首页 > 财税新闻

保加利亚爆出史上最大涉税信息泄露案

何振华 王可 程旭翀

最近,保加利亚爆出史上最大涉税信息泄露案,再次引发全球关注。多个国家立即开展了税务数据安全性的排查工作。该案件也引发了人们在税收透明时代对涉税信息安全性的担忧。

图为保加利亚首都索菲亚城市风光。 CFP 图


近日,欧洲新闻电视台和《纽约时报》报道称,一位神秘黑客入侵了保加利亚国家税务局税收征管信息系统,下载了其数据库,然后在黑客论坛Instakilla上公布了下载链接。该黑客还向保加利亚多家新闻机构发送了一封邮件,称保加利亚的700万人口中约有500万人的信息被其掌握。

几乎所有成年人涉税信息均被盗

这一报道在保加利亚不啻投下重磅炸弹,引起该国国民广泛的信息安全恐慌。保加利亚科学院助理教授、网络安全研究员维塞林·邦切夫说:“保加利亚总共只有700万人,可以肯定地说,几乎所有保加利亚成年人的个人信息安全都受到了威胁。”

据报道,这些信息被存在110个文件夹中,信息容量接近21GB。目前披露的信息只是其中的51个文件夹,包括身份证、社保号码、个人收入,缴税记录以及医疗信息等,容量约 11GB。黑客认为保加利亚政府的网络安全状况非常可笑,同时赞扬了维基解密创始人阿桑奇,并呼吁立即释放他。据了解,阿桑奇于2006年创办了维基解密网站。创办至今,维基解密公布过1000多万份机密文件,包括英国国防部的秘密名单、美国外交部绝密文档等。他被美国五角大楼和各国情报部门视为眼中钉,却在网络上被人称为“网络罗宾汉”。今年4月,阿桑奇在英国首都伦敦被逮捕。

保加利亚国家安全局、内政部随后谴责了这起黑客入侵事件,并宣称:“保加利亚国家税务局的数千份文件被恶意发布,其中包含数百万公民的数据,这是保加利亚历史上规模最大的黑客攻击政府信息系统案件。保加利亚政府将彻查此案,尽力维护公民的合法权益。”

面对黑客公布的数据,保加利亚国家税务局在其官方网站发布了公告,指责黑客窃取纳税人信息的卑劣行径及其唯恐天下不乱的夸大其词,表示这次黑客窃取纳税人信息事件发生在6月底,税收征管信息系统中仅3%的数据库资料遭到了攻击。保加利亚国家税务局指出,黑客窃取了大约510万名纳税人信息,其中400万名纳税人为仍在世的公民,其他人已经死亡。同时,大多数信息都是旧的,可上溯到2007年。此外,黑客窃取的信息都是碎片化的信息,对绝大多数纳税人,根本形成不了信息安全的威胁。“我们目前正在将网上非法传播的具有实名的纳税人信息与真实数据进行比对,目前仅涉及189名纳税人,税务人员将会与他们逐一联系,并妥善解决相关安全事宜。”同时,税务部门将密切配合国家安全局、打击有组织犯罪总局、国家信息安全事件反应中心、国家电子政务局、检察官办公室等相关机构,加强纳税人信息安全保护工作。

窃取者身份扑朔迷离

案发后不久,保加利亚警方宣布,纳税人信息失窃案的嫌疑人已被捕,是一名年仅20岁的电脑程序员。这位叫克里斯蒂安·博伊科夫的电脑程序员在私人网络安全公司TAD集团工作,曾有犯罪前科。有人认为,博伊科夫在网络安全公司工作,其黑客行为可能是提醒保加利亚政府修复网络漏洞的“白帽”攻击。(黑客分“黑帽”和“白帽”,“白帽”从事信息安全研究,是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人如“黑帽”利用之前来修补漏洞,而“黑帽”则专注于安全攻击并借此获利。)

就在博伊科夫被捕数小时后,来自黑客的邮箱发出了一条新的信息,称警方抓错人了,他自称是俄罗斯公民,娶了保加利亚女子为妻,并称政府永远找不到他。部分保加利亚官员由此怀疑俄罗斯是此次黑客攻击的幕后黑手,依据是该黑客邮件互联网地址来自俄罗斯。在今年春天,保加利亚最终敲定了自1991年苏联解体以来最大规模的国外军事采购的细节,同意花费13亿美元从美国购买8架F-16战斗机。黑客攻击被认为是俄罗斯针对此事的报复行为。

根据保加利亚著名媒体Dnevnik早报的一份报道,博伊科夫非法复制了保加利亚税务局服务器的数据,但目前没有发现其入侵的证据。尽管如此,这名20岁的小伙子仍将面临5年~8年的监禁,并被处以罚金。

本次纳税人信息失窃案引发了保加利亚政府高度关注,总理博伊科·鲍里索夫就此召集相关部门召开紧急会议商讨对策。随后,保加利亚国家税务局发布了《如果发现个人信息被非法泄露应该怎么办?》的通告,旨在告诉保加利亚公民针对此事件的应对方法。财政部部长戈拉诺夫在议会向所有受到伤害的保加利亚公民道歉。内政部部长马里诺夫表示,该国将寻求欧盟网络安全机构的帮助,以审计政府部门最敏感的系统。

由于保护公民信息不力,保加利亚政府还将面临巨额罚款。据了解,去年在整个欧盟生效的一项严格的数据保护法对欧盟内任何收集和储存个人数据的机构加强了统一监管,同时对任何进行数据管理出现失误的当事方处以巨额罚款。据报道,作为欧盟成员国的保加利亚,其税务部门或将面临高达2000万欧元的罚款。

多国税务部门强化信息安全

根据经济合作与发展组织(OECD)的共同申报准则(CRS)操作指南的第一版,涉税信息交换的安全性一直是CRS交换四步走的重要一步。多个国家在这次保加利亚国家税务局信息泄密后,立即开展了税务数据安全性的排查工作。

按计划,2019年9月是CRS全球金融账户涉税信息交换的截止日期和配对国家信息交换的高峰期。保加利亚涉税信息泄露案爆出的时间,正值各个税收主管当局的国家或地区进入CRS全球金融账户涉税信息交换的高峰期。面对纳税人担忧的信息安全问题,美国、加拿大、澳大利亚等国税务部门迅速发声。

美国国内收入局(IRS)在其官网上更新了一段内容,简单介绍了保加利亚国家税务局信息泄露事件,以及IRS对此采取的信息安全保护强化措施,包括通知个人数据保护协会和执法当局等部门,利用外部组织对信息安全进行审查,对税收征管信息系统漏洞进行筛查和修补等,并向纳税人介绍了自行查看信息是否泄露的方法。公告称,IRS不会主动通过任何类型的电子通信与纳税人联系,并要求他们提供个人或财务信息,同样不会以起诉或逮捕相威胁的方式给纳税人打电话。另外,IRS提醒公民,当有人使用公民的社会安全号码提交声称有欺诈性退款的纳税申报表时,就会发生与税务相关的身份盗用。

加拿大国家税务局(CRA)提醒,有一小部分加拿大人在保加利亚的金融账户受到影响。为谨防纳税人被欺诈,CRA告知加拿大公民,一旦遇到欺诈请立即报警。CRA的声明引起了人们对CRS涉税信息安全性的担忧。一直以来,人们都普遍认为CRS带来了一个税收透明的时代。

澳大利亚国家税务局(ATO)的态度则令人玩味,其发出通告称,ATO获得最高法院的允许,有权使用被第三方泄漏的信息展开税务稽查和审计,这不由得让大家吃了一惊。ATO说:“有关信息已经出现在公共领域。一旦我们掌握了信息,我们就不能忽视它——我们有义务使用我们拥有的所有相关信息。如果ATO被禁止参考公众可以访问的信息,或者不得不忘记已知的信息,那将是一个不正常的结果。”

编辑:孟易瑾

要论要言

更多 >>

财税新闻

更多 >>

图片新闻

更多 >>