全球税务监管与隐私保护的天平向谁倾斜?——以比利时“意外美国人”FATCA数据交换一案为例
全球税务监管与隐私保护的天平向谁倾斜?——以比利时“意外美国人”FATCA数据交换一案为例
引言
尽管高净值人士普遍存在隐私信息及权利受损的担忧,但是近年来全球税务监管逐步收紧收严仍是大势所趋。美国《海外账户税收合规法案》(Foreign Account Tax Compliance Act,简称“FATCA”)则是一个颇具代表性的税收征管法案。美国试图以其一己之力通过单边主义的FATCA立法与执法使得“税务监管”和“隐私保护”的天平长期向前者倾斜,从而达到防止美国纳税人利用非美国金融机构及离岸投资工具逃避美国税项的目的。
2023年5月24日,比利时数据保护机构发布了一项具有关键意义的裁决,指出当地金融监管部门依据FATCA传输“意外美国人”金融账户数据的行为违反了欧盟《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”),应予禁止。[1]本文旨在梳理这一标志性案例的核心内容,并对其中涉及的私人财富与隐私保护问题等做简要法律分析。
一、美国往事:“意外美国人”与FATCA的渊源
(一)“与生俱来公民权”带来的税收重担
美国的“与生俱来公民权”(Birthright Citizenship)传统历史悠久。根据美国《宪法第14修正案》与《移民与国籍法案》第301.a条,[2]“在美国境内出生的、并受其管辖的人,是美国公民”。在实践中,一些人士因出生获得美国公民身份,但与美国没有或者仅有微弱联系,大部分都在出生后不久离开了美国,产生了广泛的海外美国人群体。
在税务征管方面,不同于主流发达国家通行的居住权征税原则,美国是少数保留公民身份征税(Citizenship-Based Taxation)原则的国家之一。根据美国《国内税收法案》相关规定(§7701-a-30条),[3]税法意义的“美国人”包括美国公民(Citizen)和美国居民(Resident),意味着海外美国人亦是适格的纳税主体。2010年,美国国会颁布FATCA,规定海外美国人及其外国金融机构必须向美国国税局(Internal Revenue Service,简称“IRS”)报告其个人信息以用于税收目的,一定程度上将税务征管的矛盾推向台前。
比起本土居民,海外美国人相对缺乏文化认同和监管认同。[4]FATCA给他们留下了一个难题:要么向联系微弱的“母国”让渡隐私权利并缴纳税款,要么主动放弃美国国籍,并承受不菲的文书成本和繁杂的法律程序。在FATCA的重压之下,越来越多的海外美国人自称“意外美国人”(Accidental Americans),以强调国籍取得的非自愿性。
英国前首相鲍里斯·约翰逊(Boris Johnson)可能是最为大众知晓的意外美国人。他于1964年在纽约出生,5岁时移居英国。据英国媒体报道,约翰逊先生在2015年出售位于伦敦的房屋时就收到了美国税单,他为此批评美国的全球征税政策“耸人听闻”(absolutely outrageous),[5]美国政府公开信息显示他于2016年放弃了美国公民身份[6]——面对强势的FATCA执法,“放弃美国公民身份”是一种直接又略显无奈的方法。
(二)Fabien Lehagre与意外美国人协会
1986年出生在美国的Fabien Lehagre也是一名典型的意外美国人。2岁时,Lehagre随父亲移居法国并以法国人自居。2014年,Lehagre收到了一份银行文件,要求其提供其纳税人识别号,方才了解他在出生时就获得了美国公民身份,应向IRS申报收入并服从美国税收征管法律。
Lehagre采取了不同的行动。2017年,他建立了非营利组织:意外美国人协会(Association of Accidental Americans,简称“AAA”)。这一组织的宗旨是“捍卫居住在美国境外的美国籍自然人的利益,防止美国法律治外法权性质所带来的消极影响。”[7]挑战FATCA,也成为了AAA为代表的意外美国人非营利组织的核心诉求之一。这注定是一条艰难的路:
Deegan v. Canada(Attorney General)案:自2014年起,居住在加拿大的意外美国人援引《加拿大权利和自由宪章》(Canada's Charter of Rights and Freedoms)的规定,状告加拿大司法部长(兼任检察总长)和税务部长,要求法院对FATCA进行合宪审查,这一诉求在2019年被加拿大联邦法院驳回。[8]
Crawford et al. v. U.S. Department of the Treasury et al.案:2017年,美国联邦上诉法院确认下级地方法院的一项裁决,驳回由肯塔基州参议员Rand Paul与海外美国人提出的反FATCA主张。2018年4月,美国最高法院拒绝审理Rand Paul等提出的上诉。[9]
2019年,AAA向法国国务委员会(French Council of State)提起申诉,试图挑战法-美之间为履行FATCA签署的政府间协议(Intergovernmental Agreement,简称“IGA”)的合法性。法国国务委员会认为该IGA“没有以与创制目的不符的方式侵犯个人数据或隐私权利”。AAA的反FATCA诉求再次被驳回。[10]
二、隐私之盾:当FATCA遇到GDPR
(一)GDPR带来的转机
2018年5月,GDPR的正式生效,将欧盟的数据和隐私保护水平提高到前所未有的标准。GDPR确立了一系列影响深远的个人信息保护基本原则,例如:
应以合法、公正、透明的方式处理数据;
为特定的、明确的、合法的目的收集数据后,禁止以不符合以上目的的方式进一步处理(目的限制原则);
数据处理应该以达成目的必要性为限度(数据最小化原则);
确保个人数据以适度、安全的方式进行处理,包括使用适当的技术或组织措施,避免未经授权、非法处理、意外遗失、灭失或损毁;
此外,GDPR对数据跨境传输采取了严格的限制:只有采取了足够的保护措施,才可以将个人信息向欧盟之外传输。
GDPR似乎为抗辩FATCA提供了另一可行的进路。作为一系列法律行动的组成部分,2020年底,AAA的比利时分支机构与一位拥有美国-比利时双重国籍人士一同向比利时数据保护局(Belgian Data Protection Authority,简称“BDPA”)发起了投诉,状告比利时联邦公共服务财务部(Federal Public Service Finance,简称“FPS Finance”),反对其依据FATCA向美国传输意外美国人的个人信息(主要是金融账户信息)。
(二)关键性裁定
2023年5月24日,BDPA发布了本案的审查结果,提出以下观点:
FATCA的数据传输抵触了目的限制原则。FATCA导言指出,其目的在于改善国际税收规则,打击美国公民的逃税行为。BDPA认为,这一规定未包含数据传输的清晰目标,无法评估所处理的数据在多大程度上对实现所表达的目的是必要的。
FATCA的数据传输抵触了数据最小化原则。BDPA重申,税务机关不得为打击税务欺诈而“普遍而无差别地收集个人数据”,FATCA收集的数据超过了处理“打击税务欺诈”所严格必要的数据范围。
GDPR第96条不能成为FATCA的豁免理由。尽管该条款为2016年5月24日之前缔结、涉及向第三国或国际组织传输个人数据的合法国际协议设定了特别豁免,但是该条款的意旨“并非允许国际协议随着时间的推移仍然违反GDPR”(Cannot be intended to allow that international agreements remain contrary to the GDPR over time)。
FATCA没有包含适当的保障措施,以确保出口的个人数据得到与欧盟内部数据类似的保护水平。
基于上述理由,BDPA做出61/2023号裁定,认为FPS Finance根据FATCA向美国税务部门传输比利时“意外美国人”个人信息违反GDPR的指控成立,应予以禁止。
这是一个标志性的裁定:本案原告在一定程度回避了跨境税收征管本身合法性的追问,不再直接挑战敏感的IGA合宪性问题,而是选择援引GDPR,在更加具体的隐私保护问题上另辟了蹊径。这对FATCA的执行起到了相对直接的限制效果——无法获得金融账户信息,跨境征税的效果则将大打折扣。
三、一石千钧:各方反应与后续进展
(一)AAA
AAA主席Lehagre对这一裁定表示认可。Lehagre指出,欧盟成员国为了遵守美国法律而违反了自己的法律,AAA乐见比利时数据保护机构成为第一批有勇气阻止这些违规行为的当局之一。
但这一阶段性胜利似乎并非AAA维权行动的终点。在一份电子邮件中,Lehagre透露“这是FATCA协议首次被正式宣布为非法…AAA正在其他国家同步进行诉讼,这可能会引起雪球效应。”考虑到比利时是欧盟成员国和GDPR缔约国,AAA似乎有理由期待BDPA的裁决对进行中的其他相关案件施加影响,成为“第一块倒下的多米诺骨牌”。
(二)FPS Finance
2023年6月,本案被告FPS Finance决定就BDPA的裁定提起上诉。FPS Finance认为,如果比利时未能遵守与美国达成的协议,其国际声誉可能会受到打击;此外,它可能无法再通过互惠协议,获得居住在美国的比利时公民的有关信息。
6月28日,布鲁塞尔上诉法院同意暂缓执行BDPA关于FATCA的禁令,并计划在2023年11月15日对本案进行正式审理。[11]这意味着在法院正式判决之前,FPS Finance依据FATCA进行的意外美国人数据传输活动暂时得以继续。FPS Finance在本案中并未和本国数据监管机构站在一起,也从另一个侧面显示了本案的复杂性。
(三)美国税务征管部门
据Bloomberg早前报道,美国财政部拒绝置评。美国国税局没有立即回应置评请求。[12]不过,理论上美国税务监管部门仍然可以采取多种措施,对此漏洞进行填补,例如:
在数据法层面,可建立一个“数字滤网”,对依据FATCA传输的金融账户数据在当地进行一定的分级、筛选和去标识化处理,以充分符合GDPR的监管要求;
尝试在2023年7月10日生效的美-欧隐私框架(The EU-U.S. Data Privacy Framework)下寻求新的合规传输方案;[13]
在税法层面,适当放松对意外美国人的税收监管或者简化其弃籍程序,缓解此群体对FATCA的强烈反对,保障FATCA架构总体稳定,以达到“弃卒保帅”的效果。
总而言之,虽然FATCA撞上了自推行以来遇到的最坚固盾牌:欧洲隐私法律,但就此断定FATCA将被颠覆显然为时过早。
结语
本案是一个涉及全球税务监管与隐私保护两大议题的综合性案例,尽管结果还未尘埃落定,但依然能为我们提供丰富的启发:
从身份规划的角度看,获得海外身份并非一劳永逸、百利而无一害,这仍然是一个“牵一发动全身”的系统工作。如同本案中的美国公民身份一样,海外身份带来的权利和义务如同硬币双面,高净值人士需要对此全面认知和考察。
从私人财富角度看,本案原告利用意外美国人身份,结合GDPR相关条款巧妙地挑战了一贯强势的FATCA。在未来,我们可以期待进一步探索利用包括GDPR在内的相关法律提供额外保护,使其成为维护高净值人士财产隐私的有效法律工具。
从数据安全角度看,本案亦是美-欧数据安全摩擦中的一个重要事件。自Schrems II一案击穿了“隐私盾”法律框架(EU-US Privacy Shield)后,欧-美跨大西洋数据传输一直是全球数据合规中最富有挑战性的问题之一:就在BDPA宣告本案裁决结果前2天,Meta因违规向美国传输数据,招致爱尔兰数据保护机构高达12亿欧元的创纪录罚单,[14]欧-美数据传输机制也正经历新一轮的革新。宏观角度上,“各国提升数字主权意识,深化数据跨境流动监管”,与“全球税收征管趋于数字化、精细化”皆为大势,两潮相击之间将会把未来引向何方,值得进一步观察。
[注]