随着“以票管税”向“以数治税”转型,涉税信息共享在税收征管中发挥着越来越重要的作用。《关于进一步深化税收征管改革的意见》指出:“2025年建成税务部门与相关部门常态化、制度化数据共享协调机制,依法保障涉税涉费必要信息获取。”即将在全国逐步推广的“金税四期”工程通过打通各信息服务平台实现涉税信息的互联互通,有利于税务部门减少信息收集成本、打破信息壁垒、提高税收征管效能。
涉税信息来源于纳税人和第三方主体,相关政府部门作为重要的第三方主体,掌握着大量的涉税信息。近年来,政府部门所掌握涉税信息泄露事件在国内外时有发生,包括黑客入侵税收征管信息系统窃取涉税信息、税务部门工作人员与他人勾结泄露涉税信息牟利等情形,涉税信息保护亟待加强。政府部门涉税信息共享扩大了涉税信息交互的广度和深度,纳税人成为“透明人”,这无疑加大了涉税信息被滥用的风险。
从信息法理论观察,基于享有信息权的主体不同,信息权分为个人信息权与集体信息权。税务部门依靠第三方政府部门共享的大量涉税信息认定应税事实,属于对涉税信息的获取、使用,既是运用公权力对集体信息权的实现,亦为个人信息保护法视角下国家机关处理个人信息的公权力行为。
如果不对政府部门涉税信息共享这一公权力行为予以约束,很容易引发对涉税信息的过度共享、无效共享,损害纳税人作为涉税信息所有者的合法权益。纳税人仍是涉税信息共享进程中的“在场者”,因此,对涉税信息展开研究不仅应关注涉税信息对税收征管的重要作用,亦不能忽视涉税信息本质上所具有的信息属性,在以人民为中心推进税收现代化的进程下,如何实现涉税信息共享利用与个人信息保护的二元之道亟待理论回应。
在立法层面,随着新一轮财税体制改革的展开,《税收征收管理法》(以下简称《税收征管法》)再次迎来修订契机。《税收征管法》规定的一系列纳税人权利规范涉及纳税人作为涉税信息所有者的合法权益,但有关税务机关与政府其他管理机关的信息共享制度的相关规则尚未细化。在《个人信息保护法》中,作为个人信息主体的纳税人享有个人信息主体权利,《个人信息保护法》专门就国家机关处理个人信息作了特别规定。因此,如何贯通税法原理与个人信息保护法原理,在政府部门涉税信息共享中协调适用两类权利规范,是税收征管法研究的一项重要课题。
学界针对政府部门涉税信息共享已有一定研究,但对其中所涉及的个人信息保护问题研究不多。现有研究主要集中于四个方面:
一是立足于文本规范,认为应结合《个人信息保护法》对《税收征管法》作出修订,明确政府部门涉税信息共享的具体方式,建立涉税信息统一共享交换平台,实现涉税信息分级分类保护;二是从权利构建出发,通过构建纳税人信息权,实现自然人纳税人和企业纳税人信息权益的一体保护,纳税人信息权是纳税人享有的诸多子权利组成的权利束,其束点是对涉税信息的有效控制与保护,以此为基本原理分析涉税信息共享中的信息权益保护问题;三是基于利益平衡原理,认为在涉税信息共享中应协调好纳税人的涉税信息利益、国家的财政利益、征税主体的信息管理利益与第三方的守诺利益等诸多利益;四是梳理地方税收保障法规或规章中涉税信息共享的具体文本,认为这些规定重协助义务、轻共享等权利,对纳税人权益保障不足。
从研究现状来看,既有研究强调政府部门涉税信息共享中个人信息保护的重要性,在相关规范衔接上作了一定的梳理,但较少将税法原理与个人信息保护法原理予以结合考察,基于税收征管法律关系中的“权力—权利”关系展开系统研究。
笔者采用法际整合方法,尝试贯通税法原理与个人信息保护法原理,基于税法与个人信息保护法的互动协调,对政府部门涉税信息共享中的个人信息保护问题予以整合性研究。首先,廓清本文所指政府部门涉税信息共享的研究范围;其次,围绕政府部门涉税信息共享这一公权力行为,论证遵循比例原则是个人信息保护法视角下考察该行为正当性的判定逻辑;再次,基于纳税人与个人信息主体的双重角色,明晰政府部门涉税信息共享中的主体权利;最后,依循上述分析,在税收征管与个人信息保护二元视角下,从立法与实施两个层面为政府部门涉税信息共享个人信息保护的机制完善提出建议。
(一)本文所指涉税信息的概念界定
从广义上来看,涉税信息泛指所有与税收征管事项相关的各类信息。由于本文研究政府部门涉税信息共享中纳税人的个人信息保护问题,根据《税收征管法》与《个人信息保护法》相关规定,本文所指涉税信息限定于自然人纳税人涉税信息。
在形式层面,自然人纳税人涉税信息在税收征管意义上具有可识别性,符合《个人信息保护法》中个人信息的定义;在实质层面,一方面纳税人对涉税信息享有合法权益,另一方面涉税信息也具有一定的公共属性,国家机关出于税收征管目的运用公权力处理涉税信息,同时在处理过程中具有保护义务,不得侵犯纳税人对涉税信息的合法权益,故而自然人对涉税信息具有多元法益,与个人信息的公私融合性相符,属于个人信息。
从概念的内涵与外延分别展开考察,本文所指涉税信息在内涵上与自然人纳税人税收征管事项相关,在税法意义上关乎应税事实认定。作为一种法律事实,应税事实是确定具体纳税义务是否发生、内容为何的标准,税务部门通过对应税事实与课税要素事实的符合性作出判定,实现事实与规范的衔接。
涉税信息依托于应税活动,税务部门利用第三方政府部门掌握的自然人涉税信息可以查明验证自然人纳税人的申报事实,从而合理认定应税事实,进而确定具体纳税义务的发生及其内容以课征税款。由于涉税信息与应税事实的认定紧密关联,故而界定涉税信息外延的关键在于确定具体纳税义务的基础。本文所指涉税信息涵盖自然人的身份、财产、交易等信息,基于确定自然人具体纳税义务的不同基础界定其外延。
在实体层面,自然人纳税人涉税信息主要分为以下三类:一是以交易额或交易量确定纳税义务的相关信息,涉及增值税、消费税等;二是以静态财产信息确定纳税义务的相关信息,涉及房产税、城镇土地使用税等;三是以收入为基础的核算结果确定纳税义务的相关信息,涉及个人所得税和土地增值税。鉴于不同的政府部门所具有的社会管理和公共服务职能有别,其掌握的自然人涉税信息的具体内容不尽相同。此外亦须注意的是,本文所指涉税信息属于强调可识别性的个人信息,在外延上不同于强调私密性的个人隐私。
(二)税收征管意义上政府部门涉税信息共享以单向共享为主
《税收征管法》第6条第1款确立税务机关与政府其他管理机关的信息共享制度,从文本规定来看,涉税信息共享究竟是单向还是双向并未予以明确。2013年与2015年两版《税收征管法》修订征求意见稿均对包括政府部门在内的第三方向税务部门提供涉税信息作了细化规定,但对税务部门向第三方提供涉税信息未作规定。从其他规范来看,《环境保护税法》具体明确了税务部门与环保主管部门双向共享的涉税信息种类,《工商总局、税务总局关于加强信息共享和联合监管的通知》也对涉税信息双向共享作出规定。
笔者认为,单就涉税信息共享制度而言,将其理解为双向共享更为完整地体现其制度内涵,但在税收征管意义上政府部门涉税信息共享应主要限于单向共享。其缘由在于:
首先,共享的词义即共同享有,其只是强调不同主体共同享有信息的状态,并未指明主体之间相互提供信息的方向,虽然单向共享只有一个共享方向、双向共享强调共享方向的交互性,但均符合共享之意涵。
其次,从行为性质来看,涉税信息共享属于行政协助行为。其他政府部门向税务部门提供涉税信息是出于协助税务部门税收征管之必要,这一方面是《税收征管法》及相关规范关于政府部门涉税信息共享规定的义务要求,另一方面亦为整体政府理念下通过跨部门协作提升税收征管效能的制度体现。如前所述,涉税信息在税法意义上关乎应税事实的认定,对于税务部门执行税收征管这一行政任务不可或缺。然而,税务部门向其他政府部门提供涉税信息往往是为了协助其他政府部门承担社会管理和公共服务职能,其最终用途并非与税收征管有关,因此不属于税法意义上的涉税信息共享。不过,征税主体除税务部门外还包括海关,在特定情形下税务部门向海关提供涉税信息与税收征管相关,属于税法意义上的涉税信息共享。
最后,税收法律关系主体由征税主体与纳税主体组成,纳税人的身份只有在税收法律关系中才有意义。涉税信息仅仅与征纳税有关,纳税人身份仅仅相对于征税机关而言。由于其他政府部门并非征税机关,信息所有者相对于其他政府部门不具有纳税人身份,其他政府部门对税务部门所提供涉税信息的利用无法产生税收法律关系中的权利义务内容。
(三)政府部门涉税信息共享实施模式考察
对政府部门涉税信息共享展开研究,既须从学理上对概念与方式加以界定,亦须将实践中不同的实施模式纳入研究范围。考察中央和地方相关规范,中央层面规范更为强调从宏观上建立统一的信息共享机制与信息交换平台,地方层面规范则具体规定了政府部门涉税信息共享不同的实施模式。
归纳而言,地方规定的政府部门涉税信息共享实施模式主要分为三种:一是规定涉税信息实行统一的目录管理,税务部门同财政部门等其他政府部门制定涉税信息目录,其他政府部门根据涉税信息目录规定的共享内容通过共享平台向税务部门提供涉税信息,比如山东、黑龙江;二是仅明确涉税信息的类型,具体内容、方式、时间由政府部门自行协商,如北京、湖南;三是在明确涉税信息类型的基础上强调依托于共享平台实现涉税信息共享,但尚未规定通过平台共享的具体内容和方式,在无法通过平台共享的情形下由税务部门与其他部门商定共享方式,如海南。
综上,笔者就政府部门涉税信息共享的研究范围作了探讨,由于本文以税法与个人信息保护法之间的法际整合为研究方法,故而明晰研究范围十分必要,在此基础上方能有的放矢地对政府部门涉税信息共享个人信息保护问题展开研究。本文所指涉税信息限定于自然人纳税人涉税信息,在税收征管意义上政府部门涉税信息共享主要指第三方政府部门向税务部门单向共享涉税信息,围绕相关文本规范,既在本体论层面关注政府部门涉税信息共享的理论脉络,亦在运行论层面关注政府部门涉税信息共享的实践路径。
遵循比例原则:个人信息保护法视角下政府部门涉税信息共享行为正当性基准
在个人信息保护法视角下,政府部门涉税信息共享作为国家机关处理个人信息的公权力行为,应遵循比例原则。比例原则被称为公法“帝王原则”,一切公权力的行使都不得违背比例原则。比例原则强调国家权力应有限度,反对国家权力的运行不合比例地损害个人权利。由于政府部门涉税信息共享乃国家机关履行法定职责处理个人信息的行为,其行为正当性应接受目的正当性与传统三阶比例原则审查。
(一)政府部门涉税信息共享行为应遵循比例原则
《个人信息保护法》规范具有公私法融合属性,其中,与国家机关处理个人信息行为相关的规范体现出比例原则之要义。《个人信息保护法》第13条将“为履行法定职责或者法定义务所必需”作为个人信息处理的一项独立的合法性基础,也就意味着国家机关履行法定职责处理个人信息不必“取得个人的同意”,“所必需”本身即蕴含比例原则之意味。
《个人信息保护法》第34条分别从形式与实质层面明确“履行法定职责”的规范含义,由于比例原则旨在框定公权力行使的边界,在形式层面基础之上,须运用比例原则从实质层面判定“履行法定职责”的范围和限度。除特别规定之外,国家机关处理个人信息适用《个人信息保护法》一般规定,总则部分相关规范亦体现比例原则。
由于政府部门涉税信息共享属于国家机关履行法定职责处理个人信息的行为,理应遵循比例原则。从形式层面观之,《税收征管法》第6条确立税务机关与政府其他管理机关的信息共享制度,诸多单行税法也对涉税信息共享制度作了具体规定,为政府部门涉税信息共享提供了形式依据。
从实质层面观之,一方面,法定职责的履行是国家机关处理个人信息行为的权力基础,从政府组织结构的整体性解释来看,在整体政府理念下信息共享既有助于提高管理效能,也事关公共服务目标的实现。在提高管理效能层面,长期以来,政府部门间信息沟通渠道不畅,缺乏信息的共享互补,税务部门往往需要耗费大量的行政资源采集相关部门涉税信息,形成一个个“信息孤岛”。
实现税务部门与第三方政府部门涉税信息共享,在一定程度上克服政府部门之间信息不对称的困境,是共享共治理念下提高税收征管整体行政效能之必要。在实现公共服务目标层面,税务部门出于履行税收征管这一法定职责,通过第三方政府部门共享的涉税信息认定应税事实并确定纳税人具体纳税义务,第三方政府部门共享涉税信息则出于协助税务部门税收征管职责之必要,实际上将税收征管这一税务部门的特定行政任务视为政府部门之间的整体目标,为整体政府理念下维护社会公共利益的体现。
另一方面,政府部门涉税信息共享权力也存在一定的行权风险。作为个人信息处理者的政府部门与作为个人信息主体的纳税人之间存在不平等关系,政府部门并非涉税信息的所有者,其涉税信息共享权力的运行不能过度侵害个人信息权益。因此,在政府部门涉税信息共享中,政府部门既是个人信息处理者,亦为个人信息保护者,应着力于平衡涉税信息共享利用与个人信息保护之间的关系,其涉税信息共享权力应限制在履行法定职责所必需的范围和限度之内,遵循目的正当性与传统“三阶”比例原则,方能协调好公私利益,防范个人信息权益受侵害的风险。
(二)遵循目的正当性原则:政府部门涉税信息共享行为正当性的首要基准
遵循目的正当性原则是比例原则的首要基准。传统“三阶”比例原则适用于评价目的与手段之间的关系,并不直接评价目的是否正当。但其实,如果目的不正当,该目的所适用的手段亦不具有正当性,审查目的与手段之间的关系便失去了正当性前提,自然无法对公权力行为作出准确的评价。
将目的本身纳入比例原则的审查范围,视目的正当性原则为比例原则独立的子原则,有利于更充分地保障个人权利。个人信息处理应遵循目的正当性原则,《个人信息保护法》第6条明确“处理个人信息应当具有明确、合理的目的”。从域外角度观察,欧盟《一般数据保护条例》(GDPR)规定目的限制原则,包括目的明确与使用限制原则,前者包含目的特定、明确、合法的要求,后者指对个人信息的处理不能逾越既定目的。
综合来看,目的正当性原则包含目的明确、目的合理、目的限制三项要求,政府部门涉税信息共享行为遵循目的正当性原则也应符合上述三项要求:
第一,符合目的明确要求。政府部门涉税信息共享的目的在于税收征管,在税法意义上关乎应税事实的认定,由于不同的税种所对应的事项殊异,不同的第三方政府部门所提供的个人信息种类亦有差别,在整体政府理念下,为了更好地开展税收征管工作,税务部门向第三方政府部门提出共享涉税信息需求应明确特定的共享目的,针对性地说明为了何种具体的税收征管事项需要获取个人信息,而不宜概括称之为税收征管目的。比如,税务部门提出关于专项附加扣除的涉税信息共享需求,应明确目的在于核实纳税人提交的专项附加扣除信息,准确核定应纳税所得额。
第二,符合目的合理要求。社会公共利益具有目的合理性,比例原则规范国家公权力,旨在保障国家公权力维护社会公共利益。政府部门涉税信息共享力求提高整体行政效能,实现税收征管这一整体目标,具有公益目的自不待言,本身即是“履行法定职责”这一合法性基础的实质内容,因此,只要涉税信息共享以税收征管为初始目的,即符合目的合理要求。
第三,符合目的限定要求。目的限定要求强调对个人信息的处理不能违背初始目的,因此,税务部门对共享涉税信息的利用亦应始终以税收征管为目的,不能逾越明确、合理的目的范围,由此方能保证遵循目的正当性原则。
(三)遵循传统“三阶”比例原则:政府部门涉税信息共享行为正当性的阶层式审查
传统“三阶”比例原则包括适当性原则、必要性原则、均衡性原则,形成三阶审查基准。适当性原则考察手段与目的之间是否存在实质关联性,只要手段有助于或能促进目的的实现即可,并不要求手段必须完全实现目的。《个人信息保护法》第6条明确处理个人信息“应当与处理目的直接相关”。对政府部门涉税信息共享行为来说,无论是涉税信息目录管理制还是协商制实施模式,都应符合适当性原则,与应税事实认定完全无关的信息不应共享,比如,个人联系方式、消费偏好等信息与税收征管无关,共享这些信息无法实现应税事实认定的目的。由于税务部门具有专业性判断,以税务部门需求为基础确定共享信息能够减少无关信息的共享。
在审查模式上,适当性原则分为主观适当性审查与客观适当性审查。就政府部门涉税信息共享行为而言,其应坚持主观适当性审查模式。也就是说,税务部门在提出需求之时认为涉税信息共享行为同应税事实认定之间存在实质关联性就符合适当性原则,当然其应符合税务部门的一般专业性判断,而非以实现应税事实认定的客观效果作为评价标准。其缘由在于:从比例原则理论来看,税务部门提出涉税信息共享需求即可进行适当性审查,该环节已经实施完毕,因而属于评价已经实施完毕的手段而非评价持续发生效力的手段,故而采行主观适当性审查模式。
从税法理论来看,仅仅依靠第三方政府部门共享的涉税信息即可认定应税事实过于绝对,税务部门在获取第三方政府部门共享的涉税信息后,将与纳税申报信息进行验证比对以准确认定应税事实,大致会出现三种结果:一是确证纳税申报信息为真或对其予以补充;二是判定纳税申报信息不属实,违反真实完整性要求,即由税务部门进行税收核定;三是无法判断纳税申报信息是否属实,若纳税主体违反相关协力义务且事实确无法查清则税务部门予以推定课税。
前两种情况有助于认定应税事实,第三种情况实际上说明共享的涉税信息与应税事实认定没有关联。由于应税事实认定是一个非常复杂的过程,若适用客观适当性审查模式,则对税务部门要求过高,容易打击税务部门提出涉税信息共享需求的积极性,因此应适用主观适当性审查模式。
必要性原则重在比较哪个手段损害最小,要求在具有目的相同有效性的各种手段中选择对公民权利最小侵害的手段。《个人信息保护法》第6条指出处理个人信息应当“采取对个人权益影响最小的方式”。
一方面,在外部层次上,应比较政府部门涉税信息共享与其他同样有助于应税事实认定的手段之间的损害性大小。征税机关应尊重纳税主体的协力义务,在就纳税主体调查课税事实不能达成目的时,才能展开对第三方的调查。故而,通过纳税申报足以认定应税事实乃最优先的手段,只有在税务部门无法确证纳税申报信息真实完整性的情况下才需通过涉税信息共享协助认定应税事实;就所有涉税信息共享手段来说,如果税务部门从银行、金融机构等非政府部门第三方获取涉税信息对纳税人合法权益损害最小,则不应优先通过政府部门涉税信息共享获取涉税信息。
另一方面,在内部层次上,应考察政府部门涉税信息共享行为是否符合最小必要原则,即根据一般专业性判断,税务部门通过政府部门涉税信息共享获取的涉税信息是否为满足应税事实认定的最少个人信息类型和数量。
均衡性原则用来衡量手段所能实现的目的与可能造成的公民权利损害之间是否成比例,反映平衡公益与私益之需要。均衡性原则将特定个案下手段实现的目的与损害放在一起比较,通过客观层面的利益衡量最终判定行为正当性。事实上,利益衡量是一种价值判断,优先利益并非绝对存在,不能一味地强调公的利益大于私的利益,而是需要在个案中注重各种利益之间的比较权衡,考察个案具体情形下主体利益谁优谁劣,从而依据均衡性原则作出终局性的正当性判定。由于概括性的公益目的几乎无法为限制公权机关不当收集和使用个人信息划定任何界限,政府部门应承担对公共利益予以具体化框定和说明的义务。
由此,利益衡量的首要基础就是对利益内容进行界定,政府部门涉税信息共享既涉及公益亦涉及私益,在利益内容上涉及纳税人合法权益、税收征管制度利益、整体政府行政效能、税收收入利益等具体利益,这些利益之间具有一定的利益差别,容易引发利益失衡与冲突状态。从衡量标准适用来看,个人信息保护法理论中的“场景”理论为均衡性原则提供了方法指引,该理论要求在不同场景和信息关系下,通过分别分析场景、行为者、信息种类、传输原则等要素具体确定不同场景下个人信息保护的边界与规则。
基于此,政府部门涉税信息共享的均衡性审查尤为强调情境化,根据场景中不同的个人信息内容与属性统筹兼顾纳税人合法权益、税收征管制度利益、整体政府行政效能、税收收入利益等,考察政府部门涉税信息共享行为对公私利益产生何种影响,通过对各项利益之得失展开具体分析,并在不同利益之间权衡考量,判定涉税信息共享权力的运行是否不合比例地侵害个人信息权益。
综上,政府部门涉税信息共享作为国家机关履行法定职责处理个人信息的行为应遵循比例原则。政府部门涉税信息共享行为正当性审查的首要基准在于其是否遵循目的正当性原则,即税收征管的共享目的是否明确、合理、限定。接着依循传统比例原则展开阶层式审查:在适当性层面,考察涉税信息共享行为同应税事实认定之间是否存在主观上的实质关联性;在必要性层面考察,从外部比较与内部比较两个层次考察涉税信息共享行为是否对纳税人合法权益影响最小;在均衡性层面,通过利益衡量判断该项涉税信息共享行为所实现的目的与对纳税人合法权益的影响是否合比例,从而为相关决策提供正当性指引。
基于纳税人与个人信息主体的双重角色:政府部门涉税信息共享中的主体权利考察
纳税人在政府部门涉税信息共享中具有双重角色,一方面基于纳税人角色享有纳税人权利,另一方面基于个人信息主体角色在个人信息处理活动中享有个人信息主体权利。无论是纳税人角色还是个人信息主体角色,相对政府部门一方而言均居于弱势地位,由于个人信息具有公共性与交互性,应充分发挥主观公权利的功能对抗来自政府部门公权力侵害的风险,有效防范政府部门涉税信息共享中的个人信息安全风险,避免忽视对主体双重权利的保障,方能更好地维护公共利益。国家为了矫正信息处理者与个人之间的权利不对称结构、防止个人信息被滥用,通过立法赋予了个人一系列权利。
从权利规范之间的关系来看,《税收征管法》中纳税人权利规范与《个人信息保护法》中个人信息主体权利规范并不完全是特别法与一般法的关系,厘清两类权利规范的适用逻辑以推动二者协调适用,有助于最大化实现主体权利。
(一)政府部门涉税信息共享中纳税人税法上的权利考察
在政府部门涉税信息共享中,纳税人主要享有知情权、保密权、异议权等一系列税法上权利。具体而言,第一,在纳税人知情权方面,《税收征管法》第8条第1款对纳税人知情权作了规定。作为税收征纳关系主体,纳税人有权向税务部门了解涉税信息共享的相关政策、程序规定及信息用途,税务部门应充分保障纳税人有权查询自身涉税信息。不过,目前税收法律法规只是对纳税人享有知情权作了原则性的规定,纳税人如何行使知情权尚待进一步规定。
第二,在纳税人保密权方面,纳税人有权要求税务部门为其商业秘密和个人隐私保密。因此,税务部门对于共享的商业秘密和个人隐私应当依法保密,只能用于税收征管用途,不能随意泄露从而损害纳税人权利。
第三,在纳税人异议权方面,2015年《税收征收管理法修订草案(征求意见稿)》第57条第3款明确纳税人对共享涉税信息享有异议权。由于纳税人对涉税信息享有所有权,其有权对第三方政府部门共享涉税信息的真实性、完整性提出异议。作为涉税信息的提供者,第三方政府部门是纳税人异议权的行使对象,对涉税信息的真实性、完整性负责,在纳税人异议成立时重新向税务部门修改所提交的涉税信息。税务部门作为涉税信息的接受者,则对涉税信息来源的合法性负责。
第四,在纳税人权利救济方面,有权利必有救济,但目前税收法律法规尚未就纳税人针对涉税信息共享行为提出救济作出明确规定。因此,如果只是针对涉税信息共享行为侵犯相关纳税人权利的情形,纳税人应按照行政法上的一般制度规定提起行政救济;如果由于依据共享涉税信息确定应税事实的行为导致纳税人与税务部门发生纳税争议,则应遵循税法上“先复议后诉讼”的制度规定寻求救济。
(二)政府部门涉税信息共享中的个人信息主体权利考察
从个人信息保护法视角观察,《民法典》和《个人信息保护法》都没有使用“个人信息权”这一表述,后者使用“个人信息权益”与“个人在个人信息处理活动中的权利”不同用语。在文义解释上,“个人信息权益”反映个人信息之上承载着广泛的个人权利和利益,而不是一项单一的权利;“个人在个人信息处理活动中的权利”作为个人信息主体权利,是保障个人信息权益的方式。在政府部门涉税信息共享中,纳税人基于个人信息主体角色主要享有知情权、查阅复制权、更正补充权、删除权等一系列权利。
具体而言,第一,在个人信息主体知情权方面,知情权对应个人信息处理主体的告知义务。虽然国家机关履行法定职责处理个人信息的行为不必取得个人的同意,但并非免除其告知义务,第三方政府部门在向税务部门共享涉税信息前应向纳税人履行告知义务,从而保障纳税人作为个人信息主体的知情权。根据《个人信息保护法》相关规定,告知内容包括第三方政府部门及税务部门的具体名称和联系方式,涉税信息共享目的、共享方式、共享种类、保存期限等与个人信息处理活动相关的信息以及个人信息主体权利行使的方式和程序等。此外,《个人信息保护法》规定了可不向个人告知的相关情形,第三方政府部门在这些情形下同样无须履行告知义务。
第二,在个人信息主体查阅、复制权方面,除可不向个人告知的相关情形之外,纳税人作为个人信息主体,有权向个人信息处理者查阅、复制涉税信息。由于税务部门接收第三方政府部门提供的涉税信息并予以保存,税务部门应作为个人信息主体行使查阅、复制权的义务主体,查阅、复制的范围即第三方政府部门告知内容所包含的事项。
第三,在个人信息主体更正、补充权方面,个人信息主体发现涉税信息不准确或者不完整的,有权请求个人信息处理主体更正、补充,以确保涉税信息的准确性和完整性。从义务主体来看,纳税人向提供涉税信息的第三方政府部门提出请求更为适宜,与纳税人异议权的义务主体相同。
第四,在个人信息主体删除权方面,纳税人在税务部门利用共享涉税信息认定应税事实的目的已实现、无法实现或者为实现处理目的不再必要、保存期限已届满等情形下有权请求税务部门删除个人信息。与查阅、复制权类似,税务部门作为涉税信息共享行为中的信息接收与保存主体,具有在法定情形下删除涉税信息的义务。至于删除权的实现效果,税务部门在法定情形下应及时履行删除义务使被删除的信息在涉税信息共享平台上不再能够被检索、访问、浏览。
第五,在个人信息主体权利救济方面,一方面纳税人作为个人信息主体在行使个人信息保护请求权被拒绝时可提起行政诉讼,个人信息处理者部分响应个人提出的权利请求或附加额外条件的,属于“被拒绝”的情形;另一方面纳税人可针对税务部门利用涉税信息作出的损害个人信息权益的行政行为提起行政复议或行政诉讼。
(三)政府部门涉税信息共享中两类权利规范的协调适用
在政府部门涉税信息共享中,纳税人基于纳税人角色和个人信息主体角色分别享有纳税人权利和个人信息主体权利,两类权利规范具有不同的适用逻辑,实现二者的协调适用有助于保障主体权利的最大化实现。依据不同的权利内容,政府部门涉税信息共享中两类权利规范的适用关系分为如下三种情形:
第一,两类权利规范独立适用。纳税人知情权与个人信息主体知情权虽均属于知情权的范畴,但名同实异,个人信息主体知情权的义务主体是第三方政府部门,第三方政府部门在共享涉税信息至税务部门之前,应向作为个人信息主体的纳税人履行告知义务,权利内容集中于个人信息处理的实体与程序事项。纳税人知情权的义务主体是税务部门,因此,纳税人知情权在第三方政府部门将涉税信息共享至税务部门之后行使,《税收征管法》所规定的纳税人知情权权利内容集中于税收征管事项,包括国家税收法律、行政法规的规定以及与纳税程序有关的情况,因此二者的适用顺序与权利内容有别。
此外,在删除权和保密权方面,由于纳税人权利规范尚未规定删除权,在出现相关情形时,作为个人信息主体权利的删除权规范独立适用;作为纳税人权利的保密权范围为商业秘密与个人隐私,与个人信息的属性不尽相同,因此纳税人保密权规范独立适用。
第二,两类权利规范优先适用其一。《涉税信息查询管理办法》规定纳税人有权利用税务部门提供的平台自行查询或向税务机关书面申请查询自身涉税信息,《个人信息保护法》亦规定作为个人信息主体的纳税人有权向税务部门查阅、复制涉税信息,由于二者不属于同一位阶,根据上位法优于下位法的原理,应优先适用《个人信息保护法》相关规定。2015年《税收征收管理法修订草案(征求意见稿)》对纳税人异议权作了规定,《个人信息保护法》亦规定了个人信息主体享有更正、补充权,这两项权利的义务主体均为第三方政府部门,权利内容均是纳税人有权在涉税信息的准确性和完整性存在异议时请求第三方政府部门更正、补充。
由于《税收征管法》目前尚未修订,现行《税收征管法》未对纳税人异议权作出规定,因此应适用《个人信息保护法》中更正、补充权相关规定;如果修订后的《税收征管法》将纳税人异议权纳入,《税收征管法》与《个人信息保护法》属于同一位阶,根据特别法优于一般法的原理,应优先适用《税收征管法》相关规定。
第三,权利救济规范合并适用。有学者指出,个人信息保护旨在规制个人信息处理风险,防范与救济个人信息处理行为可能产生的侵害后果。由此,个人信息主体权利救济分为针对个人信息保护请求权的救济与针对税务部门作出损害个人信息权益的行政行为的救济两种情形,既强调个人信息主体权利的事后恢复与弥补,亦预防性地防范行政机关滥用个人信息的风险,且不同于对一般侵益性行政行为的规制。纳税人权利救济同样如此,其兼顾风险规制与行为救济两个层面,故而两类权利救济规范可以合并适用。
具体来看,一方面,纳税人作为个人信息主体在行使个人信息保护请求权被拒绝时可提起行政诉讼,涉税信息共享行为所侵犯的纳税人权利同样具有请求权属性,应在《税收征管法》中明确纳税人在行使这些权利被拒绝时可提起行政诉讼。
另一方面,税务部门依据共享涉税信息确定应税事实导致发生纳税争议,应遵循税法上“先复议后诉讼”的规定,而税务部门利用涉税信息作出损害个人信息权益的行政行为,纳税人据此提起行政复议或行政诉讼,如果二者交叉即损害个人信息权益的行为同时涉及纳税争议的,则应遵循“先复议后诉讼”的规定。
前述分析从公权力行为正当性与主体双重权利两个层面探讨政府部门涉税信息共享个人信息保护的理论基础,在实践中无论是规避不正当的政府部门涉税信息共享行为,还是维护纳税人作为涉税信息所有者的合法权益,都需要对相关机制加以完善。
在立法层面,《税收征管法》应对政府部门涉税信息共享个人信息保护基本规范类型予以补足,形成良好的立法保障;在实施层面,应充分发挥税收征管与个人信息保护二元机制的合力作用推进统一平台建设,有效防范政府部门涉税信息共享中的个人信息安全风险。
(一)立法层面:《税收征管法》基本规范类型的补足
《税收征管法》第6条第1款确立政府部门涉税信息共享制度,然而原则性表述并未触及制度的具体内容,主体、行为、责任等基本规范类型几近空白,如何保护纳税人主体权利缺乏针对性规定,如何与《个人信息保护法》衔接适用亦缺乏指导。作为税收征管的一般法律规定,只有补足《税收征管法》基本规范,方能为政府部门涉税信息共享个人信息保护提供基本遵循。
1.主体规范:明确政府部门涉税信息共享中政府部门与纳税人的角色定位
政府部门涉税信息共享涉及税务部门、第三方政府部门、纳税人主体,《税收征管法》应明确各方角色定位。
第一,第三方政府部门是涉税信息提供者,2013年《税收征收管理法修正案(征求意见稿)》第28条第1款规定第三方政府部门应当及时向税务部门提供所掌握的涉税信息。2015年《税收征收管理法修订草案(征求意见稿)》第35条对此加以完善,将涉税信息的范围予以细化,明确了第三方政府部门作为涉税信息提供者的职责,但“政府有关部门和机构”这一主体表述过于模糊,为凸显职责要求,应参照单行税法将主要提供涉税信息的第三方政府部门予以具体列明。
第二,税务机关是涉税信息接受者,第三方政府部门提供涉税信息旨在协助税务机关开展税收征管工作,因此《税收征管法》应规定税务机关作为涉税信息接受者具有保管利用涉税信息的职责。
第三,纳税人在政府部门涉税信息共享中主要享有知情权、保密权、异议权等一系列税法上权利,但相关权利规范相对原则,除总则一般规定外,在信息披露、申报纳税、税额确认等具体环节中应结合涉税信息共享实践对权利内容予以细化,并就与《个人信息保护法》权利规范的协调适用作出规定。
2.行为规范:基于保护法理念调整政府部门涉税信息共享中的权力—权利关系
保护法着力于调整主体之间的权力不对称结构,政府部门涉税信息共享行为规范应按照保护法理念予以设计,一方面对政府部门所代表的公权力有更多的约束和限制,另一方面对纳税人行使主体权利提供有力保障,从而调整主体之间的权力—权利关系,实现对信息能力不平等的有效规制。
在公权力运行层面,遵循比例原则是个人信息保护法视角下政府部门涉税信息共享行为的正当性基准。《税收征管法》应参照《个人信息保护法》相关规范,确立政府部门涉税信息共享处理个人信息的基本原则,即遵循合法、正当、必要原则,不得超出履行法定职责所必需的范围和限度,在此基础上,基于比例原则进一步对政府部门涉税信息共享行为规范予以细化,如规定税务部门所提出的涉税信息需求应明确合理、与税收征管目的直接相关;明确在何种情形下税务部门可向第三方政府部门提出涉税信息共享需求,从哪些方面考察对个人权益影响最小;规定税务部门对共享涉税信息的利用应始终以税收征管为目的等,以此防范公权力侵害个人信息权益的风险。
在纳税人主体权利行使层面,《税收征管法》既要赋予纳税人在政府部门涉税信息共享中所享有的权利,更要为纳税人如何行使自身权利提供保障机制。比如,《税收征管法》对纳税人知情权仅作了原则性规定,应具体规定纳税人行使知情权的方式、方法及相关程序,从而在涉税信息共享等实践场景中增强知情权规范的可适用性;在权利救济上应兼顾风险规制与行为救济两个层面,对个人信息主体权利救济与纳税人权利救济合并适用的不同情形予以明确。
3.责任规范:区分政府部门涉税信息共享中涉税信息提供者与使用者的责任
政府部门涉税信息共享责任规范不可或缺,《个人信息保护法》在“法律责任”一章中专门规定国家机关不履行个人信息保护义务的责任,由于税务部门与第三方政府部门在涉税信息共享中具有不同的角色,《税收征管法》应按照权责一致原则对涉税信息提供者与使用者所承担的责任作出区分。2015年《税收征收管理法修订草案(征求意见稿)》第57条第3款规定税务部门对涉税信息来源的合法性负责,第三方政府部门对涉税信息的真实性、准确性负责。第三方政府部门作为涉税信息提供者,出于履行行政协助义务向税务机关提供涉税信息,本身并非税收征管法律关系主体,因此只对信息协助行为而非税收征管行为负责。
易言之,第三方政府部门仅对未及时提供涉税信息或未完整、准确提供涉税信息等信息协助行为承担责任,而不对税务部门提出不合法的涉税信息需求承担责任,亦不对税务部门在税收征管过程中的信息使用行为承担责任。根据“谁使用,谁负责”的责任划分原则,应由信息共享场景中的信息使用部门承担使用过程中的安全管理责任。作为税收征管部门的税务部门是涉税信息使用者,具有合法、合理使用第三方政府部门提供的涉税信息之职责,应对税收征管过程中使用涉税信息侵犯纳税人合法权益的行为承担责任。
(二)实施层面:税收征管与个人信息保护二元机制的合力
即将在全国逐步推广的“金税四期”工程强调“以数治税”,着力于打通各部门、各环节之间的信息壁垒,这要求推进政府部门涉税信息共享统一平台建设,统一平台建设应在税收征管与个人信息保护二元机制的合力作用下实现全流程管理,推动涉税信息共享利用与个人信息保护的平衡协调。
1.确立平台涉税信息共享筛选机制
从涉税信息共享行为全流程来看,首先需确立平台涉税信息共享筛选机制,一旦税务部门提出共享涉税信息需求即展开审查,主要依循目的正当性原则与适当性原则判断共享行为的正当性。根据目的正当性原则,政府部门涉税共享行为应明确特定、合理的共享目的,针对性地说明为了何种具体的税收征管事项需要获取个人信息,未明确、具体说明共享目的的涉税信息共享行为将通过平台筛选机制予以排除。根据适当性原则,与应税事实认定完全无关的信息不应共享,税务部门在提出需求之时,认为涉税信息共享行为同应税事实认定之间存在实质关联性符合适当性原则。
因此,筛选机制将以税务部门共享信息需求为基础,围绕涉税信息共享行为是否有助于应税事实认定展开审查,排除不符合适当性原则的涉税信息共享行为。为了提高筛选机制的运行效率,一些地方规范规定涉税信息实行统一目录管理的做法值得进一步推广。相较于政府部门自行协商所达成的涉税信息共享协议,涉税信息共享目录由税务部门会同财政部门等其他政府部门制定,具体规定涉税信息种类、提供层级、提供方式、提供周期等内容,为哪些涉税信息可以共享提供相对规范化的指引。基于涉税信息目录提供涉税信息也将大大提高通过筛选机制的概率,免去自行协商所带来的时间成本。
2.实施个人信息保护影响评估机制
个人信息保护影响评估机制作为衡量个人信息保护风险的有效工具,运用场景理论,强调在具体个案情境下科学评估个人信息处理行为的风险。《个人信息保护法》第55条对个人信息保护影响评估机制适用情形作出规定,明确“向其他个人信息处理者提供个人信息”属于该机制的适用范围。
由此,政府部门涉税信息共享行为在通过涉税信息共享筛选机制后将通过平台进行个人信息保护影响评估审查,在第三方政府部门提供涉税信息前排除不符合要求的共享行为。从评估主体来看,基于个人信息处理主体对个人信息处理活动有着充分的了解,由个人信息处理主体进行自我评估可发挥事前的自我规制作用。由于涉税信息具有专业性且由税务部门提出涉税信息需求,故而税务部门专门审查人员作为评估主体在平台展开自我评估更为适宜。
从评估内容来看,根据《个人信息保护法》第56条规定,主要包括三个方面:一是共享行为合法性层面评估。作为国家机关履行法定职责处理个人信息的行为,政府部门涉税信息共享应遵循合法性原则。合法性层面评估要求在事前评估共享行为是否按照法律、行政法规规定的权限、程序进行,处理目的、处理方式等是否合法。
二是共享行为合理性层面评估。围绕个人信息的处理目的、处理方式等是否正当、必要,结合对个人权益的影响及安全风险对政府部门涉税信息共享行为展开评估。由于平台涉税信息共享筛选机制主要依据目的正当性原则与适当性原则展开审查,个人信息保护影响评估将重点依据必要性原则与均衡性原则展开审查,在外部比较与内部比较两个层次评估涉税信息共享行为是否对纳税人合法权益影响最小,运用利益衡量方法评估涉税信息共享行为所实现的目的与对纳税人合法权益的影响是否合比例。
三是保护措施评估。应对政府部门涉税信息共享行为中所采取的保护措施是否合法、有效并与风险程度相适应展开事前评估,比如评估涉税信息中的敏感信息共享是否遵循敏感个人信息的处理规则、对敏感信息是否采取有效且具有风险适应性的加密及去标识化等一系列安全技术措施。
3.完善平台间涉税信息自动比对机制
税务部门通过平台获取第三方政府部门提供的涉税信息并不代表共享行为告终,其后将进入涉税信息利用环节。涉税信息在税法意义上关乎应税事实的认定,将涉税信息与自然人纳税申报信息进行自动关联比对,有助于提升纳税评估的准确性,故而,完善平台间涉税信息自动比对机制尤为必要。
从域外视角观察,美国国内收入署(IRS)依托信息系统,对各政府部门取得的信息、预扣信息与自行申报信息采取人机结合方式进行交叉稽核,稽核软件可以进行自动比对,并对异常情况进行报告并予以重点稽核。参考域外经验,可打通政府部门涉税信息共享统一平台与纳税申报系统接口,运用信息集成自动匹配技术,对第三方政府部门涉税信息与自然人纳税申报信息科学稽核,加强异常信息风险监控,准确评估纳税人申报信息的真实完整性,以充分发挥第三方政府部门涉税信息在应税事实认定中的重要作用。
探讨政府部门涉税信息共享中的个人信息保护问题,研究对象限于第三方政府部门向税务部门单向共享自然人纳税人涉税信息。从权力角度考察,政府部门涉税信息共享作为国家机关履行法定职责处理个人信息的公权力行为,其正当性应接受目的正当性与传统三阶比例原则审查。而从主体权利角度观之,纳税人在政府部门涉税信息共享中具有纳税人与个人信息主体的双重角色,有效防范个人信息安全风险不能忽视对主体双重权利的保障,实现《税收征管法》中纳税人权利规范与《个人信息保护法》中个人信息主体权利规范的协调适用确属必要。
就机制完善而言,在立法层面,《税收征管法》应对政府部门涉税信息共享个人信息保护基本规范类型予以补足;在实施层面,应充分发挥税收征管与个人信息保护二元机制的合力作用推进统一平台建设。随着新一轮财税体制改革的展开,在“以票管税”向“以数治税”转型进程下,政府部门涉税信息共享一方面需要通过技术革新保障提升税收征管能力,另一方面亦应维护纳税人作为涉税信息所有者的合法权益,由此实现涉税信息共享利用与个人信息保护的二元之道。中
