稅收情報自動交換機制的立法完善
——基于納稅人信息保護視角*

何秋霞

（華東政法大學(xué)經(jīng)濟法學(xué)院，上海 200042）

一、問題的提出

國際稅收情報自動交換制度發(fā)源于全球一體化背景下反避稅、反貪腐、打擊跨境犯罪等跨境信息管理的需要。2003年歐盟《利息稅指令》（EU Saving Directive）是世界上第一套真正意義上的跨境金融賬戶涉稅信息自動交換制度，但其適用范圍較窄，僅限于自然人的儲蓄收入。2010年美國的《海外賬戶稅收合規(guī)法案》（Foreign Account Tax Compliance Act，以下簡稱FATCA）采取單邊行動模式，要求美國境外的所有金融機構(gòu)向美國聯(lián)邦稅務(wù)局申報美國稅收居民持有的金融賬戶信息。2014年經(jīng)合組織以FATCA為藍本，制定了全球金融賬戶信息自動交換的共同報告標準（Common Reporting Standard，以下簡稱CRS），稅務(wù)情報自動交換機制得到更廣泛的運行。

國際稅收情報自動交換制度通過不同稅收管轄區(qū)之間高效、全面的信息交流，促使隱藏資本浮出表面，幫助稅務(wù)當局快速、準確地確定納稅居民的稅務(wù)責任，打擊跨境逃稅行為。同時，相比于依請求交換的專項情報交換形式，信息自動交換的模式大幅提高了信息交換效率，信息內(nèi)容也更為全面，有效降低執(zhí)法成本。［1］

跨境稅收情報自動交換制度對我國亦有著重要意義。但是，我國在稅收情報自動交換領(lǐng)域卻進展遲緩，截至目前僅與10個國家簽訂有稅收情報交換協(xié)定，且所采取的皆為專項情報交換模式，［2］與信息自動交換無涉。2014年我國與美國初步達成以IGA 1a雙邊互換模式簽訂FATCA的實質(zhì)性協(xié)議，我國為開展雙邊互換一直在積極準備，截至2021年年11月底，按照FATCA的要求注冊取得全球機構(gòu)申報號碼的中國金融機構(gòu)已達3014家［3］，但雙邊稅務(wù)信息交換卻遲遲未開展。

我國在稅收情報自動交換領(lǐng)域取得的真正突破性進展當屬2013—2015年期間加入的CRS框架：2013年我國簽署《多邊稅收征管互助公約》（以下簡稱《公約》），并于2014年承諾實施CRS，于2015年簽署《金融賬戶涉稅信息自動交換多邊主管當局間協(xié)議》（Multilateral competent Authority Agreement On Automatic Exchange Of Financial Account Information，以下簡稱MCAA），真正擁有了金融賬戶涉稅信息自動交換操作層面的多邊法律工具。［4］

總體來看，我國的稅收情報自動交換工作呈現(xiàn)出被“裹挾”的追隨者［5］的特點，在實施CRS前未能自行與境外達成有效的稅收情報自動交換合作，而是借助稅收情報合作向國際化延伸的大勢，乘勢進入信息自動交換的大陣營。

反思其中緣由，我國納稅人信息保護的嚴重缺位難辭其咎。納稅人敏感信息的大批量交換對信息安全產(chǎn)生的現(xiàn)實威脅要求信息交換方應(yīng)當具備強有力的信息安全保障機制以保證納稅人的合法權(quán)益，但是我國此前長期欠缺納稅人信息保護意識，在納稅人信息保護領(lǐng)域留存較多立法空白，在此背景下，高保護力度地區(qū)對于將納稅人敏感信息自動交換給我國無疑將存有信息保護方面的顧慮，而致與我國開展稅務(wù)信息自動交換的合作意愿不高。

當前，為回應(yīng)稅收情報國際協(xié)作對納稅人信息保護的現(xiàn)實需要，貫徹落實我國健全個人信息保護立法的內(nèi)在要求，通過加強納稅人信息保護以完善我國的稅收情報自動交換機制，應(yīng)成為當前包括《中華人民共和國稅收征收管理法》（簡稱《稅收征管法》）在內(nèi)的一系列法律法規(guī)的修訂、制定等工作的一項重點內(nèi)容。

二、稅收情報自動交換中的納稅人信息安全隱患

隨著信息自動交換參與國以及數(shù)據(jù)體量的不斷增加，更多的納稅人數(shù)據(jù)被大批量地快速傳輸，更多的主管當局及個人能夠接觸到納稅人隱私數(shù)據(jù)，客觀上增加了納稅人信息安全隱患。

1.信息泄露問題。存儲系統(tǒng)受到惡意攻擊、存儲機關(guān)過失乃至故意泄露等都可能導(dǎo)致敏感信息的泄露。此類案件在實踐中屢見不鮮：2015年美國聯(lián)邦稅務(wù)局官網(wǎng)近72萬人的納稅數(shù)據(jù)遭竊，［6］2019年保加利亞稅收征管系統(tǒng)遭黑客攻擊導(dǎo)致近510萬納稅人信息泄露，［7］2021年美國數(shù)千名富人長達15年的聯(lián)邦稅務(wù)文件被泄露給媒體［8］等。在國際范圍的信息交換之中，某個信息接受國的信息保管不善，牽扯面更將擴至國際。

2.信息不當使用問題。由于締約國國內(nèi)立法的差異，信息提供國國內(nèi)立法不允許接觸信息的個人或當局，在信息接受國就可能被允許訪問、使用信息——各國涉稅當局可能是許多不同的行政機構(gòu)。其次，信息一經(jīng)交換，可能無法保證信息被依約使用，甚至可能被濫用作為政治工具制裁公民，侵犯人權(quán)。［9］

3.信息錯誤問題。如果信息提供國錯誤地處理并傳輸了信息，無辜納稅人可能受到另一國家的不當處罰。在提供國的國家公信力面前，納稅人顯然還面臨抗辯的困難。在Aloe Vera of America Incorporated v.United States案中，美國調(diào)查員在填表時明知沒有估計具體金額的確切依據(jù)，但由于上級“必須列出數(shù)字”的要求，無依據(jù)地填報了約3200萬美元的未報告收入。相關(guān)錯誤信息被交換到日本后又被日本稅務(wù)當局泄露給媒體，對納稅人的聲譽和經(jīng)營造成了惡劣影響。［10］

總而言之，在信息交換內(nèi)容、交換國皆不斷增加的多邊信息自動交換體制之中，納稅人所面臨的信息泄露、信息被不當使用、信息被錯誤處理等問題愈加突出，這些嚴重的信息安全問題波及面廣，危害性強，為此，加強納稅人的信息安全保護尤顯重要。

三、納稅人信息權(quán)與稅收征管有效性的平衡

納稅人的信息安全保護應(yīng)當貫徹信息的收集、交換、存儲、事后救濟等各個階段。具言之，第一，信息情報的收集應(yīng)合理適度，以滿足稅收征管之必要限度為限；第二，納稅人應(yīng)享有一定知情權(quán)，對信息的收集與處理有權(quán)被告知；第三，納稅人應(yīng)享有一定參與權(quán)，有權(quán)陳述、抗辯，對自身涉稅信息主張“更正、補充與刪除”［11］；第四，納稅人應(yīng)享有信息保密權(quán)，有權(quán)要求信息受到嚴格保密、信息的用途受到嚴格限制；第五，納稅人有權(quán)對信息保護的失敗主張救濟，獲得賠償?shù)取?/p>

然而，納稅人知情權(quán)、參與權(quán)等權(quán)利的實現(xiàn)可能需要犧牲一定的稅收征管效率。知情權(quán)是納稅人行使后續(xù)權(quán)利的前提，但信息的提前告知可能會導(dǎo)致問題納稅人提前采取應(yīng)對行動，參與權(quán)也可能被濫用以拖延稅收信息的交換，從而影響納稅監(jiān)管效果。對此沖突，各國立法抉擇亦存在顯著差異，部分國家側(cè)重于納稅人權(quán)利保護，盡可能滿足納稅人知情及參與的訴求，但也因此受到相反態(tài)度持有者的批判，反之亦然。［12］

應(yīng)當看到，稅收征管效率及納稅人信息權(quán)利具有不可偏廢的價值，此二者的考量重點在于平衡稅收征管所要達到的目的與因之犧牲的納稅人權(quán)利之間的比例關(guān)系［13］。為此，稅收情報自動交換機制的設(shè)計應(yīng)符合比例原則，盡力在保障稅收情報有效交換的同時實現(xiàn)對納稅人最小侵害的目標。

交換機制的設(shè)計應(yīng)以優(yōu)先保護納稅人權(quán)利為原則，但當存在對特定納稅人之權(quán)益是否值得保護的合理懷疑時，應(yīng)當例外地優(yōu)先考慮稅收征管手段的有效性。理由在于，國家的征稅權(quán)天生伴隨對個人隱私的“侵入”，因滿足了更廣泛的公共利益的需要而具備合法性，但要具備合理性還需滿足“最少侵犯”的條件。在納稅人信息的無差別交換之中，所牽涉的不僅是惡意隱瞞資產(chǎn)者的違法事實，也關(guān)乎無辜納稅人的合法權(quán)益。而在如此大體量的信息交換過程中，信息安全問題更顯重要。因此，征稅權(quán)之合理性所必須的“最少侵犯”原則要求納稅人理應(yīng)享有必要的知情權(quán)與參與權(quán)。但同時，為避免惡意納稅人借此逃脫懲罰，這些權(quán)利亦應(yīng)受到限制，立法上應(yīng)明確規(guī)定知情權(quán)與參與權(quán)的例外情形，以實現(xiàn)公共利益與個人利益的平衡，具體路徑將于下文詳述。

四、CRS框架下的納稅人信息權(quán)利保護

梳理《公約》及MCAA對納稅人信息權(quán)利保護的有關(guān)規(guī)定可以發(fā)現(xiàn)，兩份文件總體上強調(diào)了對納稅人信息的保密和安全性的要求，樹立了保護納稅人信息權(quán)利的原則。

首先，《公約》在序言部分即明確要求各國應(yīng)對納稅人信息保密，并在第22條要求情報獲得方將接收的情報視同國內(nèi)取得并給予同等保護。對于通過公約取得的信息，第31條規(guī)定即使締約方退出公約也仍受公約保密條款約束。其次，對信息的收集和使用作出限制，《公約》第21條排除了“可能泄露貿(mào)易、經(jīng)營、工業(yè)、商業(yè)、專業(yè)秘密或交易過程……或一旦泄露可能違反公共秩序（公法）的情報”的交換，并通過第22條要求信息只能用于稅收目的、能夠接觸并使用信息的機關(guān)也僅限于稅收職能人員或機構(gòu)，僅在“情報提供方法律允許，且提供方主管當局也授權(quán)”的情況下，情報獲得方可將所獲情報用于其他目的。并且，經(jīng)情報提供方事先授權(quán)，情報獲得方才可將獲得的情報傳送給第三方。

MCAA為保障《公約》的具體實施，在序言部分對督促締約國健全配套機制、完善國內(nèi)立法等方面作出了進一步的規(guī)定，并通過第五章再次強調(diào)信息保密、用途限定、信息保護的要求。同時，MCAA在第四章規(guī)定了信息存在錯誤或不完整、報送出現(xiàn)重大不合規(guī)時的處理要求，并在第七章明確了一方主管當局違約時，另一方可以書面通知暫停信息交換的違約后果。此外，MCAA還設(shè)立了協(xié)調(diào)機構(gòu)秘書處以執(zhí)行信息交換工作中的雙邊及多邊協(xié)調(diào)和對信息保護的監(jiān)督工作。

但是，《公約》及MCAA對納稅人的信息權(quán)利保護力度仍屬偏弱。其一，就廣度而言，兩份文件并未全面覆蓋納稅人信息保護的要求，對納稅人的程序性權(quán)利缺乏足夠的保障，例如公約第6條即把稅收情報的自動交換程序留給締約方相互協(xié)商確定，事實上，對于重要的程序性權(quán)利即納稅人知情權(quán)，有所規(guī)定的專項情報交換和自發(fā)情報交換制度中也僅是“可以”通知，而非“應(yīng)當”通知；其二，就深度而言，《公約》及MCAA的多數(shù)規(guī)定停留在框架性、原則性層面，缺乏更為具體明確的要求或是限制，為締約國的國內(nèi)立法留下了較大的回旋余地，尤其是在涉及納稅人權(quán)利保護的關(guān)鍵性問題上，《公約》及MCAA僅規(guī)定根據(jù)情報接受國的國內(nèi)立法確定，例如重要的情報保密級別問題，《公約》第22條規(guī)定由接受國視同通過根據(jù)其本國法獲得的情報予以同等保密，而各國對稅收情報保密的重視程度顯然有著極大差別，這一規(guī)定事實上削弱了《公約》對納稅人信息的保護力度。

五、稅收情報自動交換中納稅人信息保護的國內(nèi)立法

（一）《稅收征管法》及《稅收征管法實施細則》

我國現(xiàn)行《稅收征管法》（2015年）及《稅收征管法實施細則》（2016年）初步確立了納稅人的一定程序權(quán)利，包括知情權(quán)、保密權(quán)、陳述權(quán)、申辯權(quán)、申請行政復(fù)議、提起行政訴訟、請求國家賠償?shù)葯?quán)利。但是，這兩部法律法規(guī)對前述權(quán)利的規(guī)定仍屬于初步確立權(quán)利的原則性立法，規(guī)定較為粗糙，對納稅人權(quán)利的具體行使以及必要的限制皆缺乏操作層面的細致規(guī)定。

1.跨境信息交換知情權(quán)保障不足?！抖愂照鞴芊ā返诎藯l規(guī)定納稅人有權(quán)了解稅收法規(guī)和納稅程序有關(guān)情況，國稅總局《納稅人權(quán)利與義務(wù)公告》進一步釋明納稅人有權(quán)了解現(xiàn)行稅收法律法規(guī)、政策規(guī)定，辦稅流程及必要資料，稅務(wù)行政處理的法律、事實依據(jù)及計算方法、可以采取的糾紛救濟途徑及相關(guān)條件［14］。從中可見，《稅收征管法》第八條確立的納稅人知情權(quán)范圍基本局限于國內(nèi)稅收征管事務(wù)，但對于包括信息收集、處理及交換等在內(nèi)的跨境稅收情報交換程序中的納稅人知情權(quán)則缺乏必要規(guī)制。

2.保密權(quán)保障不足?！抖愂照鞴芊ā返诎藯l規(guī)定納稅人有權(quán)要求稅務(wù)機關(guān)對其情況保密，稅務(wù)機關(guān)應(yīng)當依法保密?！抖愂照鞴芊▽嵤┘殑t》第五條進一步明確，前款所述保密的范圍限于納稅人的商業(yè)秘密及個人隱私，即“技術(shù)信息、經(jīng)營信息以及納稅人、主要投資人以及經(jīng)營者不愿公開的個人事項”。普遍而言，收入、存款等可以認為是不愿公開的個人事項，因此稅收情報交換所涉及的納稅人金融賬戶信息可以作為個人隱私得到納稅機關(guān)的依法保密。但是，違反保密義務(wù)的后果顯著缺乏威懾力。根據(jù)《稅收征管法》第八十七條的規(guī)定，未按照該法規(guī)定履行保密義務(wù)的，直接負責的主管人員和其他直接責任人員僅由所在單位或者有關(guān)單位依法給予行政處分，又據(jù)《稅收征管法實施細則》第六條規(guī)定，下級稅務(wù)機關(guān)的稅收違法行為由上級稅收機關(guān)及時予以糾正。可見在《稅收征管法》的框架之下，違反保密義務(wù)的行政人員只需承擔行政處分，同時，由于《稅收征管法》未直接規(guī)定賠償事宜，若納稅人主張賠償，仍需單獨提起國家賠償訴訟。這樣的規(guī)定一方面難以與信息泄漏給納稅人造成的損害后果相適應(yīng)，另一方面也難以起到足夠的震懾效果。同時，保密義務(wù)主體欠全面。在《稅收征管法》框架下，納稅人信息的保密義務(wù)主體只有稅務(wù)機關(guān)及相關(guān)行政人員，對于直接掌握大量納稅人隱私信息的金融機構(gòu)卻缺乏必要的限制，鑒于金融機構(gòu)數(shù)量之多、持有的納稅人信息之全面，即使金融業(yè)內(nèi)部存在信息保密的要求，稅收征管領(lǐng)域亦應(yīng)對其作出應(yīng)有限制，以保障更為主動、有效的監(jiān)管。

3.陳述與申辯權(quán)適用階段有限?！抖愂照鞴芊ā返诎藯l規(guī)定納稅人對稅務(wù)機關(guān)作出的決定享有陳述權(quán)、申辯權(quán)，結(jié)合《納稅人權(quán)利與義務(wù)公告》的釋明所體現(xiàn)的涵義，前述陳述與申辯權(quán)僅適用于稅務(wù)機關(guān)作出的行政處罰，那么具體到稅收情報自動交換體制之中，由于不涉及行政處罰，則在《稅收征管法》體系下納稅人將不具備必要的陳述與申辯權(quán)，如此顯然存在保障缺口。

4.納稅人信息用途缺乏必要限制。納稅人信息用途的限制在《稅收征管法》體系下僅見于第五十四條第六款的規(guī)定，即稅務(wù)機關(guān)調(diào)查稅收違法案件時經(jīng)批準可以查詢有關(guān)人員的儲蓄存款，查詢所獲得的資料不得用于稅收以外的用途。除此之外未有限制納稅人信息使用目的的其他規(guī)定。由此可知，在稅務(wù)情報自動交換的場合，《稅收征管法》體系對納稅人信息用途以及有權(quán)接觸、使用機關(guān)的限制是缺失的。

（二）相關(guān)行政規(guī)章

目前，我國稅收情報自動交換工作主要通過《非居民金融賬戶涉稅信息盡職調(diào)查管理辦法》（以下簡稱《盡職調(diào)查管理辦法》）及其《盡職調(diào)查細則》（2017年），以及《國際稅收情報交換工作規(guī)程》（2006年）（以下簡稱《工作規(guī)程》）等行政規(guī)章進行規(guī)制。暫且不論《稅收征管法》暫無規(guī)定的情況下，前述行政規(guī)章對稅收情報自動交換工作的規(guī)定是否具備足夠的正當性，單論這些文件的內(nèi)容規(guī)定本身，亦不足以形成對納稅人信息權(quán)利的有效保障。

1.跨境信息交換知情權(quán)保障不足的問題依然存在?！侗M職調(diào)查管理辦法》僅要求金融機構(gòu)說明“需履行的信息收集和報送義務(wù)”，金融機構(gòu)是僅告知收集和報送本身，抑或一并告知信息內(nèi)容以及相應(yīng)救濟權(quán)利。條款的語焉不詳給實際操作留下了逃避通知義務(wù)的空間。《工作規(guī)程》第二十七條規(guī)定稅務(wù)機關(guān)“可以”將收集情報的目的、情報的來源和內(nèi)容告知納稅人，并明確了告知會影響案件調(diào)查、締約國聲明不得告知的兩類不得告知的例外。該條規(guī)定相對具體，并且考慮了不得通知的例外，值得肯定，但在該條款“可以”告知的用語下，通知程序卻成了稅務(wù)機關(guān)的權(quán)利而非義務(wù)。

2.情報接觸主體過多，超過稅收用途的授權(quán)亦不符合CRS框架要求。據(jù)《盡職調(diào)查管理辦法》第三十一條的規(guī)定，金融機構(gòu)可以委托基金管理公司、信托公司等第三方參與調(diào)查，履行調(diào)查程序，又據(jù)《盡職調(diào)查管理辦法》第四十二條、《工作規(guī)程》第二十九條的規(guī)定，國家稅務(wù)總局與有關(guān)金融主管部門建立涉稅信息共享機制，經(jīng)國稅總局批準，國家審計部門、紀律檢查部門、反金融犯罪部門也可以獲得相關(guān)稅收情報。一方面，信息可接觸機構(gòu)越多，信息安全的風險越大。并且，允許金融機構(gòu)委托第三方調(diào)查的安排也存在第三方工作是否足夠規(guī)范的問題，盡管金融機構(gòu)需對此承擔責任，但首先在委托過程中金融機構(gòu)對第三方的操作幾乎不可控，信息安全風險客觀上提高，其次在發(fā)生信息安全問題之后再承擔責任對納稅人而言無異于亡羊補牢，更何況金融機構(gòu)需承擔的責任未必與造成的損失相稱。另一方面，在前述規(guī)章體系之下，稅收情報超出稅收目的的使用經(jīng)過國內(nèi)立法、國內(nèi)稅務(wù)機關(guān)的準許即實現(xiàn)了正當化，但根據(jù)《公約》的規(guī)定，情報取得方要將情報用于其他目的，除情報接收國國內(nèi)法律允許外，還應(yīng)經(jīng)過情報提供方主管當局的授權(quán)，前述規(guī)定顯然不符合《公約》的要求。

3.違反保密義務(wù)的責任同樣偏輕，《工作規(guī)程》對稅務(wù)機關(guān)僅確立了“通報批評”的處罰，《盡職調(diào)查管理辦法》對金融機構(gòu)也僅規(guī)定了“責令改正”和“記錄納稅信用評價”的違規(guī)后果，責任不可謂不輕。

4.納稅人救濟性權(quán)利缺失。前述文件均未確立納稅人陳述、申辯、糾正錯誤信息的權(quán)利，亦無突發(fā)事件應(yīng)對措施的規(guī)定，而這些救濟性權(quán)利對于避免損失或是及時止損顯然都十分重要。

總而言之，我國現(xiàn)行稅收征管法律體系對于納稅人的信息安全尚未形成全面、有力的保障，尤其是現(xiàn)行《稅收征管法》在國際稅收征管協(xié)作領(lǐng)域規(guī)制缺位的問題突出。為此，有必要借《稅收征管法》修訂的契機，填補在國際稅務(wù)協(xié)作領(lǐng)域的立法空白，完善稅收情報自動交換體制下的納稅人信息保護。

六、我國稅收情報自動交換中納稅人信息保護制度的立法完善

2015年國務(wù)院發(fā)布的《稅收征管法修訂草案（征求意見稿）》中主要有三項內(nèi)容關(guān)涉稅收情報自動交換機制：其一，增設(shè)自然人的納稅人識別號制度（第八條）；其二，新增“信息披露”章，明確納稅人及有關(guān)第三方提交涉稅信息的法律義務(wù)（第三十條）、銀行等金融機構(gòu)向稅務(wù)機關(guān)提供賬戶持有人相關(guān)賬戶信息的義務(wù)（第三十二條）以及前述提供義務(wù)方未報送涉稅信息的法律責任（第九十四條第六款、第一百一十一條）。其三，規(guī)定通過國際稅收情報交換機制取得的信息經(jīng)審核可作為確定納稅責任的依據(jù)，并由納稅人承擔異議舉證責任（第一百三十一條）。但以上修訂尚不足以完善我國稅收情報自動交換機制。［15］盡管《公約》及MCAA對納稅人信息權(quán)利的保障尚有不足，但即使如此我國亦尚未滿足其要求。因此，一方面，我國需繼續(xù)落實《公約》及MCAA的有關(guān)要求，確保符合高效交換、數(shù)據(jù)安全的基本標準。另一方面，考慮到《公約》及MCAA信息權(quán)利保護的欠缺，我國可參考國際上更為全面、先進的個人信息保護立法，例如歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，即GDPR）等，結(jié)合我國國情，切實有效地完善立法。

1.設(shè)立稅收征管國際協(xié)作專章。目前我國《稅收征管法》的規(guī)定主要集中于國內(nèi)稅收征管，在國際稅收情報合作上存有大片立法空白，局部修訂難以支撐稅收情報自動交換的制度所需［16］，宜在《稅收征管法》中專章納入國際稅收征管協(xié)作內(nèi)容，以“國際稅收征管協(xié)助”命名，［17］以情報交換國際合作作為立法內(nèi)容的一部分。

2.明確信息保護基本原則?；驹瓌t的確立有利于明確信息保護的基本方向，在具體法律規(guī)范尚不能滿足實踐需要時提供正確的方向指引。在我國納稅人信息保護的起步階段，確立基本原則具有突出必要性。GDPR第5條確立了數(shù)據(jù)收集、存儲、處理的“目的限制”“數(shù)據(jù)最小化”“數(shù)據(jù)準確性”“存儲限制”“保密性”以及“問責制”原則。結(jié)合《中華人民共和國個人信息保護法》及稅收情報有關(guān)部門規(guī)章，可以發(fā)現(xiàn)前述原則的精神內(nèi)涵在我國立法文件中都有所體現(xiàn)，故可認為，將前述原則納入我國《稅收征管法》具備立法實踐上的可行性。因此，《稅收征管法》的修訂可以考慮在總則章吸收前述數(shù)據(jù)保護原則。

3.限定信息用途及使用機關(guān)。如前所述，目前我國有關(guān)部門規(guī)章中存在允許超稅收目的使用稅收情報的規(guī)定，根據(jù)《公約》的要求，規(guī)范的超稅收目的使用情報尚需情報提供國的授權(quán)，對此《稅收征管法》可作出補充，規(guī)范授權(quán)。此外，對于我國提供給他國的情報，也應(yīng)明確限定用途和限定接觸機關(guān)，對禁止適用領(lǐng)域作出明文禁止。

4.加強信息安全保障。首先，明確稅收情報保密級別及相應(yīng)的保密要求、存儲期限，確保個人數(shù)據(jù)的存儲不超過必要時間。其次，明確信息安全責任主體，至少應(yīng)包括稅務(wù)機關(guān)、金融機構(gòu)及經(jīng)授權(quán)取得稅收情報的其他行政機關(guān)。此外，合理提高信息保護失敗的責任。對于行政保密主體可以參考我國《行政處罰法》第八十一條的規(guī)定，要求行政保密主體對造成的損失依法予以賠償，對直接負責的主管人員和其他直接責任人員依法給予處分；情節(jié)嚴重構(gòu)成犯罪的，依法追究刑事責任。對于金融機構(gòu)，其一，應(yīng)當要求其賠償損失；其二，擴大稅務(wù)機關(guān)的處罰權(quán)，增加罰款內(nèi)容；其三，明確規(guī)定對于金融機構(gòu)的嚴重違規(guī)行為，有關(guān)金融主管部門應(yīng)當依法作出處罰。同時，明確信息泄露時的補救責任，要求責任主體盡快采取措施，盡可能消除影響、減輕傷害。對此可參考GDPR第33條的規(guī)定，要求責任主體在發(fā)生信息泄露時及時向主管部門報告，報告的內(nèi)容應(yīng)包括泄露信息的性質(zhì)、可能后果、已經(jīng)采用或計劃采用的措施。此外，GDPR在此方面還提出了“數(shù)據(jù)保護官”的概念，數(shù)據(jù)保護官適當、及時地參與有關(guān)個人數(shù)據(jù)保護的所有事宜，承擔通知、建議、監(jiān)督、配合監(jiān)管、與數(shù)據(jù)主體聯(lián)系等任務(wù)。鑒于我國在信息保護領(lǐng)域尚屬稚嫩，行政機關(guān)在處理信息保護工作方面缺少足夠經(jīng)驗，我國亦可借鑒“數(shù)據(jù)保護官”制度理念，設(shè)置數(shù)據(jù)保護專員，由具備數(shù)據(jù)保護專門知識和技能的專業(yè)人員擔任，對稅務(wù)機關(guān)的信息保護工作提供指導(dǎo)、充分監(jiān)督。為保證其充分履職，數(shù)據(jù)保護專員的崗位設(shè)置應(yīng)具備足夠的權(quán)威與獨立性。

5.加強納稅人知情權(quán)保障。首先，宜將《國際稅收情報交換工作規(guī)程》第二十七條規(guī)定的稅務(wù)機關(guān)“可以”通知修改為“應(yīng)當”通知，并在《稅收征管法》中予以明確。其次，《稅收征管法》宜明確納稅人對于跨境稅收情報交換程序的知情權(quán)，具體包括信息的收集及其內(nèi)容、信息的交換及其內(nèi)容、信息接收國家、信息用途及使用機關(guān)（當信息用途改變時同樣需要在信息被進一步處理之前通知納稅人用途的擴張）、信息的儲存期限、信息的泄露及應(yīng)對措施、主張救濟的途徑，等等。同時，應(yīng)當明確納稅人知情權(quán)的例外，如果需要傳輸?shù)男畔⑿再|(zhì)非常緊急或者存在合理懷疑認為事先告知將妨礙調(diào)查處理時，不應(yīng)將信息告知納稅人。［18］為防范納稅人可能轉(zhuǎn)移財產(chǎn)行為，在履行通知程序之后可加強金融賬戶監(jiān)管，可以規(guī)定合理期限、一定額度的金融賬戶交易限制，對被通知后納稅人金融賬戶的異動及時上報。

6.加強納稅人參與權(quán)保障。首先，建議《稅收征管法》擴大納稅人陳述、申辯權(quán)的適用階段，賦予納稅人在整個稅收情報的收集和交換過程中依法接受通知后針對通知內(nèi)容提出陳述、申辯的權(quán)利。由于陳述、申辯權(quán)建立在被允許通知的初步信任之上，因此納稅人的申訴應(yīng)產(chǎn)生中止信息交換的效力，但為防止納稅人借此拖延時間逃脫監(jiān)管，應(yīng)規(guī)定較短期限的審查期限，并將審查內(nèi)容限于以排除數(shù)據(jù)的無依據(jù)填報、計算錯誤、書寫錯誤、翻譯錯誤等低級錯誤為主的初步審查，初步審查無誤后繼續(xù)交換，同時明確規(guī)定我國的初步審查結(jié)果不能作為接受國未經(jīng)實質(zhì)調(diào)查即作處罰的依據(jù)。其次，建議《稅收征管法》增加納稅人更正、補充信息的權(quán)利。對于被通知的信息，若內(nèi)容存在錯誤或者不完整，納稅人有權(quán)申請更正、補充相關(guān)數(shù)據(jù)。此外，建議增加納稅人刪除信息的權(quán)利。具體而言，被收集的涉稅信息到達既定儲存期限、與公共利益不再相關(guān)后應(yīng)被刪除。刪除的權(quán)利在GDPR框架下表現(xiàn)為清除效果更為徹底的“被遺忘權(quán)”，但鑒于其與公民知情權(quán)、公共利益等沖突之大、對技術(shù)、成本要求之高，在我國暫無推廣的可行性，但GDPR第十九條規(guī)定的通知責任在我國仍有推行的可能，參考該條規(guī)定，稅務(wù)機關(guān)應(yīng)將刪除處理告知接受信息披露的每個接收者，無法告知或者告知成本過高的除外。