独立编辑简报 · Independent Editorial Brief
CRS Brief 共同申报准则 · 跨境资产合规简报

§ general

香港金融机构CRS文件留存规则:2026年合规路线图

香港税务局在2025年评估周期内开展了超过 1,200次CRS合规检查,其中文件缺失问题占所有不合规发现的43%。进入2026年,金融机构对共同申报标准(CRS)文件做法的审查日益严格。香港税务局已明确表示,健全的记录保存不仅是行政上的偏好,更是法定义务——根据《2016年税务(修订)(第3号)条例》,文件缺失可被处以每项违规最高10,000港元的罚款。

对于合规官和运营团队而言,准确把握香港CRS记录留存的具体要求已成为关键风险管理的优先事项。监管期望远不止于简单存储文件,而是要求建立全面的CRS审计追踪,以证明机构从初始账户识别到报告决策的整个尽职调查过程。本指南详细剖析现行要求、实用留存策略,以及香港税务局期望金融机构在2026年及以后维持的证据标准。

CRS文件留存的法定基础

香港税务局(HKIRD)文件留存CRS要求的法律依据源自《税务条例》第50I条。该条款规定,金融机构必须保留与CRS合规相关的所有记录,保存期限为相关程序、交易、行动或操作完成之日起至少六年。这一六年留存窗口并非随意设定——它与香港税法下税务评税的标准时效一致,并给予税务局足够时间核实所报告信息的准确性。

“记录”在这一框架下的定义刻意宽泛。税务局通过其**《释义及执行指引第59号》澄清,义务涵盖原件、副本、缩微胶片及电子记录,前提是电子系统符合特定的完整性和可访问性标准。金融机构必须确保其CRS证据留存系统能够在合理时间内按要求提供清晰可读的记录。税务局已表明,“合理”通常指14至28天内**,但紧急要求可能需更快回应。

留存义务归属于作为法律实体的申报金融机构,这意味着外包安排不会转移责任。将CRS尽职调查或报告职能委托给第三方服务提供商的机构,仍须完全负责确保这些提供商维持合规的留存做法。这一原则在2025年多项税务局执法行动中得到强化,多家机构尽管已聘请外部管理员处理CRS义务,仍被处以罚款。

需遵循CRS留存要求的文件类别

准确理解哪些文件属于香港CRS文件规则的范围,对构建合规的留存框架至关重要。税务局将需留存文件分为四大类,每类在整个审计追踪中承担不同举证目的。

账户持有人身份识别记录构成基础层。包括自我证明表格、税务居民身份证明文件,以及在开户过程中收集的任何佐证材料。对于既有账户,此类还包括用于确定税务居民身份的文件证据审查材料,例如回溯期内进行的电子指数检索结果。税务局期望机构不仅保留最终判定,还应保留完整的检索方法及其结论所依据的结果。

尽职调查程序记录是第二关键类别。这些文件证明机构对每个账户应用了正确的CRS分类规则。对于实体账户,这包括控制人识别流程、证明实体为主动或被动非金融实体(NFE)的文件,以及CRS框架下允许的依赖反洗钱/了解你的客户(AML/KYC)程序的情况。此类记录的留存要求尤为严格,因为它们是证明机构已对自我证明进行所需合理性测试的主要证据。

报告数据与传输记录构成第三类。机构必须保留向税务局提交的所有数据文件副本,包括无应申报账户期间的零申报文件。留存义务还涵盖所使用的XML模式版本、传输确认回执,以及首次申报后提交的任何错误修正文件。这些记录使税务局能够在整个留存期内核实报告的完整性和准确性。

治理与监督文件是第四类。包括董事会批准的CRS政策、合规监测报告、员工培训记录,以及针对内部审计发现所实施的任何整改计划。虽然此类文件看似与个别账户报告的直接关联较弱,但它们能体现机构的整体合规态势,并在发生违规时显著影响税务局对处罚力度的评估。

CRS审计追踪:构建可辩护的记录

自2018年该制度首次实施以来,CRS审计追踪的概念已显著演变。到了2026年,税务局期望金融机构维持的审计追踪,应能让独立审查员无需参考原决策者即可重建任何特定账户的完整决策过程。这一标准源自财务审计原则,要求文件粒度达到许多机构最初低估的程度。

可辩护的审计追踪始于系统生成的时间戳,它能创建CRS相关活动的不可篡改时间序列。税务局已表明,手动标注日期的文件虽不自动被否决,但其证据效力低于系统生成的记录。使用工作流管理系统进行CRS分类的机构,应确保这些系统能生成可导出的日志,显示每项操作的执行者、执行时间以及审查或修改的数据元素。这些日志在税务局合规审计期间成为关键证据,尤其是当尽职调查程序的时间与报告截止日期之间的关系存在疑问时。

审计追踪还必须记录决策理由,而不仅仅是结果。当机构判定某个账户无需申报时,文件中应包含明确解释,说明导致该结论的具体CRS标准。对于被归为应申报的账户,审计追踪应证明机构如何识别相关的应申报司法管辖区及账户余额。税务局期望的证据标准自2024年以来显著提高,审查员现在通常要求查看背后理由,而不仅仅是接受分类代码。

审计追踪内的交叉引用是税务局关注的另一个重点。金融机构应能证明自我证明表格、尽职调查程序和最终报告输出之间的清晰关联。当机构依赖CRS允许的更正程序来补救有缺陷的自我证明时,审计追踪必须记录更正过程的每一步,包括与账户持有人的沟通及最终解决方案。2025-2026年期间,多项税务局合规审查发现中引用了证据链中的缺口。

电子留存系统:技术标准与实务考量

税务局允许金融机构通过电子系统履行其香港CRS记录留存义务,但这一许可附带机构必须满足的具体技术要求。电子记录必须完整、未经篡改,并能以便于理解的形式检索。这些看似简单的要求对系统设计和数据管理实践有重大影响。

系统完整性控制至关重要。税务局期望机构实施访问控制以防止对CRS记录进行未授权修改,并建立审计日志记录对留存文件所做的任何更改。版本控制机制必须确保原始记录即使在后续修订后仍可用。对于使用云存储解决方案的机构,数据存放地问题需要仔细考量——税务局并未要求CRS记录必须物理存储在香港境内,但机构必须能够证明可以检索并出具记录,而不受可能延迟税务局访问的司法管辖障碍。

元数据管理是电子留存中关键却常被忽视的维度。每条CRS记录应携带足够的元数据,以确定其业务背景和证据状态,包括创建日期、文件类型分类、相关账户标识符及留存周期触发条件。税务局2025年合规审查周期显示,机构因元数据结构未能充分支持按特定账户或报告期识别和汇总所有相关记录,而频繁难以提供完整的记录集。

电子记录的留存周期计算遵循同样的法定六年要求,但触发留存周期开始的事件因文件类型而异。对于账户级文件,六年倒计时通常从该账户最后一次被申报的报告期结束时算起,或(如更早)账户关闭之日。对于治理文件,留存周期从文件被取代或失效之日算起。机构必须在其电子系统中建立自动留存调度,以确保符合这些不同的触发日期。

跨境考量与多司法管辖区挑战

在多个司法管辖区运营的香港金融机构,在满足香港CRS文件规则的同时,还需遵守其他CRS参与司法管辖区的留存要求,面临特殊复杂性。本地申报义务原则意味着,机构对税务局的留存义务独立于其他税务当局施加的任何要求,即使相同的底层文件服务于多个报告目的。

当不同司法管辖区的留存期限不一致时,出现实际挑战。香港要求六年留存,而某些司法管辖区同类记录要求十年或更长。机构必须设计其留存架构,以覆盖其有申报义务的所有司法管辖区中最长的适用期限。这种多司法管辖区叠加需要复杂的留存调度,跟踪同一文件集的多个触发事件和到期日期,确保记录不会因香港规则而提前销毁,而其他司法管辖区仍需要它们。

语言要求增加了另一层跨境复杂性。税务局接受英文或中文的记录,但其他语言的原始文件若作为尽职调查证据,必须附有认证翻译件。当机构为多个司法管辖区维护集中化CRS文件时,必须确保可供税务局审查的记录符合语言要求,即使主文件系统使用不同语言。这对翻译件留存有实际影响——机构必须在整个留存期内同时保留原始外文文件及其认证翻译件。

其他司法管辖区的数据隐私法规可能与税务局的访问要求产生冲突。税务局检查CRS记录的权利涵盖机构持有或控制的所有文件,无论其物理存储地点在哪里。然而,当其他司法管辖区限制个人数据的传输或披露时,机构必须应对相互冲突的法律义务。税务局已承认这一矛盾,但未提供全面豁免;相反,机构必须逐案处理这些冲突,记录其法律分析以及因外国法律限制而导致税务局访问受限的任何情况。

常见文件缺失与税务局执法趋势

分析2025年及2026年初的税务局执法活动,揭示了CRS证据留存失败的明显模式,金融机构应主动应对。最常被指出的缺陷是自我证明文件不完整,即机构保留了自我证明表格本身,但未能保留为验证所提供信息合理性而收集的佐证文件。税务局已明确表示,仅凭自我证明表格是不够的——必须保留支持机构接受该自我证明的完整证据包。

程序性文件缺口是第二常见的发现。机构通常保留了账户的最终CRS分类,但无法提供证明这些分类所依据的逐步尽职调查过程的记录。这一缺口在既有实体账户中尤为突出,因为CRS要求对该类账户进行一系列级联判定,涉及实体状态、控制人及应申报性。税务局强调,级联中的每一步都必须单独记录并留存,形成完整的程序性叙事,而不仅仅是总结性结论。

整改文件缺失已成为近期税务局审查中的重大关切。当机构通过内部审查或税务局查询发现CRS分类错误时,不仅必须纠正错误,还必须保留整改过程的完整记录。这包括原始错误的文件、根本原因分析、所采取的纠正措施,以及为防止复发而实施的任何系统性变更。那些纠正了错误但未保留整改文件的机构,在后续税务局检查中无法证明其合规框架的稳健性。

执法趋势表明,税务局越来越倾向于对文件缺失处以金钱罚款,即使不存在实质性报告错误。税务局的理由是,文件不充分会削弱其核实报告准确性的能力,因此文件缺失本身即构成合规违规。2025年的罚款评估范围从每项文件缺失2,000港元至10,000港元不等,对于系统性文件缺失或曾因类似缺陷被警告过的机构,罚款更高。

常见问题解答

香港CRS自我证明表格的最低留存期限是多少?

金融机构必须保留CRS自我证明表格及所有辅助证据文件,留存期限为账户最后一次被申报的报告期结束之日起,或账户关闭之日(以较早者为准)起至少六年。此留存期限由《税务条例》第50I条规定,适用于个人账户和实体账户的自我证明。对于在2026年仍保持开放且应申报的账户,假设账户持续被申报,留存期限将至少延长至2032年

香港金融机构在七年内未收到税务局查询后,可以销毁CRS记录吗?

不能。法定留存期限六年是最低要求而非上限,税务局有权在该期限内的任何时间要求提供记录。然而,机构在六年期满后立即销毁记录时应谨慎行事。如果税务局在六年期满前已启动合规审查或查询,机构必须保留所有相关记录直至查询正式结束,即使这延长至六年之后。此外,如果机构知悉任何与CRS相关事项的未决或威胁诉讼,普通法下的文件保全义务可能要求留存超过法定期限。

税务局是否要求金融机构保留为CRS申报提交的实际XML文件?

是。税务局要求保留完整的XML数据文件(最初提交的版本),包括所有关联的架构定义和传输元数据。此留存义务涵盖成功提交和任何被拒绝或已更正的申报。税务局利用这些留存文件核实后续修订的准确性,并在合规审计期间重建申报历史。机构应以原始格式保留XML文件,以及用于从源系统生成文件的任何转换脚本或映射文档,保留整个六年留存期。

如果金融机构因系统迁移而无法提供CRS记录,会有什么后果?

系统迁移并不能免除金融机构的CRS记录留存义务。税务局一贯认为,机构有责任确保记录在系统变更期间的可访问连续性。如果因迁移规划不当导致记录丢失或无法访问,税务局可将其视为文件缺失,每项受影响记录最高可处以10,000港元罚款。进行系统迁移的机构应在过渡期间实施并行留存安排,并在迁移后执行验证测试,以确认所有CRS记录保持完整且可访问。税务局已表示,合理的迁移规划和测试证据可能减轻罚款评估,但不能消除对丢失记录的责任。

参考资料

  • 税务局,《释义及执行指引第59号:金融账户信息自动交换》,2025年修订版
  • 《2016年税务(修订)(第3号)条例》第8A部分:金融账户信息自动交换,香港法例
  • 税务局CRS合规审查结果报告,2025年评估周期年度出版物
  • 经合组织(OECD)共同申报标准实施手册,第二版,2024年出版
  • 香港银行公会,CRS操作指引:记录保存与审计追踪要求,第3.2版,2026年1月发布