关键词:美国 欧盟 通用数据保护条例 税务审计
一、案例简介
2017年至2019年税务期间,美国税收居民A公司将其知识产权(IP)转让给爱尔兰子公司B公司,并向其支付特许权使用费。其后,美国国税局(IRS)对该项交易发起税务审计,并要求A公司提供B公司特定员工的绩效评估文件。
A公司基于欧盟《通用数据保护条例》(GDPR)有关要求,拒绝向IRS提供相关数据,并将IRS诉至美国第六巡回上诉法院。
经审查,法院在裁决中支持了IRS的主要诉求。
二、争议焦点
本案争议焦点在于,跨国企业是否可以基于他国数据保护法律要求,拒绝向东道国税务机关提供涉税资料和相关信息。
A公司主张,IRS要求提供的文件和数据包含欧盟员工个人信息,会违反GDPR,并提出替代方案(如安排访谈或书面回答问题),但遭到IRS拒绝。
IRS认为,要求A公司提供的数据有助于评估IP转让定价,以确定其是否反映了“独立企业之间的交易原则”,并防止利润通过不合理方式转移到低税地。
三、最终裁决
美国第六巡回上诉法院最终支持了IRS,要求A公司提供相关数据。法院的裁决主要基于以下几点考虑:
一是国际礼让原则(Comity)的权衡:法院承认此案涉及的法律冲突,并运用了“国际礼让”原则进行平衡。这意味着美国法院需要权衡美国政府在执行税收法律方面的利益与尊重外国法律(此处指欧盟GDPR)的利益。在进行不公开(in camera)审查后,法院认为其中10名“技术员工”的评估数据与IRS的调查足够相关,并且获取这些数据的利益超过了尊重GDPR的利益。但同时法院驳回IRS对另外3名“非技术员工”的数据要求,显示其并非全盘支持IRS。
二是数据的相关性与重要性:法院认为,这些技术员工的绩效评估对于判断员工在IP开发中的贡献和价值分配是重要的证据,有助于核实转让定价的合理性。
三是对“集团内部传输”概念的否定:在此前的类似争议中,有企业会辩称集团内部的数据共享不属于“跨境传输”。但欧盟数据保护委员会(EDPB)在之前的决定中已明确驳斥了这一观点。EDPB强调,只要数据从欧盟流出,无论接收方是否是关联公司,都构成跨境传输,必须受到GDPR的约束。
四、对“走出去”企业的启示
该案件凸显出跨国企业面临两难境地,企业无论遵从税务机关的资料提供要求亦或遵从数据保护法规定,都存在合规风险,并可能受到挑战。面对这种“两头承压”的局面,跨国企业可考虑采取以下措施:
一是积极探索数据本地化。对于核心敏感的HR数据、研发数据等,评估在欧盟境内建立或使用本地数据存储和处理中心的可行性,从源头上避免跨境传输。
二是强化合法传输基础。如果数据跨境传输无法避免,必须确保其合法性。要依赖经过完善设计的标准合同条款(SCCs)或绑定公司规则(BCRs);认真进行传输影响评估(TIA),记录评估过程;评估并实施有效的补充性技术组织措施(如强加密、访问控制等)。
三是加强内外部沟通与预案。法务、税务、IT和数据保护部门需要协同工作,提前制定应对此类数据请求的内部流程和应急预案,包括如何与监管机构沟通。在与税务机关沟通时,积极探讨是否能提供经过聚合、匿名化处理的数据,或在满足审计要求的前提下尽量减少提供的个人数据范围。
四是密切关注法律发展。注意欧盟—美国数据隐私框架(EU-U.S. Data Privacy Framework)的最新进展。该框架为新认证的美国公司接收欧盟数据提供了通道,但也要注意到,其长期稳定性仍面临法律挑战,需对其进行持续关注,不能将之视为一劳永逸的解决方案。
国家税务总局国际税务司编译