“數據管稅”背景下納稅人信息匿名化的法律標準探討

李 悅，陳秋竹

(西南政法大學 經濟法學院，重慶 401120)

黨的十九屆四中全會提出“堅持和完善中國特色社會主義行政體制，構建職責明確、依法行政的政府治理體系”頂層理念，進而明確在構建政府行政權責體系的過程中，應當“建立健全運用互聯網、大數據、人工智能等技術手段進行行政管理的制度規則”，“深入推進數字政府建設，加強數據有序共享，依法保護個人信息”。毋庸諱言，數字政務和數字化治理是建設“數字中國”的重要環節，更是實現我國治理體系和治理能力現代化的基礎命題。政府作為社會管理主體，應積極尋求信息化轉型，借助數據科技回應今后社會治理的現實需求，通過大數據提升政府的管理和決策能力。與此同時，依法行政要求政府行政必須在法律框架內展開，因此，政府使用數據應嚴格遵循相應法律標準，從而保障行政管理權的規范運行，連同行政相對人的個人信息保護。

將“數字中國”的制度意向向我國稅收征管領域推進，“數據管稅”無疑是我國實現稅收現代化的重要表現。數據管稅的核心在于，稅務機關將海量數據作為分析及決策的依據，以此制定和調整契合經濟發展的科學化征管策略。但同時應注意，稅務機關作為政府的公共管理部門，在收集、處理和使用納稅人信息的過程中，其行政權力必然受到法律的限制，防止稅務機關對納稅人隱私權的肆意侵害。我們認為，確定納稅人信息匿名化的法律標準，是實現“數據管稅”科學化、規范化開展必不可少的法治方式，也是推動數字政務建設以及數字化治理背景下，通過落實稅收法定原則實現稅收法治現代化的題中應有之義。[1]101

一、納稅人信息匿名化是踐行“數據管稅”的基礎

(一)“數據管稅”引領我國稅收征管模式變遷

自2015年國家稅務總局提出《“互聯網+稅務”行動計劃》以來，各級稅務機關日益重視涉稅數據的采集、分析、利用和共享。學者認為，“數據管稅”必將成為我國繼“以賬控稅”、“以票控稅”、“信息管稅”之后，新時代稅收征管的核心模式。[2]39通常而言，稅務機關主要依據納稅人提供的原始數據確定應納稅款，抑或對這些原始數據存有疑問時依職權予以稅收核定，最終將納稅人承擔的稅款繳納義務同納稅人的稅負承擔能力相匹配。

與此同時，因為納稅人數據的內容存在法律強制約束而確保了真實性，稅務機關還可以通過“銀稅聯動”的協同機制，向金融機構有限度提供納稅人的稅務信息，“以稅定貸”，促進企業良性發展并最終實現企業、金融、稅務的三方共贏。[3]108

但如前所述，因涉稅數據往往直接牽涉攸關納稅人發展的財產情況和個人信息，處于信息優勢方的納稅人存在隱瞞真實信息的動機，往往傾向于拒絕提供信息甚或提供虛假信息，最終將造成征管過程中嚴重的信息不對稱問題。[4]38“數據管稅”能對稅收征納產生的涉稅數據予以全程管控，其依托的大數據技術具有數據規模大、類型多以及處理快等多個方面的特點[5]3，能夠提升“非合作博弈”前提下稅務機關獲取信息的有效性，從根本上緩解稅收征管中的征納雙方信息不對稱。深入推進“數據管稅”模式的主要優勢在于：(1)深入發掘納稅人的差異需求，并有針對性地完善納稅服務；(2)準確評價納稅人稅收信用，有目的性地改進征管流程；(3)全面把握行業宏觀稅負，為我國財稅體制改革提供建設性決策依據，等等。綜上所述，“數據管稅”以海量涉稅數據為基礎，以多元納稅人信息為驅動，以獲取稅務信息為制度改進愿景，對征管的思維模式、技術手段和法律規范產生了深遠影響，毋庸諱言，其必將成為推動我國稅收治理現代化的重要引擎。

(二)納稅人信息開放與隱私保護異質法益的沖突

1.納稅人信息與稅務信息。納稅人信息是指基于納稅人個體可識別性產生的信息總稱，大致可分為：(1)商業秘密信息；(2)個體隱私信息；(3)基本生產經營信息；(4)涉稅負面信息。[6]24以擁有法人資格的企業納稅人為例，納稅人信息具體包括企業的基本生產經營信息，如工商登記信息、納稅登記信息、基本經營信息、基本生產信息以及投資人信息等；隱私信息包括納稅人所納稅款的具體金額、稅種稅目、申報起止等，同時也應當包括企業發票領用和開具的相關信息等；商業秘密信息包括企業的業務明細，未上市企業的資產負債表、現金流量表和利潤表，核心技術等；涉稅負面信息則包括企業受到稅務處罰的事由和內容、企業曾受稅務稽查的具體情形和后續處理、企業欠稅的額度和繳款期限，等等。

從法律制度的視角來看，我國實定法就納稅人信息保護問題，可劃分為“專門權利保護”和“個人信息保護”兩條路徑。首先，我國以《稅收征收管理法》(1)《稅收征收管理法》第八條：“ 納稅人、扣繳義務人有權要求稅務機關為納稅人、扣繳義務人的情況保密。稅務機關應當依法為納稅人、扣繳義務人的情況保密。”、《納稅人涉稅保密信息管理暫行辦法》(2)《納稅人涉稅保密信息管理暫行辦法》第二條：“本辦法所稱納稅人涉稅保密信息，是指稅務機關在稅收征收管理工作中依法制作或者采集的，以一定形式記錄、保存的涉及到納稅人商業秘密和個人隱私的信息。主要包括納稅人的技術信息、經營信息和納稅人、主要投資人以及經營者不愿公開的個人事項。”第三條：“對于納稅人的涉稅保密信息，稅務機關和稅務人員應依法為其保密。”(以下簡稱《暫行辦法》)和《關于納稅人權利和義務的公告》對納稅人的信息權利予以專門保護。前述法律法規明確對未經處理的納稅人信息(即數據法所指涉的“原始數據”)，稅務機關應予以保密。與此同時，從《民法總則》關于個人信息保護(3)《民法總則》以第一百一十一條和第一百二十七條對“數據”和“信息”做出了區分。相關研究形成的通說觀點認為，數據是信息的載體，而信息是數據的解釋，直接承載數據主體的人格和財產利益。，連同《刑法》“侵犯公民個人信息罪”的文本規定看(4)參見《刑法》第二百五十三條之一和《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條。，作為個人信息的自然人納稅人信息，包括但不限于公民姓名、身份證號和財產狀況等，在法律規定的范圍內應禁止公開共享。前述規定結合《網絡安全法》的立法宗旨，援用私法領域類推解釋方法，銀行賬號、交易記錄等能夠識別法人納稅人的信息，在我國范圍內也應作為個人信息予以保護。(5)參見《網絡安全法》第四十四條和《電信和互聯網用戶個人信息保護的規定》第十條。值得注意的是，以可識別性為標志的個人信息并非僅保護自然人，而無論法人納稅人信息已受法律何種程度的保護，《網絡安全法》“保護公民、法人和其他組織的合法權益”的立法宗旨，似更能體現數據主體受同等保護的理念。雖然納稅人信息具有顯著的經濟與社會價值，但因其仍相對完整地保留了針對特定納稅人的可識別性，根據《暫行辦法》的規定，原則上納稅人信息只應由稅務部門用于稅收征管；除法定之納稅人信息的合理使用情形外，不能向其他主體提供或作其它用途。(6)參見《暫行辦法》第二條和第三條。學者對《暫行辦法》的納稅人信息合理使用規則進行評價后，認為其相較于美國《國內稅收法典》(Internal Revenue Code)的第6103條，我國的規定仍顯得過于粗糙并缺乏實踐的可操作性。[7]51

稅務信息通常指稅務機關進行稅收征管時，對收集到的包含納稅人信息在內的原始數據予以分析后形成的衍生信息，即納稅人信息被記錄、存儲后，經過算法的加工、計算、聚合而成系統的、可讀取的、有使用價值的數據信息。[8]因此，稅務信息系稅務機關將大量納稅人信息予以匯總再利用后的產物，其相對于納稅人信息的敏感性和識別性更低，同時針對具體納稅人的指向性和人身屬性相對較弱?？偠灾?，稅務信息是將帶有納稅人個人身份信息或隱私信息的原始數據，經脫敏(完全過濾掉包含納稅人個人信息要素)處理后，所形成的可用數據，是與納稅人相關的、涉及各種稅收信息的總和，包含納稅人在繳納稅款過程中主動給稅務機關及第三方提供的，或者由稅務機關或第三方強制性掌握的有關納稅人身份、財產狀況、經營狀況等有關信息。[9]125本體論上的稅務信息構成“數據管稅”之基礎，是稅務機關對納稅人的涉稅數據予以收集基礎上，通過納稅人信息分級和多層利用衍生的管理信息?！稌盒修k法》第四條所設置的稅務機關信息披露機制，其對象更多地指向“稅務信息”而非“納稅人信息”，更不必說本源意義上需要絕對保密的涉稅數據。(7)《暫行辦法》第四條所列舉的“根據納稅人信息匯總”的“行業性、區域性等綜合涉稅信息、稅收核算分析數據、納稅信用等級以及定期定額戶的定額”等稅務信息顯然并不具備可識別性，對其予以披露不需要法律的明確規定或納稅人的知情同意?；谇笆鲈?，稅務信息而非納稅人信息將可直接用于改進稅收征管，政府披露稅務信息不需要尋求納稅人的知情同意；前述稅務信息的用途也不局限于稅收征管，可廣泛應用于教育、醫療、金融、社會保障等相關公共領域，繼而提升我國各政府公共管理部門的協同水平。

2.異質法益下的納稅人隱私權。誠如前述，稅務機關“數據管稅”之基礎在于對納稅人信息予以分析處理后得到的稅務信息，而在信息收集過程中，稅務機關往往傾向于盡可能全面采集納稅人涉稅數據，或者充分挖掘既有涉稅數據所蘊藏的納稅人信息。那么在稅收征管機關采集、存儲和分析涉稅數據時，納稅人隱私權與信息開放異質法益之間的沖突逐漸顯現：一方面，出于公共管理的需要，要求征納稅過程中稅務信息在相關部門之間開放；另一方面，具有顯著個人標識性的納稅人信息理應納入隱私權保護范圍。因此，稅務機關如何適用法律提供的合理明確限度，使自身既能夠獲得“數據管稅”所不可或缺的納稅人信息，又避免搜集過多的納稅人信息從而侵犯納稅人隱私權，是當下亟待探討需加以解決的法律問題。易言之，如何在由于公權力與私權利的沖突不可避免、納稅人信息的經濟價值增長等因素導致稅務機關與納稅人在納稅人信息領域存在緊張關系前提下[10]153，借助法律調和信息開放和隱私保護的異質法益沖突，尋求納稅人信息向稅務信息轉換的合宜法律標準，成為援用“數據管稅”征管模式前亟需解決的法治問題。

“納稅人隱私權”的提出對數據開放和隱私保護的異質法益沖突進行了相關的理論回應，其意指納稅人享有的稅收征納過程產生的納稅人信息不受侵犯的法律權利。既有研究表明，相較于傳統的民法隱私權，納稅人隱私權具有以下要素特征：(1)主體包括企業法人和其它組織；(2)內容主要以信息形態存在；(3)客體只能在稅收征管過程中形成；(4)不僅是精神上的抽象權利，更關乎實在的經濟利益；(5)相較民事隱私權有更強的集合性。[11]55作為特殊類型的隱私權抑或獨立的新型權利(8)美國法沿用數據隱私權(Data Privacy Right)的權益保障路徑，同歐盟以“個人數據受保護的權利”(Right to the Protection of Personal Data)描述的新型獨立權利形成鮮明對比。，其根源于美國信息隱私學說和實定法“納稅人信息保密權”的納稅人隱私權，其稅法意義在于：其一，納稅人隱私權的集合性要求法律予以主動的概括保護，納稅人隱私權的保障對象并非全然是業已存在的納稅人信息，僅靠主體自身并不能對納稅人信息實現全面的控制和掌握，這使納稅人隱私權擺脫了主體自決而具有顯著的社會權色彩；其二，納稅人隱私權的保障直接有賴于由稅法設置的，以準備條件、予以配合甚或提供幫助的國家義務，法律借助義務劃定何部分納稅人信息應作為稅務信息，同時建立納稅人信息匿名化后再識別的責任追究機制。總而言之，納稅人隱私權從路徑上借鑒了隱私權類型化的保護標準，在我國稅收基本法和納稅人權利保護法缺位前提下，無論是回應因監管不力導致涉稅數據泄露的管理風險，抑或稅務信息被再識別導致納稅人信息權益受損的技術風險，都需要審慎考慮援用納稅人隱私權的法律保護進路，系統全面地探討納稅人信息的公法和私法保護。

3.信息匿名化對異質法益沖突的現實緩解。誠如前述，納稅人信息既是納稅人在征管過程中標識自己的重要工具，同時也是具有強經濟屬性的納稅人隱私權益，更是“數據管稅”下稅務機關識別、了解某個納稅人進而課征稅款的依據。設若在“數據管稅”模式下，納稅人信息的公開共享嚴格遵循信息的知情同意原則，即稅務機關公開共享納稅人信息必須得到其同意，那么，納稅人信息本身的應然作用和實然效率將受到制度阻礙，難以實現納稅人信息對稅制征管改進、跨部門信息共享、乃至國際稅收情報交換的價值。譬如在大企業稅收服務當中，某些納稅人并不當然同意公開共享其信息，甚或該納稅人信息公開共享涉及敏感權益，但該納稅人信息對于“數據管稅”具有重要作用，將其依《暫行辦法》予以保密顯然影響到稅務機關征管改善。那么，在使用和共享以納稅人信息為來源的稅務信息，業已成國家治理和公共管理的顯著趨勢，涉稅數據的存儲傳輸始終難以避免個人隱私、商業秘密和數據安全受威脅的當下，納稅人信息匿名化成為因應稅收法定、平衡征納利益、管控數據風險，妥善緩解前述的異質法益沖突的重要技術手段。

所謂匿名化直接來源于我國《網絡安全法》第四十二條的除外條款，其與“去識別化”的含義基本相同[12]65，現下主要的匿名化方式包括假名、加密、哈希函數、隨機化和泛化等技術手段。既有立法通常將“可識別性”作為判斷數據是否屬于個人信息的標準，亦即已進行匿名化而不具備可識別性的信息，被完全排除出個人信息保護法的適用范疇。(9)這些典型立法如歐盟《通用數據保護條例》、美國《兒童在線隱私保護法》、英國《數據保護法案》、日本《個人信息保護法》，等等。我國《網絡安全法》、澳門地區《個人資料保護法》、香港地區《個人資料(私隱)條例》和臺灣地區“個人資料保護有關規定”。盡管匿名化是緩解信息開放和隱私保護異質法益沖突的主要手段，但目前學界對匿名化的研究主要集中于信息技術層面，而對匿名化法律標準問題的探討仍堪稱論者寥寥。(10)目前，個人信息匿名化的法律治理探討主要停留在比較法階段，理論界很少討論數據匿名化的有關法律問題，司法實踐關于信息隱私保護制度也并不健全。譬如在CNKI以“數據匿名化”、“匿名化”和“法學/法律”為關鍵詞對核心期刊數據庫予以檢索后發現，僅有張濤(2019)；韓旭至(2018)和張晨原(2017)以匿名化為主題開展了專門研究；武長海、常錚(2018)；石丹(2018)和齊愛民、張哲(2018)等，則將匿名化作為信息法治的組成部分展開了探討。我們認為，稅務信息管理要求的納稅人信息匿名化同個人信息的匿名化大同小異，即指將具有納稅人個體屬性的涉稅數據從數據集中剝離，而保留“數據管稅”所需的具有經濟社會管理屬性信息，主要作用于稅務機關基于納稅人信息形成可資管理和共享的稅務信息這個過程，并保證本環節公開共享的信息符合相應法律的強制規定，故其同涉稅數據的收集過程如納稅人的所得稅申報等并無關涉。

按照《暫行辦法》第四條之規定，稅務機關在特定范圍內可以披露納稅人的涉稅信息(11)《暫行辦法》第四條規定：“根據法律、法規的要求和履行職責的需要，稅務機關可以披露納稅人的有關涉稅信息，主要包括：根據納稅人信息匯總的行業性、區域性等綜合涉稅信息、稅收核算分析數據、納稅信用等級以及定期定額戶的定額等信息?！保ㄟ^將納稅人信息予以匿名化形成稅務信息，將大為拓展政府納稅人信息的可用范圍：(1)在涉稅數據采集的初始目的，即稅收征管以外使用納稅人信息；(2)借助其他手段分析納稅人信息，并對額外取得的信息予以利用；(3)向第三方提供納稅人信息的交互接口。因使用匿名化處理的稅務信息不再需要納稅人知情同意，且不受采集納稅人信息時征管專門目的限制，處理后的稅務信息已不再屬保密的涉稅數據范疇，因而可通過文字、數字或圖像的形式予以公開，并根據“法無禁止即自由”的私法自治原則向社會共享，最大限度地發揮納稅人信息對公共部門決策、管理和服務的價值。綜上所述，作為“數據管稅”模式下重要的納稅人信息管理手段，納稅人信息匿名化能有效緩和數據開放和隱私保護的異質法益沖突，因應稅收法定、平衡征納利益、管控數據風險的制度需要，從而為落實“數據管稅”征管模式提供現實基礎。但與此同時，納稅人信息匿名化的合宜法律標準，也成為稅收信息管理亟需研判的關鍵問題。

二、納稅人信息匿名化法律標準的比較考察

作為個人信息重要組成部分的納稅人信息，若要用于“數據管稅”則必須進行匿名化處理，從而滿足稅務信息開放共享全程的合規需要。但與此同時，現行《網絡安全法》第四十二條的法律規定(12)《網絡安全法》第四十二條規定：“網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告?！逼渲?，提出網絡運營商向他人提供個人信息需要知情同意的例外標準為“經過處理無法識別特定個人且不能復原”。，并未能充分揭示納稅人信息匿名化的法律標準，“經過處理無法識別個人且不能復原”的表述，雖適合我國數據產業起步發展的處境，但這種原則性的規定相較現實情形顯得過于簡陋，可能無從適應“數據管稅”的多元需要。與此同時，既有的《個人信息安全規范》(GB/T 35273～2017)作為推薦標準，甚至不具有規范性文件的法律效力，導致細致明確的高位階納稅人信息匿名化標準始終缺位。標準缺位無論對稅務信息使用者抑或納稅人而言，都無法起到預期的促進信息開放或隱私保護作用。故有必要參考域外的納稅人信息匿名化法律標準，對匿名化作為數據共享的除外適用規則予以確定。

(一)歐盟模式：窮盡所有可能性標準

歐盟法受大陸法系立法的思維路徑影響，法律予以認可的隱私權利范圍非常狹窄，因個人信息產生的權益被視為同隱私權有所區別的新型權利。納稅人信息更多地被視為個人信息予以保護，其始于1980年經濟合作與發展組織簽訂的指導原則，即“經合組織隱私原則”。[13]18歐盟有關個人信息匿名化的立法始于1995年的《數據保護指令》，但該指令被歐盟委員會2016年4月通過的《通用數據保護條例》(以下簡稱GDPR)[14]所取代。GDPR中關于個人信息匿名化法的強制性規定，主要集中在前言部分、第四條“術語定義”和第十一條“不需識別的處理”部分(13)GDPR第四條第(5)項定義的“匿名化”實則為“假名化”，結合前言第28段“本條例對‘假名化’明確的介紹并非意圖排除其他數據保護手段”的表述，可知假名化是為實現匿名化目的的方式。, 其在前言的第26段前半部列舉了匿名化技術應當達到的標準。即當有攻擊者企圖從已匿名化的數據中再識別出數據主體時，規章對這種再識別的手段應當有何強制性要求。[15]54總的來說，歐盟構建的匿名化標準較為嚴苛，因GDPR要求的再識別手段需要考慮所有的客觀因素，在目的限制之前提下，必須考慮“直接或間接所能聯想到的任何合理可能的手段”的文本表述，為匿名化設置的法律標準幾乎等同于當前技術手段的極限。而以移除識別符手段因應“窮盡所有可能性”的個人信息匿名化，在納稅人信息保護實踐過程中最終能否實現仍然有待商榷。

(二)美國模式：隱私權類型保護標準

美國法下，個人信息保護問題的本質基本等同于公民隱私權保護問題，同個人信息相關的隱私權保護規則散見于諸法律文件中。(14)如美國1970年制定的《公平信用法》對信用報告者在處理消費者個人數據時，應當遵循的隱私權保護原則進行了規范；1974年《家庭教育權和隱私權》法案規定18周歲以下學生的父母、年滿18周歲及以上的學生，有權檢查、相應控制或要求修改教育機構發布的與該學生相關的個人信息；1978年《金融隱私保護法》對聯邦政府獲取個人金融記錄的行為予以規制；1998年《兒童在線隱私保護法》專門針對13歲以下兒童的網絡個人隱私進行傾斜性保護，如2012年頒布的《消費者隱私權利法案(草案)》直接針對大數據時代的消費者權利保護，等等。相應在納稅人信息保護方面，主要因循納稅人信息的隱私權保護進路，通過擴張公民隱私權的權利范圍至納稅人信息，進而同政府的稅收信息管理權力形成雙向制衡關系。而就稅收征管領域而言，美國1976年出臺的《國內稅收法典》第6103條 (a) 款對納稅人涉稅信息保護做了原則性規定：除本條明確規定的例外情形外, 納稅申報書及申報信息應當保密。[6]51(15)這些信息主要包括納稅人身份、所得來源、支付款、資產凈值、過高估價、預約定價協議等。目前，披露納稅信息被認為僅僅在涉及刑事和民事訴訟、兒童撫養費執行以及反恐等目標下才能適用。[8]58這也導致了目前美國并不存在關于個人信息匿名化的權威定義，更不必說歸整并可資借鑒的納稅人信息匿名化法律標準。總體而言，相較于歐盟GDPR使用的“匿名化”概念，美國法慣常使用“去識別化”這一表述，譬如美國標準與技術協會對數據的去識別化的界定，是對于數據集中個人可識別信息的改變或刪除。[16]此外，美國對于納稅人信息匿名化的立法例共識，是該方法可以通過去除或模糊涉稅數據中的可識別性，從而最終避免納稅人信息向第三方暴露。[17]

與具象美術、意象美術不同，抽象美術完全不對應于現實世界存在的一切事物，是想象的，虛擬的，裝飾形式或者畫面是來源于藝術家的精神世界。抽象美術不再是寫實寫意，他是介于自然之外的精神追求，一般是藝術家表達自己的心境，或者對宇宙浩瀚的敬畏，也可能是對社會風氣的諷刺。藝術家往往是通過裝飾形式，筆觸，色彩來表達。

(三)中國模式：不可識別和復原標準

當前，我國實行納稅人信息專門保護與納入個人信息范圍保護的“雙軌制”。就納稅人信息作為個人信息加以保護這一路徑而言，根據個人數據保護法對個人數據界定的反向推導，法律語義下的匿名化數據至少要滿足兩個標準：(1)僅從該數據本身無法指向特定的個人；(2)即使結合其他數據也無法指向特定個人。[18]39承前所述，《網絡安全法》第四十二條除外條款所確立的，能夠直接適用于納稅人信息匿名化的法律標準大致為：其一，經匿名化處理后的稅務信息無法識別特定納稅人；其二，經匿名化處理后的稅務信息不能被再次復原。結合該法第七十六條的規定予以體系解釋后，易知符合我國法律標準的納稅人信息匿名化，要求對相關稅務信息予以不具有復原可能的技術處理，規制路徑類同于GDPR要求的“絕對匿名化”模式。[19]因作為使用納稅人信息須遵循“知情同意”原則的例外規定，毋庸諱言，該除外條款構成了我國“數據管稅”法律標準的基礎規范。與此同時，盡管存在《暫行辦法》等規定的“納稅人信息保密權”，由于最終共享的稅務信息已完全被切斷同特定納稅人的聯系，因而經技術處理后并無識別到特定納稅人之可能的信息，便不再受納稅人隱私權保護，政府可不經納稅人同意即對稅務信息予以共享使用，稅務機關也無需再為納稅人隱私權提供保障。

(四)評價

從近年來各個國家和地區個人信息保護法對匿名化的理解看，基于目的論的納稅人信息匿名化法律標準，相較于技術視域下的納稅人信息匿名化顯得更為精準，但前述各種標準顯然存在缺點和不足：

其一，就歐盟GDPR設置的法律標準而言，因個人信息匿名化絕不意味著絕對的不可再識別，我們認為，該法律標準忽視了匿名化處理的技術限度，來源于技術規范的法律標準不可謂不“嚴苛”。(16)從技術上來說，所有數據的匿名化處理至少包括兩個步驟：(1)去除或改變個人信息中的直接標識符；(2)去除或保留個人信息中的準標識符。該準標識符本身并不能識別特定個人，但可與其他數據的信息相聯系以識別信息主體。平心而論，法律治理為技術手段的使用提供了規范導向，并以自身權威確保技術手段的實現和運行；技術手段應當是法律治理的輔助和補充，而不應該以技術手段取代或突破既有的法治架構。具體而言，個人信息匿名化處理并不代表要將數據中的身份識別信息完全去除，而應當對數據中具有識別性的部分進行風險評估和判定，基于判定結果決定該數據端對個人信息的可能暴露程度。從這個意義上說，哪怕已經對納稅人信息予以匿名化處理后，仍存在從稅務信息中被再次識別的相當風險，GDPR過高地設置了納稅人信息匿名化標準，將不可避免地背離信息經濟時代所持的開放價值。

其二，美國將納稅人信息納入隱私權范圍予以保護，設置國內收入署監督委員會乃至“納稅人權利保護官”的進路，恐仍無法實現對納稅人信息權益的全面保護。首先，分散立法模式導致不同層級的稅務機關，就不同的事宜適用不同個人信息保護規定，納稅人信息保護的充分性和全面性時刻面臨法律漏洞的現實制約。但必須承認，對于數據進行普遍性的法律保護是必要的[20]62，作為納稅人隱私權客體的“納稅人信息”范圍更加寬泛，甚或因當下信息技術高速發展而產生不確定性，導致隱私權保護進路的適用范圍受到顯著限制。然后，美國對公共部門或公共事務進行專門信息保護立法，而對于非公共部門信息數據主要依靠自律性規范予以調整，體現了追求有效性、能動性和靈活性的實用主義法治理念，但也因規范的規制口徑不同而造成跨部門法律適用的障礙。此外，“數據管稅”下納稅人必須面對個人信息有限公開的事實，如果因循傳統民事隱私權的保護模式保護具有社會權性質的納稅人隱私權，必然要求納稅人在“隱私保護”和“納稅便利”間進行抉擇。這既不符合借助“數據管稅”充分提升納稅便利的制度愿景，同時在法律規范中額外增設納稅人之選擇義務也堪稱“苛責過甚”?？偠灾?，若我國貿然移植美國立法中對于納稅人信息的隱私權保護模式，持續投入立法資源進行《暫行辦法》的規整和續造，可能在基本法理上產生錯位從而產生更大的法律適用困境。

其三，回到將納稅人信息作為個人信息保護的路徑，不難發現，我國《網絡安全法》已設置滿足前述標準的個人信息匿名化法律規范，因而具有指導“數據管稅”中納稅人信息匿名化的理論正當性。但必須承認，各國迄今為止對稅務機關等公共機構收集使用個人信息的行為，仍然秉持著比允許市場主體共享交易更加審慎和保守的態度。已有的個人信息專門立法表明，政府原則上不應成為個人信息的開放共享主體，如我國《征信業管理條例》的規制對象限定為“非國家機關”；我國臺灣地區“個人資料保護有關規定”也明確，只有非公共機構方可對個人信息予以商業化使用。但這并不意味著稅務信息就絕對不能因公共目的使用，譬如韓國《公共數據的提供及使用相關法律》則推動政府公共機構數據開放，以此意圖提升該國的國民生活質量和經濟發展水平。總體來說，盡管現有規定破除了先前法律法規關于個人信息不能開放共享的強制規定，但我國現行立法對于個人信息匿名化的規定并未置于定義條款當中。這種立法缺憾遷移至稅收領域，我國并未采取同國外相同的將匿名化數據在定義條款中予以排除這一立法模式，表明立法者對于個人信息是否能直接用于“數據管稅”的態度頗為曖昧和謹慎，這反而進一步加重我國納稅人信息匿名化法律標準的模糊性。

三、納稅人信息匿名化法律治理的原則演繹

法治首先意味著“法律至上”，而維護權利義務的動態平衡是法律治理的本質所在。納稅人信息利用主要涉及到稅務機關信息管理公共利益與納稅人信息保護權之間如何妥善平衡的問題，因此在“數據管稅”背景下，針對納稅人信息匿名化的法律治理，需要在充分考慮已有法律標準優缺點的基礎上，借助權利保障原則、稅收法定原則、狹義比例原則的理論演繹，證成兼顧異質法益的納稅人信息匿名化法律標準的合理性。

(一)納稅人權利保障原則

稅法要求充分保障人權，大數據時代同樣應當秉持法治時代尊重納稅人權利的根本準則，納稅人信息開放和隱私保護的異質法益，總體應當以激勵相容的數據治理理念予以調和。[21]3納稅人信息匿名化是保障納稅人數據隱私權益的重要方式，從稅法視域考察，兩種法益應遵循差異而非平等的格局。具言之，當信息開放和隱私保護的異質法益不可避免發生沖突，并缺少實定法律依據時，應以維護納稅人隱私權在前，滿足信息開放共享的需求在后為基本準則，亦即納稅人信息匿名化過程中需要優先考慮納稅人隱私保護法益。[3]156毋庸諱言，納稅人信息是納稅人經濟交易、私有財產甚或個人隱私的數據載體，同其它納稅人基本權利始終緊密相連。由納稅人信息提取的稅務信息雖直接關涉公共管理和社會治理的實際績效，以稅務信息為依托的“數據管稅”也是稅收治理現代化的重要體現，但其所代表的國家征稅權力易被濫用卻也是個不爭的事實。如果法律優先保護“數據管稅”所體現的公共利益，政府將借助制度設置的豁口不斷侵犯納稅人權益，最終將不可避免地成為霍布斯憂懼的“利維坦”。

(二)稅收法定原則

實踐中，稅務機關在借助稅務信息開展“數據管稅”時，需要援引稅收法定原則指導納稅人信息匿名化的過程。毋庸諱言，稅收法定原則的根本目的在于約束國家征稅權，在權利保障原則前提下防止公權力的擅斷與濫用。其要求課稅要素與征管程序需嚴格按照法律規定，前者指稅收核定、課征的實體條件應當有明確的法律規定，后者指稅收征收、繳納的程序性要件也應當具有正當性，概言之，即“實體合法，程序正當”。稅收法定原則要求提升稅收征管立法的科學性與靈活性，針對納稅人信息匿名化處理，需要在稅法中明確劃定稅務機關對納稅人信息利用的法律邊界。

具體而言，需充分利用人大將《個人信息保護法》納入立法日程的契機，探討何以實現兩個立法目標：其一，將個人信息匿名化的法律標準予以規范化和精細化，為保障個人信息保護法之完備提供法律上的制度供給。其中，關鍵在于考慮將個人信息匿名化規定置于定義條款而非例外規定，采取將匿名化后的信息在《個人信息保護法》中予以明示排除的立法模式，以此澄清納稅人信息是否能夠直接用于“數據管稅”的曖昧立場。其二，提升《個人信息保護法》與《稅收征收管理法》續造的銜接程度，構建并進而完善兩者在法治框架下的互動交涉機制。這要求稅收征管法需將“數據管稅”所不可或缺的信息要素予以法定，主動促進《暫行辦法》提出的納稅人隱私權專門保障進路，同《個人信息保護法》的個人信息保障進路的協調共融。稅收征管法需將納稅人信息明確規定為“個人信息”，或將經匿名化后的稅務信息作為非個人信息予以描述，為納稅人信息的個人信息保護在稅務信息管理的推開創造條件。

(三)狹義比例原則

誠如前述，稅務機關收集“數據管稅”所不可或缺的稅務信息，不論是事前的風險評估、事中的個案分析抑或事后的信息維護等，對納稅人隱私權益的限制必須符合比例原則。稅務實踐中的比例原則是對裁量征稅行為進行規制和審查的主要法律手段。[22]26比例原則根源于前述的權利保障原則和稅收法定原則，主要借助狹義比例原則或稱“均衡性原則”限制稅務機關的信息管理權，著重考察信息管理“手段”與“目的”之間的法律關聯性。申言之，即在遵循權利優位和稅收法定前提下，稅務機關應采取對納稅人隱私權益傷害最小的手段，確保獲取稅務信息所產生的利益應大于可能損失的利益，否則這種信息收集行為便會失去行政法上的合法性。

引入比例原則的原因在于，某個納稅人信息集經不同匿名化后會形成不同的稅務信息，但這并不意味著納稅人信息的匿名化程度越低，就越有利于“數據管稅”對于稅收征管的全程把握。譬如借助稅務信息判斷某地區某行業的宏觀稅負時，借助企業規模等參數判斷宏觀稅負和承擔能力，相較于單純地析出稅負數據顯然要更有利于征管改進。因任何脫離具體規則的法律適用都可能構成恣意，盡管生成稅務信息時適用比例原則需要緊密結合立法意圖，但采用利益均衡的標準判斷規范能否被比例原則涵攝，將會使稅法適用徑直進入解釋者的價值判斷領域。但無論如何，稅務機關在使用納稅人信息生成稅務信息時，應當盡量減少對納稅人信息的侵害，并設置納稅人信息匿名化的法治實效評價機制等，借助自我約束和私權利制約限制政府的征稅權力。

四、構建納稅人信息匿名化法律標準的具體路徑

總體而言，納稅人信息匿名化法律標準的構建，應當在完善納稅人信息內涵及外延的基礎上，充分運用利益平衡的方法，設置兼顧異質法益的匿名化法律標準。具體路徑應從三個層次加以著手：其一，考慮納稅人信息匿名化的具體情境，開啟目標導向的規制范式轉換；其二，設置以“情境性匿名化”為核心的法律標準，降低納稅人信息的再識別風險；其三，設置稅務機關防止再識別的國家義務，妥善建立納稅人信息匿名化的責任追究機制。

(一)規范納稅人信息的內涵及其外延

稅務信息來源于納稅人信息，是基于納稅人信息產生的衍生信息。盡管在未來的立法和適用中未必需要嚴格區分前述概念，否則將耗費大量成本陷入潘德克頓式的同義反復當中，弱化法律對實踐發展的指導意義和規范意義。但仍需強調，同歐盟以“可識別性”為特征的、基于個人信息的納稅人信息相比，我國籠統地使用“納稅人信息保密權”的概念，然后要求對納稅人的保密和敏感信息統統予以控制，顯然已經不能滿足當前個人信息保護和利用的現實情況。法律需要保護納稅人信息但并非絕對意義上的所有稅務信息，而是符合個人信息保護法律定義的納稅人信息，對“納稅人信息”的明確規定能夠為前述判斷提供明確的指引。

就完善“納稅人信息”的內涵和外延的具體措施而言，其一，應在《稅收征收管理法》中先對納稅人信息、稅務信息和納稅人隱私權的概念內涵予以明確?！抖愂照魇展芾矸ā纷鳛楦呶浑A稅收立法，目前具有顯著的稅收基本法和納稅人權利保護法的色彩。(17)譬如我國臺灣地區于2016年通過了“納稅人權利保護相關規定”，并于次年通過了“納稅人權利保護相關規定”的“實施細則”，明確將納稅人權利歸入當地區稅務當局和司法當局的職權范圍，從而普遍地提升了納稅人權利的保障層次。明確以個人信息予以保護的納稅人信息，應當由《暫行辦法》所明確的保密信息和敏感信息構成，除有明確緣由外，納稅人的一般信息應不被視為法律語境下的“納稅人信息”(18)見《暫行辦法》第2條。，其同經匿名化處理后的納稅人信息構成“稅務信息”，包括納稅人曾接受稅務處罰的信息。其二，在正在制定的《個人信息保護法》中明確納稅人信息的外延。究其原因，在于并非所有納稅人信息都具有稅務治理的意義，僅僅依靠現有的《政府信息公開條例》無法促使政府履行納稅人信息的匿名化義務，《個人信息保護法》需要形成對如何脫敏、清洗和交互等關鍵問題的詳細回答，以回應復雜的數據交互甚或交易活動中可能產生的法律問題。

(二)引入情境性匿名化的法律標準

禁止個人信息的再識別是許多國家個人信息立法的共同選擇。情境性匿名化又被稱為“功能性匿名化”，其根本觀點在于，個人信息是否成功匿名化、抑或再識別的風險大小，取決于個人信息與情境之間的相對關系，其是以目標情境為導向的、對GDPR“窮盡所有可能性”標準予以軟化解釋的新型標準。具體而言，情境性的匿名化主要包括兩個要素：其一，納稅人匿名化需要考慮數據所處的情境，具體包括相關的涉稅數據、納稅人信息使用者、稅務信息治理作用，以及匿名化的硬件設施等要素。其二，稅務機關在披露稅務信息的前提下，應全面預測可能出現的情況，制定應急預案并同利益相關者展開溝通。

之所以強調引入情境性匿名化這一標準，目的在于揭示匿名化并非能克竟全功的技術保護措施，納稅人信息經過匿名化處理并不等同于“數據管稅”過程中稅務信息便可成為所有個人信息處理利用限制規則的除外對象?！皵祿芏悺睉斠詣討B的視角識別、評估納稅人信息所面對的風險，進而以法律確定采用不同的納稅人信息匿名化方式。稅務信息的再識別風險可能性越高，可予披露的對象范圍就越狹窄，并且應該對稅務機關課以額外的義務，以保障稅務信息不會被再次識別。

而就再識別風險的分級管控而言，譬如美國法認為“沒有合理理由認為信息能夠用來識別個體身份”時，納稅人信息便被充分地去識別化了。若數據產生爭議便采用“安全港”法和專家確定法，如果爭議數據出現了任何禁止出現的識別信息，即說明法律意義上的去識別化不夠充分；然后借助業內專家的知識、經驗連同科學方法，由專家在檢查時判定數據是否已經充分地去識別化?？傊瑧敻鶕煌{稅人信息的重要程度設置不同的匿名化法律標準，尋求相對的、可預見的、具有可行性的納稅人信息匿名化程度劃分機制。

(三)納稅人信息再識別的法律救濟

如果說以情境性匿名化確定匿名化的法律標準是正向地降低納稅人信息的再識別風險，那么對納稅人信息再識別的法律救濟便是逆向降低納稅人身份的再識別風險。但目前而言，我國缺乏具體的、細化的救濟制度設計，針對信息侵權的救濟手段過于原則化且缺乏可操作性。[23]107在我國《民法總則》第111條中，僅對“自然人的個人信息受法律保護……”做出籠統規定，一般個人信息侵權損害具體的救濟路徑，需要結合總則第110條關于隱私權保護的條款形成“二元制”保護模式，司法實踐中主要通過對公民隱私權的保護，要求數據使用者承擔侵權責任。無可否認，這一路徑在規制數據控制者為科技企業或其他民商事主體時具有空間，但在稅務征管過程中，由于稅務機關是數據的掌握者或利用者，因此要求作為行政主體的稅務機關承擔個人信息侵權損害賠償責任，在當前的司法訴訟程序中難以實現，也不符合實際情況。另外，相關條款中也未專設違背“匿名化”標準的侵權責任。鑒于此，有必要在稅務征收管理規定中按照本文關于匿名化的法律標準，設置專門條款規定稅務機關防止公民數據再識別的義務，同時賦予納稅人對稅務機關使用稅務信息行使監督之權利，并進而完善行政救濟程序，對于稅務機關未盡到充分的保護義務或存在濫用數據時，保障納稅人可通過要求行政機關勤勉履行職責及通過行政訴訟要求稅務機關承擔相應的責任。