你知道吗?当税务局要求你交出客户名单时,你能拒绝吗?如果你的理由是“遵守个人资料保护法”,是否足以抗衡《所得税法》对“资料披露”的强制性条款?更令人惊讶的是,即使你申请司法复核(Judicial Review),如果错过时限,也可能连门都进不了!
这不是假设情境,而是一家大型企业真实上演的法律攻防战——一场关于税务资料权与个人数据保护权之间的正面对撞,最终甚至闹上联邦法院(Federal Court),并以公司败诉、罚款三万令吉告终。这个案例不仅牵动法律人、税务顾问的神经,更是每一位拥有客户数据库、会员系统或忠诚计划的企业主都该关注的警示。
税局能否索取你的客户资料?两个法律直接“打架”
这起争议的核心,在于两部法律之间的冲突:
- 一边是《个人资料保护法》(Personal Data Protection Act 2010, PDPA),其中第5条、第6条及第39条等条文规定,未经数据当事人同意,企业不得将个人资料披露给第三方,除非在法定豁免下。
- 另一边是《1967年所得税法》第81条,授权内陆税收局总监(DGIR)向任何人或机构发出通知,索取与税务有关的资料与文件。
具体来说,PDPA 第39(b)(ii) 条允许在“法律授权或强制”的情况下豁免征得当事人同意,而所得税法第81条正是税务局引用的“授权来源”。
问题来了:当税局引用ITA第81条要求你交出客户数据,而你引用PDPA拒绝配合——谁说了算?
企业vs税局,一封“转发邮件”引发的诉讼
故事起源于2018年,税务局向某企业提出请求,要求对方交出其会员忠诚计划的客户名单。企业认为这涉及数百万名客户的隐私数据,于是回信拒绝,理由是“违反PDPA”。
不久后,税务局向个人资料保护专员(Personal Data Protection Commissioner)发函请求确认。2019年11月8日,该机构回复确认:根据PDPA第39(b)(ii)条,税务局的要求合法,并不会违反PDPA。
11月12日,税务局将这封信转发给企业。四天后,企业便以“12日的邮件构成正式行政决定”为由,入禀高等法院申请司法复核(Judicial Review),要求法院裁定:税局该要求违法,企业有权不披露。
这起司法复核申请在2020年被高庭受理。企业认为,之前税局所发的函件仅是“请求”(permohonan),而12日转发的电邮才是“正式执行行为”,即实际产生法律效应的“决定”。
然而,案件一路被上诉至上诉庭后,情况反转。上诉庭认为:**真正构成“行政决定”的,其实是最早在2018年11月、2019年4月及5月间发出的信函,而非那封转发电邮。**因此,企业的司法复核申请被认定为“逾期提出”。
最终,2025年3月11日,联邦法院驳回企业的上诉许可申请,理由是申请已过期,且涉及的法律原则早已明确定立,无需重新裁定。企业败诉并需支付税务局RM30,000诉讼费用。
企业主该如何理解这起案例?五大教训
这个案例,为所有拥有会员系统、客户资料库及CRM数据的企业敲响了警钟:
- 税务权力与数据保护权存在交叉地带:企业不可一味引用PDPA来拒绝税务要求,特别是在面对ITA第81条授权时。
- “行政决定”的认定影响司法时效:不是你认为重要的邮件才算“决定”,而是法院认定首次产生法律效应的行为才算“起始点”。
- PDPA并非“绝对护身符”:法律本身已设有多项例外,而税务调查与审计正是最常见的豁免场景之一。
- 程序性错误比法律争议更可怕:即便你有理,若时限错过,也无法进入实体审理阶段。
- 数据保护责任必须与税务义务取得平衡:企业需同步建立“双重合规机制”。
企业应如何防范类似风险?
为有效管理“数据 vs 税务”双重风险,企业应:
- 在内部数据政策中,加入“法律豁免响应机制”,确保一旦涉及ITA第81条指示时,有合法合理的流程应对;
- 与税务顾问和PDPA顾问建立协作机制,确保任何披露前均留有完整法律备忘录和书面确认;
- 设立“内部合规时间线追踪系统”,确保针对政府通知或法律行为的响应与诉讼申请在期限内完成;
- 若事涉重大、模糊或存在风险,应第一时间申请司法指导(judicial guidance)或私人裁定(Private Ruling);
- 为关键岗位人员(如税务、法务、IT部门)提供关于PDPA与ITA衔接问题的专项培训。
助您在数据保护与税务义务之间取得合规平衡
在企业营运日益依赖客户数据、会员系统与数码化记录的今天,如何在履行税务责任的同时,妥善保护客户个人资料,成为每一家企业不可回避的重要议题。尤其在《个人资料保护法》(PDPA 2010)与《1967年所得税法》(ITA 1967)之间存在交叉条款的背景下,若处理不当,极可能引发法律争议,甚至导致企业陷入双重法律风险。
如本案所示,当税务机关依据ITA第81条要求企业披露客户资料,而企业基于PDPA原则拒绝提供时,若未能妥善处理,便可能演变成长时间的司法程序,并对企业造成信誉、财务与合规形象的多重影响。
本公司税务部在此类情境中,能够为企业提供一站式、跨领域、符合本地法规的专业支援。我们的团队由前LHDN资深官员、数据保护合规顾问、注册税务代理人及企业法务专家共同组成,具备处理高风险争议性事务的实务经验与政策解读能力。
我们能够协助您:
- 评估税务机关发出的信息披露请求是否在ITA第81条的合法授权范围内,并判断该请求是否构成“强制性披露”,从而影响企业在PDPA下的披露义务;
- 全面审查企业现有的数据管理政策与客户资料处理机制,确保在面对政府部门请求时,企业能够遵循双重合规原则,有据可依、有法可循;
- 提供书面法律意见书及风险评估备忘录,明确界定所涉信息的性质(是否为“税务相关资料”)、披露范围及建议处理方式;
- 在有需要的情况下,协助企业向税务局提出澄清申请、协商替代性披露方案,或与个人资料保护专员办公室进行双边沟通,以减少冲突升级的可能性;
- 代表企业评估及准备司法复核(Judicial Review)申请所需材料,包括时间点把控、相关行政行为的法律界定、证据呈现策略等,确保企业在必要时拥有合法且有力的申诉路径;
- 为企业内部关键职能团队(如法务、税务、IT、运营等)提供量身定制的合规培训课程,专题涵盖“税务资料披露流程”、“PDPA与ITA的实务衔接”、“数据披露的法律影响”等内容,从而建立企业自我防御能力与合规应变机制。
我们深信,税务合规与数据保护并非相互冲突的概念,而是可以透过专业设计、严谨执行与前瞻风险管理实现双赢。本公司税务部的角色,正是在这两个领域交会的关键节点,帮助企业制定符合监管要求的合规策略,预防风险于未然,守护企业信誉与合法权益。
我们不是“问题发生后”的补救顾问,而是“问题发生前”的策略伙伴。
如您当前正面对信息披露请求、对税务局函件感到疑惑、或希望重新检视企业数据政策与税务风险,请随时与我们联系。我们将以最严谨的专业态度,为您提供全面支持。
你以为是在保护客户隐私,税务局却说你在妨碍执法
法律并非谁大谁小,而是如何清晰划界与合规操作。今天的数据合规,不只是IT的问题,也不仅是PDPA的问题,而更是企业“信任机制”的一环。别让一封被你轻视的邮件,成为法院认定你“错过时限”的开端。
合法,是基本;合规,是智慧。
