李金霖

（华东政法大学 经济法学院，上海200042）

一、问题的提出

在经济合作与发展组织（OECD）的共同申报准则（CRS）操作指南的第一版中，涉税信息交换的安全性一直是CRS交换四步走的重要一步。

2019年7月，保加利亚发生了历史上最大的税务数据泄露事件，引发了全球关注。2019年7月15日，保加利亚国家税务局（BNRA）的内部体系被黑客侵入，致使510万保加利亚公民的个人信息被泄露于外。7月18日，保加利亚个人数据保护委员会（CPDP）对保加利亚税务局启动了审查程序。8月29日，CPDP调查发现，保加利亚税务局作为信息控制者，在通过内部程序处理信息时没有采取适当措施，使得信息被泄露。根据CPDP的调查结果，保加利亚国家税务局泄露的信息包括姓名、个人身份证号码、地址、电话号码、电子邮件地址、个人年度纳税申报以及个人所得税的数额。

该案作为保加利亚国家税务局的税务信息泄露案例，既是欧盟《通用数据保护条例》下政府机构信息泄露的第一个案例，也是CRS下税务信息泄露的第一个案例。按照计划，2019年9月将是CRS下全球交换涉税金融账户信息的最后期限，最终将在伙伴国之间进行信息交换。保加利亚的税务信息泄露正值各国（地区）间税务机关之间按照CRS进行涉税账户信息环球交换的高峰，在这次信息泄露事件后，出于对纳税人信息安全的担忧，美国、加拿大和澳大利亚的税务机关迅速发声，一些国家立即对税务数据的安全问题展开了调查。这一事件也引起了实务界和学界对税收透明时期的税收数据安全的关注。

信息时代背景下，涉税信息共享包括国内和国际的税收信息交换（跨国界的税收信息自动交换）。就国内税收信息共享而言，税务机关可以共享其他政府部门和银行等第三方机构所拥有的纳税人涉税信息，并利用大数据技术对获取的信息进行存储、交换和使用，从而减少税务机关和纳税人之间的信息不对称，保障税收征管效率和落实税收征管。而国际税收信息共享依托经济合作与发展组织（OECD）发布的《金融账户涉税信息自动交换标准》，采用“金融机构尽职调查→税务机关获取信息→国家税务机关之间交换信息”的流程模式，自动交换一国（地区）非居民的金融账户、资产和个人信息。该模式涉及一国（地区）非居民的金融账户、资产和个人信息等涉税信息的交换，其目的是加强国际税务合作，保护居住国纳税人的权益[1]。

与其他公共机关相比，税务机关基于税收征管掌握了大量的纳税人信息，与个人数据的保护存在明显的冲突。实践中，由于缺乏具体的标准，税务部门以不加区分的方式收集、储存和分享纳税人的税务信息，但并非所有的涉税信息都被用作税收征管的依据，这无疑增加了税务机关侵权的风险。但尽管纳税人的信息权与税务信息管理权之间存在直接和间接的冲突，二者利益基础却是共同的[2]，因此加强对纳税人涉税信息的保护是保护纳税人权利的重要内容。正如有学者所言:“税捐秘密的保护乃是人性尊严以及人格的发展自由所保护的一般人格权的表现，税捐秘密是‘信息自主决定’的人格权之保护的一环，此项权利保护民众的个人资料免于遭受无限制地收集、储存、使用或传递，此种保障只有在‘重大的公共利益’以及遵守比例原则的情形下，才可以经由法律或基于法律的授权加以限制。”[3]为了协调和平衡对纳税人权利的保护与对税务信息管理权的保护，应界定需要保护的涉税信息范围。

二、场景理论与风险管理视角下涉税信息保护

（一）理论基础：场景理论与风险管理

Helen Nissenbaum的“情境脉络完整性”理论中提出了“场景”的概念。该理论认为，个人信息要尊重其最初收集的特定情景，随后的传播和利用不应超出最初的情景，影响用户对个人数据使用的可接受性或敏感性的因素被称为“信息场景”或“场景”。基于场景的方法旨在认识到，对个人数据的适当保护程度必须在个人数据存在的背景下考虑，而不是在背景之外进行抽象的预测。鉴于场景因素的多重性，个人数据使用的适当性应在不同程度上进行评估，并考虑到各种因素。场景概念区别于传统机制的主要特征是，它不是一个二元的“全有或全无”的评估，而是一个考虑到若干因素的具体情景。

基于风险的方法，是从传统的“二元”全有或全无评估转为“程度性”评估，在特定情况下逐一评估数据处理活动的风险，并根据风险程度实施适当的控制措施。这是一个贯穿数据处理生命周期的动态控制，最终目的是将隐私风险控制在可接受的范围内[4]。隐私风险评估（PIA）作为评估隐私风险的一种有效工具，在实践中已经成为一种标准化的过程，作为一种理念和最佳实践，获得了国际认可。与传统框架不同，基于风险的方法不是旨在消除或尽量减少隐私风险，而是认识到这种风险的不可避免性，并将其控制在可接受的范围内。认识到合理风险的不可避免性，也大大降低了公司合规的压力，减少了数据流动的不必要障碍。

基于“场景”和“风险”的方法也体现在欧洲和美国的改革立法中。美国的《消费者隐私权利法案（草案）》是特别的，源于它是第一部建构了场景和风险框架的国际立法。它为整个法律定下了基调，规定组织必须“只以在当时情况下合理的方式收集、存储和使用个人数据”，并设定了合理使用的动态限制，将“在当时情况下合理”的标准作为处理个人数据合法性的授权。它规定，如果个人数据的处理“在当时的情况下是不合适的”，此时组织需要评估隐私风险，并运用适当的手段来减小风险，例如加强披露的程度和采取用户控制机制。组织被要求告知用户在某种情况下什么是不合理的，并让他们合理选择是否承担风险或减轻风险。换言之，如果个人数据的处理在特定情景下是适当的，或者不适当但向用户提供了强化的控制机制，则构成个人数据的适当使用。因此，该法案跳出了传统的知情同意框架，即用户同意是主要的合法依据，建立了一个基于场景的框架，并辅之以强化的用户控制，风险评估是一种手段，风险控制是一个目标。

欧盟《通用数据保护条例》也强调了场景和风险理念的重要性，且有了风险管理的初步框架，该条例与2012年的条例草案相比，突出推广基于场景的风险评估。例如，第22条“控制者（机构）的义务”强调，经营者应“根据其个人数据处理业务的性质、范围、背景和目的以及侵犯公众权利的可能性和敏感性”来承担责任。数据处理要事先咨询数据保护监督机构，并进行数据保护影响评估，除监督机构外，数据主体也要被告知数据泄露。同时，一些例外情况适用于低风险的处理活动，例如在发生数据泄露时不需要通知监管机构，也没有义务任命数据控制者的海外代表。然而，虽然《通用数据保护条例》规定了在某些情况下对运营商的相关义务进行评估，但它并没有强调从每种情况下最相关的用户的角度来尊重用户的合理期望，也没有将“低风险”视为合法。应当指出，这并不被视为授权，而是对传统的合法授权理由的进一步扩展。相反，它在传统合法授权理由的基础上进一步扩大了对用户同意的正式要求，并进一步加强了传统的知情同意框架。因此，《条例》中场景概念的引入只是细分过程中的一个初步步骤，并没有有效解决基于风险的方法与传统体系之间的关系，没有建立一个以风险管理为核心的系统框架，最终没有突破传统方法的困境和局限。

相比于美国《消费者隐私权利法案（草案）》对“场景”理念的突出强调，欧盟的《数据保护通用条例》更注重“风险”。虽然“场景”和“风险”这两个概念有两个不同的方面，但从上述分析中可以看出，它们是密切相关的，都是为了充分保护用户的个人数据这一最终目的。场景是起点，风险管理是实现这一目的的手段。风险管理以相关的个人数据处理情景为基础，这意味着风险评估和管理应基于相关的情景，包括操作风险评估的具体指标。

总之，场景和风险的方法坚持了具体案例具体分析的原则，与运用传统的知情同意框架不同，其认识到合理使用个人数据不是严格基于是否获得用户同意，而是在于是否满足用户对隐私保护的合理期待，并认识到这是由是否对隐私构成不合理的风险决定的。基于场景和风险的新思维，在大数据时代个人数据处理的复杂场景中，遵守知情同意的表面和静态框架已无法解决严重的隐私保护问题，应及时转变对数据处理的具体场景的思维，即实施动态的风险控制。从严格遵守到灵活风险管理的转变，即注重促进个人信息的“合理使用”，监管个人信息的“不当使用”，这种以场景和风险为基础的方法可以大大提升个人数据保护的有效性和重要性，同时也可以大大减少企业不必要的合规负担。

（二）涉税信息保护中的场景理论与风险管理

在大数据时代，保护涉税信息一方面要促进信息持续有效地合理使用，另一方面则是防止涉税信息被滥用。如何定义“合理使用”对于涉税信息保护来说至关重要。目前，学术界和机构越来越多地认为，隐私和个人数据保护之间的界限不是僵化和固定的，而是主观和动态的，受到多种因素的影响，什么是个人数据的合理使用取决于具体情况。当今时代，个人数据的使用情景比法律规定和预测的更为复杂，这就是为什么国际上越来越多地提倡以用户为中心、以结果为导向的动态定义的思路。

涉税信息的定义并不像事物的定义那样稳定，而是具有场景依赖性和动态性，根据持有数据的实体、使用地点、数据保留时间、技术发展等因素而变化。也正因为涉税信息的定义是动态的、取决于场景的，所以目前的法律规定缺乏一定的实用性。这是因为，即使是涉税信息，一旦被匿名化并满足豁免条件，由于技术的进步和公司数据类型的增加，纳税人个人也可以重新被识别出来[5]。因此，个人信息并非可以“预先”精准地被界定，而是具有动态性，受科技发展水平、信息数量、收集方式、对比情况等影响，无法脱离相应场景和语境来作抽象判断[6]。以纳税人涉税信息为例，由于数据的共享，借助深度分析、聚合比对等技术手段的广泛运用，信息分析和挖掘的成本相对较低，经过深度挖掘、二次开发得到的信息数据一方面可能精确指向具体纳税人个人，另一方面也可能会导致信息的关联度缺失[7]。算法、信息技术的进步使得信息碎片被重新组合、整理成为可能，导致信息碎片也有可能成为个人可识别的信息，并将此类非个人可识别信息归类为个人信息。可以将互联网上的信息归为三类，即非个人可识别信息、间接可识别信息和直接可识别信息，而这三种类型之间很难说有清晰明确的界限。

（三）场景理论对信息“可识别性”的影响

欧盟2016年正式通过的对成员国具有直接法律效力的《通用数据保护条例》第4条第1款对个人信息的概念进行了界定：“个人数据是指与已识别或可识别的自然人（数据主体）相关的任何信息；可识别的自然人是指可以直接或间接识别的人，特别是可以参考诸如姓名、识别号码、位置数据、网络标识符之类的标识符，或者是参考特定于自然人的一个或多个身体、心理、经济、文化或社会身份。”《通用数据保护条例》前序26条指出，识别必须考虑到控制者或其他人可能合理地用于识别数据主体的所有手段。

与欧盟相比，美国在保护个人数据方面没有统一的法律，而是有各种特定部门的法律。传统上，美国在处理个人数据方面有三种方法：识别模式、非公开模式和列举法。然而，近年来，美国各州在定义个人数据时也逐渐转向以识别为中心的个人信息界定模式。例如，2018年颁布的《加利福尼亚州消费者隐私保护法案》第1798.140条规定，个人信息是指可以识别、归属或描述的信息，并且直接或间接地与特定消费者或家庭相关或合理地与之相关[8]。

我国《民法典》第1034条规定，“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。我国《个人信息保护法》第4条第1款规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。

如何定义“可识别性”与很多事项息息相关，如个人数据保护的范围、数据控制者和用户的权利和义务的限制，包括使用有关技术（如“去识别”）的合法性。如前所述，在欧美和我国，个人数据定义的一个核心要素即为“可识别性”，可识别性是指根据从有关数据主体方获取的数据信息，识别和区分到特定个体的能力。

直接识别是指获取的数据信息可以直接与特定的主体联系起来，而不需要另外的信息进行综合分析来识别到特定的自然人。与之相对，间接识别是指根据获取的数据信息不能直接识别定位到特定的主体，而必须与其他数据信息相联结分析，以识别特定的主体，如个人的家庭住址、年龄、性别、种族或民族，通常需要结合两个或更多的数据来识别一个特定的个人。法律保护直接或间接的个人可识别数据。直接的个人可识别数据的法律保护很容易，但法律很难适用于间接的个人可识别数据保护，即几个数据的组合。在收集和使用大数据的过程中，在保护数据主体权益的基础上应用“去识别”，无论在理论上还是实践上都是一个有争议的复杂问题。其核心问题就是“识别性”的界定。且间接识别性通常与数据的种类、大小、属性及应用场景等因素相关，需结合实际情况综合判定[9]。

适用“可识别”标准方面的困境，其原因和根源在于动态情景理论的抽象化。受制于相关立法技术简单性的要求，“可识别”标准无法明确解释识别的具体程度和属性等，在法律术语层面的“可识别”与事实层面的“可识别”之间还存在很多解释空间。为了提高可执行性，我国现行法律增加了“包括自然人的姓名、出生日期、身份证号码、生物识别信息、地址、电话号码、电子邮件地址、健康信息和居住信息”等规定，但在商业实践中，数据处理者不可能只收集一种数据。因此，很难将“可识别”标准适用于那些原本不是个人数据，但在业务过程中与其他信息相结合形成结构化数据的信息。这并非列举式条款的表述不周延，而是因为数据处理业务实践的复杂性决定了立法者不可能在条款中直接说明哪些信息组合形式构成或不构成个人信息[10]。

“可识别性”所规范的信息的基本范围通过立法可以确定下来，目的是为了避免风险源，防止个人因相关信息的被动获取而被他人识别。然而，看似泾渭分明的个人信息和非个人信息的建构却相对复杂。

三、对我国涉税信息保护的启示

（一）基于场景论及风险管理的涉税信息保护范围界定及法律适用

尽管我国《民法典》和《个人信息保护法》对个人信息进行了具体的定义，但对个人信息的定义应遵循一个动态理解的过程。根据场景理论，如何对涉税保护信息和非涉税保护信息进行区别分类，需要考虑到具体情况的影响因素。由于对信息的定义是动态的过程，高度依赖于信息使用的具体情景，因此，就像没有预先确定的个人信息的定义一样，并没有预先确定的受法律保护的涉税信息保护范围。

目前我国民法典和个人信息保护法的相关规定没有显示出个人信息的动态性和信息碎片之间的关联性风险[11]。建议在我国《税收征收管理法》第8条的保密条款中增加“对能够识别或者与特定个人有关的信息进行保密”，同时平衡社会公共利益，根据不同情况规定“使用税收保护信息的法律例外”。

另一方面，由于涉税信息保护范围界定的难度较大，在对于需要保护的信息处理上，应把重心更多地放在信息使用过程中。分析在具体场景中对信息的使用是否具有“合理性”，即是否满足纳税人在具体场景下对涉税信息控制的合理期待，进而要求机构对具体场景中使用相关信息可能引发的风险进行评估。弱化对涉税信息的界定是出于对信息动态化的考虑，结合不同场景对涉税信息使用风险评估更有利于规范机构的行为。

在法律适用上，如果适用信息保护法律的前提是该信息构成“受保护的个人信息”，既会使纳税人举证责任的难度加大，也会纵容相关机构逃避法律的规制，因此，对于侵犯涉税信息的大规模信息处理行为，均应受到税收征收管理法的规制。

（二）基于场景论及风险管理的涉税信息管理与保护

1.管理准则

《税收征管法》第54条第6款规定：“税务机关查询所获得的资料，不得用于税收以外的用途。”然而，在信息时代，几乎没有信息是与税收完全无关的。在大数据时代，运用目的和必要性原则作为确定涉税信息保护范围的标准会遇到困难。在现代商业模式中，数据经常被共享和随后被使用，通常很难预测信息在收集时的预期用途，而在大数据时代，收集、保留和重新使用大量数据是常态，信息的收集和随后的使用应限制在实现特定目的所需的最低限度。将信息的收集和随后的使用限制在实现特定目的所需的最低限度，并要求保留时间不超过特定目的的必要时间且在目的实现后及时删除，也会有困难。

因此，“风险最小化”应该取代“信息最小化”，成为组织管理涉税保护信息的指导原则。建议将场景和风险理论的使用从“目的约束”改为“风险约束”，这意味着有必要具体评估目的绑定是否会带来比最初收集时更大的风险。个人数据处理的适当性取决于其影响是否为用户所接受，或是否符合用户的“合理期望”。如果对数据的进一步处理不超过最初的风险，并且满足了纳税人的合理期望，就可以被认为是“合理使用”，即使它没有实现传统意义上的原始目的。基于场景和风险的理论框架，现在认为有必要考虑，不是将税收保护信息的收集和使用限制在必要的最低限度，而是将信息的使用所造成的风险限制在实现特定目的所需的合理水平。特别是，如果纳税保护信息被用于“不需要识别特定个人”的目的，如统计分析或服务改进，机构应采取合理的方法，如匿名化，以尽量减少纳税人隐私泄露的风险。

2.风险评估机制

我国应积极引入基于场景和风险理论的风险评估机制。在透明度方面，相关机构应着重于披露风险场景的组成部分，并提供方便纳税人的控制措施。在用户控制方面，应减少对用户同意的过度依赖，并规定“合理使用”情景。

对信息处理行为进行风险评估，如果处理行为属于“合理”或“可预见”的风险，则免除取得纳税人的同意，从而减轻机构和纳税人本身的负担。如果存在“不合理”或高风险的情形，应该意识到引起高风险的因素，并确保采取积极措施来减少风险，或获得明确和积极的同意，作为继续处理的法律依据。

机构可以根据其对特定情况下隐私风险的评估，为纳税人制定分层的透明度和控制机制。在低风险的情况下，金融机构不需要主动披露并向用户提供控制机制。在中度风险的情况下，机构只需告知纳税人高风险因素，并提供“退出”控制机制。在高风险的情况下，金融机构可以向纳税人提供强化的通知机制，如“立即披露”以及“选择进入”控制机制，主动采取行动降低风险，使纳税人更容易实际执行控制机制。

3.涉税信息保护责任主体

《税收征管法》第87条规定：“未按照本法规定为纳税人、扣缴义务人、检举人保密的，对直接负责的主管人员和其他直接责任人员，由所在单位或者有关单位依法给予行政处分。”现行法律还没有明确规定一些机构的责任义务，因此相关的第三方机构，如涉税信息交换机构责任的法律适用和界定也尚未明确。以风险评估的概念为出发点，所有的主体都需要被纳入风险评估机制，每个主体的差异化义务都需要用“隐私风险”的标准来确定。特别是，隐私保护风险水平可分为“高”“中”“低”，相应的保护义务水平可根据数据控制者的地位和数据处理水平独立确定。管理系统应统一包含评估的风险水平，不论有关数据处理者的地位高低或数据处理水平如何。

（三）基于场景论及风险管理的涉税信息共享机制

《税收征管法》第6条第1款规定：“国家有计划地用现代信息技术装备各级税务机关，加强税收征收管理信息系统的现代化建设，建立、健全税务机关与政府其他管理机关的信息共享制度。”为了防范涉税信息共享中的潜在安全风险，本文提出了一个系统的控制机制，假设首先对涉税信息交换进行情景式风险评估，根据风险程度，对低风险允许自由交换信息，对中等风险限制信息交换，对高风险原则上禁止信息交换。从长远来看，基于场景的方法和隐私风险评估可以作为工具，促进保护涉税信息和数据流动的综合框架的制定和改进。