众望所归 —— 《个人信息保护法》之个人金融信息保护与征税（二）

Original 廖敏威科先行财税信息库 2024-07-01

作者 | 廖敏

上海兰迪律师事务所

2021年8月20日，备受瞩目的《中华人民共和国个人信息保护法》由全国人大常委会正式通过（“《个人信息保护法》”）。该法的通过开启了我国个人信息保护的新篇章。本文将根据《个人信息保护法》，结合《个人金融信息保护技术规范》（“《个人金融信息规范》”）等相关法律法规，对个人金融信息处理主要合规要求与税务处理进行分析。

一、个人金融信息处理的内容

个人信息的处理包括哪些内容？《个人信息保护法》规定，个人信息处理包括收集、存储、使用、加工、传输、提供、删除等。个人金融信息处理的内容是什么？根据《个人金融信息规范》，个人金融信息的处理主要包括收集、存储、传输、使用、删除、销毁。《个人信息保护法》较之于《个人金融信息规范》，增加“提供”的行为。

二、个人金融信息处理的合规和税务分析

对于个人金融信息保护程度而言，《个人信息保护法》将金融账户信息列举为敏感信息的范围，“等信息”意味着其他类似信息亦可作为敏感信息。由此，《个人金融信息规范》规定的相关信息可以是《个人信息保护法》项下的敏感信息，如支付账号及其等效信息，包括支付账号、证件类识别标识与证件信息；金融产品与服务的关键信息，如交易信息（如交易指令、交易流水、证券委托、保险理赔）等。

《个人信息保护法》要求处理敏感信息应征得个人单独同意，是否需要书面同意，按法律和行政法规的规定执行。《个人金融信息规范》规定的个人金融信息处理是明示同意，即个人金融信息主体通过书面声明或主动作出肯定性动作，对其个人金融信息进行特定处理作出明确授权的行为。《个人金融信息规范》规定的明示同意，与金融机构在提供服务时综合运用拍照、录像、签字等方式相一致，其也是对《个人信息保护法》在金融领域中运用的细化。

下文对个人金融信息处理相关环节进行合规和税务分析：

（一）收集

1、合规要求

信息收集是个人金融信息保护的关键环节，收集的信息是信息处理的基础，也是数据资产所有权的来源。《个人信息保护法》规定，收集个人信息应遵守最小必要原则，且应当限于实现处理目的最小范围。《个人信息保护法》将收集信息与信息处理目的挂勾，以从源头限制后续处理信息来源。

《个人金融信息规范》规定，收集个人金融信息前，应向个人金融信息主体明确告知金融产品或服务需收集的个人金融信息类别，以及收集、使用个人金融信息的规则（如：收集和使用个人金融信息的目的、收集方式、自身的数据安全能力、对外共享、转让、公开披露的规则等），并获得个人金融信息主体的明示同意。

收集信息方面，著名的人脸识别第一案是超出事前收集目的使用信息的典型案例，尽管该案不是收集金融信息，但对于个人金融信息的合规收集有借鉴意义。

该案的二审法院认为，原告根据被告店堂告示，在被告处办理野生动物世界年卡，被告向原告收集指纹及其相关信息。人脸识别并非原告与被告之间办理年卡的合同条款。被告单方变更入园方式为人脸识别，被告欲利用收集的照片扩大信息处理范围，超出事前收集目的，表明其存在侵害原告面部特征信息之人格利益的可能与危险，应当删除原告办卡时提交的照片在内的面部特征信息。法院对未经同意使用人脸识别而非指纹识别入园，挑战人格权的行为，主张了正义。另一角度，个人信息权保护，尤其是个人金融信息的保护维权，亦需要更多公民参与，以增加侵权的违法成本。

2、税收分析

收集数据是否征税，如何征税？

情形一：个人明示同意提供信息，对后续数据处理不明示同意

增值税方面，数据提供方个人提供数据是否是增值税的应税行为，目前增值税法尚无规定。如《数据宝藏—个人金融信息权属与征税（一）》分析，数据视为无形资产，具有资产价值。收集信息阶段，原始金融信息所有权人同意提供信息但不同意金融机构后续处理其信息，提供信息的行为，是否是增值税应税行为？

从经济角度，一般地，为获得金融机构相关服务，个人信息附属于金融服务的资产，金融机构因此获得的信息资产并不单独产生经济价值。金融机构按其提供的金融服务征免增值税。信息提供人转移信息资产，不属于现行税法规定的视同销售情形。因此，此种情形下，个人提供金融信息不是增值税的应税范围。

然而，《个人信息保护法》认可匿名化信息不是“个人信息”。即使个人不同意对个人金融信息的后续处理，如金融机构对个人金融信息进行匿名化处理，金融机构可处理该等信息，并获得收益。具体税务分析可参见本文个人金融信息处理“使用”部分。

所得税方面，信息提供者对于信息资产转移无收益，无所得税。信息处理者对匿名化信息进行处理，可以享有收益，但原始信息提供者却无任何收益分摊，或考虑因此减少支付金融机构服务报酬，可商榷。

情形二：个人对信息提供和后续信息处理明示同意

增值税方面，如金融机构因后续数据处理产生收益，倒推收集信息阶段构成资产转让。金融机构如向原始信息提供人支付对价，原始信息提供人按劳务征税不适用，无形资产按“货物”征税亦不合理。因此，按现行税法规定，原始信息提供人提供信息，形成资产转让的行为不是增值税的应税行为，对此，金融机构亦无可抵扣进项。

所得税方面，原始信息提供人因此产生的收益，如是个人，有可能按“财产转让”所得交税。如是企业，按企业所得税相关规定交税。金融机构是否将后续转让的收益分摊部分给信息提供个人，或考虑适当降低金融服务报酬，实践中待观察。

（二）传输、存储和删除

1、合规要求

《个人信息保护法》规定个人信息不得非法传输，保存期限应为实现处理目的最短期限等。《个人金融信息规范》有类似规定，个人金融信息的存储时限应满足国家法律法规与行业主管部门有关规定要求，并符合个人金融信息主体授权使用的目的所必需的最短时间要求。超过该期限后，应对收集的个人金融信息进行删除或匿名化处理。非本机构C3类别信息，若确有必要留存的，应取得个人金融信息主体及账户管理机构的授权。

对于个人信息删除，《个人信息保护法》规定了五种情形下个人信息处理者应主动删除，个人信息处理者未删除的，个人可以请求删除。主要的删除理由是处理目的已实现、无法实现或无必要；个人信息处理者停止产品或服务，保存期届满等。

若金融机构通过互联网平台提供金融服务，在消费者要求删除信息时，应予删除。根据《电子商务法》，电子商务经营者提供金融服务，收到用户信息删除申请，在核实身份后及时删除，如用户注销，电子商务经营者应当立即删除该用户的信息，依照法律、行政法规的规定或者双方约定保存的，依照其规定。《中国人民银行金融消费者权益保护实施办法》规定，银行、支付机构不得排除或者限制金融消费者依法对其金融信息进行查询、删除、修改的权利。

金融机构对个人金融信息的传输和存储，不应突破金融信息个人主体明示同意的信息处理目的、方式、范围等，并且个人有删除的权利。经个人授权同意的传输和存储，并不能推断所有权丧失，而是行使所有权的表现。例如，除另有规定外，收集金融信息的目的并非以金融机构实施营销为目的，该等信息不应予以传输和存储。个人对金融机构传输和存储个人信息申请删除的，金融机构有义务删除。

2、税收分析

增值税方面，金融机构对个人金融信息的传输和存储付出成本，后续产生的收益，是否视为后续环节购买传输与存储服务？

假设视为后续环节购买服务。首先，从收益角度，金融机构对个人金融信息的传输与存储，在后续信息处理所得中分摊的收益，按提供劳务征增值税。现行税法下的混和销售适用于销售货物和劳务的情形，数据资产是无形资产，并不是传统意义上的货物，因此不适用混和销售的规定。然而，混和销售的征税思路可借鉴。金融机构提供金融服务过程中，传输和存储信息将分摊信息转让收益，该等分摊的收益可考虑按提供金融服务征税。其次，从成本角度，金融机构为传输和存储个人金融信息购置设备、购买劳务的进项可以进行抵扣。再次，鉴于同一金融机构，销售、购买传输与存储服务，销项与进项相抵，且最终信息处理产生的收益已征收增值税，因此对于信息传输、存储可考虑不单独征税。

所得税方面，同一金融机构处置信息资产的收益，可考虑不单独分摊部分收益到本环节，而进行统一的所得税核算。

（三）使用

1、合规要求

个人金融信息使用的内容较为丰富，包括信息展示、共享和转让、公开披露、委托处理、加工处理、汇聚融合、开发测试。

个人信息安全方面，《个人信息保护法》规定不得非法使用他人个人信息等。根据《个人金融信息规范》，金融机构对于个人信息的使用安全应达到一定标准，例如；C3和C2类信息不得交由委托机构进行的信息处理，委托处理的信息应去标识化；汇聚融合的数据，若超范围需经个人信息主体明示同意。

个人信息转让方面，《个人信息保护法》规定，个人信息不得非法买卖。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（“个人金融信息保护工作的通知”）规定，个人金融信息不得转让。《个人金融信息保护工作的通知》未对禁止个人金融信息转让设置前置条件，如以牟利为目的等。只有经处理的非敏感信息，方能共享和转让。将个人金融信息用于产生该信息以外的本金融机构其他营销活动，应经个人的同意等。

个人（金融）信息使用，不得违背个人意志，强制使用个人（金融）信息，相关规定具体如下：

一般地，个人与金融机构进行交易处于相对弱势，但该等弱势可由选择不同金融机构提供服务而削减。鉴于电子商务平台交易通常涉及交易金额、支付等金融信息，电子商务平台对个人信息合规亦引起重视。以下为某电商平台不正当竞争案，本文主要关注个人信息的选择权部分。

某软件有限公司（“软件公司”）诉某信息科技有限公司（“科技公司”）不正当竞争案，案件争议焦点之一是软件公司收集、处理用户信息是否侵犯了用户的选择权？

科技公司主张，软件公司用户不同意网络平台服务协议就无法使用浏览、搜索、交易等基本服务，实际剥夺了用户的选择权；软件公司认为与用户签署的相关协议保障了用户的合法权益，没有免除或限制己方责任或用户责任或排除主要权利的条款，且明确赋予用户选择权，不影响浏览和交易等基本服务。一审法院认为，软件公司隐私权政策提示会根据用户浏览及搜索记录、设备信息、位置信息、订单信息，提取浏览、搜索偏好、行为习惯等特征，基于特征标签进行间接人群画像并展示，且明确告知用户如果拒绝提供相关信息，可能无法使用相应的服务，或者无法展示相关信息，但不影响使用网络浏览、搜索、交易等基本服务，提示了用户的选择权。二审、再审法院对此予以认可。

然而，软件公司《法律声明及隐私权政策》载明“使用某网络各项产品或服务前，请您务必仔细阅读并透彻理解本政策，在确认充分理解并同意后使用相关产品或服务。一旦您开始使用某网络各项产品或服务，即表示您已充分理解并同意本政策。”。“我们会根据您的浏览及搜索记录、设备信息、位置信息、订单信息，提取您的浏览、搜索偏好、行为习惯、位置信息等特征，基于特征标签进行间接人群画像并展示、推送信息。”等。软件公司基于用户信息进行分析处理，形成产品并出售获利。软件公司《法律声明及隐私权政策》是否侵犯了用户的选择权，并且，软件公司因此形成产品获得收入，提供信息的用户并未享有任何收益，可商榷。

2、税务分析

增值税方面，个人金融信息不能转让。对于金融机构而言，经合法处理的个人金融信息若转让产生收益，对于该等收益，鉴于个人信息不是金融商品，因而不按转让金融商品征税。如个人金融信息转让收益与提供原始金融服务相联系，且借鉴混和销售的概念，该等收益按提供金融服务征增值税。如将转让经处理的个人金融信息视为独立的交易，鉴于转让的收益是基于金融机构对信息处理的劳务付出，可考虑按提供技术服务征增值税。

另一角度，如金融机构未转让个人金融信息，而仅以本机构营销为目的使用个人金融信息，在提供金融服务上获得收入，如何征税？实质上，金融机构使用个人金融信息进行营销而间接产生收入，其部分收入应分摊信息处理各环节。鉴于金融机构在最终提供金融服务环节缴增值税。因此，单独对信息处理征税并无必要，尤其在税率相同时。如个人分摊部分该等收益，该收益并非提供货物或劳务所得，因此，不是增值税的征税范围。

所得税方面，个人信息提供者若因金融机构处理其信息产生的收益，分摊部分给个人，则个人可考虑按转让财产收益征税。如个人金融信息违法转让，《个人信息保护法》规定，个人信息权益因个人信息处理活动受到侵害，个人信息处理者应承担赔偿责任，该等损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。金融机构若违反相关规定，承担赔偿责任，该等支出不能在所得税前扣除。

《个人信息保护法》亮点纷呈，其颁布对于个人信息保护意义重大，将能有效地促进数字化时代的发展。

作者简介

廖敏上海兰迪律师事务所合伙人

美国波士顿大学税法硕士，税务师资格，企业法律顾问资格，上海法学会会员。

曾为锦天城律师事务所律师，任职于上市公司法务副总监、高级税务经理，并任四大会计师事务所税务经理。

推荐阅读