纳税人信息保护和涉税信息管理的冲突与协调——以《个人信息保护法》为视角

李威03

作者：
闫 海（辽宁大学法学院）
冯 硕（辽宁大学国家治理与法治研究中心）

现代社会在本质上是一种以信息技术为依托的时间和空间高度延展的社会系统，个人本位理念下的个人信息私法保护模式的不周延性日益凸显，而个人信息的公法保护是反映其社会属性的必然要求。据统计，目前约有九十多个国家或地区制定了关于个人信息保护的法律规范。我国在《民法典》第四编第六章隐私权和个人信息保护专章的基础上，在2021年颁布和实施了《个人信息保护法》。纳税人信息是个人信息在税收领域的具象化。大数据、区块链、物联网、云计算等现代信息技术的应用、第三方税收协助义务的法定有效解决了信息不对称导致的税收征管乏力等问题，但宽泛的涉税信息获取权限也威胁着纳税人的信息安全，纳税人信息保护与涉税信息采集、保有、使用、共享、公开等管理工作产生了较为明显的冲突。本文认为，应当以《税收征管法》修订为契机，将《个人信息保护法》同涉税信息管理具体规范相协调和衔接，化解二者冲突，乃至强化对纳税人信息的公法保障。

一、纳税人信息保护与涉税信息管理冲突的现实逻辑
治理语境下的财税制度正积极重塑回应性、法治化、公共性和均衡化的品格，以体现其公共财产法以及纳税人权利保护法的基本属性。纳税人权利理念已经逐渐成为国际共识，但受传统税收理论片面强调税收强制性、固定性和无偿性的影响，我国税收征管仍呈现为重国家税收保障、轻纳税人权利保护的格局。税务机关为实现“信息管税”而积极开展的信息技术开发抑或涉税信息交互范围的扩张，其潜在的管理不善与技术风险在一定程度上加剧了对纳税人信息安全的威胁。
（一）不实申报纳税的在先性假设
《税收征管法》第二十五条规定了纳税人依照法律和行政法规的相关规定进行纳税申报的义务。涉税信息往往体现为私有属性，纳税人具有基于自身意愿对其进行占有、使用、处分等先天优势。按照理性经济人的假设，纳税人一般不具有向税务机关主动如实申报的内在动机，乃至存在刻意隐瞒或主动销毁涉税信息以实现逃避缴纳税款目的之可能。税务机关因此事先对纳税人予以“偷逃税”的在先性假设，进而在后续执法中以反向推理方式对纳税人“偷逃税”的怀疑予以排除。税务机关为确保涉税信息全面性、准确性和真实性而实施必要的税务检查，必然会造成纳税人信息权保护与税收征管的直接冲突。
（二）涉税信息共享范围的扩张
信息不对称是制约税收征管的核心问题。国家为确保税收收入得以征收，依赖较为完善的涉税信息管理机制。随着我国经济社会以及信息技术的快速发展，电子商务、平台经济等新商业模式打破了传统的产业和业态，其高隐蔽性和强流通性加大了涉税信息管理的难度。涉税信息是确定税额、推定征税、享受税收减免的重要依据，纳税人申报的涉税信息与第三方机构所掌握的涉税信息构成完整的信息链条，因此涉税信息共享成为打破征纳双方“信息差”的基本路径。但是，定期的纳税人信息采集与存储、部门间涉税信息共享扩大了涉税信息交互的广度和深度，纳税人成为“透明人”，这无疑加大了纳税人信息泄露或被滥用的风险。我国第三方涉税信息共享改革急剧拓宽了涉税信息共享的交互范围。例如，2018年《个人所得税法》修订，新增6项专项附加扣除是改革的重要成果之一，但为保证税务机关全面获取专项附加扣除所需的信息资料，《个人所得税法》第十五条规定了公安、银行等第三方主体应向税务机关提供其所掌握的纳税人专项附加扣除信息。
（三）信息化征管加剧风险
信息技术推动纳税人信息的高效采集、海量存储、便捷利用，推进了税收征管的数字化升级与智能化改造，实现了税务执法、服务、监管与大数据智能化深度融合、高效联动、全面升级。但是，随着互联网、大数据、区块链等现代信息技术的普及与发展，电子数据存储与共享等环节受到恶意攻击的频率更高，攻击的方式和途径也更加隐秘。涉税信息管理技术的滞后、专业人才的短缺导致纳税人信息极易被暴露在“第三只眼”下，对纳税人信息安全的保护构成严峻挑战。纳税人信息管理不善、信息管控终端内控不足引发纳税人对信息安全的担忧。个人信息背后隐含着极高的经济价值，因而成为不法分子所垂涎的“唐僧肉”。近年来，我国个人信息泄露事件时有发生，甚至还存在公权力机关工作人员与专门从事信息窃取或倒卖的组织相勾结等恶性违法案件，泄露信息数量高达亿级。因此，加强对纳税人信息的管控力度，回应纳税人信息安全保障的社会关切，已成为现代化信息管税亟待解决的问题。

二、纳税人信息保护与涉税信息管理协调的利益基础
就税收的特性而言，国家征税权的行使与纳税人财产权保障之间的冲突不可避免，但对公私权力（利）边界的理性界分并结合双向调节的制度安排，能够实现二者的价值统合。依此思路，纳税人信息保护与涉税信息管理的冲突化解应当基于公共利益与个人利益的协调，此目标的达致将实现征纳双方乃至第三方共赢的圆满结果。
（一）社会本位下的公共利益优位
个人信息兼具社会性与资源性的二元特征，应当以社会本位为个人信息保护的基本理念，能动地回应个人信息保护的各项需要。现代社会关系日趋复杂，国家与私人之间的利益冲突亦逐渐显现，从社会影响出发平息二者之间的冲突即为社会公共利益的立场。公共利益并非个人利益的简单加总，一旦某一制度实施具有促进公共利益实现的较大效用，或者某项原则基于公法逻辑而取得支配性地位，个人权益的保护只能位居其后。尽管纳税人信息权利保护已成共识，但在具体语境下的纳税人权利并非“绝对优位”。纳税人易采取瞒报、漏报或误报纳税信息等方式达到少缴或不缴税款的目的，以现代信息技术等手段加强税收征管旨在获取准确的涉税信息以保证税收公平，保障足额征缴税款。因此，纳税人信息权益的保护应为公共利益的实现作出适当让步。
（二）个人利益让渡的比例原则
纳税人信息权益的行使在税收征管中受到一定限制，但此种限制应当缘法而行。比例原则在公法领域被誉为“皇冠原则”而受到普遍适用，为平衡税收征缴同纳税人权利保障的冲突，其应当成为税法领域中的一项基本原则。比例原则的根本定位在于公民权利的防御性保障，可具体划分为适合性原则、必要性原则和均衡性原则三个子原则。按照经典的“三阶论结构”，三个子原则依其内在逻辑呈现阶梯式递进样态，即只有符合上一子原则的要求才对下一子原则的适用加以分析，从而实现后一子原则“强化”上一子原则的紧密结构。首先，适合性原则要求个人利益的让渡须以满足公共利益的需要为前提，即税务机关在征管中获取、利用纳税人信息仅为足额征缴税收，不违反适合性原则；但工作人员为获取私利所实施的窃取、泄露、倒卖纳税人信息等行为，则违反适合性原则。其次，个人利益的让渡应当依据必要性原则审视税收征管对纳税人信息获取、利用是否必要，即税务机关应按照信息的敏感程度以及纳税人的个体可识别程度对其所掌握的纳税人信息予以差别化管理。最后，税务机关涉税信息管理权限的行使必须符合均衡性原则，即狭义比例原则。税务机关获取纳税人信息应当保持必要的限度，税收征管对纳税人信息领域的介入不能触及对纳税人的自由、财产、精神、隐私等保护。
（三）公私利益的价值统一性
人的基本人格和尊严的确立及维护需要以个人欲望与公共欲望的满足作为前提条件，个人欲望的满足可通过划定生存空间、保障个人独立和私事自主等方式予以实现，而公共欲望只能依托国家予以实现，税收即为保障公共欲望实现的重要方式。因此，尽管税收征管表现出一定的侵益性，但其终极价值仍为保障纳税人权利的实现。税收正义的实质在于以个人权利为前提、以公共利益为目的、以国家权力为手段实现个人权利、公共利益与国家权力的三维协作。换言之，公共利益虽然并非个人利益的简单加总，但体现为普遍化的个人权利；个人权利的自愿让渡产生了国家权力，因此国家权力与公共利益的本源即为个人权利，它们的产生和发展最终都是为了实现个人权利，更好地满足个人需要。无论为满足公共欲望，抑或实现税收正当性，税收征管所要保障的公共利益同纳税人的个人利益均具有价值的统一性，其最终的受益对象均为纳税人，因此纳税人信息权益的适度让步仍未跳出权利保护的自洽基础。

三、基于《个人信息保护法》的涉税信息管理
《个人信息保护法》的颁行意义不仅是保护自然人的信息权益，更是以严明的法律规范约束各类主体合法地获取、利用自然人信息，推进信息安全领域的国家治理现代化。相比于其他公权力机关，税务机关基于税收征管掌握了大量的纳税人信息，与个人信息保护的冲突更显突出。因此，基于个人信息保护与税收征管平衡的利益基础，厘清《个人信息保护法》的本质属性，并据此加强涉税信息管理是推进税收法治建设的题中之义。
（一）《个人信息保护法》的属性厘定
《个人信息保护法》的属性厘定是确保《个人信息保护法》有效实施以及与其他法律制度有效衔接的前提和基础，但目前学术界对此尚无统一认识。有的观点认为《个人信息保护法》与《民法典》属于特别法与一般法的关系，有的观点则主张将《个人信息保护法》认定为一部对个人信息保护进行全面规范的兼具公法与私法属性的综合性法律。个人的信息利益应当被视为一种基本权利，《民法典》以保护民事权利为使命，难当此重任。况且，《个人信息保护法》涉及规范公权力机关处理个人信息，明显超出私法调整的范围。因此，将《个人信息保护法》定位为受公法与私法双重规范的综合性法律更具合理性。《个人信息保护法》既不给予个人绝对的信息自决权，也并非传统意义上的行政管理法，而是一部兼具管制与自治色彩的法律。
（二）基于《个人信息保护法》的涉税信息保护范围
《税收征管法》第八条第二款规定：“纳税人、扣缴义务人有权要求税务机关为纳税人、扣缴义务人的情况保密。税务机关应当依法为纳税人、扣缴义务人的情况保密。”《税收征管法实施细则》第五条将予以保密的涉税信息限定为商业秘密和个人隐私。随着税收征管水平的提高以及相关部门的大力配合，仅将商业秘密和个人隐私纳入涉税信息保护范围已经无法满足涉税信息保护的要求。例如，《国家税务总局关于加强年所得12万元以上个人自行纳税申报信息保密管理的通知》（国税函〔2007〕1248号）将“纳税人姓名”等非商业秘密或个人隐私的一般信息纳入保密的范围内，以加强对涉税信息的保护。
《个人信息保护法》将个人信息区分为一般个人信息和敏感个人信息，其中敏感个人信息是指一经泄露或非法使用易侵犯自然人人格尊严、人身安全或财产的个人信息。概言之，个人信息一般指向信息的可识别性，而个人隐私一般指向信息的敏感性和私密性。界定需要保护的涉税信息范围是《个人信息保护法》与税收征管的协调和衔接的应有之义，也是因应“信息管税”对纳税人信息安全挑战的制度需求。本文建议修改《税收征管法》第八条关于涉税信息保密条款的规定，明确税务机关对纳税人、扣缴义务人的个人敏感信息、商业秘密以及其他个人信息的保密义务。同时，为了配合《重大税收违法失信案件信息公布办法》（国家税务总局公告2018年第54号）等信息公开具体办法的实施，建议在《税收征管法实施细则》中引入“清单模式”，可分为正面清单和反面清单两种类型，以正面清单对需要保护的涉税信息范围及类型进一步细化，再配合负面清单为补充，将必要的信息公开场域、范围和程度予以列示。此为平衡信息保护与必要信息公开的理想选择。
（三）基于《个人信息保护法》的涉税信息管理一般规定
《税收征管法》第六条第二款规定：“纳税人、扣缴义务人和其他有关单位应当按照国家有关规定如实向税务机关提供与纳税和代扣代缴、代收代缴税款有关的信息。”该法第十七条第三款规定：“税务机关依法查询从事生产、经营的纳税人开立账户的情况时，有关银行和其他金融机构应当予以协助。”在《税收征管法》涉税信息披露规定中，与之相关的纳税人权利保护规定得较为简略，是纳税人保护和税收征管地位不平等的典型表现之一。加之信息技术在税收征管运用中增加引发风险的紧迫性，建议在修订《税收征管法》时，在第三章“税款征收”前增设“涉税信息管理”专章，将涉税信息披露内容予以整合，并在前面列示纳税人信息保护规定作为对涉税信息管理的一般性规定，构建突出纳税人信息保护的涉税信息管理规范体系。
第一，纳税人的涉税信息知情权。《个人信息保护法》第十三条将个人信息的知情同意作为信息处理的一般条件，并列举七项例外规定。知情同意是个人信息保护的核心要素，是“自控性”之于个人信息的集中体现。“涉税信息具有公益性、法定性，纳税人不宜对其涉税信息行使同意权能……但纳税人应当享有一定限度的知情权”，本文建议对纳税人就自身涉税信息收集、利用、共享的知情权予以明确规定。
第二，纳税人对自身全部涉税信息的查阅权、错误涉税信息的异议权和更正、补充请求权。基于技术措施及部门、机构的披露义务，税务机关所掌握的信息具有数量庞大、管理严密等特点，除纳税人主动申报的涉税信息外，税务机关通过其他渠道获取的涉税信息内容一般不为纳税人所知悉。为保证纳税人对自身涉税信息真实性、完整性加以监督的权利的有效实现，《纳税人涉税保密信息管理暂行办法》规定了纳税人对涉及其本人商业秘密和个人隐私信息的外部查询权以及权利行使的具体规范。《个人信息保护法》第四十五条、第四十六条分别规定个人对自身信息的查阅、复制权以及对个人发现的不准确或不完整信息的更正、补充请求权。为此，建议在修订《税收征管法》时明确纳税人涉税信息的查阅、复制权，将其权利范围扩充至税务机关所掌握的与之相关的全部涉税信息，并对纳税人所享有的对错误涉税信息的异议权和更正、补充请求权予以列明。
第三，严格限定涉税信息收集方法和处理目的。《个人信息保护法》第六条要求个人信息处理者不得过度收集个人信息且信息处理必须同处理目的直接相关。《税收征管法》第五十四条第六款规定：“税务机关查询所获得的资料，不得用于税收以外的用途。”但是，置身于信息时代，与税收全然无关的信息类型屈指可数。鉴于涉税信息获取具有潜在的侵益性，本文建议在修订《税收征管法》时，明确规定税务机关须依照法定职权收集纳税人必要的涉税信息，与税收征管无关的信息，纳税人及相关机构有权拒绝提供。此外，虽然《税收征管法》第五十四条对涉税信息的使用作了限制性规定，但此项限制性规定置于税收检查之下。为保障涉税信息应用的合目的性，建议进一步明确涉税信息的收集、使用、共享仅限于税收征管之目的，但法律另有规定的除外。例如，社会保险费交由税务部门统一征收，此项收入具有与税收相近的正当性基础，在税务机关内部设立信息壁垒只会造成大量信息的重复获取，降低税务机关的工作效率，提高相对人守法成本，可以将其列为法律规定之例外情形。
第四，基于信息安全保护划定课税禁区。课税禁区有广义和狭义之分，广义的课税禁区被认为是国家所不能侵犯的纳税人基本权利的统一体。《个人信息保护法》第二章第二节针对敏感个人信息的处理规则作了专门性规定，明确个人隐私信息是个人敏感信息之核心。征税权属于一项法定的侵益性权力，但其核心是对纳税人权利的限制而非剥夺，隐私信息具有基本权利属性，不应成为征税依据，本文建议将其划为课税禁区。
第五，明确纳税人信息安全监管的责任主体。《税收征管法》第八十七条规定：“未按照本法规定为纳税人、扣缴义务人、检举人保密的，对直接负责的主管人员和其他直接责任人员，由所在单位或者有关单位依法给予行政处分。”但这一条款仅对事后责任追究作出规定，无法满足纳税人信息保护的紧迫需求。鉴于《个人信息保护法》第五十二条要求处理个人信息达到一定数量需设立相关的责任主体以负责对个人信息保护的监督，建议在现有监管模式的基础上设立专门的信息保护机构对涉税信息收集与管理展开事前风险评估、事中检查督促，以实现涉税信息的事前、事中、事后全方位保障。
（四）基于《个人信息保护法》的涉税信息共享机制
《税收征管法》第六条第一款规定：“国家有计划地用现代信息技术装备各级税务机关，加强税收征收管理信息系统的现代化建设，建立、健全税务机关与政府其他管理机关的信息共享制度。”涉税信息双向共享机制易侵犯纳税人权利，但能够实现税务机关与第三方机构、单位的共赢，亦可视为对第三方涉税信息报告义务的成本弥补。我国已经存在涉税信息双向共享机制的积极实践，例如，《海南省税收保障条例》明确提出税务机关与其他机关、单位的涉税信息双向共享。此外，《环境保护税法》第十五条规定了税务机关同生态环境保护主管部门对于环境保护税涉税信息的双向共享义务。为防范涉税信息双向共享存在的潜在安全风险，本文建议采取限制性的涉税信息双向共享机制设计。《个人信息保护法》第五十一条规定了个人信息的处理应当“采取相应的加密、去标识化等安全技术措施”以防范信息安全风险。按照信息敏感程度可将纳税人信息划分为纳税人敏感涉税信息和纳税人一般涉税信息两类。在涉税信息双向共享中，敏感涉税信息应当进行“脱敏”或“匿名化”处理，而一般涉税信息经“去识别化”后便可实现信息共享，即基于信息的敏感程度采取“一体但分层式”的信息保护。此外，《个人信息保护法》第五十五条要求个人信息处理者在对待敏感个人信息处理、向境外提供个人信息等对个人权益有重大影响的处理活动时，应当事前进行个人信息保护的影响评估处理情况并进行记录。因此，本文建议建立纳税人信息风险评估机制，依据涉税信息的敏感度、与纳税人权益的关联度将纳税人信息划分成“重要”“特定”“常规”三个等级予以分流审核，同时对涉税信息的共享设立严格的程序限制，形成共享请求、信息审查、信息提供以及信息监督的全流程。有关的“共享痕迹”应当予以留存，以备后续监管；并且明确涉税信息共享的权责规范，按照“谁共享谁负责”的原则，对于违反涉税信息共享的限制规范或程序的主体加以法定责任追究。
（五）基于《个人信息保护法》的涉税信息保护责任
纳税人信息保护的责任承担与纳税人信息权益救济是“一体两面”。《税收征管法》第八条第四款规定：“纳税人、扣缴义务人对税务机关所作出的决定，享有陈述权、申辩权；依法享有申请行政复议、提起行政诉讼、请求国家赔偿等权利。”该条款规定了纳税人及扣缴义务人申请复议、提起诉讼、请求国家赔偿等权利，但《税务行政复议规则》第十四条规定的税务行政复议受理案件类型未包含纳税人信息保护，《行政复议法》《行政诉讼法》《国家赔偿法》也缺乏关于纳税人信息权益救济的明确规定，纳税人信息保护能否被纳入兜底性条款的辐射范围仍有待商榷。
《个人信息保护法》第七章分别列明了违反本法规处理个人信息所需承担的责任类型。事后的行政救济和司法救济是权利实现的最后手段。为此，本文建议在《税收征管法》中明确纳税人信息权益救济机制，以保证纳税人能够通过行政复议或行政诉讼等方式表达诉求，防止纳税人落入“求告无门”的境地。此外，《税收征管法》应当进一步扩充并细化侵犯纳税人信息权益的责任承担方式和限度，并且与其他相关部门法的责任承担规范建立衔接。关于损害赔偿方面，无论适用“侵权赔偿”的民事赔偿模式，还是采取“国家赔偿”的行政赔偿路径，畅通纳税人提起诉讼和请求赔偿的救济渠道均为获得有效赔偿的制度要求。
（本文为节选，原文刊发于《税务研究》2022年第4期。）
欢迎按以下格式引用：
闫海，冯硕.纳税人信息保护和涉税信息管理的冲突与协调：以《个人信息保护法》为视角[J].税务研究，2022（4）:69-74.

-END-
●“十四五”时期优化税制问题研究
●税收原则发挥与共同富裕——基于国民收入循环框架分析
●税收究竟该如何助推共同富裕？
●促进共同富裕的税收政策选择与机制保障
●多重约束条件下的我国企业所得税改革
●支柱二规则对我国的影响及企业所得税应对措施
●促进低碳经济发展的企业所得税优惠政策研析
●智慧税务的实践属性、现实困境与未来路径
●智能画像技术和服务推荐技术在电子税务局中的应用场景探讨


点击“阅读原文”快速投稿~