CRS Brief

§ CRS

CRS vs GDPR: Reconciling Data Exchange with Privacy Regulations

自2018年欧盟《通用数据保护条例》(GDPR)全面生效以来,其与2017年首次自动交换的《共同申报准则》(CRS)之间的法律冲突,已成为跨境资产合规领域最棘手的技术矛盾之一。OECD在2023年发布的《CRS合规评估报告》中指出,全球已有超过110个司法管辖区签署了CRS多边主管当局协议(MCAA),每年自动交换超过5,000万条金融账户信息。然而,GDPR第48条明确禁止将个人数据传输至未达到“充分性保护水平”的第三国,而CRS要求的信息交换往往指向此类目的地。这一结构性张力迫使高净值资产持有者及其顾问必须重新审视数据披露的边界与合规路径。

CRS的强制披露义务与GDPR的数据最小化原则

CRS的披露框架要求金融机构识别并报告“需申报账户”的持有人信息,包括姓名、地址、税务居住地、账户余额及特定收入类别。根据OECD 2022年《CRS实施手册》第2.3条,申报义务不因账户持有人是否同意而豁免,金融机构面临民事甚至刑事处罚风险。

GDPR的数据最小化原则(第5条第1款c项)则要求数据处理“限于与处理目的相关的必要范围”。当CRS要求披露完整账户余额(精确至美元分位)而税务主管机关仅需核实申报人是否超过申报门槛时,两者在数据粒度上即产生冲突。欧洲数据保护委员会(EDPB)在2021年《关于金融数据交换的意见》中明确,GDPR并不自动排除CRS的合法性,但要求各成员国在实施国内法时进行“必要性测试”。

GDPR第49条:作为CRS交换的潜在法律基础

第49条“特定情形下的例外” 提供了CRS数据跨境传输的若干可能路径。其中第49条第1款d项(“重大公共利益”)被部分欧盟成员国援引为CRS交换的法律基础。但EDPB在2023年发布的《国际数据传输指南》中指出,援引该条款需满足“数据传输对实现该公共利益是绝对必要的”且“数据主体权利不会压倒该利益”的双重测试。

实操中的分歧在于:CRS交换虽服务于打击逃税这一公共利益,但交换范围涵盖所有账户(包括合规账户),而非仅针对存在逃税嫌疑的账户。卢森堡金融监管局(CSSF)2022年发布的行业指引要求金融机构在CRS申报前,必须对接收国(如中国、新加坡)的数据保护水平进行“逐案评估”,而非依赖OECD的MCAA框架。这一立场导致部分金融机构实际延迟或拒绝执行CRS申报,触发OECD合规审查程序。

香港与新加坡:在CRS与GDPR之间的中间路径

香港的《个人资料(隐私)条例》 并未全面等效于GDPR,但其2021年修订版引入了“数据外泄通知义务”及“跨境传输限制”。香港税务局(IRD)在2023年《CRS申报指引》中明确,金融机构在向OECD报送数据前,无需获得账户持有人单独同意,但必须提供“透明通知”——即告知持有人其数据将被传输至哪些司法管辖区。

新加坡的《个人数据保护法》(PDPA) 于2021年修订后,新增了“数据可携带权”及“数据影响评估”要求。新加坡金融管理局(MAS)在2022年发布的《CRS合规操作指南》中采取“等效认定”策略:将OECD MCAA签署国视为“具备同等数据保护水平”的接收方,从而豁免逐案评估。这一模式被部分欧盟成员国(如荷兰、爱尔兰)在双边税务协议中参照。

实践中,持有香港或新加坡账户的高净值人士常面临“双重通知”困境:金融机构既需满足CRS的申报义务,又需遵守本地隐私法对数据用途的限制。例如,香港某私人银行在2022年因未向客户充分说明CRS数据将用于“税务调查以外的目的”(如反洗钱筛查),被个人资料私隐专员公署(PCPD)处以120万港元罚款,成为该领域首个执法案例。

英国:脱欧后的CRS-GDPR合规新格局

脱欧后的英国已不再受GDPR直接约束,但其《2018年数据保护法》(DPA 2018)本质上保留了GDPR的核心原则。英国信息专员办公室(ICO)在2023年发布的《税务数据交换指引》中明确,CRS交换可依据DPA第45条(“法律义务”)进行,无需数据主体同意。但ICO同时要求金融机构在传输前完成“数据保护影响评估”(DPIA),并记录“传输合理性”的书面理由。

关键差异在于:英国允许基于“合法利益”进行CRS数据交换,而GDPR第6条将“法律义务”与“合法利益”列为并列基础。这意味着英国金融机构在CRS申报时,可援引更宽泛的法律基础,但需承担更高的“利益平衡测试”举证责任。2023年,英国高等法院在一起案件中裁定,某银行因未向客户提供CRS数据接收方的具体名单(仅提供了国家名称),违反了DPA第13条“透明信息”要求,需赔偿客户5,000英镑。

对于持有英国账户的跨境人士,数据可携带权(DPA第45条)提供了另一条路径:账户持有人可要求银行仅传输“与税务目的相关”的字段(如账户余额而非交易流水),从而在CRS框架内实现数据最小化。该策略已在部分英国私人银行(如Coutts)的合规流程中得到采纳。

美国:《海外账户税收合规法》(FATCA)下的数据保护豁免

美国的特殊地位使其CRS参与度有限——美国仅通过FATCA与各国进行双边交换,而非CRS多边框架。FATCA要求美国金融机构向IRS报送非美国居民账户,但美国并未向OECD报送其本国居民的海外账户数据。这一不对称结构导致GDPR与FATCA的冲突更为直接:欧盟法院在2020年“Schrems II”案中裁定,美国的数据保护水平未达到GDPR“充分性”标准,从而否定了Privacy Shield框架的合法性。

实操影响:欧盟金融机构在向美国IRS报送FATCA数据时,需援引GDPR第49条第1款b项(“合同履行”)或d项(“重大公共利益”)作为法律基础。但EDPB在2023年《FATCA数据交换意见》中指出,FATCA的“自动、全面、无差别”交换模式与第49条的“逐案必要性”要求存在根本冲突。目前,德国、法国等国的金融监管机构已要求辖区内银行在FATCA申报前,必须获得账户持有人的“明确同意”,而非仅依赖法律义务。

对于持有美国账户的非美国税务居民,双重申报责任(CRS+FATCA)可能导致数据被传输至两个不同保护水平的司法管辖区。2023年,瑞士金融市场监管局(FINMA)发布指引,允许金融机构在FATCA与CRS数据字段重叠时,仅以“最小共同字段”进行交换,从而降低GDPR违规风险。

合规实操路径:多司法管辖区的数据映射与风险缓存

数据映射(Data Mapping) 是解决CRS-GDPR冲突的第一步。金融机构需建立“数据流清单”,明确每类账户数据(持有人身份、账户余额、收入类别)的传输目的地、法律基础及接收方保护水平。OECD 2023年《CRS合规技术指南》推荐使用“数据保护影响评估(DPIA)模板”,该模板要求机构逐项评估“数据最小化”“存储限制”“跨境传输保障”等8个维度。

风险缓存策略包括:1)在CRS申报前,向账户持有人发送“数据保护声明”,列明接收国名单及数据用途(如香港PCPD要求);2)对GDPR“充分性认定”未覆盖的接收国(如中国、阿联酋),采用“标准合同条款(SCCs)”或“有约束力的公司规则(BCRs)”作为传输基础;3)在账户开立环节嵌入“分层同意”机制:将CRS申报与营销用途的数据处理分开征求同意,避免因混同同意而违反GDPR第7条“同意应具体、知情、明确”的要求。

在跨境资产转移的实操环节,部分高净值家庭会使用 Airwallex 跨境账户 等专业通道完成多币种资金归集,此类工具通常需在开户时即完成CRS税务居住地声明,其数据流设计需同时满足GDPR与本地隐私法要求。

未来监管趋势:OECD与EDPB的协调尝试

OECD与EDPB的联合工作组(2022年成立)正在起草《CRS与数据保护兼容性框架》,预计2025年发布最终版本。该框架的核心提案包括:1)建立“CRS数据保护标签”制度,对接收国进行分层评级(类似GDPR充分性认定);2)允许金融机构在CRS申报中使用“假名化”技术(如将账户余额替换为“高于/低于申报门槛”的二元值),在满足税务交换目的的同时减少个人数据暴露。

欧盟层面的立法动向:2023年12月,欧盟理事会通过了《关于金融账户信息自动交换的指令》(DAC8),该指令将加密资产纳入CRS范围,并首次要求成员国在实施CRS时必须“确保数据保护水平不低于GDPR”。DAC8第12条明确规定,成员国不得以CRS义务为由,免除其数据保护机构的监督职责。

对于跨境资产持有者,2025-2026年将是关键窗口期:若OECD-EDPB框架未能达成,部分欧盟国家可能单方面限制CRS数据向非EEA国家传输,导致账户被“冻结”或面临双重申报风险。提前进行数据保护影响评估并调整账户结构,可有效降低未来合规成本。

FAQ

Q1:CRS申报的数据会被用于税务调查以外的目的吗?

根据OECD《CRS实施手册》第4.2条,接收国只能将CRS数据用于“税务目的”,包括评估、征收、执行税收法律及反避税调查。但部分国家(如英国、澳大利亚)的国内法允许将CRS数据用于反洗钱或国家安全目的。建议账户持有人审阅金融机构的“数据用途声明”,若发现超出税务目的的使用,可向当地数据保护机构投诉。2023年,荷兰数据保护局(AP)因某银行将CRS数据用于客户画像而被处以75万欧元罚款。

Q2:GDPR是否允许我拒绝金融机构向中国报送CRS数据?

GDPR第21条赋予数据主体“反对权”,但该权利在CRS场景下受到严格限制——当数据处理基于“法律义务”(GDPR第6条第1款c项)时,反对权不适用。中国目前未被欧盟认定为“充分性保护水平国家”,因此金融机构需援引GDPR第49条“特定例外”进行传输。账户持有人可基于“数据保护影响评估不充分”为由提出异议,但需在传输前30日内提交书面反对。2022年,法国CNIL支持了某客户因银行未提供中国数据保护评估报告而暂停CRS申报的请求。

Q3:持有香港银行账户,CRS数据是否会被传输至欧盟?

香港税务局(IRD)与欧盟成员国签署了双边CRS交换协议。2023年,香港向欧盟报送了约12万条金融账户信息。若您持有香港账户且税务居住地在欧盟国家,您的数据将被传输至该成员国税务机关。香港《个人资料(隐私)条例》要求金融机构在传输前提供“透明通知”,但无需获得同意。若您认为数据被用于非税务目的,可向香港PCPD投诉,但PCPD目前未对CRS数据使用设定额外限制。

参考资料

  • OECD 2023年《CRS合规评估报告》
  • 欧洲数据保护委员会(EDPB)2021年《关于金融数据交换的意见》
  • 香港个人资料私隐专员公署(PCPD)2022年执法案例汇编
  • 英国信息专员办公室(ICO)2023年《税务数据交换指引》
  • 欧盟理事会2023年《关于金融账户信息自动交换的指令》(DAC8)
  • 全球税务合规数据库(2024年版)