李金霖

（華東政法大學(xué) 經(jīng)濟(jì)法學(xué)院，上海200042）

一、問題的提出

在經(jīng)濟(jì)合作與發(fā)展組織（OECD）的共同申報準(zhǔn)則（CRS）操作指南的第一版中，涉稅信息交換的安全性一直是CRS交換四步走的重要一步。

2019年7月，保加利亞發(fā)生了歷史上最大的稅務(wù)數(shù)據(jù)泄露事件，引發(fā)了全球關(guān)注。2019年7月15日，保加利亞國家稅務(wù)局（BNRA）的內(nèi)部體系被黑客侵入，致使510萬保加利亞公民的個人信息被泄露于外。7月18日，保加利亞個人數(shù)據(jù)保護(hù)委員會（CPDP）對保加利亞稅務(wù)局啟動了審查程序。8月29日，CPDP調(diào)查發(fā)現(xiàn)，保加利亞稅務(wù)局作為信息控制者，在通過內(nèi)部程序處理信息時沒有采取適當(dāng)措施，使得信息被泄露。根據(jù)CPDP的調(diào)查結(jié)果，保加利亞國家稅務(wù)局泄露的信息包括姓名、個人身份證號碼、地址、電話號碼、電子郵件地址、個人年度納稅申報以及個人所得稅的數(shù)額。

該案作為保加利亞國家稅務(wù)局的稅務(wù)信息泄露案例，既是歐盟《通用數(shù)據(jù)保護(hù)條例》下政府機(jī)構(gòu)信息泄露的第一個案例，也是CRS下稅務(wù)信息泄露的第一個案例。按照計(jì)劃，2019年9月將是CRS下全球交換涉稅金融賬戶信息的最后期限，最終將在伙伴國之間進(jìn)行信息交換。保加利亞的稅務(wù)信息泄露正值各國（地區(qū)）間稅務(wù)機(jī)關(guān)之間按照CRS進(jìn)行涉稅賬戶信息環(huán)球交換的高峰，在這次信息泄露事件后，出于對納稅人信息安全的擔(dān)憂，美國、加拿大和澳大利亞的稅務(wù)機(jī)關(guān)迅速發(fā)聲，一些國家立即對稅務(wù)數(shù)據(jù)的安全問題展開了調(diào)查。這一事件也引起了實(shí)務(wù)界和學(xué)界對稅收透明時期的稅收數(shù)據(jù)安全的關(guān)注。

信息時代背景下，涉稅信息共享包括國內(nèi)和國際的稅收信息交換（跨國界的稅收信息自動交換）。就國內(nèi)稅收信息共享而言，稅務(wù)機(jī)關(guān)可以共享其他政府部門和銀行等第三方機(jī)構(gòu)所擁有的納稅人涉稅信息，并利用大數(shù)據(jù)技術(shù)對獲取的信息進(jìn)行存儲、交換和使用，從而減少稅務(wù)機(jī)關(guān)和納稅人之間的信息不對稱，保障稅收征管效率和落實(shí)稅收征管。而國際稅收信息共享依托經(jīng)濟(jì)合作與發(fā)展組織（OECD）發(fā)布的《金融賬戶涉稅信息自動交換標(biāo)準(zhǔn)》，采用“金融機(jī)構(gòu)盡職調(diào)查→稅務(wù)機(jī)關(guān)獲取信息→國家稅務(wù)機(jī)關(guān)之間交換信息”的流程模式，自動交換一國（地區(qū)）非居民的金融賬戶、資產(chǎn)和個人信息。該模式涉及一國（地區(qū)）非居民的金融賬戶、資產(chǎn)和個人信息等涉稅信息的交換，其目的是加強(qiáng)國際稅務(wù)合作，保護(hù)居住國納稅人的權(quán)益[1]。

與其他公共機(jī)關(guān)相比，稅務(wù)機(jī)關(guān)基于稅收征管掌握了大量的納稅人信息，與個人數(shù)據(jù)的保護(hù)存在明顯的沖突。實(shí)踐中，由于缺乏具體的標(biāo)準(zhǔn)，稅務(wù)部門以不加區(qū)分的方式收集、儲存和分享納稅人的稅務(wù)信息，但并非所有的涉稅信息都被用作稅收征管的依據(jù)，這無疑增加了稅務(wù)機(jī)關(guān)侵權(quán)的風(fēng)險。但盡管納稅人的信息權(quán)與稅務(wù)信息管理權(quán)之間存在直接和間接的沖突，二者利益基礎(chǔ)卻是共同的[2]，因此加強(qiáng)對納稅人涉稅信息的保護(hù)是保護(hù)納稅人權(quán)利的重要內(nèi)容。正如有學(xué)者所言:“稅捐秘密的保護(hù)乃是人性尊嚴(yán)以及人格的發(fā)展自由所保護(hù)的一般人格權(quán)的表現(xiàn)，稅捐秘密是‘信息自主決定’的人格權(quán)之保護(hù)的一環(huán)，此項(xiàng)權(quán)利保護(hù)民眾的個人資料免于遭受無限制地收集、儲存、使用或傳遞，此種保障只有在‘重大的公共利益’以及遵守比例原則的情形下，才可以經(jīng)由法律或基于法律的授權(quán)加以限制?！盵3]為了協(xié)調(diào)和平衡對納稅人權(quán)利的保護(hù)與對稅務(wù)信息管理權(quán)的保護(hù)，應(yīng)界定需要保護(hù)的涉稅信息范圍。

二、場景理論與風(fēng)險管理視角下涉稅信息保護(hù)

（一）理論基礎(chǔ)：場景理論與風(fēng)險管理

Helen Nissenbaum的“情境脈絡(luò)完整性”理論中提出了“場景”的概念。該理論認(rèn)為，個人信息要尊重其最初收集的特定情景，隨后的傳播和利用不應(yīng)超出最初的情景，影響用戶對個人數(shù)據(jù)使用的可接受性或敏感性的因素被稱為“信息場景”或“場景”?；趫鼍暗姆椒ㄖ荚谡J(rèn)識到，對個人數(shù)據(jù)的適當(dāng)保護(hù)程度必須在個人數(shù)據(jù)存在的背景下考慮，而不是在背景之外進(jìn)行抽象的預(yù)測。鑒于場景因素的多重性，個人數(shù)據(jù)使用的適當(dāng)性應(yīng)在不同程度上進(jìn)行評估，并考慮到各種因素。場景概念區(qū)別于傳統(tǒng)機(jī)制的主要特征是，它不是一個二元的“全有或全無”的評估，而是一個考慮到若干因素的具體情景。

基于風(fēng)險的方法，是從傳統(tǒng)的“二元”全有或全無評估轉(zhuǎn)為“程度性”評估，在特定情況下逐一評估數(shù)據(jù)處理活動的風(fēng)險，并根據(jù)風(fēng)險程度實(shí)施適當(dāng)?shù)目刂拼胧＿@是一個貫穿數(shù)據(jù)處理生命周期的動態(tài)控制，最終目的是將隱私風(fēng)險控制在可接受的范圍內(nèi)[4]。隱私風(fēng)險評估（PIA）作為評估隱私風(fēng)險的一種有效工具，在實(shí)踐中已經(jīng)成為一種標(biāo)準(zhǔn)化的過程，作為一種理念和最佳實(shí)踐，獲得了國際認(rèn)可。與傳統(tǒng)框架不同，基于風(fēng)險的方法不是旨在消除或盡量減少隱私風(fēng)險，而是認(rèn)識到這種風(fēng)險的不可避免性，并將其控制在可接受的范圍內(nèi)。認(rèn)識到合理風(fēng)險的不可避免性，也大大降低了公司合規(guī)的壓力，減少了數(shù)據(jù)流動的不必要障礙。

基于“場景”和“風(fēng)險”的方法也體現(xiàn)在歐洲和美國的改革立法中。美國的《消費(fèi)者隱私權(quán)利法案（草案）》是特別的，源于它是第一部建構(gòu)了場景和風(fēng)險框架的國際立法。它為整個法律定下了基調(diào)，規(guī)定組織必須“只以在當(dāng)時情況下合理的方式收集、存儲和使用個人數(shù)據(jù)”，并設(shè)定了合理使用的動態(tài)限制，將“在當(dāng)時情況下合理”的標(biāo)準(zhǔn)作為處理個人數(shù)據(jù)合法性的授權(quán)。它規(guī)定，如果個人數(shù)據(jù)的處理“在當(dāng)時的情況下是不合適的”，此時組織需要評估隱私風(fēng)險，并運(yùn)用適當(dāng)?shù)氖侄蝸頊p小風(fēng)險，例如加強(qiáng)披露的程度和采取用戶控制機(jī)制。組織被要求告知用戶在某種情況下什么是不合理的，并讓他們合理選擇是否承擔(dān)風(fēng)險或減輕風(fēng)險。換言之，如果個人數(shù)據(jù)的處理在特定情景下是適當(dāng)?shù)模蛘卟贿m當(dāng)?shù)蛴脩籼峁┝藦?qiáng)化的控制機(jī)制，則構(gòu)成個人數(shù)據(jù)的適當(dāng)使用。因此，該法案跳出了傳統(tǒng)的知情同意框架，即用戶同意是主要的合法依據(jù)，建立了一個基于場景的框架，并輔之以強(qiáng)化的用戶控制，風(fēng)險評估是一種手段，風(fēng)險控制是一個目標(biāo)。

歐盟《通用數(shù)據(jù)保護(hù)條例》也強(qiáng)調(diào)了場景和風(fēng)險理念的重要性，且有了風(fēng)險管理的初步框架，該條例與2012年的條例草案相比，突出推廣基于場景的風(fēng)險評估。例如，第22條“控制者（機(jī)構(gòu)）的義務(wù)”強(qiáng)調(diào)，經(jīng)營者應(yīng)“根據(jù)其個人數(shù)據(jù)處理業(yè)務(wù)的性質(zhì)、范圍、背景和目的以及侵犯公眾權(quán)利的可能性和敏感性”來承擔(dān)責(zé)任。數(shù)據(jù)處理要事先咨詢數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)，并進(jìn)行數(shù)據(jù)保護(hù)影響評估，除監(jiān)督機(jī)構(gòu)外，數(shù)據(jù)主體也要被告知數(shù)據(jù)泄露。同時，一些例外情況適用于低風(fēng)險的處理活動，例如在發(fā)生數(shù)據(jù)泄露時不需要通知監(jiān)管機(jī)構(gòu)，也沒有義務(wù)任命數(shù)據(jù)控制者的海外代表。然而，雖然《通用數(shù)據(jù)保護(hù)條例》規(guī)定了在某些情況下對運(yùn)營商的相關(guān)義務(wù)進(jìn)行評估，但它并沒有強(qiáng)調(diào)從每種情況下最相關(guān)的用戶的角度來尊重用戶的合理期望，也沒有將“低風(fēng)險”視為合法。應(yīng)當(dāng)指出，這并不被視為授權(quán)，而是對傳統(tǒng)的合法授權(quán)理由的進(jìn)一步擴(kuò)展。相反，它在傳統(tǒng)合法授權(quán)理由的基礎(chǔ)上進(jìn)一步擴(kuò)大了對用戶同意的正式要求，并進(jìn)一步加強(qiáng)了傳統(tǒng)的知情同意框架。因此，《條例》中場景概念的引入只是細(xì)分過程中的一個初步步驟，并沒有有效解決基于風(fēng)險的方法與傳統(tǒng)體系之間的關(guān)系，沒有建立一個以風(fēng)險管理為核心的系統(tǒng)框架，最終沒有突破傳統(tǒng)方法的困境和局限。

相比于美國《消費(fèi)者隱私權(quán)利法案（草案）》對“場景”理念的突出強(qiáng)調(diào)，歐盟的《數(shù)據(jù)保護(hù)通用條例》更注重“風(fēng)險”。雖然“場景”和“風(fēng)險”這兩個概念有兩個不同的方面，但從上述分析中可以看出，它們是密切相關(guān)的，都是為了充分保護(hù)用戶的個人數(shù)據(jù)這一最終目的。場景是起點(diǎn)，風(fēng)險管理是實(shí)現(xiàn)這一目的的手段。風(fēng)險管理以相關(guān)的個人數(shù)據(jù)處理情景為基礎(chǔ)，這意味著風(fēng)險評估和管理應(yīng)基于相關(guān)的情景，包括操作風(fēng)險評估的具體指標(biāo)。

總之，場景和風(fēng)險的方法堅(jiān)持了具體案例具體分析的原則，與運(yùn)用傳統(tǒng)的知情同意框架不同，其認(rèn)識到合理使用個人數(shù)據(jù)不是嚴(yán)格基于是否獲得用戶同意，而是在于是否滿足用戶對隱私保護(hù)的合理期待，并認(rèn)識到這是由是否對隱私構(gòu)成不合理的風(fēng)險決定的?；趫鼍昂惋L(fēng)險的新思維，在大數(shù)據(jù)時代個人數(shù)據(jù)處理的復(fù)雜場景中，遵守知情同意的表面和靜態(tài)框架已無法解決嚴(yán)重的隱私保護(hù)問題，應(yīng)及時轉(zhuǎn)變對數(shù)據(jù)處理的具體場景的思維，即實(shí)施動態(tài)的風(fēng)險控制。從嚴(yán)格遵守到靈活風(fēng)險管理的轉(zhuǎn)變，即注重促進(jìn)個人信息的“合理使用”，監(jiān)管個人信息的“不當(dāng)使用”，這種以場景和風(fēng)險為基礎(chǔ)的方法可以大大提升個人數(shù)據(jù)保護(hù)的有效性和重要性，同時也可以大大減少企業(yè)不必要的合規(guī)負(fù)擔(dān)。

（二）涉稅信息保護(hù)中的場景理論與風(fēng)險管理

在大數(shù)據(jù)時代，保護(hù)涉稅信息一方面要促進(jìn)信息持續(xù)有效地合理使用，另一方面則是防止涉稅信息被濫用。如何定義“合理使用”對于涉稅信息保護(hù)來說至關(guān)重要。目前，學(xué)術(shù)界和機(jī)構(gòu)越來越多地認(rèn)為，隱私和個人數(shù)據(jù)保護(hù)之間的界限不是僵化和固定的，而是主觀和動態(tài)的，受到多種因素的影響，什么是個人數(shù)據(jù)的合理使用取決于具體情況。當(dāng)今時代，個人數(shù)據(jù)的使用情景比法律規(guī)定和預(yù)測的更為復(fù)雜，這就是為什么國際上越來越多地提倡以用戶為中心、以結(jié)果為導(dǎo)向的動態(tài)定義的思路。

涉稅信息的定義并不像事物的定義那樣穩(wěn)定，而是具有場景依賴性和動態(tài)性，根據(jù)持有數(shù)據(jù)的實(shí)體、使用地點(diǎn)、數(shù)據(jù)保留時間、技術(shù)發(fā)展等因素而變化。也正因?yàn)樯娑愋畔⒌亩x是動態(tài)的、取決于場景的，所以目前的法律規(guī)定缺乏一定的實(shí)用性。這是因?yàn)椋词故巧娑愋畔?，一旦被匿名化并滿足豁免條件，由于技術(shù)的進(jìn)步和公司數(shù)據(jù)類型的增加，納稅人個人也可以重新被識別出來[5]。因此，個人信息并非可以“預(yù)先”精準(zhǔn)地被界定，而是具有動態(tài)性，受科技發(fā)展水平、信息數(shù)量、收集方式、對比情況等影響，無法脫離相應(yīng)場景和語境來作抽象判斷[6]。以納稅人涉稅信息為例，由于數(shù)據(jù)的共享，借助深度分析、聚合比對等技術(shù)手段的廣泛運(yùn)用，信息分析和挖掘的成本相對較低，經(jīng)過深度挖掘、二次開發(fā)得到的信息數(shù)據(jù)一方面可能精確指向具體納稅人個人，另一方面也可能會導(dǎo)致信息的關(guān)聯(lián)度缺失[7]。算法、信息技術(shù)的進(jìn)步使得信息碎片被重新組合、整理成為可能，導(dǎo)致信息碎片也有可能成為個人可識別的信息，并將此類非個人可識別信息歸類為個人信息?？梢詫⒒ヂ?lián)網(wǎng)上的信息歸為三類，即非個人可識別信息、間接可識別信息和直接可識別信息，而這三種類型之間很難說有清晰明確的界限。

（三）場景理論對信息“可識別性”的影響

歐盟2016年正式通過的對成員國具有直接法律效力的《通用數(shù)據(jù)保護(hù)條例》第4條第1款對個人信息的概念進(jìn)行了界定：“個人數(shù)據(jù)是指與已識別或可識別的自然人（數(shù)據(jù)主體）相關(guān)的任何信息；可識別的自然人是指可以直接或間接識別的人，特別是可以參考諸如姓名、識別號碼、位置數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識符之類的標(biāo)識符，或者是參考特定于自然人的一個或多個身體、心理、經(jīng)濟(jì)、文化或社會身份。”《通用數(shù)據(jù)保護(hù)條例》前序26條指出，識別必須考慮到控制者或其他人可能合理地用于識別數(shù)據(jù)主體的所有手段。

與歐盟相比，美國在保護(hù)個人數(shù)據(jù)方面沒有統(tǒng)一的法律，而是有各種特定部門的法律。傳統(tǒng)上，美國在處理個人數(shù)據(jù)方面有三種方法：識別模式、非公開模式和列舉法。然而，近年來，美國各州在定義個人數(shù)據(jù)時也逐漸轉(zhuǎn)向以識別為中心的個人信息界定模式。例如，2018年頒布的《加利福尼亞州消費(fèi)者隱私保護(hù)法案》第1798.140條規(guī)定，個人信息是指可以識別、歸屬或描述的信息，并且直接或間接地與特定消費(fèi)者或家庭相關(guān)或合理地與之相關(guān)[8]。

我國《民法典》第1034條規(guī)定，“個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息”。我國《個人信息保護(hù)法》第4條第1款規(guī)定，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。

如何定義“可識別性”與很多事項(xiàng)息息相關(guān)，如個人數(shù)據(jù)保護(hù)的范圍、數(shù)據(jù)控制者和用戶的權(quán)利和義務(wù)的限制，包括使用有關(guān)技術(shù)（如“去識別”）的合法性。如前所述，在歐美和我國，個人數(shù)據(jù)定義的一個核心要素即為“可識別性”，可識別性是指根據(jù)從有關(guān)數(shù)據(jù)主體方獲取的數(shù)據(jù)信息，識別和區(qū)分到特定個體的能力。

直接識別是指獲取的數(shù)據(jù)信息可以直接與特定的主體聯(lián)系起來，而不需要另外的信息進(jìn)行綜合分析來識別到特定的自然人。與之相對，間接識別是指根據(jù)獲取的數(shù)據(jù)信息不能直接識別定位到特定的主體，而必須與其他數(shù)據(jù)信息相聯(lián)結(jié)分析，以識別特定的主體，如個人的家庭住址、年齡、性別、種族或民族，通常需要結(jié)合兩個或更多的數(shù)據(jù)來識別一個特定的個人。法律保護(hù)直接或間接的個人可識別數(shù)據(jù)。直接的個人可識別數(shù)據(jù)的法律保護(hù)很容易，但法律很難適用于間接的個人可識別數(shù)據(jù)保護(hù)，即幾個數(shù)據(jù)的組合。在收集和使用大數(shù)據(jù)的過程中，在保護(hù)數(shù)據(jù)主體權(quán)益的基礎(chǔ)上應(yīng)用“去識別”，無論在理論上還是實(shí)踐上都是一個有爭議的復(fù)雜問題。其核心問題就是“識別性”的界定。且間接識別性通常與數(shù)據(jù)的種類、大小、屬性及應(yīng)用場景等因素相關(guān)，需結(jié)合實(shí)際情況綜合判定[9]。

適用“可識別”標(biāo)準(zhǔn)方面的困境，其原因和根源在于動態(tài)情景理論的抽象化。受制于相關(guān)立法技術(shù)簡單性的要求，“可識別”標(biāo)準(zhǔn)無法明確解釋識別的具體程度和屬性等，在法律術(shù)語層面的“可識別”與事實(shí)層面的“可識別”之間還存在很多解釋空間。為了提高可執(zhí)行性，我國現(xiàn)行法律增加了“包括自然人的姓名、出生日期、身份證號碼、生物識別信息、地址、電話號碼、電子郵件地址、健康信息和居住信息”等規(guī)定，但在商業(yè)實(shí)踐中，數(shù)據(jù)處理者不可能只收集一種數(shù)據(jù)。因此，很難將“可識別”標(biāo)準(zhǔn)適用于那些原本不是個人數(shù)據(jù)，但在業(yè)務(wù)過程中與其他信息相結(jié)合形成結(jié)構(gòu)化數(shù)據(jù)的信息。這并非列舉式條款的表述不周延，而是因?yàn)閿?shù)據(jù)處理業(yè)務(wù)實(shí)踐的復(fù)雜性決定了立法者不可能在條款中直接說明哪些信息組合形式構(gòu)成或不構(gòu)成個人信息[10]。

“可識別性”所規(guī)范的信息的基本范圍通過立法可以確定下來，目的是為了避免風(fēng)險源，防止個人因相關(guān)信息的被動獲取而被他人識別。然而，看似涇渭分明的個人信息和非個人信息的建構(gòu)卻相對復(fù)雜。

三、對我國涉稅信息保護(hù)的啟示

（一）基于場景論及風(fēng)險管理的涉稅信息保護(hù)范圍界定及法律適用

盡管我國《民法典》和《個人信息保護(hù)法》對個人信息進(jìn)行了具體的定義，但對個人信息的定義應(yīng)遵循一個動態(tài)理解的過程。根據(jù)場景理論，如何對涉稅保護(hù)信息和非涉稅保護(hù)信息進(jìn)行區(qū)別分類，需要考慮到具體情況的影響因素。由于對信息的定義是動態(tài)的過程，高度依賴于信息使用的具體情景，因此，就像沒有預(yù)先確定的個人信息的定義一樣，并沒有預(yù)先確定的受法律保護(hù)的涉稅信息保護(hù)范圍。

目前我國民法典和個人信息保護(hù)法的相關(guān)規(guī)定沒有顯示出個人信息的動態(tài)性和信息碎片之間的關(guān)聯(lián)性風(fēng)險[11]。建議在我國《稅收征收管理法》第8條的保密條款中增加“對能夠識別或者與特定個人有關(guān)的信息進(jìn)行保密”，同時平衡社會公共利益，根據(jù)不同情況規(guī)定“使用稅收保護(hù)信息的法律例外”。

另一方面，由于涉稅信息保護(hù)范圍界定的難度較大，在對于需要保護(hù)的信息處理上，應(yīng)把重心更多地放在信息使用過程中。分析在具體場景中對信息的使用是否具有“合理性”，即是否滿足納稅人在具體場景下對涉稅信息控制的合理期待，進(jìn)而要求機(jī)構(gòu)對具體場景中使用相關(guān)信息可能引發(fā)的風(fēng)險進(jìn)行評估。弱化對涉稅信息的界定是出于對信息動態(tài)化的考慮，結(jié)合不同場景對涉稅信息使用風(fēng)險評估更有利于規(guī)范機(jī)構(gòu)的行為。

在法律適用上，如果適用信息保護(hù)法律的前提是該信息構(gòu)成“受保護(hù)的個人信息”，既會使納稅人舉證責(zé)任的難度加大，也會縱容相關(guān)機(jī)構(gòu)逃避法律的規(guī)制，因此，對于侵犯涉稅信息的大規(guī)模信息處理行為，均應(yīng)受到稅收征收管理法的規(guī)制。

（二）基于場景論及風(fēng)險管理的涉稅信息管理與保護(hù)

1.管理準(zhǔn)則

《稅收征管法》第54條第6款規(guī)定：“稅務(wù)機(jī)關(guān)查詢所獲得的資料，不得用于稅收以外的用途?！比欢谛畔r代，幾乎沒有信息是與稅收完全無關(guān)的。在大數(shù)據(jù)時代，運(yùn)用目的和必要性原則作為確定涉稅信息保護(hù)范圍的標(biāo)準(zhǔn)會遇到困難。在現(xiàn)代商業(yè)模式中，數(shù)據(jù)經(jīng)常被共享和隨后被使用，通常很難預(yù)測信息在收集時的預(yù)期用途，而在大數(shù)據(jù)時代，收集、保留和重新使用大量數(shù)據(jù)是常態(tài)，信息的收集和隨后的使用應(yīng)限制在實(shí)現(xiàn)特定目的所需的最低限度。將信息的收集和隨后的使用限制在實(shí)現(xiàn)特定目的所需的最低限度，并要求保留時間不超過特定目的的必要時間且在目的實(shí)現(xiàn)后及時刪除，也會有困難。

因此，“風(fēng)險最小化”應(yīng)該取代“信息最小化”，成為組織管理涉稅保護(hù)信息的指導(dǎo)原則。建議將場景和風(fēng)險理論的使用從“目的約束”改為“風(fēng)險約束”，這意味著有必要具體評估目的綁定是否會帶來比最初收集時更大的風(fēng)險。個人數(shù)據(jù)處理的適當(dāng)性取決于其影響是否為用戶所接受，或是否符合用戶的“合理期望”。如果對數(shù)據(jù)的進(jìn)一步處理不超過最初的風(fēng)險，并且滿足了納稅人的合理期望，就可以被認(rèn)為是“合理使用”，即使它沒有實(shí)現(xiàn)傳統(tǒng)意義上的原始目的?；趫鼍昂惋L(fēng)險的理論框架，現(xiàn)在認(rèn)為有必要考慮，不是將稅收保護(hù)信息的收集和使用限制在必要的最低限度，而是將信息的使用所造成的風(fēng)險限制在實(shí)現(xiàn)特定目的所需的合理水平。特別是，如果納稅保護(hù)信息被用于“不需要識別特定個人”的目的，如統(tǒng)計(jì)分析或服務(wù)改進(jìn)，機(jī)構(gòu)應(yīng)采取合理的方法，如匿名化，以盡量減少納稅人隱私泄露的風(fēng)險。

2.風(fēng)險評估機(jī)制

我國應(yīng)積極引入基于場景和風(fēng)險理論的風(fēng)險評估機(jī)制。在透明度方面，相關(guān)機(jī)構(gòu)應(yīng)著重于披露風(fēng)險場景的組成部分，并提供方便納稅人的控制措施。在用戶控制方面，應(yīng)減少對用戶同意的過度依賴，并規(guī)定“合理使用”情景。

對信息處理行為進(jìn)行風(fēng)險評估，如果處理行為屬于“合理”或“可預(yù)見”的風(fēng)險，則免除取得納稅人的同意，從而減輕機(jī)構(gòu)和納稅人本身的負(fù)擔(dān)。如果存在“不合理”或高風(fēng)險的情形，應(yīng)該意識到引起高風(fēng)險的因素，并確保采取積極措施來減少風(fēng)險，或獲得明確和積極的同意，作為繼續(xù)處理的法律依據(jù)。

機(jī)構(gòu)可以根據(jù)其對特定情況下隱私風(fēng)險的評估，為納稅人制定分層的透明度和控制機(jī)制。在低風(fēng)險的情況下，金融機(jī)構(gòu)不需要主動披露并向用戶提供控制機(jī)制。在中度風(fēng)險的情況下，機(jī)構(gòu)只需告知納稅人高風(fēng)險因素，并提供“退出”控制機(jī)制。在高風(fēng)險的情況下，金融機(jī)構(gòu)可以向納稅人提供強(qiáng)化的通知機(jī)制，如“立即披露”以及“選擇進(jìn)入”控制機(jī)制，主動采取行動降低風(fēng)險，使納稅人更容易實(shí)際執(zhí)行控制機(jī)制。

3.涉稅信息保護(hù)責(zé)任主體

《稅收征管法》第87條規(guī)定：“未按照本法規(guī)定為納稅人、扣繳義務(wù)人、檢舉人保密的，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，由所在單位或者有關(guān)單位依法給予行政處分?！爆F(xiàn)行法律還沒有明確規(guī)定一些機(jī)構(gòu)的責(zé)任義務(wù)，因此相關(guān)的第三方機(jī)構(gòu)，如涉稅信息交換機(jī)構(gòu)責(zé)任的法律適用和界定也尚未明確。以風(fēng)險評估的概念為出發(fā)點(diǎn)，所有的主體都需要被納入風(fēng)險評估機(jī)制，每個主體的差異化義務(wù)都需要用“隱私風(fēng)險”的標(biāo)準(zhǔn)來確定。特別是，隱私保護(hù)風(fēng)險水平可分為“高”“中”“低”，相應(yīng)的保護(hù)義務(wù)水平可根據(jù)數(shù)據(jù)控制者的地位和數(shù)據(jù)處理水平獨(dú)立確定。管理系統(tǒng)應(yīng)統(tǒng)一包含評估的風(fēng)險水平，不論有關(guān)數(shù)據(jù)處理者的地位高低或數(shù)據(jù)處理水平如何。

（三）基于場景論及風(fēng)險管理的涉稅信息共享機(jī)制

《稅收征管法》第6條第1款規(guī)定：“國家有計(jì)劃地用現(xiàn)代信息技術(shù)裝備各級稅務(wù)機(jī)關(guān)，加強(qiáng)稅收征收管理信息系統(tǒng)的現(xiàn)代化建設(shè)，建立、健全稅務(wù)機(jī)關(guān)與政府其他管理機(jī)關(guān)的信息共享制度?！睘榱朔婪渡娑愋畔⒐蚕碇械臐撛诎踩L(fēng)險，本文提出了一個系統(tǒng)的控制機(jī)制，假設(shè)首先對涉稅信息交換進(jìn)行情景式風(fēng)險評估，根據(jù)風(fēng)險程度，對低風(fēng)險允許自由交換信息，對中等風(fēng)險限制信息交換，對高風(fēng)險原則上禁止信息交換。從長遠(yuǎn)來看，基于場景的方法和隱私風(fēng)險評估可以作為工具，促進(jìn)保護(hù)涉稅信息和數(shù)據(jù)流動的綜合框架的制定和改進(jìn)。