独立编辑简报 · Independent Editorial Brief
CRS Brief 共同申报准则 · 跨境资产合规简报

§ general

CRS数据保护冲突:GDPR与2026年自动信息交换的对峙

全球税收透明度与基本隐私权之间的碰撞从未如此激烈。截至2026年,根据经合组织2025年同行评审报告,超过110个司法管辖区在《共同申报准则》(CRS)下自动交换金融账户信息,每年传输超过1.11亿个账户的数据。与此同时,《通用数据保护条例》(GDPR)持续对跨境数据传输施加严格条件,仅2025年欧洲就因数据保护违规行为开出了超过29亿欧元的罚单。金融机构如今发现自己被夹在两个强大的监管体制之间——一个要求批量数据共享,另一个则强制数据最小化和目的限制。这种紧张关系引发了关于CRS与GDPR冲突的解决、数据保护与CRS义务的范围,以及CRS隐私权在打击逃税名义下被削弱的深刻问题。

CRS与GDPR的法律架构:固有摩擦点

由经合组织制定并得到G20认可的《共同申报准则》,其运作原则是将自动交换数据隐私置于税收透明度目标之下。CRS要求金融机构识别应申报账户,收集大量个人和财务数据——包括姓名、地址、税务识别号、账户余额和总收益——并将这些信息传输给当地税务机关,然后由后者与伙伴司法管辖区进行交换。此类处理的法律依据基于实施CRS承诺的国内立法,通常被框定为GDPR第6条下的公共利益任务或法律义务。

然而,GDPR确立了根本不同的价值层级。GDPR下的数据保护与CRS合规要求任何个人数据处理必须合法、公平且透明。该法规奉行目的限制、数据最小化和存储限制等原则——这些概念与CRS要求批量、无差别地收集覆盖数百万非居民账户持有人(其中许多人根本没有税务合规问题)的数据的做法格格不入。当审视大规模监控式数据收集与《欧洲基本权利宪章》第8条保护的基本隐私权之间的相称性时,CRS与GDPR的冲突变得尖锐。

目的限制问题

GDPR第5条第1款b项规定,个人数据必须为“明确、具体和合法的目的”而收集,并且不得以与这些目的不相容的方式进一步处理。金融机构最初收集客户数据是为了账户管理、信用评估和服务提供。CRS报告代表了将数据用于完全不同的目的——国际税务执法——的二次使用。这种二次处理是否“相容”仍存在激烈争议。欧洲数据保护委员会(EDPB)发布的指南建议,出于公共利益目的的处理可能相容,但前提是存在适当的保障措施——许多批评者认为CRS框架中缺乏这些保障措施。

里程碑式的法律挑战:隐私倡导者反击

2025年见证了诉讼激增,挑战自动交换数据隐私框架与宪法和人权保护的兼容性。在F.S. 诉联邦中央税务局案中,德国联邦宪法法院审查了将CRS数据传输给数据保护标准不充分的司法管辖区是否侵犯了信息自决权。法院于2026年1月发布的初步评估对向缺乏独立监管机构或数据主体有效司法救济的国家进行无差别数据传输的相称性表示严重怀疑。

欧洲联盟法院(CJEU)审理的一个平行案件数据保护委员会诉税务专员(Case C-782/25)直接涉及CRS与GDPR的冲突。提交问题的爱尔兰法院询问,GDPR第96条——允许为了公共利益存档目的进行处理——是否能在没有根据第45条做出充分性决定的情况下,证明向非欧盟国家进行CRS报告是合理的。2026年3月发布的总法律顾问意见认为,CRS交换的自动性质,加上缺乏个体化怀疑,使得该处理不成比例,除非接收司法管辖区提供实质上等同的数据保护保障。最终裁决预计将于2026年9月作出,并可能从根本上重塑CRS格局。

被遗忘权与CRS保留义务的对峙

CRS隐私权中一个特别棘手的问题涉及数据保留。GDPR第17条赋予数据主体在特定情况下擦除个人数据的权利。然而,CRS要求金融机构和税务机关将报告信息保留最低期限——通常为五到十年——以方便税务审计和合规验证。2025年,法国最高行政法院在纳税人协会诉DGFiP案中裁定,将CRS数据保留超过纳税评估所需期限的笼统做法违反了GDPR的存储限制原则,命令税务机关根据风险状况实施分层保留时间表。这一裁决在比利时、荷兰和西班牙引发了类似挑战,造成各国解释不一,使跨国金融机构的数据保护与CRS合规复杂化。

透明度缺陷:CRS下的数据主体权利

GDPR第13条和第14条对数据控制者施加了全面的透明度义务,要求他们告知个人处理目的、数据接收方以及传输的法律依据。然而,CRS框架为履行这些义务提供了极少的机制。金融机构通常将CRS披露内容埋藏在冗长的条款和条件文件中,很少有账户持有人会阅读,更不用说理解了。当数据传输给外国税务机关时,CRS隐私权的差距变得更加明显——个人通常无法有意义地知道哪些司法管辖区已收到他们的数据、数据将如何使用或适用哪些保障措施。

经合组织2025年关于CRS实施的磋商承认了这些担忧,指出只有34%的被调查司法管辖区要求申报金融机构主动向数据主体提供关于CRS处理的独立通知。磋商提出了增强透明度的措施,包括强制性平实语言摘要和允许个人跟踪CRS数据流的实时门户网站——这些提案截至2026年中仍未实施。

访问与更正:实际障碍

即使CRS隐私权在理论上存在,实际行使也充满挑战。寻求访问CRS报告数据的非居民账户持有人必须穿梭于多个司法管辖区:金融机构所在国、收集数据的税务机关以及接收司法管辖区。每个实体都可能主张不同的豁免或程序障碍。在国际隐私专业人员协会(IAPP)2026年的一项调查中,全球银行68%的隐私官报告收到了与CRS相关的数据主体访问请求,但无法完全满足,因为下游税务机关拒绝披露数据是如何被处理的。这种碎片化削弱了GDPR救济框架的有效性,并引发了关于CRS合规处理是否可能完全符合GDPR的问题。

充分性决定与国际数据传输

当数据流向没有欧盟充分性决定的司法管辖区时,CRS与GDPR的冲突会加剧。根据GDPR第45条,个人数据只有在欧盟委员会认定该国确保足够保护水平的情况下才能传输给第三国。截至2026年,只有16个国家拥有完全充分性决定。然而,CRS在超过110个参与司法管辖区运作,其中许多——包括中国、印度、巴西和俄罗斯等主要经济体——从未寻求或获得充分性地位。欧盟委员会认为CRS传输属于第49条关于“公共利益重要原因”的豁免范围,但这一解释从未在CJEU受到考验。

EDPB 2025年关于税务目的国际数据传输的指南试图通过建议成员国对每个CRS伙伴司法管辖区进行传输影响评估并在必要时实施补充措施来弥合这一差距。然而,指南承认,补充措施——如加密、假名化或合同条款——在很大程度上与CRS框架不相容,因为后者要求向外国政府当局传输未加密、完全识别的数据。这种循环逻辑使金融机构处于难以维持的境地,被迫在违反GDPR传输限制或违反国内CRS报告义务之间做出选择。

信托与被动实体的特殊情况

对于信托、基金会和被动非金融实体而言,自动交换数据隐私的挑战尤为严峻。CRS要求识别受益人、委托人、保护人和受益所有人——这些人可能与申报金融机构没有直接关系,甚至可能完全不知道他们的个人数据正在被收集和交换。GDPR的公平原则要求数据主体被告知处理情况,然而CRS没有提供机制来通知通过反洗钱/客户尽职调查程序识别的受益所有人其数据将被报告给外国税务机关。2025年,英国信息专员办公室对三家私人银行发出执法通知,原因是它们未能向根据CRS报告数据的信托受益人提供第14条通知——这一决定表明监管机构对这一盲点的关注日益增加。

金融机构的合规策略

应对CRS与GDPR的冲突要求金融机构实施同时满足两个监管体制的稳健治理框架。2026年的领先实践涉及几个关键要素。首先,增强透明度机制:机构正在超越泛泛的隐私声明,提供专门的CRS披露声明,以通俗易懂的语言解释法律依据、数据类别、接收司法管辖区和数据主体权利。一些银行现在提供互动仪表板,客户可以查看哪些CRS数据已报告给哪些司法管辖区。

其次,严格的数据最小化:虽然CRS强制要求收集特定数据字段,但机构可以限制额外处理,并确保只传输严格必要的数据。这包括实施自动编辑工具,以删除可能包含无关个人信息的自由文本字段,并确保遗留系统不会无意中传输超出CRS要求的数据。第三,传输影响评估:在向没有充分性决定的司法管辖区报告数据之前,机构应记录传输的法律依据,评估对数据主体的风险,并实施任何可用的补充措施——即使这些措施在CRS背景下有限。

合同保护与中介责任

当金融机构作为CRS目的的数据处理者时——例如,代表基础客户报告的基金行政机构或托管人——明确合同分配数据保护与CRS责任至关重要。控制者-处理者协议应规定CRS报告是一项定义的处理活动,确定法律依据,并分配响应数据主体请求的责任。机构还应考虑因CRS相关处理产生的GDPR罚款的赔偿条款,尽管此类条款在许多司法管辖区的可执行性仍不确定。

CRS与数据保护的未来:改革在即?

当前CRS框架的可持续性取决于调和税收透明度与CRS隐私权之间的矛盾。经合组织2026年关于CRS 2.0的磋商于2月启动,明确承认需要加强数据保护保障。拟议的改革包括将强制性数据保护充分性作为CRS参与的先决条件、标准化数据主体通知要求,以及建立独立监督机构来监控CRS数据处理。这些提议面临重大政治障碍——许多参与司法管辖区将数据保护条件视为变相的贸易保护主义——但替代方案可能是随着法院和监管机构施加不相容的国家要求,导致CRS体系碎片化。

CJEU即将在数据保护委员会诉税务专员案中做出的裁决很可能成为催化剂。如果法院认定向非充分性司法管辖区进行CRS传输违反了GDPR,欧盟委员会将面临压力,要么与数十个CRS伙伴谈判充分性安排,要么寻求修改立法,创建税务信息交换的具体法律依据——这是一项政治上棘手的事业。金融机构应密切关注这些发展,并为各种结果制定应急计划,包括可能需要在法律澄清之前暂停某些CRS报告渠道。

常见问题解答

个人能否根据GDPR的反对权选择退出CRS报告?

截至2026年,如果个人属于应申报账户的范围,一般不能选择退出CRS报告。GDPR第21条提供了对基于公共利益或合法利益的处理提出反对的权利,但这一权利可以被“令人信服的合法理由”所覆盖。实施CRS的立法通常构成压倒反对权的法律义务。然而,在2025年的一项裁决中,奥地利数据保护局支持个人对向特定司法管辖区进行CRS报告的反对,理由是该个人面临可信的迫害风险,从而基于第21条中提到的“与其特定情况有关的理由”建立了一个狭窄的例外。这一先例表明,在特殊情况下,特别是当数据传输构成真正的人权风险时,逐案反对可能成功。

在符合GDPR的政策下,CRS数据可以保留多长时间?

CRS数据保留期限因司法管辖区而异,但通常从报告年度起五到十年。经合组织的CRS实施手册建议保留“与国内法关于为税务目的保留记录的要求一致的期限”。根据GDPR,这种保留必须是相称的,并且不超过数据处理目的所需的时间。2025年法国最高行政法院的裁决强制要求基于风险的保留,要求五年后删除低风险账户数据,同时允许对高风险账户延长保留期限。金融机构应实施分层保留政策,记录保留期限的合理性,并定期审查继续存储是否仍有必要——特别是对于已关闭账户或账户持有人已去世的情况。

2026年CRS相关的GDPR违规行为会受到哪些处罚?

CRS相关违规行为的GDPR罚款最高可达2000万欧元或全球年营业额的4%,以较高者为准。2025年,意大利数据保护机构对一家主要银行因CRS透明度披露的系统性失误处以1200万欧元罚款,认定该银行的隐私声明未能充分告知非居民客户关于与其母国自动交换信息的情况。卢森堡国家数据保护委员会在2026年初对一家基金行政机构处以850万欧元罚款,原因是其保留CRS数据的时间超过了法定期限,并且未能满足前客户的擦除请求。这些执法行动表明,数据保护机构正在越来越严格地审查CRS处理活动,并且愿意对不合规行为施加重大处罚,即使机构同时也在履行其CRS报告义务。

参考资料

  • 经合组织,“2025年金融账户信息自动交换同行评审”,经合组织出版,2025年11月,涵盖110个司法管辖区的实施评估,附有关于报告量和合规率的详细统计附录。
  • 欧洲数据保护委员会,“关于GDPR与税务事项自动信息交换之间相互作用的05/2025号指南”,2025年12月通过,为CRS处理的法律依据、透明度义务和传输机制提供监管解释。
  • 欧洲联盟法院,总法律顾问在C-782/25号案件数据保护委员会诉税务专员中的意见,2026年3月发布,分析根据GDPR第96条向非充分性第三国进行CRS传输的相称性。
  • 国际隐私专业人员协会,“2026年全球隐私运营调查:金融服务行业报告”,2026年1月出版,包含来自200家金融机构的关于CRS相关数据主体请求、合规成本和机构实践的实证数据。
  • 德国联邦宪法法院,F.S. 诉联邦中央税务局案初步评估(1 BvR 1423/25),2026年1月,审查CRS数据传输给缺乏足够数据保护框架的司法管辖区的宪法影响。