在数字化与智能化全面发展的时代，信息已成为新的生产要素。近年来，我国涉税信息数据量快速增长。涉税信息不仅关乎国家财政与宏观经济决策，也涉及企业隐私与纳税人权益。因此，加强涉税信息安全管理，是建设国家安全体系和推进税收治理现代化的必然要求。

涉税信息包括纳税人身份、收入、交易、发票等关键数据，是财政监测、宏观调控和税基保护的重要基础。若信息外泄或被篡改，可能带来税收征管失真、资本异常流动、市场操纵等问题，甚至危及国家财政安全和经济运行秩序。在数字经济快速发展的背景下，涉税数据的高流动性特征易放大潜在风险。尤其是基层税务机关在信息采集、传输、存储、处理和交换等方面承担着重要职责。

现代信息安全理论可溯源至经典通信和信息理论，该类理论奠定了后续密码学与保密通信的数学基础，是信息安全工程的理论源头。国际上对涉税信息安全的研究和实践，呈现“法律框架+技术保障+组织管理”的三重特征。

在法律与合规方面，界定涉税信息应用的合法性基础与权责边界。欧盟《通用数据保护条例》（GDPR）确立了一套较为完备的个人数据保护制度，包括合法性、目的限制、数据最小化、准确性、保存期限限制、透明性、安全性等原则，为税务部门在合法授权基础上处理纳税人数据提供了规则支持和基本要求。

近年来，因数字经济快速发展与跨境数据流动加剧，欧盟也在推进GDPR的程序性改革。2025年欧盟理事会与欧洲议会达成临时协议，规定跨境案件调查总调查时限为15个月。为解决不同数据保护机构在具体案件上的争议，欧盟还引入促进建立共识的“简化合作程序”机制。在涉税信息共享方面，要求税务部门有义务向欧盟的对应机构发送关键问题的摘要。

在网络与运维安全方面，设置分级防护与通报机制。欧盟《网络与信息系统安全指令2》（NIS2）确立了欧盟层面高水平网络安全的统一要求。该指令将税务部门纳入“关键实体”监管范围，要求其建立全面的风险管理体系、事件通报制度与供应链安全控制机制。NIS2核心内容包括扩大网络与信息系统安全指令适用范围，将公共行政、关键基础设施、数字服务、通信、交通、金融等纳入指令监管。

在数据治理方面，制定涉税信息跨境交换相关规则。经济合作与发展组织（OECD）的《金融账户涉税信息自动交换标准》（CRS）是税务数据跨境交换机制的典型制度之一。其制度设计包含三个要素：一是统一申报标准。参与金融机构需采集并报送符合统一格式的账户持有人账户余额、利息、红利、出售收益等财务数据。二是尽职调查制度。金融机构对账户持有人进行税收居民身份识别，包括开户审核、存量账户筛查和定期复核。三是信息安全与用途限制。交换过程须采取加密、访问控制与日志审计等手段，并限制数据使用仅用于税务目的。报告金融机构应仅收集必需的信息。

笔者认为，应基于国际经验和我国实际，通过法律制度的刚性约束、国际技术标准的有效对接、涉税信息治理体系的持续完善，构建可持续、可信的涉税信息安全体系。

强化法治制度保障。CRS的成功实践表明，建立“可控、合规、安全”的涉税信息流动机制，是保障国家税基与纳税人隐私的平衡点。我国的网络安全法、个人信息保护法、数据安全法等法律，对网络安全、个人信息保护和数据活动管理设定了基本框架，为涉税信息保护提供了通用底线与制度基础。结合这些法律，涉税场景还应增设专门规定，例如可考虑参照CRS的统一申报标准与用途限制原则，制定相关制度，对涉税信息的“处理安全”作出技术与组织措施等要求。

对接国际技术标准。在涉税信息跨境传输方面，多国实践强调细粒度访问控制、端到端传输与静态数据加密、统一日志与态势感知、入侵检测与应急演练、关键系统的冗余与异地容灾等技术手段。例如，OECD的涉税信息跨境交换文档中强调数据传输与对接的加密与认证措施；澳大利亚税务局在电子申报系统与数据备份、灾备演练方面已有成熟操作经验。这些数据加密、身份验证、接口标准等方面的国际实践有益于我国加强跨境数据治理体系建设，促进实现跨境数据管理与国际标准对接。

优化组织机制与协同管理。OECD要求成员国建立税务部门间的数据安全评估机制。为保障涉税信息安全，我国税务部门可建立健全涉税数据安全评估团队，强化涉税信息执行保障；推动税务、网信、工信、人社、金融监管等跨部门合作，在涉税数据标准、安全共享、应急响应等方面进一步加强协作。

（作者单位：吉林财经大学马克思主义学院）