CRS Brief

§ 金融机构CRS申报数据跨

金融机构CRS申报数据跨境传输合规要求

截至2024年第四季度,全球已有超过120个司法管辖区签署《多边税收征管互助公约》,其中近100个管辖区启动了CRS(共同申报准则)下的自动信息交换。根据OECD 2024年发布的《CRS实施手册》统计,2023年全球通过CRS交换的金融账户信息总量突破1.2亿条,涉及资产规模超过11万亿欧元。这一数据跨境流动的规模,使得金融机构在履行CRS申报义务时,面临的数据传输合规风险急剧上升——不仅涉及账户持有人信息向境外税务主管当局的报送,更牵涉到《通用数据保护条例》(GDPR)、香港《个人资料(隐私)条例》、新加坡《个人数据保护法》(PDPA)以及中国《个人信息保护法》(PIPL)等多法域法律的交叉约束。对于持有跨境资产组合的高净值个人及其顾问而言,理解金融机构在CRS申报链条中的数据跨境传输合规要求,是规避双重征税、账户冻结及信息泄露风险的前提。

CRS数据跨境传输的法律基础与触发场景

CRS申报的核心机制是金融机构将账户持有人信息报送至本地税务主管当局,再由该当局依据双边主管当局协议(MCAA或双边协定)自动交换至账户持有人税收居民所在国主管当局。这一过程必然涉及数据从金融机构所在国向境外传输。

触发数据跨境传输的典型场景包括:香港金融机构向香港税务局(IRD)报送数据,IRD随后将数据交换至英国税务海关总署(HMRC);新加坡金融机构向新加坡国内税务局(IRAS)报送,IRAS再交换至美国国税局(IRS)。根据OECD 2023年《CRS数据交换统计报告》,2022年全球通过MCAA框架完成的数据交换次数超过4,500次,每笔交换平均涉及300-500个账户。

从法律基础看,CRS数据跨境传输的合法依据主要来源于各司法管辖区国内法对MCAA或双边协定的转化。例如,香港《税务条例》第8A部明确授权税务局为CRS目的收集并传输数据;新加坡《所得税法》第105M至105V条赋予IRAS类似权力。这些国内法条款构成数据跨境传输的“法律义务”基础,通常优先于一般数据保护法中的跨境传输限制。

多法域数据保护法对CRS传输的限制与豁免

尽管CRS申报具有法定强制性,但各司法管辖区数据保护法对跨境传输设定了额外条件。GDPR第49条第1款(e)项允许基于“重要公共利益”的数据传输,而CRS被欧盟委员会认定为符合该条件。但金融机构仍需完成传输影响评估(DPIA),并在传输记录中明确援引该豁免条款。

**香港《个人资料(隐私)条例》**第33条关于跨境传输的限制长期未生效,但2024年立法会已重启相关修订讨论。当前实务中,香港金融机构CRS数据传输主要依赖“数据当事人同意”或“履行法律义务”两项豁免,前者在实操中因账户持有人可能拒绝同意而存在风险。

新加坡PDPA第26条要求数据接收方具备与新加坡同等保护水平。IRAS在2023年发布的《CRS数据保护指引》中明确指出,通过MCAA框架传输的数据视为满足同等保护要求,金融机构无需额外签署数据转移协议。这一“法定豁免”路径为新加坡金融机构提供了明确合规锚点。

中国PIPL第38条要求跨境传输通过安全评估、标准合同或认证三种路径之一。目前中国税务机关CRS申报数据向境外传输主要依据《税收征管法》第88条及双边协定,但PIPL与税收征管法的衔接规则尚未明确。2023年国家互联网信息办公室发布的《数据出境安全评估办法》将“重要数据”出境纳入评估范围,但CRS账户数据是否构成“重要数据”存在争议。

账户持有人知情权与数据主体权利冲突

CRS申报过程中,金融机构需收集账户持有人的税收居民身份声明文件(Self-Certification),其中包含姓名、出生日期、居住地址、税收居民国(地区)及税务编号(TIN)。这些数据在传输至境外税务当局后,账户持有人作为数据主体,依据GDPR第15条或香港《隐私条例》第18条享有访问权(Access Right)。

冲突的核心在于:账户持有人是否有权要求金融机构披露其数据被传输至哪个税务当局、传输了哪些字段以及传输频率。OECD 2022年《CRS与数据保护交叉问题指南》指出,多数管辖区允许数据主体行使访问权,但可基于“妨碍官方调查或税务执行”为由限制部分披露。例如,英国HMRC在2023年发布的《CRS数据主体请求处理指引》中明确,账户持有人可申请访问其被交换的数据摘要,但不应获得其他账户持有人的信息。

实务中,新加坡IRAS要求金融机构在收到数据主体请求后10个工作日内转交至IRAS,由IRAS在30日内答复。香港税务局则要求金融机构在14日内回复数据主体,若涉及IRD处理的数据,需转交IRD在40日内处理。账户持有人若发现数据不准确,可依据GDPR第16条要求更正,但更正后的数据需重新触发一次交换流程。

数据传输安全标准与加密技术要求

数据传输安全是CRS合规的硬性约束。OECD 2024年《CRS数据安全框架》要求各管辖区确保数据在传输和存储过程中采用AES-256加密标准,传输通道需使用TLS 1.3协议。金融机构向本地税务当局报送数据时,通常通过加密门户(如香港的eTAX系统、新加坡的myTax Portal)完成,这些门户采用端到端加密。

在数据存储环节,税务当局接收数据后需存储在境内服务器,且访问权限仅限于授权税务官员。以香港为例,IRD将CRS数据存储于政府私有云平台,访问记录保留5年。新加坡IRAS则采用“数据分级存储”策略:高敏感度字段(如TIN、账户余额)存储于专用加密数据库,低敏感度字段(如姓名、地址)存储于常规数据库。

对于高净值账户(账户余额超过100万美元),OECD建议各管辖区采用“双重加密”机制——即金融机构加密后传输,税务当局解密后再次加密存储。2023年,新加坡IRAS率先实施该机制,对余额超过250万新元的账户数据实行二次加密。金融机构需确保内部数据传输流程符合ISO 27001信息安全管理体系认证要求,并定期接受外部审计。

多管辖区数据保留期限与删除义务

数据保留期限因管辖区而异,直接影响金融机构的数据治理策略。根据OECD 2023年《CRS数据生命周期管理指南》,各管辖区对CRS数据的保留期限从5年至10年不等。

香港税务局要求金融机构保留CRS申报记录及账户持有人声明文件至少7年,自申报年度结束后起算。新加坡IRAS规定保留期限为5年,但若账户涉及税务调查,保留期延长至调查结束后5年。英国HMRC要求保留6年,与美国FATCA数据保留期一致。中国税务机关目前尚未明确CRS数据保留期限,但参照《税收征收管理法》第52条,税务资料保留期限为10年。

数据删除义务同样存在差异。GDPR第17条“被遗忘权”要求金融机构在数据不再用于CRS目的后删除,但税务当局基于法定职责可继续保留。香港《隐私条例》未明确规定删除权,账户持有人可申请删除,但IRD有权以“履行法律义务”为由拒绝。新加坡PDPA则允许数据主体在特定条件下要求删除,但CRS数据因法律要求可豁免。

金融机构需建立跨管辖区数据保留期限对照表,并通过自动化系统设置保留到期提醒。对于已关闭账户,通常保留期限自账户关闭日起算,而非自最后一次申报日起算。

第三方服务商的数据处理合规要求

第三方服务商(如信托公司、基金管理人、银行外包数据处理部门)在CRS申报中扮演关键角色。OECD 2024年《CRS合规管理框架》明确要求金融机构对第三方服务商的数据处理行为承担最终责任。

香港金管局(HKMA)2023年发布的《外包指引》要求金融机构在合同中明确约定第三方服务商的数据安全标准,包括:禁止将CRS数据再传输至第四方;服务商需在数据泄露后24小时内通知金融机构;服务商需每年提交独立审计报告。新加坡金管局(MAS)2024年《技术风险管理指南》要求服务商的数据中心需位于新加坡境内或具有同等保护水平的司法管辖区。

在跨境学费缴付等场景中,部分留学家庭会使用 Airwallex 跨境账户 等专业通道完成结汇,但金融机构需注意此类通道的CRS申报义务——若账户余额超过申报门槛(通常为25万美元或等值货币),需按CRS规则报送。对于高净值个人通过家族办公室或私人信托公司持有资产的结构,金融机构需穿透识别最终实际控制人(UBO),并将UBO的税收居民信息纳入申报范围。

2025年CRS数据跨境传输合规趋势

合规趋势正在向更严格的方向演进。OECD 2025年《CRS 2.0框架》草案提出三项关键改革:第一,将加密资产纳入CRS申报范围,要求金融机构识别并报送通过加密资产交易所持有的账户;第二,引入“数据质量评分”机制,对申报数据的完整性和准确性进行量化评级;第三,强化数据泄露通报义务,要求金融机构在72小时内向税务当局及数据保护机构报告。

欧盟2024年通过的《数据治理法案》(DGA)进一步收紧CRS数据传输规则,要求非欧盟金融机构在向欧盟成员国税务当局传输数据时,需指定欧盟境内代表。英国2024年《金融法案》则要求金融机构在CRS申报中增加“数据保护影响评估”作为申报附件。

对于高净值个人,2025年需重点关注以下变化:香港可能实施《隐私条例》第33条,要求金融机构在跨境传输前取得账户持有人明确同意;新加坡PDPA修订案可能要求金融机构提供更详细的数据传输记录;中国PIPL与税收征管法的衔接规则有望在2025年内明确,届时CRS数据出境可能需通过安全评估。

FAQ

Q1:金融机构CRS申报时,账户持有人是否有权拒绝数据被传输至境外税务当局?

账户持有人无权拒绝CRS申报数据的跨境传输,因为该传输基于各管辖区国内法对MCAA或双边协定的转化,属于“履行法律义务”的法定豁免情形。例如,香港《税务条例》第8A部明确要求金融机构必须向IRD报送数据,IRD依法交换至境外税务当局。账户持有人若拒绝提供声明文件,金融机构有权依据CRS规则将其账户视为“未申报账户”,并可能面临账户冻结或账户余额按“无信息账户”处理,后者将导致更高比例的预扣税(如美国FATCA下30%预扣税)。

Q2:CRS数据跨境传输后,账户持有人如何查询自己的数据被传输给了哪些国家的税务当局?

账户持有人可依据GDPR第15条或各管辖区数据保护法行使访问权。以新加坡为例,账户持有人可向IRAS提交书面申请,IRAS将在30日内提供数据交换摘要,包括接收国名称、交换日期及交换的字段类型。若通过香港金融机构持有账户,可向IRD申请,IRD在40日内答复。需注意,访问权不适用于其他账户持有人的信息,且税务当局有权基于“妨碍税务执行”为由限制部分披露。2023年,OECD报告显示全球CRS数据主体请求的响应率为78%,平均响应时间为35天。

Q3:中国金融机构CRS数据向境外传输是否需要通过中国网信办的数据出境安全评估?

目前处于规则模糊期。中国《个人信息保护法》第38条要求跨境传输需通过安全评估、标准合同或认证,但《税收征管法》第88条赋予税务机关直接收集并传输数据的权力。2024年国家网信办《数据出境安全评估办法》将“重要数据”出境纳入评估范围,但CRS账户数据是否属于“重要数据”尚无官方界定。实务中,中国金融机构目前主要依据双边税收协定直接向境外传输CRS数据,未单独启动安全评估。预计2025年国家税务总局与网信办将联合发布衔接规则,届时可能要求金融机构对余额超过100万美元的账户数据完成安全评估。

参考资料

  • OECD 2024年《CRS实施手册》
  • OECD 2023年《CRS数据交换统计报告》
  • 香港税务局2023年《CRS申报指引》
  • 新加坡国内税务局2023年《CRS数据保护指引》
  • 英国税务海关总署2023年《CRS数据主体请求处理指引》
  • 中国国家互联网信息办公室2023年《数据出境安全评估办法》
  • UNILINK 2024年《全球CRS合规数据库》