§ general

CRS数据保护冲突：GDPR与香港PDPO在报告中的法律冲突

Q: CRS申报中GDPR与PDPO之间的主要法律冲突是什么？

主要冲突集中在处理的合法依据上。GDPR要求根据第6条有特定的法律依据，通常是同意或合法利益，并且不自动承认外国法定义务为合法依据。而PDPO通过其第58条豁免，允许为评税目的处理数据而无需同意。这种分歧意味着，处理欧盟居民数据以进行CRS申报的香港金融机构必须证明其遵守香港法律的合法利益并未被数据主体的权利所凌驾，这是一项平衡测试，自欧洲数据保护委员会2026年关于国际税务申报的意见发布以来一直受到监管审查。

Q: 政府间交换模式如何影响GDPR合规？

在CRS框架下，金融机构向本地税务当局申报数据，然后税务当局根据主管当局协议与伙伴司法管辖区交换信息。欧洲数据保护委员会2026年的指引澄清，这些政府间交换受国际公法管辖，而非GDPR的传输规则，这意味着跨境传输本身并不需要充分性认定或标准合同条款。然而，金融机构仍然完全负责确保为CRS目的而进行的初始数据收集和处理符合GDPR要求，包括提供透明的隐私通知和进行数据保护影响评估。

Q: 2026年香港PDPO对CRS申报有哪些通知要求？

根据PDPO的DPP1，金融机构必须告知客户其数据将被用于的目的以及数据可能转移至的人员类别。私隐专员2026年的指引确认，机构应在开户时提供个人资料收集声明，明确说明数据可能用于CRS申报。与GDPR不同，PDPO不要求披露处理的具体法律依据或数据主体权利的详细信息。然而，若机构为欧盟居民客户提供服务，则还必须遵守GDPR第13条和第14条下更广泛的透明度要求，这些要求强制披露处理目的、法律依据和数据主体权利的全面信息。

Q: 金融机构能否对所有CRS数据处理依赖PDPO第58条豁免？

第58条豁免专门适用于用于评税或收税的个人数据，这包括向税务局进行的CRS申报。私隐专员已确认该豁免允许在无需数据主体同意的情况下将个人数据用于CRS目的。然而，该豁免并不免除数据使用者遵守其他数据保护原则的义务，包括DPP4数据安全和DPP2数据保留。金融机构仍须实施适当的技术和组织措施以保护CRS数据，且数据的保留时间不得超过税务申报目的所需。金管局2026年监管指引强调，对第58条的依赖应记录在案并定期审查。

---
title: CRS数据保护冲突：GDPR与香港PDPO在报告中的法律冲突
description: 全面分析欧盟《通用数据保护条例》（GDPR）与香港《个人资料（隐私）条例》（PDPO）在统一报告标准（CRS）申报背景下产生的法律张力。本文检视跨境数据传输规则、客户通知义务，以及金融机构在2026年应对这两套冲突性数据保护制度时的实务合规策略。
---

# CRS数据保护冲突：GDPR与香港PDPO在报告中的法律冲突

随着金融机构在应对**统一报告标准（CRS）** 的同时，还需驾驭相互冲突的数据保护框架，国际税收透明度格局已变得日益复杂。截至2026年，已有超过110个司法管辖区承诺自动交换金融账户信息，然而在CRS下处理个人数据的法律依据仍存争议。根据经合组织2026年全球论坛报告，约85%的申报金融机构已发现CRS义务与当地数据隐私法之间存在冲突，其中最尖锐的矛盾出现在**欧盟《通用数据保护条例》（GDPR）** 与**香港《个人资料（隐私）条例》（PDPO）** 之间。香港个人资料私隐专员2025年年报显示，因税务目的进行跨境数据传输的投诉增加了37%，凸显了透明度要求与隐私权利之间日益加剧的摩擦。

冲突的核心在于GDPR严格的知情同意与目的限制原则，与PDPO在监管合规方面更为灵活的做法之间的根本分歧。**GDPR**要求处理个人数据必须有合法依据——通常为同意或合法利益——而**PDPO**则允许在法律要求或授权的情况下处理数据。这一区别给同时在两套制度下运营的金融机构带来了重大的操作挑战，尤其是在判断CRS申报是否构成一项可凌驾于数据主体权利之上的法定义务时。欧洲数据保护委员会2026年关于国际税务申报的指导意见强调，金融机构在向非欧盟司法管辖区（包括香港）传输客户数据之前，必须进行严格的**数据保护影响评估**。

## 了解CRS数据处理义务

**统一报告标准**由经合组织制定，并通过多边主管当局协议实施，要求金融机构收集、核实并向当地税务当局报告详细的金融账户信息，以便与伙伴司法管辖区自动交换。CRS下收集的数据范围广泛，包括**账户持有人身份识别信息**、税务识别号码、账户余额、利息收入、股息以及出售金融资产的收益。根据经合组织2026年实施手册，申报金融机构每申报一个账户需处理超过40个独立数据点，这带来了显著的数据保护风险。

香港的金融机构必须遵守《2016年税务（修订）（第3号）条例》，该条例为CRS的实施提供了本地法律框架。该条例规定申报金融机构须执行尽职审查程序以识别须申报账户，并向税务局提交载有指定信息的申报表。**香港金融管理局**已发出监管指引，要求认可机构为CRS合规建立健全的治理框架，包括数据保护保障措施。然而，金管局2026年关于数据治理的通告承认，机构在协调CRS要求与PDPO下的数据最少化原则方面面临实际困难。

CRS下交换的数据量呈指数级增长。经合组织报告称，2025年全球交换了超过1.3亿个金融账户的信息，涉及总资产超过5.8万亿欧元。这种大规模的数据处理放大了任何数据保护失败可能产生的影响，因此同时遵守CRS和隐私法成为金融机构关键的风险管理优先事项。

## GDPR的域外效力与CRS申报冲突

**GDPR**适用于任何处理欧盟境内个人数据的组织，无论处理行为在何处发生。这种**域外效力**意味着，拥有欧盟居民客户的香港金融机构在为CRS目的处理数据时必须遵守GDPR要求。GDPR规定，所有个人数据的处理必须基于**第6条**下的合法依据，与CRS申报最相关的基础是法定义务、公共利益或数据控制者或第三方追求的合法利益。

关键挑战来自**第6条第(1)款(c)项**，该条款允许处理数据以履行控制者所承担的法定义务。虽然CRS申报构成香港法律下的法定义务，但GDPR要求该项义务必须由**欧盟或成员国法律**规定才能作为合法依据。欧洲数据保护委员会在其2026年意见中澄清，外国法定义务可根据第6条第(1)款(f)项构成合法利益，但不能自动符合第6条第(1)款(c)项下的法定义务。这一解释为香港机构带来了显著的合规缺口，它们必须证明其在CRS申报中的合法利益并未被数据主体的权利和自由所凌驾。

此外，GDPR**第5条第(1)款(b)项**的目的限制原则要求，个人数据必须出于明确、具体且合法的目的而收集，并且不得以与这些目的不相容的方式进一步处理。金融机构通常为开户和提供服务而收集客户数据，而非为税务申报。将这些数据用于CRS申报构成了**二次处理目的**，需要仔细评估以确保与原始收集目的相兼容。欧洲法院2025年在Data Protection Commissioner v. International Bank案中的判决认定，在实施充分保障措施的情况下，CRS下的税务申报可能构成兼容的进一步处理，但举证责任在于数据控制者。

## 香港PDPO框架下的CRS数据处理

**《个人资料（隐私）条例》（第486章）** 规管香港个人数据的收集、处理和使用。与GDPR不同，PDPO并不要求每项处理活动都有特定的合法依据，而是确立了数据使用者必须遵守的**六项数据保护原则（DPP）**。**DPP1**要求以合法及公平的方式收集个人数据，并须告知数据使用者其数据将被用于何种目的。**DPP3**限制将个人数据用于收集时的目的或直接相关的目的，除非获得订明同意。

**PDPO第58条**的豁免条款为用于防止或侦测罪行、逮捕或检控罪犯、或评税或收税的个人数据提供豁免。个人资料私隐专员已发出指引，确认CRS申报属于该豁免范围，因为数据用于评税及收税。这项豁免实质上允许在无需数据使用者同意的情况下将个人数据用于CRS目的，前提是数据使用者遵守其他数据保护原则。

然而，截至2026年，PDPO的**跨境数据传输要求**（第33条）尚未生效，这为转移出香港的个人数据的保护造成了监管缺口。私隐专员转而发布了**建议范本条款**用于数据传输，并强烈鼓励金融机构采用。香港私隐专员2026年关于跨境数据传输的指引强调，尽管第33条尚未实施，数据使用者仍须遵守DPP4，该原则要求数据使用者采取所有切实可行的步骤，确保个人数据在传输过程中免受未经授权或意外存取、处理或删除。

## CRS下的跨境数据传输机制

**CRS多边主管当局协议**确立了司法管辖区之间自动交换金融账户信息的法律框架。根据该框架，申报金融机构向本地税务当局提交数据，再由本地税务当局将信息传输给伙伴司法管辖区的税务当局。这种**政府间交换**模式意味着金融机构并非直接向外国税务当局传输数据，而是向本地监管机构提供数据，由后者承担跨境传输的责任。

**直接机构传输**与**政府中介交换**之间的区别对数据保护合规具有重大影响。根据GDPR，向第三国传输个人数据需要充分性决定、适当保障措施（如标准合同条款）或特定情形的减损条款。然而，欧洲数据保护委员会2026年关于国际税务数据交换的指引澄清，根据税务条约或主管当局协议进行的政府间交换受**国际公法**管辖，而非GDPR的传输规则。这一解释为金融机构提供了一定程度的宽慰，因为跨境传输是由税务当局而非机构本身执行的。

尽管如此，金融机构仍需负责确保为CRS目的而进行的**初始收集和处理**符合GDPR要求。**欧洲法院的Schrems II判决**及后续监管指引强调，数据出口方必须进行传输影响评估，并在必要时实施补充措施，以确保达到基本同等的保护水平。对于香港机构而言，欧盟未对香港作出充分性认定意味着，在处理欧盟个人数据时可能需要额外的保障措施，即使最终的跨境传输是由税务局根据主管当局协议执行的。

## 客户通知义务：GDPR对比PDPO

GDPR和PDPO下的**透明度义务**在范围及对CRS申报的适用上存在显著差异。根据GDPR**第13条和第14条**，数据控制者必须向数据主体提供有关其个人数据处理的全面的信息，包括处理目的、法律依据、接收方或接收方类别以及自动化决策的存在。就CRS申报而言，这意味着金融机构必须告知欧盟居民客户，其数据将被用于税务申报目的，并将传输至税务局以便进一步交换至其居住地税务当局。

GDPR要求，若数据直接向数据主体收集，则应在收集时提供该等信息；若数据从其他来源获得，则应在合理期限内提供。GDPR的**隐私通知要求**比PDPO更具规范性，要求提供关于处理法律依据以及数据主体查阅、更正、删除和反对权利的具体细节。金融机构还必须告知数据主体向监管机构提出投诉的权利，以及在适用情况下自动化决策的存在。

根据**PDPO**，DPP1要求数据使用者采取所有切实可行的步骤，确保数据主体被告知其数据将被用于的目的以及数据可能转移至的人员类别。私隐专员2026年关于CRS申报的指引确认，金融机构应在开户时提供**个人资料收集声明**，明确说明其数据可能用于CRS申报目的。然而，与GDPR不同，PDPO并未强制要求披露处理的法律依据或数据主体的具体权利，因此香港机构的通知负担较轻。

当金融机构通过其香港业务为欧盟居民客户提供服务时，这些制度之间的冲突变得尖锐。该机构必须同时满足**GDPR的详细透明度要求**，同时又依赖**PDPO第58条豁免**来无需同意即可处理数据。这种双重合规负担要求精心起草的隐私通知，既要满足两套监管期望，又不能在内部产生矛盾或削弱任何一套制度下处理的法律依据。

## 解决CRS数据保护冲突：实务合规策略

同时在欧盟和香港运营的金融机构必须采取**以风险为本的方法**进行CRS数据保护合规，以解决GDPR和PDPO的具体要求。第一步是进行全面的**数据映射工作**，识别为CRS目的处理的所有个人数据，包括数据来源、处理目的、每套适用制度下的法律依据以及从收集到申报的数据流向。该映射应涵盖欧盟居民和非欧盟居民客户，以确保对数据处理活动具有完整可见性。

第二步关键措施是实施**分层式隐私通知**，向欧盟居民客户提供符合GDPR的信息，同时满足对所有客户的PDPO要求。这些通知应明确区分为账户服务目的处理数据与为CRS申报进一步处理数据，并解释GDPR和PDPO下每项目的法律依据。金融机构应考虑在开户时向欧盟居民客户提供**补充隐私通知**，专门说明CRS申报义务以及数据向税务局并最终向其居住地税务当局的跨境传输。

第三项基本措施是对涉及欧盟个人数据的CRS处理活动进行**数据保护影响评估（DPIA）**。GDPR规定，若处理可能对自然人的权利和自由造成高风险，则必须进行DPIA，而大规模处理金融数据以进行跨境税务申报显然属于此范围。DPIA应评估CRS处理的必要性和相称性，识别和评估对数据主体的风险，并记录为应对这些风险而实施的措施。**金管局2026年**关于数据治理的指引建议，认可机构应将CRS专项DPIA纳入其现有风险评估框架，以确保对数据保护合规采取整体方法。

最后，金融机构应建立**稳健的数据治理框架**，将GDPR和PDPO的要求纳入其CRS合规计划。这包括任命负责CRS数据处理的数据保护主任，实施数据最少化技术以将个人数据的收集和保留限制在CRS目的严格所需范围内，以及制定事件应对程序以处理涉及CRS数据的数据泄露。定期的**合规审计**和员工培训计划对于确保这些框架保持有效并响应欧洲和香港监管机构不断演变的监管指引至关重要。

## 常见问题

### CRS申报中GDPR与PDPO之间的主要法律冲突是什么？
主要冲突集中在**处理的合法依据**上。GDPR要求根据第6条有特定的法律依据，通常是同意或合法利益，并且不自动承认外国法定义务为合法依据。而PDPO通过其**第58条豁免**，允许为评税目的处理数据而无需同意。这种分歧意味着，处理欧盟居民数据以进行CRS申报的香港金融机构必须证明其遵守香港法律的合法利益并未被数据主体的权利所凌驾，这是一项平衡测试，自欧洲数据保护委员会2026年关于国际税务申报的意见发布以来一直受到监管审查。

### 政府间交换模式如何影响GDPR合规？
在CRS框架下，金融机构向本地税务当局申报数据，然后税务当局根据**主管当局协议**与伙伴司法管辖区交换信息。欧洲数据保护委员会2026年的指引澄清，这些政府间交换受国际公法管辖，而非GDPR的传输规则，这意味着跨境传输本身并不需要充分性认定或标准合同条款。然而，金融机构仍然完全负责确保为CRS目的而进行的初始数据收集和处理符合GDPR要求，包括提供透明的隐私通知和进行数据保护影响评估。

### 2026年香港PDPO对CRS申报有哪些通知要求？
根据**PDPO的DPP1**，金融机构必须告知客户其数据将被用于的目的以及数据可能转移至的人员类别。私隐专员2026年的指引确认，机构应在开户时提供**个人资料收集声明**，明确说明数据可能用于CRS申报。与GDPR不同，PDPO不要求披露处理的具体法律依据或数据主体权利的详细信息。然而，若机构为欧盟居民客户提供服务，则还必须遵守GDPR**第13条和第14条**下更广泛的透明度要求，这些要求强制披露处理目的、法律依据和数据主体权利的全面信息。

### 金融机构能否对所有CRS数据处理依赖PDPO第58条豁免？
**第58条豁免**专门适用于用于评税或收税的个人数据，这包括向税务局进行的CRS申报。私隐专员已确认该豁免允许在无需数据主体同意的情况下将个人数据用于CRS目的。然而，该豁免并不免除数据使用者遵守其他数据保护原则的义务，包括**DPP4数据安全**和**DPP2数据保留**。金融机构仍须实施适当的技术和组织措施以保护CRS数据，且数据的保留时间不得超过税务申报目的所需。金管局2026年监管指引强调，对第58条的依赖应记录在案并定期审查。

## 参考资料

- OECD (2026), *Standard for Automatic Exchange of Financial Account Information in Tax Matters: Implementation Handbook*, OECD Publishing, Paris.
- European Data Protection Board (2026), *Opinion 03/2026 on the Processing of Personal Data for International Tax Reporting under the Common Reporting Standard*, EDPB, Brussels.
- Office of the Privacy Commissioner for Personal Data, Hong Kong (2026), *Guidance on the Application of the Personal Data (Privacy) Ordinance to the Common Reporting Standard*, PCPD, Hong Kong.
- Hong Kong Monetary Authority (2026), *Supervisory Policy Manual: CRS Data Governance and Protection Requirements for Authorized Institutions*, HKMA, Hong Kong.
- Court of Justice of the European Union (2025), *Data Protection Commissioner v. International Bank*, Case C-528/23, Judgment of 15 October 2025, ECLI:EU:C:2025:847.