门法律适用的障碍。此外，“数据管税”下纳税人必须面对个人信息有限公开的事实，如果因循传统民事隐私权的保护模式保护具有社会权性质的纳税人隐私权，必然要求纳税人在“隐私保护”和“纳税便利”间进行抉择。这既不符合借助“数据管税”充分提升纳税便利的制度愿景，同时在法律规范中额外增设纳税人之选择义务也堪称“苛责过甚”。总而言之，若我国贸然移植美国立法中对于纳税人信息的隐私权保护模式，持续投入立法资源进行《暂行办法》的规整和续造，可能在基本法理上产生错位从而产生更大的法律适用困境。

其三，回到将纳税人信息作为个人信息保护的路径，不难发现，我国《网络安全法》已设置满足前述标准的个人信息匿名化法律规范，因而具有指导“数据管税”中纳税人信息匿名化的理论正当性。但必须承认，各国迄今为止对税务机关等公共机构收集使用个人信息的行为，仍然秉持着比允许市场主体共享交易更加审慎和保守的态度。已有的个人信息专门立法表明，政府原则上不应成为个人信息的开放共享主体，如我国《征信业管理条例》的规制对象限定为“非国家机关”；我国台湾地区“个人资料保护有关规定”也明确，只有非公共机构方可对个人信息予以商业化使用。但这并不意味着税务信息就绝对不能因公共目的使用，譬如韩国《公共数据的提供及使用相关法律》则推动政府公共机构数据开放，以此意图提升该国的国民生活质量和经济发展水平。总体来说，尽管现有规定破除了先前法律法规关于个人信息不能开放共享的强制规定，但我国现行立法对于个人信息匿名化的规定并未置于定义条款当中。这种立法缺憾迁移至税收领域，我国并未采取同国外相同的将匿名化数据在定义条款中予以排除这一立法模式，表明立法者对于个人信息是否能直接用于“数据管税”的态度颇为暧昧和谨慎，这反而进一步加重我国纳税人信息匿名化法律标准的模糊性。

三、纳税人信息匿名化法律治理的原则演绎

法治首先意味着“法律至上”，而维护权利义务的动态平衡是法律治理的本质所在。纳税人信息利用主要涉及到税务机关信息管理公共利益与纳税人信息保护权之间如何妥善平衡的问题，因此在“数据管税”背景下，针对纳税人信息匿名化的法律治理，需要在充分考虑已有法律标准优缺点的基础上，借助权利保障原则、税收法定原则、狭义比例原则的理论演绎，证成兼顾异质法益的纳税人信息匿名化法律标准的合理性。

(一)纳税人权利保障原则

税法要求充分保障人权，大数据时代同样应当秉持法治时代尊重纳税人权利的根本准则，纳税人信息开放和隐私保护的异质法益，总体应当以激励相容的数据治理理念予以调和。[21]3纳税人信息匿名化是保障纳税人数据隐私权益的重要方式，从税法视域考察，两种法益应遵循差异而非平等的格局。具言之，当信息开放和隐私保护的异质法益不可避免发生冲突，并缺少实定法律依据时，应以维护纳税人隐私权在前，满足信息开放共享的需求在后为基本准则，亦即纳税人信息匿名化过程中需要优先考虑纳税人隐私保护法益。[3]156毋庸讳言，纳税人信息是纳税人经济交易、私有财产甚或个人隐私的数据载体，同其它纳税人基本权利始终紧密相连。由纳税人信息提取的税务信息虽直接关涉公共管理和社会治理的实际绩效，以税务信息为依托的“数据管税”也是税收治理现代化的重要体现，但其所代表的国家征税权力易被滥用却也是个不争的事实。如果法律优先保护“数据管税”所体现的公共利益，政府将借助制度设置的豁口不断侵犯纳税人权益，最终将不可避免地成为霍布斯忧惧的“利维坦”。

(二)税收法定原则

实践中，税务机关在借助税务信息开展“数据管税”时，需要援引税收法定原则指导纳税人信息匿名化的过程。毋庸讳言，税收法定原则的根本目的在于约束国家征税权，在权利保障原则前提下防止公权力的擅断与滥用。其要求课税要素与征管程序需严格按照法律规定，前者指税收核定、课征的实体条件应当有明确的法律规定，后者指税收征收、缴纳的程序性要件也应当具有正当性，概言之，即“实体合法，程序正当”。税收法定原则要求提升税收征管立法的科学性与灵活性，针对纳税人信息匿名化处理，需要在税法中明确划定税务机关对纳税人信息利用的法律边界。

具体而言，需充分利用人大将《个人信息保护法》纳入立法日程的契机，探讨何以实现两个立法目标：其一，将个人信息匿名化的法律标准予以规范化和精细化，为保障个人信息保护法之完备提供法律上的制度供给。其中，关键在于考虑将个人信息匿名化规定置于定义条款而非例外规定，采取将匿名化后的信息在《个人信息保护法》中予以明示排除的立法模式，以此澄清纳税人信息是否能够直接用于“数据管税”的暧昧立场。其二，提升《个人信息保护法》与《税收征收管理法》续造的衔接程度，构建并进而完善两者在法治框架下的互动交涉机制。这要求税收征管法需将“数据管税”所不可或缺的信息要素予以法定，主动促进《暂行办法》提出的纳税人隐私权专门保障进路，同《个人信息保护法》的个人信息保障进路的协调共融。税收征管法需将纳税人信息明确规定为“个人信息”，或将经匿名化后的税务信息作为非个人信息予以描述，为纳税人信息的个人信息保护在税务信息管理的推开创造条件。

(三)狭义比例原则

诚如前述，税务机关收集“数据管税”所不可或缺的税务信息，不论是事前的风险评估、事中的个案分析抑或事后的信息维护等，对纳税人隐私权益的限制必须符合比例原则。税务实践中的比例原则是对裁量征税行为进行规制和审查的主要法律手段。[22]26比例原则根源于前述的权利保障原则和税收法定原则，主要借助狭义比例原则或称“均衡性原则”限制税务机关的信息管理权，着重考察信息管理“手段”与“目的”之间的法律关联性。申言之，即在遵循权利优位和税收法定前提下，税务机关应采取对纳税人隐私权益伤害最小的手段，确保获取税务信息所产生的利益应大于可能损失的利益，否则这种信息收集行为便会失去行政法上的合法性。

引入比例原则的原因在于，某个纳税人信息集经不同匿名化后会形成不同的税务信息，但这并不意味着纳税人信息的匿名化程度越低，就越有利于“数据管税”对于税收征管的全程把握。譬如借助税务信息判断某地区某行业的宏观税负时，借助企业规模等参数判断宏观税负和承担能力，相较于单纯地析出税负数据显然要更有利于征管改进。因任何脱离具体规则的法律适用都可能构成恣意，尽管生成税务信息时适用比例原则需要紧密结合立法意图，但采用利益均衡的标准判断规范能否被比例原则涵摄，将会使税法适用径直进入解释者的价值判断领域。但无论如何，税务机关在使用纳税人信息生成税务信息时，应当尽量减少对纳税人信息的侵害，并设置纳税人信息匿名化的法治实效评价机制等，借助自我约束和私权利制约限制政府的征税权力。

四、构建纳税人信息匿名化法律标准的具体路径

总体而言，纳税人信息匿名化法律标准的构建，应当在完善纳税人信息内涵及外延的基础上，充分运用利益平衡的方法，设置兼顾异质法益的匿名化法律标准。具体路径应从三个层次加以着手：其一，考虑纳税人信息匿名化的具体情境，开启目标导向的规制范式转换；其二，设置以“情境性匿名化”为核心的法律标准，降低纳税人信息的再识别风险；其三，设置税务机关防止再识别的国家义务，妥善建立纳税人信息匿名化的责任追究机制。

(一)规范纳税人信息的内涵及其外延

税务信息来源于纳税人信息，是基于纳税人信息产生的衍生信息。尽管在未来的立法和适用中未必需要严格区分前述概念，否则将耗费大量成本陷入潘德克顿式的同义反复当中，弱化法律对实践发展的指导意义和规范意义。但仍需强调，同欧盟以“可识别性”为特征的、基于个人信息的纳税人信息相比，我国笼统地使用“纳税人信息保密权”的概念，然后要求对纳税人的保密和敏感信息统统予以控制，显然已经不能满足当前个人信息保护和利用的现实情况。法律需要保护纳税人信息但并非绝对意义上的所有税务信息，而是符合个人信息保护法律定义的纳税人信息，对“纳税人信息”的明确规定能够为前述判断提供明确的指引。

就完善“纳税人信息”的内涵和外延的具体措施而言，其一，应在《税收征收管理法》中先对纳税人信息、税务信息和纳税人隐私权的概念内涵予以明确。《税收征收管理法》作为高位阶税收立法，目前具有显著的税收基本法和纳税人权利保护法的色彩。(17)譬如我国台湾地区于2016年通过了“纳税人权利保护相关规定”，并于次年通过了“纳税人权利保护相关规定”的“实施细则”，明确将纳税人权利归入当地区税务当局和司法当局的职权范围，从而普遍地提升了纳税人权利的保障层次。明确以个人信息予以保护的纳税人信息，应当由《暂行办法》所明确的保密信息和敏感信息构成，除有明确缘由外，纳税人的一般信息应不被视为法律语境下的“纳税人信息”(18)见《暂行办法》第2条。，其同经匿名化处理后的纳税人信息构成“税务信息”，包括纳税人曾接受税务处罚的信息。其二，在正在制定的《个人信息保护法》中明确纳税人信息的外延。究其原因，在于并非所有纳税人信息都具有税务治理的意义，仅仅依靠现有的《政府信息公开条例》无法促使政府履行纳税人信息的匿名化义务，《个人信息保护法》需要形成对如何脱敏、清洗和交互等关键问题的详细回答，以回应复杂的数据交互甚或交易活动中可能产生的法律问题。

(二)引入情境性匿名化的法律标准

禁止个人信息的再识别是许多国家个人信息立法的共同选择。情境性匿名化又被称为“功能性匿名化”，其根本观点在于，个人信息是否成功匿名化、抑或再识别的风险大小，取决于个人信息与情境之间的相对关系，其是以目标情境为导向的、对GDPR“穷尽所有可能性”标准予以软化解释的新型标准。具体而言，情境性的匿名化主要包括两个要素：其一，纳税人匿名化需要考虑数据所处的情境，具体包括相关的涉税数据、纳税人信息使用者、税务信息治理作用，以及匿名化的硬件设施等要素。其二，税务机关在披露税务信息的前提下，应全面预测可能出现的情况，制定应急预案并同利益相关者展开沟通。

之所以强调引入情境性匿名化这一标准，目的在于揭示匿名化并非能克竟全功的技术保护措施，纳税人信息经过匿名化处理并不等同于“数据管税”过程中税务信息便可成为所有个人信息处理利用限制规则的除外对象。“数据管税”应当以动态的视角识别、评估纳税人信息所面对的风险，进而以法律确定采用不同的纳税人信息匿名化方式。税务信息的再识别风险可能性越高，可予披露的对象范围就越狭窄，并且应该对税务机关课以额外的义务，以保障税务信息不会被再次识别。

而就再识别风险的分级管控而言，譬如美国法认为“没有合理理由认为信息能够用来识别个体身份”时，纳税人信息便被充分地去识别化了。若数据产生争议便采用“安全港”法和专家确定法，如果争议数据出现了任何禁止出现的识别信息，即说明法律意义上的去识别化不够充分；然后借助业内专家的知识、经验连同科学方法，由专家在检查时判定数据是否已经充分地去识别化。总之，应当根据不同纳税人信息的重要程度设置不同的匿名化法律标准，寻求相对的、可预见的、具有可行性的纳税人信息匿名化程度划分机制。

(三)纳税人信息再识别的法律救济

如果说以情境性匿名化确定匿名化的法律标准是正向地降低纳税人信息的再识别风险，那么对纳税人信息再识别的法律救济便是逆向降低纳税人身份的再识别风险。但目前而言，我国缺乏具体的、细化的救济制度设计，针对信息侵权的救济手段过于原则化且缺乏可操作性。[23]107在我国《民法总则》第111条中，仅对“自然人的个人信息受法律保护……”做出笼统规定，一般个人信息侵权损害具体的救济路径，需要结合总则第110条关于隐私权保护的条款形成“二元制”保护模式，司法实践中主要通过对公民隐私权的保护，要求数据使用者承担侵权责任。无可否认，这一路径在规制数据控制者为科技企业或其他民商事主体时具有空间，但在税务征管过程中，由于税务机关是数据的掌握者或利用者，因此要求作为行政主体的税务机关承担个人信息侵权损害赔偿责任，在当前的司法诉讼程序中难以实现，也不符合实际情况。另外，相关条款中也未专设违背“匿名化”标准的侵权责任。鉴于此，有必要在税务征收管理规定中按照本文关于匿名化的法律标准，设置专门条款规定税务机关防止公民数据再识别的义务，同时赋予纳税人对税务机关使用税务信息行使监督之权利，并进而完善行政救济程序，对于税务机关未尽到充分的保护义务或存在滥用数据时，保障纳税人可通过要求行政机关勤勉履行职责及通过行政诉讼要求税务机关承担相应的责任。