税务信息交换与个人资讯保障权之冲突: 国际经验对签署《海峡两岸避免双重课税及加强税务合作协议》的启示 (互联网金融法律评论)
Important update in 2018: This publication is based on the development up to 2015. There are several important changes, including: General Data Protection Regulation in the EU law is valid since 2018/05/25; the multilateral instrument (MLI) From BEPS Action 15 was adopted as Multilateral Convention to Implement Tax Treaty Related Measures to Prevent BEPS. Readers should bear this in mind.
税务信息交换与个人资讯保障权之冲突:国际经验对签署《海峡两岸避免双重课税及加强税务合作协议》的启示
《互联网金融法律评论》
一、导论:未决之法律争议
《海峡两岸避免双重课税及加强税务合作协议》草案(以下简称《两岸租税协议》)于2009年初步完成技术性协商,目的为减少双重课税,对纳税义务人有利。[①]然而该协议却遭到台湾纳税义务人强烈反对,台湾“立法院”立法委员不分党派均严加批评,[②]签署的进度延宕至今(2015)已逾五年。其中争议最大之议题为,纳税义务人质疑《两岸租税协议》中税务信息交换条款,不但认为其导致纳税义务人必须负担更重的查税配合义务,且忧心个人资讯权将受到行政权的侵害。台湾“财政部”虽多次提出说帖释疑,但具体条文从未公开分析讨论,仅概括指出,两岸租税协议的税务信息交换条款是以经济合作与发展组织(OECD)《关于对所得和财产避免双重课税的协定范本》为基础。故法律学界与实务界均不能就实际条文加以客观研究。2014年台湾“陆委会”虽重申关于两岸税务信息交换的四不原则:[③]“不溯及既往、不作刑事起诉、不作税务外用途、不是具体个案不提供”等,但仍未能提出具体的做法或条文,台湾“财政部”对信息交换可能对个人权利之影响仅回应以“在现有法律下核准比例很低”,[④]意即《两岸租税协议》信息交换条款对纳税义务人不会有实质影响,却未能提出有意义之法理专业回应。
即使屏除政治上两岸协议的内在敏感性质,单从法理上来看,纳税义务人所提出的质疑并非全然无据,而台湾“财政部”的回应与说明,却显然缺乏法理依据,自然难以说服民众。事实上,税务资讯交换条款与个人资讯保护权,在国际税法协议的实践中确实可能发生冲突。本文将分析国际税法协定范本中关于资讯交换条款及相关的个人资讯保护权条文,并讨论欧盟法下因实施信息交换而影响与限制个人资讯保护权的理论与实例。基于这些理论基础,本文提出解除《两岸租税协议》目前僵局及冲突的建议,同时达到保护纳税义务人权利、避免双重课税、与防止漏税,促进税务合作等多重目标。
二、国际税捐协定中的税务资讯交换条款与个人资讯保护权的保障
(一)《关于对所得和财产避免双重课税的协定范本》
为达成避免双重课税之目的,各国签署双边税捐条约。而经济合作与发展组织(OECD)提供税捐条约的范本《关于对所得和财产避免双重课税的协定范本》(以下简称OECD范本)[⑤]作为各国逐条磋商的起点。[⑥]为了达到避免纳税义务人遭到双重课税的目的,同时防止纳税义务人偷漏税款,甚至利用资讯不对称及各国税法歧义而导致的“双重不课税”等侵蚀税基的现象,各国税捐机关必须实施信息交换,进行有效的行政合作。这也涵盖在OECD范本之内。
“信息交换
1、缔约双方的主管当局须交换可预见攸关实施本协定的规定或施行或强制执行缔约双方关于本协定所涵盖的税项的本土法律的信息,但以根据该等法律作出的课税不违反本协定者为限。该项信息交换不受第1条与第2条所限制。
2、缔约一方根据第1项收到的任何信息须保密处理,其方式须与处理根据该方的本土法律而取得的信息相同,该信息只可向与第1项所述的税项的评估或征收、执行或检控有关,或与关乎该等税项的上诉的裁决有关的人员或当局(包括法院及行政部门)披露。该等人员或当局只可为该等目的使用该信息。他们可在公开的法庭程序中或在司法裁定中披露该信息。虽有前述规定,缔约一方所收到的信息,可以用于其他用途,但以依缔约双方之法律及有权限机关也允许此其他用途者为限[⑧]。”
3、第一款和第二款的规定在任何情况下不应被理解为缔约国一方有以下义务:
(一)采取与该缔约国一方或缔约国另一方的法律和行政惯例相违背的行政措施;
(二)提供按照该缔约国一方或缔约国另一方的法律或正常行政渠道不能得到的信息;
(三)提供泄露任何贸易、经营、工业、商业或专业秘密或贸易过程的信息或者泄露会违反公共政策(公共秩序)的信息。
4、如果缔约国一方根据本条请求信息,缔约国另一方应使用其信息收集手段取得所请求的信息,即使缔约国另一方可能并不因其税务目的需要该信息。前句所确定的义务受第三款的限制,但是这些限制在任何情况下不应被理解为允许缔约国一方仅因该信息没有国内利益而拒绝提供。
5、在任何情况下,第三款的规定不应被理解为允许缔约国一方仅因信息由银行、其他金融机构、被指定人、代理人或受托人所持有,或者因信息与人的所有权权益有关,而拒绝提供。”
OECD范本第26条除了规定缔约国进行税务信息交换的权力,也规定缔约国必须遵守的义务,保障纳税义务人权利:最重要的就是缔约国收集信息的“守密义务”,以及“收集信息须符合正当程序”。原则上,因信息交换而取得之税务信息只可供税项的评估或征收、执行或检控的目的使用。并且,在第3条也特别规定各种收集信息必须符合正当程序的要求:不得违反一般缔约国的法律与行政惯例,也不得要求不正常管道的信息,也不可揭露商业或专业秘密或贸易程序披露的信息,或遭披露即属违反公共政策(公共秩序)的信息。这是确保缔约国的法治原则实践,更是保障缔约国的双方纳税义务人程序权利的重要条款。
特别值得注意的是,OECD范本第26条,于2012年在第2项最后加入一个新的条款,特别扩张缔约国所得信息的使用目的之选择权。换言之,OECD范本第26条第2项最后一句,缔约国之间若同意,将所接收的信息,得依各内国法,在前款所述的税项的评估或征收、执行或检控有关,或与关乎该等税项的上诉的裁决有关的用途之外,使用该信息。这是信息交换制度的一大改变,其目的是为了缔约国更强的信息使用权力,也就是赋予缔约国更大的弹性,来使用接收的税务信息。过去,这个条款仅出现于OECD范本的注释之中,由各国自由选用;[⑨]但2012年之后,正式加入范本之中。这意味着OECD范本也承认在缔约国对税务信息交换的需求,较过去更高。但是不可否认,此修订对纳税义务人程序权利将会有更大的限制。因此,缔约国选用时,必须同时符合内国法的要求。即使内国法律没有具体的规定,如果内国宪法上对于纳税人的基本权有更高的要求,此允许信息使用于其他用途之条款缔约国也不会签订。
2011年,OECD开放《多边税收征管互助公约》开始签署,以提供各国一套多边公约之法律架构,以促进彼此税收征管程序上的互助合作。与双边税捐条约不同,《多边税收征管互助公约》是一个多边参与的公约,会员国得对某些条款“保留”,而不若双边税捐条约,彼此磋商订立具体的条文。整套公约规定各种征管互助措施,也包含各类情报信息交换,包括同期税务检查及参与境外税务检查。2013 年中国已加入《多边税收征管互助公约》,成为其第56个缔约方[11],2015年全国人大常委会批准。第5条到第9条便规定更具体的各种信息措施。[12]
《多边税收征管互助公约》第4条规定,一般收集信息的原则:
“一、在公约涵盖的税种范围内,凡是与缔约方运用或实施相关国内法有可预见相关性的情报,各缔约方均应进行交换。
二、(删除)
三、任何缔约方均可通过向公约保存人提出声明的方式,表明在依照第5条和第7条规定提供有关其居民或国民的情报前,依据国内法,其主管当局可通知该居民或国民。”
亦即,第4条规定重要的个人程序权,在缔约国提供有关其居民或国民的情报前,依据国内法,其主管当局有通知该居民或国民的义务。
《多边税收征管互助公约》第21条规定,对人的保护和提供协助义务的限制:
“一、本公约的任何规定都不影响被请求方法律或行政惯例赋予人的权利及保护措施。……”
《多边税收征管互助公约》第22条规定保密义务:
“一、缔约一方根据本公约所获得的任何情报,均应视同通过其国内法获得的情报予以保密,并采取同样的保密措施,同时要执行有关保障措施,确保对个人信息的必要保护。具体措施可由情报提供国根据其国内法提出。
二、在任何情况下,此类情报均只能告知给那些涉及相关方税收义务确定、征收、追索、执行、起诉、起诉裁决及对上述活动进行监督的有关人员或机构(包括法院和行政、监督部门)。仅上述人员或机构可使用此类情报,且仅限于上述目的使用此类情报。虽有本条第一款规定,这些人员或机构仍可在公开法庭的诉讼或有关此类税收的司法判决中披露有关情报。
三、如果缔约一方对公约第三十条第一款第(一)项规定的内容做出保留,从该国获得情报的任何其他缔约方均不得将此类情报用于属于保留范围内的税种。同样地,做出该保留的缔约方也不能将根据本公约获得的情报用于属于保留范围内的税种。
四、虽有本条上述第一、二和三款规定,在情报提供方的法律规定允许,同时情报提供方主管当局也授权的情况下,取得情报的缔约方可将所获情报用于其他目的。经情报提供方主管当局事先授权,情报获得方可将获得的情报传送给第三方。“
《多边税收征管互助公约》第21条与第22条均强调,国家之间进行税务信息交换,仍应保障纳税义务人的程序权利。《多边税收征管互助公约》第22条第四款也与OECD范本第26条相似,放宽“所获情报用于其他目的”。这个加强税务机关合作,放宽信息情报使用目的发展趋势,与全球化的市场发展相关。21世纪的今日,跨国企业所进行的跨境经济活动益加频繁,所涉及的税务规划也越来越复杂,国家除了扫除双重课税现象,也有避免“双重不课税”的规范需求,跨国的信息交换合作就会较过去更为紧密。但是不可否认的是,各国税务机关信息交换合作越紧密,对个人资讯的限制与干涉自然也会更为深入。因此,对于两个重要规范(信息交换与个人资讯保障)本质上的潜在冲突,如何取得平衡,必须进一步探讨研究。本文将以欧盟税法与个人资讯保障为范围进行具体讨论。
三、欧盟法下税务信息资讯交换与个人资讯保护权的理论与实践
(一)欧盟法下税务信息交换机制
在欧盟法下,关于税捐主管机关交换税务信息及进行行政合作的规范架构最早可见于欧盟统一关税下的具体规范[13]、而后增值税[14]、货物税[15]、直接税[16]的征收等,均适用税务信息交换的相关法律,以指令(Directive)或规章(Regulation)为规范形式。在欧盟法下,除增值税基与关税之外,直接税之税种、税基、税率等实体事项,仍属于会员国的权限。但为达到内部市场的目标,建立一个更自由,如同无国界的自由市场,依《欧盟运行条约》(Treaty
on the Functioning of European Union,简称TFEU)第114条,为追求内部市场,欧盟有权就这些税务行政事项订立具体的欧盟次级法(即规章与指令等),税务机关有义务依这些欧盟,进行税务信息交换。2013
年欧盟执委会(European
Commission,欧盟中的主要的行政权机关之一),更提案建议,未来应该扩大《直接税信息交换指令》(Council
Directive 2011/16/EU)的范围,延伸到强制性自动交换信息,以对抗纳税义务人偷漏税的行为。[17]
这些欧盟税法指令及规章中,与上述OECD范本及《多边税收征管互助公约范本》类似,也规定有保障个人资讯的条款(参见Council
Regulation 904/2010第31条;Council
Regulation 389/2012第8、15 、16、28条;Council
Directive 2011/16/EU第
25条等等),在其中同时也引用欧盟法下最主要的保障个人资讯立法《个人资讯保障指令》。[18]引用的目的是,在促进会员国税务机关之间更加紧密合作之外,同时也必须确保纳税义务人的个人资料保障权。在订立税法指令及规章的时候,欧盟立法者便已经考量到,个人资料保障权与税务机关扩大其交换信息的权限,存在一个本质上的冲突;税务机关交换信息的权限越大,合作越紧密,同时也意味着行政权对个人资讯的干涉越深。因此个人资讯保障权的内涵与范围,需要作为相关税务立法的前提,具体规定继续讨论如下。
(二)欧盟法下个人资料保障权
1.个人资料权保障权之立法架构之发展
相较会员国的内国法,欧盟法在位阶层面具有优先性。自2009年12月《里斯本条约》正式通过之后,2000年制定通过的《基本权宪章》(Charter
of Fundamental Rights)已从欧盟各会员国之间政治上的共识而正式成为欧盟法上有效法源之一。[19]《基本权宪章》第7条规定个人之隐私权应予以保障,第8条则规定个人资讯的保障权。个人资讯的保障权从隐私权衍生而来,但现在其内涵与保护范围,已有自己的独立性;属于不同传统基本权的“第三代人权”,个人资讯的保障权包含了新的元素。
隐私权是一个历史悠久、在国际法上发展相当成熟的基本权。例如《世界人权宣言》第12条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉,他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”[20]又比如《公民及政治权利国际公约》第17条规定:“一、任何人的私生活、家庭、住宅或通信不得加以任意或非法干涉,他的荣誉和名誉不得加以非法攻击。二、人人有权享受法律保护,以免受这种干涉或攻击。”[21]
区域人权法也有这样的例子,例如欧洲人权公约第8条规定:“一、人人有权使他的私人和家庭生活,他的家庭和通信受到尊重。二、公共机关不得干预上述权利的行使,但是依照法律的干预以及在民主社会中为了国家安全,公共安全或国家的经济福利的利益,为了防止混乱或犯罪、为了保护健康或道德、或为了保护他人的权利与自由,有必要进行干预者,不在此限。”[22]
但是《基本权宪章》第8条规定之个人资讯的保障权并未规定于以上法律文件,因为个人资讯保障权为不同传统基本权的第三代人权。[23]个人资讯保障权更强调资讯所涉及的个人对其资讯的掌控权。这在当代全球化以及互联网技术的发达的脉络之下产生的新的规范需求。除了《基本权宪章》外,新的《欧盟运行条约》(Treaty
on the Functioning of European Union,简称TFEU)第16条第1条,更规定“每个人有权享有个人自我资讯的保障权。”换言之,个人信息保障权在欧盟法下是一个新兴但具有独立基本人权位阶的权利[24]。
事实上,远在《基本权宪章》通过的五年前(1995年)欧盟便已经制定《个人资讯保障指令》,该指令以“追求内部市场”为法律基础,同时考虑到保障处理个人资讯时所涉及的“隐私权”。该指令要求信息掌握者(data controller)及信息处理者(data processor)必须保障个人信息权。信息掌握者(data controller)与信息处理者(data processor)包含公权力机关也包含私人机构。欧盟会员国必须立法落实《个人资讯保障指令》,确保不论是政府机构或是一般私人,在处理个人信息时,均给予资讯主体(data project)充足保障。
《个人资讯保障指令》确立处理个人资讯的六大重要原则:(1)正当原则:个人资讯必须合法合理处理;(2)目的具体原则:个人资讯之取得与处理,必须符合具体目的,不可以超过其目的。(3)透明原则;处理个人资讯时,必须通知资讯主体;个人信息必须正确,必要时必须更新;相关人在某些条件下可以异议;(4)比例原则:个人咨讯的保存,不得超过其必要的目的;(5)安全性原则:必须提供相关的技术与组织对抗非法的个人咨讯处理,以及防止个人信息灭失或损害;(6)有效控制原则:关于个人咨讯跨境传输,个人咨讯原则上不得传输至欧盟境外第三国,除非该第三国对个人咨讯也提供相同程度的保障。[25]
对于个人资讯由信息接受方将个人信息移转至欧盟境外第三国(跨境传输个人资讯)的情况,《个人资讯保障指令》第25条规定若该第三国对于个人资讯保护程度不如欧盟时,原则上应不允许。但是这个原则,在有公共利益需求时可以克减,而限制个人信息保护权(第26条第1项(d) 款)。但是国家或欧盟的税捐利益是否属于“公共利益需求”并未具体规定,则需要就指令内容进行体系解释。
依该《个人资讯保障指令》第13条规定,在某些条件下,会员国可以依法限制个人信息保护权的情况,这些条件包含:为追求保障“第(e)款欧盟或各会员国财务利益:包含货币预算,与税捐等事项”,各会员国可以立法限制之。因此,第25条与第13条应做相同解释,就税捐事项,会员国仍可以依法限制个人资讯权,而使个人信息可以传输到第三国。既然《个人资讯保障指令》允许此限制,允许因为税捐事项而进行跨境传输个人资讯,欧盟各会员国与欧盟外其他国家签署OECD的《多边税收征管互助公约》,或在双边税务信息交换协议,不会就立刻违反欧盟法下的《个人资讯保障指令》。
2012 年,欧盟执委会又提出《个人资讯保障规章》提案[26],其目的是修订可能已不符合时代现况的《个人资讯保障指令》。例如将个人资讯保障权依《基本权宪章》独立于隐私权之外,并且将欧盟法院相关的案例法成文化与系统化。具体来说,若《个人资讯保障规章》通过实施,除了原先《个人资讯保障指令》就已保障的资讯保密(第30条)、错误修正权(第16条)、公开透明(第11条,第12条)等等程序上权利,自然人可以享有以下个人资讯保障权利:被遗忘权(第17条)、个人资讯自由移转使用权(第18条(2))、个人资讯使用目的决定权(第18条(1))、个人资讯被黑客攻击时的被通知权(第31条)等等。[27]
关于将个人资料传输至欧盟境外第三国(跨境传输个人资讯),《个人资讯保障规章》提案第44条第1项(d)款规定,虽然跨境传输接收信息的第三国未能提供相当于欧盟法下的保障,若为了“公共利益”将个人信息移转至第三国,应予许可;达到欧盟或会员国的财务上利益等税捐事项,依体系解释应属于此公共利益。这个规定与原先《个人资讯保障指令》第26条相同。跨境传输个人资讯,虽然可以因国家税捐利益而进行,但可能更大程度影响个人资讯保障权,各会员国仍必须遵守《基本权宪章》的要求。欧盟执委会因此特别在《个人资讯保障规章》提案第44条规定,向境外传输个人资讯,虽然可以因为“公共利益”而允许传输至未能提供与欧盟会员国相当保障的第三国,但是并非毫无限制。《个人资讯保障规章》提案第44条第1项(h)款特别限制,除了符合必要性的目的之外,跨境传输接收信息的第三国不可以是“经常性”与“大量”传输的形态;并且资讯控制者者与处理者,必须通知个人资讯保护权的有权公权力机关,先提出自我评估决定,此跨境传输是否有足够的防护,以及是否提供足够的保障。并且,依《个人资讯保障规章》提案第45条,授权欧盟执委会订立法律,以促进国际之间,包含与其他非欧盟国家之间进行个人资讯保障方面的合作。
《个人资讯保障规章》提案第44条与第45条,与跨境传输个人税务资讯最为相关。税捐公权力机关也属于资讯处理者,而且即使是税捐机关,也必须向个人资讯保护权公权力机关提出评估。为了确保个人资讯跨境传输后仍享有相当充足的保障,特别是与非欧盟会员国的国际合作,更为重要。个人资讯保障权,必须由个不同国家的的不同部门公权利机关,共同合作,才能真正落实。欧盟执委会,则必须承担协调者的责任。
综上所述,经过多年的法理与立法的发展,个人资讯保障权利已成为欧盟法下基础法律原则,不但各会员国,欧盟的官方机构也必须保障个人资讯权利,在各相关部门法中的立法也必须遵守。这个权利,更是不同于隐私权的一个独立的基本权。故对于税务信息的交换,也应保障所涉及个人资讯权利。
2.2014年欧盟法院案例法关于个人资讯保障权最新发展
除了立法上的发展,欧盟法院也以案例法具体发展个人资讯保障权的内涵,解决《个人资讯保障指令》所发生的争议。2014年在个人资讯保障权领域,法院作出两个里程碑意义的判决,扩大个人资讯保障权的范围。
Google Spain案堪称个人资讯保障法发展上的一大里程碑[29]。在此案中,欧盟法院解释称《个人资讯保障指令》应包含人民有“个人资讯清除权”,甚至是商业的互联网搜寻引擎,也有义务及时清除早已过时而对人民可能产生不利效果的搜寻结果内容出现的个人资讯。
本案发生在西班牙公民Mario Costeja González,其个人姓名在Google
Spain 搜寻引擎的搜寻结果第1及第2 个结果,均指向一报纸的网页版新闻报导的电子链接存档,报导Mario
Costeja González在1998年因其欠缴西班牙法律所规定的社会福利税捐,而导致不动产被拍卖的相关情事。后来该该案争议早已解决,但即使经过16年后的2014年,网路使用者仍可以由Google搜寻引擎,立即搜到他的姓名,与欠缴案的新闻连结。Mario
Costeja González向西班牙有关当局提起要求移除该新闻网页,但遭到拒绝,而诉至西班牙法院,西班牙法院因此向欧盟法院请求解释[30],西班牙具体实践欧盟《个人资讯保障指令》的内国法律,是否已违反《个人资讯保障指令》。
欧盟法院做出判决,宣告落实《个人资讯保障指令》的西班牙法违反《基本权宪章》第7条与第8条。法院指出,虽然在报新闻导当时(1998年)资讯是正确的,随着时间过去,涉及当事人的个人信息也可能不再充足,而导致原先的个人资讯与现在的当事人并不再相关了。在此案中,以Google搜寻当事人姓名的结果一直指向16年前的争议的新闻报导,但实际上早已解决,原先新闻的报导里的个人资讯便超过原先资讯处理与公布的目的,与保障个人资讯权不相符。继续使这些旧资讯在网路上被搜寻到,也同时侵害其隐私权。因此,Google不能以其商业利益,或一般民众的取得资讯权的公共利益,拒绝Mario
Costeja González关于清除1998年欠缴案的新闻网页搜寻结果的请求。
本案判决最重大的意义之一是,原先公布与网络的个人资讯随着时间经过,与资讯主体之间的关系,可能产生变化。为了保障资讯主体“现在”的个人资讯权,得以限制搜寻引擎的表达自由与公众取得资讯权。资讯主体因此而得以要求搜寻商业引擎移除,与其不再相关、过旧的搜寻结果。既然公权力机关也是资讯控制者,对于公权力机关掌握的个人资讯,符合以上条件时,资讯主体也得以请求清除。
欧盟法院在Digital Rights Ireland
ltd案中审查,为了具体实施《个人资讯保障指令》第17条,而订立的《资讯保存指令》[32],《资讯保存指令》要求电信业者保存客户的个人资料电信通连记录,主要目的是为了公共安全与反恐。此判决最重要并且值得注意的是,欧盟法院以违反《基本权宪章》为法律基础,宣告欧盟《资讯保存指令》自始、当然无效。
本案为两案。一案发生在奥地利,另一案发生在爱尔兰,但因为同样是内国法院提起欧盟法的解释与适用的法律问题,涉及同一个指令的效力,欧盟法院将两案合并审理。两案的案例事实也十分相近,皆涉及电信业者,依落实《资讯保存指令》的内国法,大规模保存客户的个人资料通连记录。《资讯保存指令》第5条规定必须保存的个人资讯,这些个人资讯包含各种电信通联记录,包含手机与有线电话的登记者姓名地址,通话的时间,发话方与受话方的地点,还包含互联网的IP
位址,电子邮件的寄件方与收件方的IP位址等等,得以辨认通讯人士身份的资料。《资讯保存指令》要求保存资讯范围极广,巨细靡遗,所影响的人数众多。仅在奥地利,该案起诉的人数便超过1万1千人[33]。《资讯保存指令》原先目的是为了追求公共安全,但因为影响人民基本权如此巨大,奥地利与爱尔兰法院各自向欧盟法院提起欧盟法诠释问题。
欧盟法院做出判决,宣告《资讯保存指令》因为违反《基本权宪章》第
7条(隐私权),第8条(个人资讯保障权),自始当然无效。判决具体理由如下:首先,《资讯保存指令》未能区分保存资讯是否为了防止重大犯罪,便一概搜集个人电信通讯资讯。并且,《资讯保存指令》也未能规定,有权机关使用资讯的目的与使用资讯的标准。关于资讯保存期限,《资讯保存指令》未能规定具体理由,个人资讯便无差别地保存最少某一期限(例如《资讯保存指令》规定任何资讯应保存最段短6个月)。关于所保存的个人资讯可能的风险,《资讯保存指令》未能规定防范保存的个人资讯被滥用的具体措施。关于个人资讯至欧盟境外的境外传输,《资讯保存指令》,未能规定保存的个人资讯,应留在欧盟境内不得传输。
这个判决有几点特别重要的意义。第一,关于大规模搜集并保存个人资讯,可能同时侵害隐私权与个人资讯保障权。第二,法院也肯定,即使是由欧盟立法机关所制定的欧盟次级法,也可能因为违反最上位的基本权而被宣告失效。本案涉及的基本权侵害,便是由《资讯保存指令》本身造成。这也显示,一旦涉及个人资讯的处理,即使是欧盟立法机构本身,也不总是能够取得“保障个人资讯”与“确保公共安全”之间的平衡。第三,欧盟法院重申重要的法律原则,所保存的个人资讯,若向欧盟境外传输,不能毫无限制。即使是为了反恐的目的,欧盟或任何会员国也不可以任意传输。将这些关于《资讯保存指令》法理运用在税务资讯交换的脉络下讨论,举重以明轻,为了反恐目的,尚且不可毫无限制向欧盟境外传输,若仅为了避免偷税目的,而进行的税务资讯交换,也应考量到个人资讯权的保障。
3.小结:个人资讯保护权之独立性与重要性
自欧盟法下关于个人信息保障权的相关规定可知,“个人资讯保护权”是一个独立的基本权,由隐私权衍生而来。该权利不但已由独立条文规定,其内涵也发展到对于个人资讯的“自主权”的保障。资讯的控制者(Controller)与资讯处理者(Processor)就个人资讯从收集、保存、处理、境外传输、使用、删除,依时间的进展,整个处理“个人资讯的生命链”的各个阶段,都必须保障资讯主体,即个人资讯所涉及的自然人的权利:不但包含程序上的受通知权,实体上也必须赋予个人资讯使用目的的同意权,最后还有要求清除个人资讯的权利。
从最新的欧盟案例法的发展来看个人资讯权的内涵有两大重点。其一,“时间”是决定是否影响信息保障权的一个重要的因素。例如Google
Spain案中,因为事件经过,原先新闻的个人信息与当事人的现况不符,而有权将过时信息自搜索引擎的结果移除;另外一个“时间”因素,在Digital
Rights Ireland案中,保存个人资讯的“期限”,不可以任意决定保存的最短期限。此外,关于跨境传输个人资讯,更应该适用严格的保障标准。
在税务信息交换领域,虽然《个人资讯保障指令》第26条第1项(d)规定,为国家财政的公共利益目的而跨境传输个人资讯,即使传输目的之欧盟境外第三国未能提供相当于欧盟法的保障,此类跨境传输个人资讯仍应允许。这个除外条款,带来一个法律疑问:是否众多双边税捐协议的信息交换条款皆不适用《个人资讯保障指令》。例如,会员国如果采用了OECD
基于《多边税收征管互助公约》所建议的《金融账户信息自动交换标准》[34](Standard
for Automatic Exchange of Financial Account Information,简称CRS),是否仍适用《个人资讯保障指令》?就此,欧盟执委会(European
Commission)的个人资讯保障工作小组(依《个人资讯保障指令》第29条成立的工作小组,Article
29 Data Protection Working Party ,简称WP29)[35]提出意见指出,落实此跨国境的税务信息自动交换,欧盟各会员国仍应遵守欧盟法下的个人资讯保障的原则,即“目的特定原则”与“必要性原则”,避免无差别地大量收集并传输个人资讯。WP29更强调,欧盟也会在税务信息交换领域加强对于个人资讯权的保障,避免产生个人资讯保障权利的漏洞。
四、中国实证法上的税务信息交换与个人资讯保护权保障
由上述欧盟法的分析可知,目前国际税法上税务信息交换条款之范本,对个人资讯权之保障,主要集中于“保密”以及“不做税务外用途”。然而关于取得信息之后处理与保存等程序,如何兼顾保障个人资讯权,此新发展第三代人权,其具体规定仍付之阙如,对个人资讯权保障仍有进步的空间。
就此,欧盟法上关于个人资讯权的立法与欧盟法院案例法,所提供之保障密度均较OECD范本的税务信息交换的条款高出许多[36],也更为具体,而值得世界各国,在签定税捐条约或协议时加以借鉴,以保护其双方内国公民的人权。这是由于“个人资讯保护权”在欧盟法上,已经赋予相当于宪法上权利地位,并独立于传统的隐私权之外,而且“个人资讯保护权”也已经是欧盟法上一般法律原则(一般法律原则为有效的法源,位阶与条约本文同等)。故不论是任何的部门法,包含税务机关,在实施信息交换时,皆必须符合个人资讯保护权的要求。不只收集信息后,必须“保密”以及“将信息用于具体用途”;收集信息的程序中,事前必须通知个人信息的原拥有者;对于已使用的个人信息,个人可以要求信息处理者(包含私人及公权力机关)消除之(见前述Google
Spain一案);信息处理者不可以毫不考量实际情况(例如是否存在重大犯罪可能),便无差别索取个人信息,就保存该信息最少达某一段期间(即使该期间最长只有24个月,如前述Digital
Rights Ireland ltd一案)。
事实上,除了前述在中国2013年签署,2015人大批准的《多边税收征管互助公约》,在中国已签署的国际税法条约中,已经存在非常先进,兼顾税捐机关合作并保障个人资讯保护权之条文。具体的发展就是2014
年3月28日签署之《德意志联邦共和国和中华人民共和国对所得和财产避免双重征税和防止偷漏税的协定》与所附议定书(以下简称《2014中德税捐协议及议定书》),目前《2014中德税捐协议及议定书》的法律状态正在完成内国法律程序而等待正式生效中。[37]
《2014中德税捐协议》,与1985年原先的《中华人民共和国德意志联邦共和国的协定》(以下简称《1985中德税捐协议》)比较,2014年的议定书,加入两国税务机关彼此合作的协议/关于税务信息交换,除了将原先的1985中德税捐协议第27条的信息交换,更扩大适用范围[38],又增订数项加强个人资讯权保护的条款[39]。2014中德税捐协议第26条规定,和OECD范本第26条几乎完全相同。但是《2014
中德税捐协议》第26条,并不允许“缔约一方所收到的信息,可以于其他用途。”
《2014中德税捐协议议定书》第6条特别加入关于信息交换的规定:
“六、关于第26条:如果按照国内法在本协定下交换了个人信息,除遵守缔约国双方有效的法律规定外,还应遵守以下补充规定:
(一)“个人信息”应意味着任何与身份确定的或身份可以确定的自然人相关的信息;身份可以确定的人指的是通过信息请求方提供的信息可以确定身份的人。
(二)信息接收方仅可以由于第26条所列目的使用上述信息信息的使用应受信息提供方规定条件的限制未经信息提供方事先同意,按照本协定规定所交换的数据和信息不得用于刑事案件。信息提供方应根据国内法和任何适用的双边或多边刑事司法协助条
33 约决定是否同意。
(三)信息接收方应当按照信息提供方的要求,将所提供信息的使用情况和得到的结果通知信息提供方。
(四)只有经过信息提供方事先许可,才能将信息提供给未在第26条第二款提到的其他机构。
(五)信息提供方应尽最大努力确保所提供信息的准确性,保证其对于信息提供的目的来说是必要的和合适的。必须遵守适用的国内法律对信息提供的限制。如果信息提供方提供了不准确的信息或不应当提供的信息,应立即通知信息接收方。信息接收方应当有义务立即纠正或删除上述信息。
(六)一经申请,应将所提供的与其相关的信息及其将要使用的情况通知相关人员。如果经过总体衡量,不提供信息的公共利益大于提供信息带给相关人员的利益,则没有义务提供该信息。在所有其他情况下,相关人员被通知与其相关的已有信息的权利应受到在其主权领土内提出信息申请的缔约国一方国内法的约束。
(七)如果信息提供方的国内法包含对删除所提供个人信息的特殊规定,则信息提供方应据此通知信息接收方。虽有上述法律规定,一旦不再因为提供信息所要达到的目的而需要所提供的个人信息,应当立即将其删除。
(八)信息提供方和信息接收方应当有义务对个人信息的提供和接收保存正式记录。
(九)信息提供方和信息接收方应当有义务采取有效措施保护所提供的个人信息,未经许可不得接触、修改和披露上述信息。“
从《2014中德税捐协议议定书》第6条的内容来看,就是具体而微的个人资讯保障条款,与前述欧盟法下的《个人资讯保存指令》有许多相似之处。由此可知,《2014中德税捐协议议定书》第6条的具体规定,提供中国的纳税义务人其个人资讯保障权相当全面而严密的保障。除了中德双方的税务机关应该确保所提供信息的准确性,信息接收方应当有义务立即纠正或删除不准确的信息或不应当提供的信息(《2014中德税捐协议议定书》第6条(五));税务机关有通知义务(《2014中德税捐协议议定书》第6条(六));税务机关有提供和接收保存信息正式记录义务(《2014中德税捐协议议定书》第6条(八));未经许可不得接触、修改和披露信息的义务(《2014中德税捐协议议定书》第6条(九))。
中国的纳税义务人,有权就中国与德国税捐机关的信息交换事被通知(《2014中德税捐协议议定书》第6条(三));若要信息要交换至德国以外其他国家,中国的纳税义务人有事先许可权(《2014中德税捐协议议定书》第6条(四));一旦不再因为提供信息所要达到的目的而需要所提供的个人信息,中国的纳税义务人有权要求删除(《2014中德税捐协议议定书》第6条(七))。这些权利,都是中国纳税义务人在其个人资讯交换至德国的情况,而得以享有。基于条约互惠原则,这些权利也适用于德国的纳税义务人。特別注意的是,关于纳税义务人的“咨讯删除权”,这与上述欧盟法院2014年的案例法发展,对于个人资讯保障权的内涵,诠释一致。《2014中德税捐协议议定书》第6条(七)便特别指出“一旦不再因为提供信息所要达到的目的而需要所提供的个人信息,应当立即将其删除。”本文认为,《2014中德税捐协议议定书》是较OECD 范本与《多边税收征管互助公约》更为先进与重视个人资讯保障权的立法。
《2014中德税捐协议》落实个人资讯保障权,也同时符合中国目前加强个人资讯保障权的发展趋势。虽然目前中国尚无独立的《个人信息保护法》,但已有学者倡议多年[40],除此之外,2013
年2月1日起,《信息安全技术公共及商用服务信息系统个人信息保护指南》开始在中国正式实施。这些发展都说明,依法律确保个人资讯保障权的共识在中国渐渐成熟,不论在私人商务交易领域以及公共行政领域[41],都必须保障个人资讯权。《2014中德税捐协议》就是中国的这个发展趋势,在国际条约领域上的具体展现。
《2014中德税捐协议与议定书》生效之后,特别是议定书第6条,保障中国的纳税义务人的个人资讯保障权。这个实践的具体经验,对于签署《两岸租税协议》有相当大的启发。目前虽然未能得知《两岸租税协议》的条文,但据台湾有关单位的宣称,乃是以2009年当时的OECD
范本为蓝本。2009年当时关于个人资讯保障在税务信息交换中,可能受到侵害,以及国家如何保障个人基本权的发展,均较现在的法制发展落伍,也反映在纳税义务人的种种质疑上。本文建议,为了消除《两岸租税协议》保障基本权不周的疑虑,应将中德税捐协议议定书第6条内容,订入《两岸租税协议》关于信息交换的条款,特别是引入“资讯删除权”以保障两岸的纳税义务人。此外,《两岸租税协议》也可以基于《2014中德税捐协议议定书》为起点,再更进一步具体规定个人资讯保存的相关程序保障,例如订立更具体的标准决定个人资讯保存期限长短等等。
五、结论
纵上所述,个人资讯保障权是20世纪新兴的第三代人权。而目前在《两岸租税协议》提案中,关于加强公权力机关之间税务信息交换的合作之后,对于个人资讯权可能所生影响及限制的疑虑,是全球税局与纳税义务人都在面对的法律争议;就此,两岸纳税义务人对《两岸租税协议》的质疑并非无据。特别地,《两岸租税协议》涉及个人资讯跨境传输,对纳税人基本权的限制也更大。从OECD以及欧盟法的实践经验来看,不论双边或是多边的税捐协议,其信息交换的机制,均必须在“保障个人资讯权”以及“公共利益”(即防止跨国逃漏税)两大目的中取得平衡。
欧盟法的经验显示,达到这个平衡显然并不容易,但它却是保障人权与追求法治不可或缺的要件。跨境税务信息交换机制中加强保障个人资讯权确实是十分必要的,这对《两岸租税协议》的顺利签署与广泛接受也会有正面的助益。本文考察欧盟法与比较现有中国签署的税法条约后,建议《两岸租税协议》的信息交换机制应该纳入《2014中德税捐协议》议定书第6条的内容,将对适用《两岸租税协议》的两岸的纳税义务人的个人资讯权保障程度提高至与《2014中德税捐协议》提供的保障程度相当,以消除现存的法律争议。就此,《两岸租税协议》的信息交换机制对于台湾几大陆两地的纳税义务人的个人资讯,提供保障方能更充足,两岸税务机关的合作更加紧密,同时也使法治原则能够更加落实,达成三赢的结果。
“十六,98年(2009年)第四次江陈会谈为什么没有签署两岸租税协议?问题是否已经解决?
(一)未签署缘由两岸租税协议原列入98年底(2009年)第四次「江陈会谈」议题,当时双方对于「转让股份收益的课税权归属」(即大陆对于台商转让大陆公司股份的所得可否课税)未能达成共识,我方为保障台商权益,不同意签署,建议继续协商。
(二)后续解决说明
在后续询商中,经双方充分沟通及交换意见后,双方同意参考国际税约范本在避免双重课税意旨下规范财产交易所得课税权分配问题,所得来源地对于转让股份收益原则上不课税,该问题已获得圆满解决。”,载
[③] 参见台湾“陆委会”新闻稿,“财政部说明,双方原已就两岸租税协议资讯交换机制应严守不溯及既往、不作刑事起诉、不作税务外用途及不是具体个案不提供之四不原则达成共识。然近期与外界沟通说明时,部分台商对于资讯交换仍有疑虑,援再沟通讨论,陆方业再次确认该四不原则,并表示将规划于大陆地区对台商及地方税捐机关进行宣导说明,俾增进了解,减少疑虑。……财政部强调,积极推动两岸租税协议之目的是透过相互减免税措施以消除两岸重复课税、减轻双方企业及人民之所得税负、促进双方经贸交流,而非交换资讯协助对方查税,影响层面极小,各界应多了解两岸租税协议所提供之减免税利益。”,载 http://www.mac.gov.tw/ct.asp?xItem=109828&ctNode=5630&mp=2,2015年4月10日访问。
[④] 参见台湾“财政部” 新闻稿:“考量稽征成本及调查时间限制,各国通常仅就逃漏税情节重大且为该国国内调查程序无法查得的具体个案,经确认符合租税协定资讯交换要件后,才会向缔约他方提出资讯交换的请求,以免遭对方拒绝而影响核课时效。目前我国已生效的租税协定有27个,近年来,缔约他方依租税协定向我方要求资讯交换的案件19件,其中13件经审核符合规定可以提供外,其余经审核后拒绝或请缔约他方再补充完备资讯。”,载
[⑨] 参见OECD范本第26条最新的注释Update To Article 26 Of The OECD Model Tax Convention And Its
Commentary, Approved by the OECD Council on 17 July 2012,载http://www.oecd.org/ctp/exchange-of-tax-information/120718_Article%2026-ENG_no%20cover%20(2).pdf,2015年4月10日访问。
http://www.chinatax.gov.cn/n810341/n810770/c1152827/part/1152828.pdf,2015年4月10日访问。关于中国至2014年的具体发展参见,崔晓静、熊昕:“国际税收自动信息交换法律制度的新发展”,载《法学》2014年第8期。
[14] 参见Council
Regulation 904/2010 on
administrative cooperation and combating fraud in the field of value added tax.
[17] 参见Proposal
for a Council Directive amending Directive 2011/16/EU as regards mandatory
automatic exchange of information in the field of taxation, Brussels, 12.6.2013 COM(2013) 348 final 2013/0188
(CNS) ,载http://ec.europa.eu/taxation_customs/resources/documents/taxation/tax_cooperation/mutual_assistance/direct_tax_directive/com_2013_348_en.pdf ,2015年4月10日访问。
[19] 《基本权宪章》发展历史,参见Di Federico, Giacomo, ed. The EU charter of fundamental
rights: from declaration to binding instrument. Vol. 8. Springer Science &
Business Media, 2010.值得注意的是,虽然学者一般认为《基本权宪章》2009年之前并不具有法律拘束力,但2000 后欧盟法院在案例法中已经以“一般法律原则”的地位,具体引用《基本权宪章》的法条用以说理。
[21] 《公民及政治权利国际公约》中英文版本对照,参见北京大学法学院人权与人道法研究中心的整理,载http://www.hrol.org/Documents/ChinaDocs/Obligations/2012-11/272.html,2015年4月10日访问。
[22] 《欧洲人权公约》中文版本,参见北京大学法学院人权与人道法研究中心翻译,载http://www.hrol.org/Documents/RegionalDocs/2012-11/67.html ,2015年4月10日访问。
[23] 《欧洲人权公约》本文虽没有独立的个人资讯保障条文,但是自2004年起,欧洲人权公约第108号附加议定书《Additional Protocol to the Convention for the Protection of Individuals
with regard to Automatic Processing of Personal Data, regarding supervisory
authorities and transborder data flows》(《关于保障个人资讯处理、监控机构、跨界传输的附加议定书》),开放《欧洲人权公约》公约国签署。但截至2015
年四月,只有6国签署,相较《欧洲人权公约》公约国全员47国(其中28国是组成欧洲联盟的会员国),仍然极为稀少。欧洲人权公约第108号议定书签署国的具体公告,载http://conventions.coe.int/Treaty/Commun/ListeDeclarations.asp?NT=181&CM=2&DF=&CL=ENG&VL=1,2015年4月15日访问。
[24] 关于个人资讯保障权在欧盟法下的发展,参见Lynskey, Orla. "Deconstructing Data Protection:
The ‘Added-Value’of A Right To Data Protection In The E Legal Order."
International and Comparative Law Quarterly 63.03 (2014): 569-597.
[25] 参见Kuner,
Christopher. European data protection law: corporate compliance and regulation.
Oxford University Press, 2007.
[26] 参见《个人资讯保障规章》提案,Brussels, 25.1.2012 COM(2012) 11,载 http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf,2015年4月10日访问。
[27] 关于《个人资讯保障规章》提案的介绍分析,参见Kuner, Christopher. "The European Commission's
Proposed Data Protection Regulation: A Copernican Revolution In European Data
Protection Law." Bloomberg BNA Privacy and Security Law Report (2012)
February 6.2012 (2012): 1-15.
[28] 参见Case
C-131/12 Google Spain SL, Google Inc v Agencia Española de Protección de Datos
(AEPD), Mario Costeja González.
[29] 关于判决分析,参见Kuner, Christopher. "The Court of Justice of the
EU Judgment on Data Protection and Internet Search Engines: Current Issues and
Future Challenges." Studies of the Max Planck Institute Luxembourg for
International, European and Regulatory Procedural Law, Nomos/Brill (2015).
[31] Joined Cases C-293/12, C-594/12 Digital Rights Ireland
and Seitlinger and Others,关于本案宪法意义的讨论,参见Ojanen, Tuomas. "Privacy Is More Than Just a
Seven-Letter Word: The Court of Justice of the European Union Sets
Constitutional Limits on Mass Surveillance: Court of Justice of the European
Union Decision of 8 April 2014 in Joined Cases C-293/12 and C-594/12, Digital
Rights Ireland and Seitlinger and Others." European Constitutional Law
Review 10.03 (2014): 528-541.;以及关于欧盟立法机构与法院的互动,Granger, Marie-Pierre, and Kristina Irion. "The
Court of Justice and the Data Retention Directive in Digital Rights
Ireland-Telling Off the EU Legislator and Teaching a Lesson in Privacy and Data
Protection." European Law Review 39.4 (2014): 835-850.
[32] 具体实践《个人资讯保障指令》第17条的《资讯保存指令》,包含 Directive 2002/58/EC及后来修订Directive 2002/58/EC的Directive 2006/24.
[33] Joined Cases C-293/12, C-594/12 Digital Rights Ireland
and Seitlinger and Others, paragraph 3, paragraph 19.
[34] 参见OECD 官网《金融账户信息自动交换标准》,载http://www.oecd.org/ctp/exchange-of-tax-information/automatic-exchange-financial-account-information-common-reporting-standard.pdf,2015年4月10日访问。
[35] 参见Article
29 Data Protection Working Party,
Statement of the WP29 on automatic inter-state exchanges of personal
data for tax purposes, Adopted on 4 February 2015,载http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp230_en.pdf,2015年4月10日访问。
[36] 值得注意的是,虽然早在1980年,OECD便提出保障隐私与个人资讯的建议《Recommendation Concerning Guidelines Governing the
Protection of Privacy and Transborder Flows of Personal Data》(《关于隐私权保护与个人资料跨过流动指针》)。但是这些建议并非具有执行力的法律,而仅是软法性质的建议而已。于2013年,OECD因应时代发展需要,修订1980年的建议,发布新版的建议,更强调国际合作共同保障跨境传输的个人资讯,但其性质仍然是建议,并且只有政策原则,而不是可执行的法律。新版的建议,参见OECD官网http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf,2015年4月10日访问。
一、缔约国双方主管当局应交换可以预见的与执行本协定的规定相关的信息,或与执行缔约国双方或其地方当局征收的各种税收的国内法律相关的信息,以根据这些法律征税与本协定不相抵触为限。信息交换不受第一条和第二条的限制。
二、缔约国一方根据第一款收到的任何信息,都应和根据该国国内法所获得的信息一样作密件处理,仅应告知与第一款所指税收有关的评估、征收、执行、起诉或上诉裁决有关的人员或当局(包括法院和行政部门)及其监督部门,以保证执行本协定和税法的合理实施。上述人员或当局应仅为上述目的使用该信息,但可以在公开法庭的诉讼程序或法庭判决中披露有关信息。
三、第一款和第二款的规定在任何情况下不应被理解为缔约国一方有以下义务:
(一)采取与该缔约国一方或缔约国另一方的法律和行政惯例相违背的行政措施;
(二)提供按照该缔约国一方或缔约国另一方的法律或正常行政渠道不能得到的信息;
(三)提供泄露任何贸易、经营、工业、商业或专业秘密或贸易过程的信息或者泄露会违反公共政策(公共秩序)的信息。
四、如果缔约国一方根据本条请求信息,缔约国另一方应使用其信息收集手段取得所请求的信息,即使缔约国另一方可能并不因其税务目的需要该信息。前句所确定的义务受第三款的限制,但是这些限制在任何情况下不应被理解为允许缔约国一方仅因该信息没有国内利益而拒绝提供。
五、在任何情况下,第三款的规定不应被理解为允许缔约国一方仅因信息由银行、其他金融机构、被指定人、代理人或受托人所持有,或者因信息与人的所有权权益有关,而拒绝提供。”
[39] 具体分析比较1985与2014 中德税捐协议两版本,参见Andreas Perdelwitz, The China–Germany Income and
Capital Tax Treaty (2014) – An Analysis Issue: Bulletin for International
Taxation, 69.2 (2015)
[40] 例如,齐爱民:“中华人民共和国个人信息保护法示范法草案学者建议稿”,载《河北法学》2005年第6期;以及周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版。
留言