English

检测到您当前使用浏览器版本过于老旧,会导致无法正常浏览网站;请您使用电脑里的其他浏览器如:360、QQ、搜狗浏览器的极速模式浏览,或者使用谷歌、火狐等浏览器。

下载Firefox

数据与个人隐私

/根目录 /首页 /学术观点 /数据与个人隐私

朱大旗 曹 阳 | 个人信息保护制度在税收领域的适用与完善——以《民法典》中的相关规定为切入点

时间:2021-11-20

个人信息保护制度在税收领域的适用与完善——以《民法典》中的相关规定为切入点

自近代以来,税收领域正逐步实现从国库中心主义向纳税人中心主义跃升的伟大变迁,以纳税人为中心的税收理念日渐深入人心。尤其近几十年来,全球各发达经济体和包括我国在内的新兴经济体大多已制定或正积极酝酿制定与纳税人权利保护密切相关的法律规范,并取得了一定成效。同时,二十世纪末以来,随着互联网等新兴技术迭代发展,如何妥善保护个人信息也日益成为各国政府审慎考量的焦点与规制重点。作为上述两项热点的交汇点,对纳税人尤其自然人纳税人的涉税信息如何妥善管理与有效保护,也日益引发各方高度关注。

作为我国法治建设的里程碑,《民法典》对个人信息保护等重要事项作了较全面的基础性规定,填补了国内相关高层级法律规范在这方面的空白。这为完善我国个人涉税信息保护制度提供了绝佳契机。在此背景下,研究和探索个人信息保护制度在税收领域的适用与完善可谓恰逢其时。 

一、《民法典》中个人信息保护相关规定介绍与意义

《民法典》在民事权利保护与规范等方面具有现实与深远意义。作为一项全新的规定暨一大亮点,《民法典》对个人信息保护制度作了较为凝练但又相当充分的规定:不仅在“总则”编第五章“民事权利”中辟出第一百一十一条对个人信息保护作出扼要规定,而且在“人格权”编第六章“隐私权和个人信息保护”中用6条的篇幅就个人信息保护问题作了较明确的规定。另外,《民法典》也在相关章节条款中对与个人信息保护密切相关的问题(如第九百九十九条对个人信息等合理使用的规定)作了规定,从而确保条款内容精约、结构上彼此照应。

《民法典》对个人信息保护的相关规定不仅承继、提炼并彰显了我国理论界和实务界在此方面经长期探索形成的主流观点,而且还融入了立法者随着时代发展对相关问题的新思考,从而兼具权威性、时代性与中国特色,实现了在此方面国内规范上质的突破。

第一,《民法典》相关条款明晰了个人信息的内涵、外延及受保护主体等要素。《民法典》用第一千零三十四条第二款对个人信息的内涵加以精练概括,对其外延予以初步列举,并明确其受保护主体仅为自然人,而不及于法人或其他非法人组织,凸显其可识别性等核心特质。这是对先前出台的《网络安全法》等法律规范中相关规定的承继与丰富,既确保适用范畴周延但又不失明确性。

第二,《民法典》相关条款明确了个人信息权益的属性,将其确定为人格权益。《民法典》基于我国实际情况,将个人信息权益界定为与隐私权有所交叉但又相对独立于隐私权的一种人格权益,同时也不排除其可能附带的财产性利益。

第三,《民法典》相关条款对个人信息从两个不同维度作了初步但相当重要的类型划分,并就此作出了一定程度的差异化保护规定。一是第一千零三十四条第三款初步划分了私密信息与非私密信息,并在此基础上明晰了隐私权与个人信息保护的适用关系。二是第一千零三十六条第二款将已合法公开的个人信息与其他个人信息明确区分开:针对前者,该项规定原则上允许处理者自由处理乃至免责,除非该自然人明确拒绝或处理该信息侵害该自然人重大利益;针对后者,《民法典》要求处理者必须践行“告知—同意”程序或存有合理使用或免责的法定情形方可处理之,否则即有侵害个人信息之虞。

第四,《民法典》第一千零三十五条等条款对处理个人信息的原则、条件及相关范畴作了基础性规定,统一了部分术语,廓清了此前规定存在的争议。一是仍延续先前《网络安全法》等相关法律规范要求处理个人信息时应遵循的合法、正当、必要原则及其应符合的多项前提条件,实现了与比例原则和国际通行的公平信息实践诸原则的有效对接和本土化重构。二是将之前相关法律规范中较散乱的指称(如收集、使用、控制、持有等)统一概括为“处理”,明确处理个人信息的行为类型包括收集、存储、使用、加工、传输、提供、公开等,并将相关行为主体统称为“信息处理者”,力图实现对相关行为的规范。这为今后的相关立法提供了有益的指引。

第五,《民法典》相关条款明晰了个人信息权益的具体内容,并实际上形成了一个以对个人信息的有效控制与保护为束点的权利束。要言之,其大体规定了自然人享有个人信息处理知情同意权、个人信息查询复制权、个人信息异议更正权、个人信息删除权、个人信息安全保障权等子权利,而对各界分歧较大的个人信息可携带权与被遗忘权则采取了搁置争议、暂不规定的立场。这是对此前《网络安全法》等法律规范中相关规定的传承与升华,有利于个人信息保护目标的实现。

第六,《民法典》通过多条规定明确了对个人信息合理使用及侵害个人信息的免责事由等问题。《民法典》第一千零三十六条明确了侵害个人信息的多项免责事由,该特别规定对相关违约行为或侵权责任行为均一体适用,加之第九百九十九条对个人信息等合理使用的扼要规定,将有力促进个人信息的自由流动。这些规定构成了维持个人信息适度流通与权益保护平衡协调的重要规范基础,有利于调和、解决个人信息处理与保护间存在的冲突。

第七,《民法典》专门辟出第一千零三十八条和第一千零三十九条对个人信息处理者的信息安全保障义务及行使公权力的单位及其工作人员的保密义务作了较细致的规定,足见立法者对这方面问题的高度重视。依第一千零三十八条的两款规定,个人信息处理者在信息安全保障方面同时负有较明确的消极义务和积极义务,相关规定通过禁止性规范与命令性规范并举,对其不得为行为、应当为行为予以严格规制。在此基础上,第一千零三十九条进一步对行使公权力的单位及其工作人员的保密义务予以特别强调,从而为其他法律规范在此方面的相关规定提供了较明确的指引,形成法律规范间的有效衔接与调适。 

二、《民法典》中个人信息保护相关规定在税收领域的适用

《民法典》对个人信息保护的规定为国内相关法律规范中的类似规定提供了较明晰的指引与规范,且为今后相关立法的进一步完善与细化预留了较为广阔的空间。这在税收领域尤为突出,《民法典》有关个人信息保护的相关规定在税收领域大有“用武之地”。

第一,应借鉴《民法典》相关规定,在税法规范中明确纳税人涉税信息的内涵与外延。目前,国内近乎所有税法规范都把纳税人涉税信息保护范围局限于商业秘密和个人隐私,而且将纳税人违法涉税信息排除在外。这种做法尽管有确保合法纳税人个人隐私受到必要尊重和保护的考量,却有意无意地忽视了对那些虽不具有私密性但单独或结合起来具有可识别性,或具有一定违法性的纳税人个人信息的保护,其保护范围明显狭窄。国内各界对此多有诟病,认为应将其延拓至纳税人个人涉税信息,把姓名及个人纳税人识别号(通常即身份证号)等具有可识别性的纳税人非涉密涉税信息也纳入税法保护范围中,使其内涵和外延更加完备。《民法典》的出台及其对隐私权和个人信息的区分为相关范畴的拓展提供了契机。借此契机,应将税收活动中所保护的纳税人涉税信息范围延展至所有纳税人个人涉税信息,而无论其合法与否(因为违法涉税信息的不适当公开、不做去识别化处理,同样也可能会损害纳税人的信息权益,且不符合比例原则的要求),也不管其是否具有私密性,宜在相关税法规范中补充完善纳税人涉税信息的内涵,并对其主要类型加以不完全列举。由此可更有效地解决当前国内面临的纳税人涉税信息保护困局。

第二,应明确纳税人涉税信息对应权益为一项新型权利,并在承认其人格权益定位的基础上,兼顾其财产性利益。我们认为,依据通常法理,对纳税人涉税信息的保护应不弱于对个人信息的保护力度,而且为强化和规范对个人纳税人涉税信息的保护,我国宜借鉴美国等域外立法,将其确立为一种新型权利加以保护。而在纳税人涉税信息的人格权益与财产性利益的考量中,由于其的确蕴含着较明显的人格权益,加之其受到作为其上位概念的个人信息的影响和限制,国内更倾向于将其归入人格权益范畴。不过,审观税收实践,我们也不应小觑其中较丰富的财产性利益,这是因为不少涉税信息的确具有较显著的经济价值,可商业化利用乃至可直接变现。可以说,较一般个人信息而言,纳税人涉税信息的财产性利益色彩更加浓厚。因此,在税收立法中既应承认纳税人涉税信息的人格权益定位,但也不应忽视其所具备的财产性利益。

第三,鉴于纳税人涉税信息系个人信息等上位范畴在税收领域的映射,应效仿《民法典》中相关规定,对纳税人涉税信息,依其是否涉密及不同公开程度,分别施予略有差异的保护策略。纳税人涉税信息及其对应权益与个人信息(企业数据)及其对应权益等范畴既有紧密联系与承继的一面,也有些许区别与发展的一面,同时,基于国内民法学界对个人信息与隐私的精细区分,我们认为,应在税法界形成如下共识。即纳税人涉税信息应是个人信息(企业数据)等范畴在税收领域的映射(甚至可以说是后者的衍生范畴),而非仅个人隐私或商业秘密等范畴平移至税收领域的结果。唯有这样,方能纾缓国内各界就现行税法规范仅对纳税人涉密涉税信息施以保护、保护范围过窄的担心。不仅如此,根据《民法典》对涉密信息与非涉密信息的差异化保护策略,国内税法规范在对纳税人涉税信息予以一体化保护的前提下,对纳税人涉密涉税信息与非涉密涉税信息也应分别施予略有差异性的保护,即对纳税人涉密涉税信息的保护应更严格、更周密,这与《民法典》规定的保护策略是高度契合的,但其前提是应进一步充实和完善对个人信息及纳税人涉税信息的差异化分层保护规定。此外,尽管现行税法规范已注意到可公开披露的纳税人涉税信息与非涉密涉税信息间的差异并在规定中有所区分(如《纳税人涉税保密信息管理暂行办法》第三条、第四条、第十二条),但仍宜根据《民法典》对已合法公开的个人信息与其他个人信息间差异化处理的方针,对不同的纳税人涉税信息,依其公开程度(范围)差异予以妥善调适,使不同法律规范更相契合,从而保持法际关系的和谐一致。

第四,在《民法典》中有关个人信息保护基本原则的指引下,对纳税人涉税信息的处理与保护的税法规范也应贯彻相关原则理念。《民法典》中延续了《网络安全法》等既有法律规范中秉承的原则理念,重申并强化了合法、正当、必要等原则,这些原则对其他法律规范中的相关规定起到积极的垂范作用,我国纳税人涉税信息处理与保护的相关规范也概莫能外。在纳税人涉税信息的处理与保护中,我们不但要贯彻以纳税人为中心的人本理念与公平信息实践诸原则,而且要严格遵循平衡协调理念和比例原则。首先,对纳税人涉税信息施以法律保护,并将纳税人权利保护观念贯穿其中,既是对纳税人权利保护观念已深入人心的全球性思潮的有力回应,集中体现和顺应将纳税人置于现代税收治理中心的主流趋势,又可进一步延拓至人本主义法律观,从而与个人信息保护观念交融贯通,进而催生并切实实现对纳税人涉税信息的保护。其次,合法、正当、必要等公平信息实践诸原则,通过对个人信息自决权的充分关照,增强了个人信息保护的范围和力度,它们不但应贯穿于个人信息权益法律保护始终,推动相关保护实践蓬勃发展,而且也会对由此衍生的相关权益,如纳税人涉税信息及其对应权益的法律保护起到积极的指导作用,由此促进相关制度实践进一步发展。因此,应将这些原则融汇贯彻于纳税人涉税信息保护的全过程。再次,作为税收治理的标志性理念,平衡协调理念应贯穿于税收治理的各项制度与环节中,使其无论在税收宏观或微观领域均发挥基础性的调节与引导作用。尤其对纳税人涉税信息处理与保护而言,纳税人、税务机关、相关第三方主体各自有其不同的利益诉求,其权利(力)、义务、责任间存在多方面的冲突,只有对之进行妥适的协调与平衡,才能促进纳税人涉税信息处理与保护的良性互动,实现税收治理的和谐。最后,比例原则在税收治理与纳税人权利保护领域已得到较广泛的应用,并取得了不错的成效。其在涉税信息处理与保护中的具体运用,重点应在于必要性与均衡性这两项子原则的引入。在保证涉税信息处理手段妥当的前提下,确保该手段造成尽可能小的损害,以及所欲达致的公益目的与其损害间实现均衡(即损益成比例)。这实质上与《民法典》宣示的必要原则一脉相承。

第五,如延续《民法典》思路将纳税人涉税信息上所承载的利益设为一种结构清晰的权益,而且进一步将其确定为一种新型权利,则应通过税法规范对其权利主体、义务主体与客体等基本内容加以厘定。基于其作为个人信息权益之衍生权益暨个人信息权益在税收领域之具体化的定位,其权利主体自然是作为纳税人的自然人。其义务主体则不能以纳税人涉税信息处理者的简单化称谓作笼统规定,需要将其细分为税务机关和相关第三方主体,并对相关第三方主体进一步细化、明确。所谓相关第三方主体,既包括税务代理等涉税社会中介机构,也包括税务机关以外的相关公权力部门乃至与纳税人个人从事交易的相对人等其他相关第三方,其范围相对较广。对于这些不同义务主体,其保密和共享等方面的义务(职责)要求亦略有差异。其客体即纳税人涉税信息,应包括纳税人的全部涉税信息,而不能仅局限于现行税法规范规定的纳税人涉税保密信息,这无疑将拓宽该权益的保护范围。

第六,如延续《民法典》思路将纳税人涉税信息上所承载的利益设为一项权益,而且进一步将其确定为一种新型权利,则应在税法规范中进一步明确该权益的具体内容。鉴于纳税人涉税信息上所承载的权益系对个人信息权益的承继与具体化,而《民法典》在个人信息权益具体内容类型解析方面的规定已较精细,故不妨效仿《民法典》的规定,将该权益细分为纳税人信息处理知情同意权、纳税人信息查询复制权、纳税人信息异议更正权、纳税人信息删除权、纳税人信息安全保障权等诸多子权利。进而可将该权益解构为一个权利束,其束点是对纳税人涉税信息的有效控制与保护,而上述诸子权利则在该束点下聚合构成该权利束所涵盖的各项具体权利,从而可抽象为一项内容较丰富的新型权利。国内外相关制度实践也证明,纳税人涉税信息相关权益随时代发展而不断丰富,其正从传统意义上消极被动的安全保障权益发展为兼具消极与积极权能,更注重权益人的参与维护与主动行使之复合性权益。另外,对该权益的保护应扩展至对纳税人涉税信息处理的所有环节(包括但不限于收集、存储、使用、公开等),从而使得相关保护工作更全面。

第七,在《民法典》相关条款指引下,应将其确定的信息安全保障与保密等义务在税收领域落到实处。《民法典》中辟出专条对个人信息处理者的信息安全保障义务与行使公权力的单位及其工作人员的保密义务予以相当严格的规定,这对税务机关及其工作人员的涉税信息处理与保护工作将产生深远的影响。这是因为,税务机关及其工作人员不但参与而且主导纳税人涉税信息的处理工作,其行为当受《民法典》第一千零三十八条和第一千零三十九条约束。在上述条款指引下,应将信息安全保障与保密等义务在税收领域落到实处。首先,针对那些应限制或不宜公开、较敏感的纳税人个人信息,税务机关应隐去敏感信息或作其他去识别化处理,使之处理后无法再指向某一具体纳税人,从而达到涉税信息保护及确保相关纳税人能正常经营、免受干扰等目的;而对那些去识别化后不会指向具体个体、广为公众知悉或无关紧要的非敏感涉税信息,则可适度对外公开。其次,应完善涉税信息处理相关责任者的内控与确责机制。这不但要求做好税务机关工作人员及其他相关人员涉税信息保护的宣传教育与纪律约束工作,从民事、刑事、行政责任高度提升其守法和护法意识,而且要通过技术手段和机制设计,保证相关系统存储的涉税信息不被随意访问和复制(如对不同人员的相关访问和复制权限分级设限)。同时,应进一步优化税务机关的内控制度,如通过访问留痕和实时追踪等机制的确立,全程监控相关人员对涉税信息的接触或处理行为,为责任人的确定和惩戒提供必要证据。此外,税务机关还应积极采取多种技术措施,及时更新和完善针对涉税信息的安全防护与保障工作,以降低相关信息被泄露或不当扩散并造成损失的风险。 

三、完善税收领域现行个人信息保护相关规定的举措

尽管《民法典》为税收领域的个人信息保护制度夯实了民事基本法基础,并推动后者更趋完善和规范化,但基于《民法典》的民事基本法定位,其规定回避了不少理论和实务中的争议,仅对个人信息保护制度的一些原则性问题或民事方面的基础性问题作了扼要的规定,许多有关个人信息保护的重要内容都留待日后出台的“个人信息保护法”等立法来充实和完善。如《民法典》中对个人信息保护机构及其协调模式、侵害个人信息权益行为的损害赔偿与责任追究机制等规定不明,这给以《民法典》为依据的相关法律规范的准确适用带来了不小困惑。我国现行税法规范中有关个人信息保护的相关规定本来就存在一些问题,加之在上述方面缺乏《民法典》中个人信息保护制度的明确指引,其实施效果自然大打折扣。但面对国内涉税信息保护的严峻态势,现行税法规范中的个人信息保护相关规定又需要作出回应,不得因缺乏民事基本法方面的先导和依据而回避或不予适用,这使其处于两难境地。因此,通过多种路径弥补涉税信息保护方面的立法罅隙,进一步完善现行税法规范中的个人信息保护相关规定便成为当务之急。

第一,应提升纳税人涉税信息及其保护的立法位阶,在高层级税收立法中对其予以明确的专门规定,并整合之前低层级税法规范中存有歧义或矛盾等问题的相关条款。比如,应适应大数据等前沿技术发展趋势,适时修改《税收征管法》及其实施细则,顺应国内理论界与实务界的共同呼声,采用专章对纳税人权利保护作出专门规定,并在其中辟出专条对纳税人涉税信息及其对应权益与相关保护措施等加以明确规定,以此作为纳税人涉税信息保护的专门规定。由此,方能提高纳税人涉税信息的立法层级和保护力度。另外,也应系统整合并理顺现行相关较低层级税法规范中存有歧义或可操作性不强的条款,使之能自洽相容、更臻规范和条理化,以确保纳税人涉税信息保护体系的和谐统一。

第二,应明确个人信息保护的统合协调指导机构及纳税人涉税信息保护的具体负责单位,以填补相关立法罅隙。鉴于国内相关法律规范对个人信息保护机构及其协调模式规定不甚明确的现状,应借鉴韩国等较成熟的域外立法,在未来将出台的“个人信息保护法”中引入并设立针对个人信息保护的统合协调指导机构(对此更切合我国国情的选择应为国家互联网信息办公室),同时应在相关法律规范(在此应确定为《税收征管法》的相关条款)中明确规定,由涉税信息主管部门(国家税务总局)作为涉税信息保护和监管的主要负责单位,担负起涉税信息保护和监管工作,并与上述统合协调指导机构等其他部门保持密切互动和交流。从而确立起在上述统合协调指导机构协调和指导下,以国家税务总局作为具体负责保护单位的纳税人涉税信息保护体制,形成一个较严密且行之有效的个人信息保护网,以更好地保护其中的纳税人涉税信息。

第三,应在相关税法规范中明确纳税人涉税信息能否双向共享及二次共享等问题。针对纳税人涉税信息能否双向共享问题,我们更倾向实行一种附加严格限制性条件、有限度的双向共享,即纳税人涉税信息原则上只能单向共享,在相关法律或其授权的行政法规明确要求税务机关与某些国家机关或金融机构等单位双向共享涉税信息时,仅针对上述单位允许双向共享,共享时要严格依循相关保密规则与共享程序,尤其对那些涉密或较敏感的涉税信息共享工作应予明确而严格的前置条件限定。而对涉税信息二次共享问题,接受共享信息一方虽能再次共享其所掌握的涉税信息,但应受到作为接受共享信息方上级的省级以上政府部门领导批准等机制的约束,必要时还需再次经纳税人本人知情乃至同意,方能再次共享该信息。在共享过程中,相关各方还应切实依循《民法典》等相关法律中明确规定的合法、正当、必要原则及海内外学术界和立法者普遍认可的最小化使用原则。这能充分发挥保护纳税人涉税信息的效果,有助于相关各方良性互动。

第四,应在高层级税收立法中完善对纳税人涉税信息侵权行为的责任追究与救济机制等方面的规定(尤其在民事责任追究与损害赔偿方面)。鉴于《民法典》等较高层级法律规范中对个人信息侵权行为的责任追究与救济机制等内容缺乏明确规定,在《税收征管法》等高层级税法规范中,应进一步充实和细化对纳税人涉税信息侵权行为的责任追究与救济机制等方面的规定,尤其应完善针对该行为的民事责任追究机制和损害赔偿,而不能仅仅局限于既有的孱弱的行政处分责任规定。无论未来我国是采用“行政诉讼→国家赔偿”模式,还是“民事诉讼→侵权赔偿”模式,均应为涉税信息受侵害的纳税人提供便利的提起诉讼和请求损害赔偿的救济渠道,并使之更趋多样化,以增强对纳税人涉税信息侵权行为责任追究与救济的法律效果,避免当前仅依靠行政处分责任“单兵作战”、效果不彰的窘境。

(本文为节选,原文刊发于《税务研究》2021年第1期。)