如何在税务登记中声明公司不售卖用户信息？

# 如何在税务登记中声明公司不售卖用户信息？

在数字经济蓬勃发展的今天，用户信息已成为企业的核心资产之一，但也伴随着巨大的合规风险。2023年某知名电商平台因“偷偷售卖用户数据被罚5000万”的新闻，让不少企业负责人捏了把汗——原来，处理用户信息不仅涉及《个人信息保护法》，还可能直接影响税务登记的合规性。作为在加喜财税秘书摸爬滚打12年、干了近20年财税工作的“老会计”，我见过太多企业因为忽略“不售卖用户信息”声明，在税务登记阶段就踩坑：轻则被要求补材料，重则被列入“重点关注名单”，甚至影响后续的税收优惠申请。今天，我就结合政策要求、实操经验和真实案例，手把手教你如何在税务登记中正确声明“不售卖用户信息”，既让企业合规起步，也为后续发展铺平道路。

## 政策依据明方向

要想在税务登记中正确声明“不售卖用户信息”，首先得搞清楚“为什么要声明”。这可不是税务部门“没事找事”，而是有明确的法律和政策依据的。简单说，税务登记时声明不售卖用户信息，是企业履行数据合规义务的“前置动作”，也是税务部门判断企业业务真实性、合法性的重要参考。

最直接的法律依据是《中华人民共和国个人信息保护法》。这部2021年11月施行的法律，明确要求“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。也就是说，不售卖用户信息是企业必须遵守的“底线”。而税务登记作为企业成立后的“第一份官方备案”，自然需要企业提前承诺——既然你要合法经营，就得先说清楚“我不会干违法的事儿”。

再往深了看，税务部门之所以关注这个，还跟“税收征管逻辑”有关。现在很多企业（尤其是互联网、电商、服务行业）的业务模式都跟用户数据强相关，比如通过用户画像精准营销、通过用户数据评估信用风险。如果企业偷偷售卖用户信息，不仅可能构成违法，还可能通过“数据交易”隐匿收入、逃避纳税——毕竟，数据交易很难留痕，很容易成为“账外收入”。所以，税务部门要求企业在登记时声明不售卖用户信息，本质上是通过“前端承诺”防范“后端风险”，确保企业的收入数据真实、业务模式合规。这一点，在《关于进一步深化税收征管改革的意见》里其实有暗示：要“加强税收大数据风险防控”，而“企业业务模式与数据处理的合规性”，正是风险防控的重要维度。

可能有企业负责人会说：“我这小公司，根本没用户数据，需要声明吗？”我的答案是：只要你的业务涉及“收集用户信息”，哪怕只是收集客户的联系方式、地址，都需要声明。因为《个人信息保护法》对“个人信息”的定义很宽泛，“指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。所以，别抱侥幸心理，政策面前，“有没有用户数据”不是关键，“承不承诺合规”才是关键。

## 材料准备要充分

搞清楚了政策依据，接下来就是“怎么干”。税务登记时声明不售卖用户信息，不是简单口头说一句“我不卖”就行，必须提交书面材料。作为“老会计”，我见过太多企业因为材料准备不充分，来回跑税务局3趟才搞定——其实只要提前列个清单，完全能避免这种麻烦。根据我的经验，至少要准备4类核心材料：《不售卖用户信息承诺书》《用户信息处理规则（隐私政策）》、内部管理制度证明材料、员工培训记录。

先说《不售卖用户信息承诺书》。这是“重头戏”，税务部门会重点审核。承诺书的格式没有全国统一的标准，但必须包含几个核心要素：声明主体（公司全称、统一社会信用代码）、承诺事项（明确“不售卖用户信息”，包括“不将用户信息提供给任何第三方用于商业目的，不通过任何形式交易用户信息”）、违反承诺的责任（比如“愿意承担由此产生的一切法律责任，包括但不限于税务处罚、信用惩戒、民事赔偿”）、法定代表人签字、公司盖章。这里有个细节：承诺书的抬头最好写“致XX市/区税务局”，这样显得正式，也符合税务部门的归档要求。我之前帮某家电商公司准备时，他们直接从网上下载了个模板，抬头写“致相关单位”，结果税务局退回要求重写——这种“小细节”，最能体现企业的专业度。

然后是《用户信息处理规则》（也就是我们常说的“隐私政策”）。很多企业觉得“隐私政策就是网站底部挂个链接”，其实税务部门看这个，是想验证“企业到底收集了哪些用户信息，怎么处理的，有没有‘售卖’的可能”。所以，这份规则必须具体，不能含糊。至少要写清楚：收集的用户信息类型（比如“个人基本信息：姓名、身份证号、联系方式；行为信息：浏览记录、购买记录”）、收集目的（比如“用于订单配送、售后服务、个性化推荐”）、处理方式（比如“存储于公司加密服务器，仅限内部员工因工作需要访问”）、共享规则（明确“不向任何第三方共享，除非法律法规要求或用户单独同意”）。如果企业有APP或网站，还需要提供隐私政策的“公示截图”——证明用户能轻易看到。我印象很深，去年帮一家SaaS软件公司做税务登记，他们的隐私政策只写了“收集用户信息用于服务优化”，被税务局要求补充“具体收集哪些字段、是否存储在境外”，后来花了3天时间重新梳理，才通过审核——所以，隐私政策不能“模板化”，必须结合企业实际业务写，越具体越安全。

内部管理制度证明材料，主要是向税务部门证明“企业有能力、有机制确保不售卖用户信息”。比如《数据安全管理制度》，要明确“数据收集、存储、使用、销毁的全流程规范”；《员工保密协议》，要要求员工“不得泄露、出售工作中接触到的用户信息”；《数据安全事件应急预案》，说明“万一发生数据泄露，怎么处理、怎么向监管部门报告”。这些制度不用太复杂，但必须有，最好能盖公司公章，证明是“正式文件”。我见过有的企业提供“制度文件”是几页PPT，税务人员直接说“这不算正式制度”，后来改成Word版打印盖章才通过——所以，制度的形式也很重要，打印版+公章，比电子版更有说服力。

最后是员工培训记录。数据安全不是“某个部门的事”，而是“全员的事”。所以，企业需要提供“员工数据安全培训”的证明，比如培训签到表、培训课件截图、考核成绩单。培训内容不用太专业，至少要让员工知道“什么是用户信息”“售卖用户信息的后果”“发现违规了怎么报告”。我之前在加喜财税秘书给客户做培训时，经常强调：“别小看这张培训记录，它是向税务部门证明‘企业有合规意识’的直接证据。”毕竟，如果企业连员工都没培训过，怎么让税务部门相信你会“主动不售卖用户信息”呢？

## 登记流程细操作

材料准备好了，接下来就是“怎么提交”。现在税务登记基本都实现了“电子化”，但线上线下流程略有不同，我分开说，企业可以根据自己的情况选择——但不管哪种方式，“声明不售卖用户信息”这个环节都不能漏，而且要确保信息真实、准确。

先说“线上办理”（也就是通过电子税务局）。这是现在最主流的方式，方便快捷。登录电子税务局后，找到“企业开办”或“税务登记”模块，里面会有“经营范围登记”“登记信息补充”等子模块。在“登记信息补充”里，通常会有“其他需要声明的事项”或“合规承诺”这一栏，这里就是填写“不售卖用户信息声明”的地方。注意：不要只写“不售卖”三个字，最好把《承诺书》的核心内容（比如“本公司承诺，不从事用户信息售卖活动，严格遵守《个人信息保护法》等相关法律法规”）复制粘贴进去，字数控制在100-200字，既清晰又不啰嗦。提交后，系统会自动校验，如果没问题，1-2个工作日就能出结果。我见过有企业负责人嫌麻烦，直接填“无”，结果系统提示“请补充合规声明”，又重新提交——所以，线上办理时，一定要仔细看每个模块的提示，别跳过任何“声明栏”。

如果是“线下办理”（去税务局大厅），流程会更“仪式感”一些。需要带上所有准备好的纸质材料（《承诺书》、隐私政策、制度文件、培训记录），到“综合服务窗口”提交。税务人员会逐项审核，重点看《承诺书》有没有签字盖章、隐私政策是否具体、制度文件是否齐全。如果有材料不齐，会当场告知“需要补充什么”，并给你一张《补正通知书》。这里有个小技巧：去之前最好先打电话给税务局“预约”，并问清楚“是否需要额外携带什么材料”（比如有些地方要求法定代表人亲自到场签字）。我之前帮一家餐饮连锁公司办税务登记，没预约，排队等了3小时，结果发现“法定代表人身份证复印件没盖公章”，又跑了一趟——后来学会了预约，提前把材料清单发给税务人员预审，效率高多了。

不管线上线下，提交声明后，税务部门可能会进行“风险核查”。尤其是那些涉及“用户数据”行业的企业（比如互联网、电商、教育、医疗），税务部门可能会把“声明不售卖用户信息”和“企业的收入结构”结合起来看。比如，一家电商公司声明“不售卖用户信息”，但它的“其他业务收入”里突然多了“数据服务费”，税务人员就可能上门核实“这个数据服务费到底是什么”。所以，企业在声明后，一定要确保“实际业务”和“声明内容”一致，别“说一套做一套”。我见过某科技公司，税务登记时声明“不售卖用户信息”，结果被举报“私下把用户数据卖给第三方广告公司”，最后不仅被税务部门处罚，还被列入“失信名单”，影响了好几年的招投标——这种教训，可千万不能忘。

## 合规管理常态化

可能有企业觉得：“税务登记时声明完就没事了吧？”大错特错！“不售卖用户信息”不是“一次性承诺”，而是“持续性义务”，需要企业建立常态化的合规管理机制。否则，就算税务登记时蒙混过关，后续也可能因为“实际违规”被追责，甚至影响企业的纳税信用等级。

首先，要定期“审查隐私政策和内部制度”。用户信息处理规则不是“一成不变”的，比如企业业务拓展了（从卖服装延伸到卖美妆），收集的用户信息类型可能增加；或者法律法规更新了（比如《数据安全法》实施后，对数据出境有了新要求），隐私政策也需要同步调整。我建议企业每半年或一年，让法务或财务部门牵头，重新审查一遍隐私政策和内部制度，确保它们“跟得上业务发展和政策变化”。比如，去年有个客户做跨境电商，税务登记时隐私政策写“用户信息存储在境内”，后来业务拓展到海外，需要把用户数据传到国外服务器，就必须补充“数据出境安全评估”的内容，否则就违反了“不售卖用户信息”的承诺——毕竟，“非法向境外提供用户信息”和“售卖用户信息”一样，都是违规的。

其次，要建立“数据安全台账”。简单说，就是“把用户信息的‘来龙去脉’记清楚”。比如：什么时候收集了哪些用户信息？收集的目的是什么？存储在哪里？访问过这些信息的人员是谁？有没有销毁过用户信息？这些台账不需要太复杂，用Excel表格就能记，但必须真实、完整。我之前在加喜财税秘书给客户做咨询时，强调过：“台账不仅是‘内部管理工具’，更是‘合规证据’。万一税务部门来核查，你能拿出完整的台账，就能证明‘企业确实没售卖用户信息’。”相反，如果台账一片空白，或者记录和实际对不上，税务人员就可能怀疑“企业有问题”，进而启动更深入的调查——这种“被动局面”，一定要避免。

最后，要“加强员工监督和培训”。数据安全最容易出问题的环节，其实是“人”。比如，有的员工为了“赚外快”，偷偷把用户信息卖给第三方；有的员工“安全意识薄弱”，把用户数据存在个人电脑上，导致泄露。所以，企业除了定期培训，还要建立“监督机制”：比如，对接触用户信息的员工“岗位分离”（收集数据的不能卖数据，卖数据的不能收集数据）；定期检查员工的电脑操作记录；设立“举报渠道”，鼓励员工举报违规行为。我见过一个客户，他们公司在内部系统里设置了“数据访问日志”，任何员工访问用户信息都会留下记录，每月由IT部门汇总给财务部门审核——这样一来，“员工想违规也不敢，因为‘痕迹’全在”。这种做法，值得很多企业借鉴。

## 风险防范有预案

合规管理做得再好，也不能100%保证“不出问题”。毕竟，数据泄露、违规售卖用户信息的风险，可能来自内部（员工离职带走数据），也可能来自外部（黑客攻击）。所以，企业在声明“不售卖用户信息”后，还需要“做最坏的打算，做最好的准备”，建立风险防范预案。

第一个风险是“员工违规”。比如，某员工离职前，把公司存储的用户数据拷贝走，卖给了竞争对手。这种情况下，企业不仅要承担“未尽到管理责任”的法律后果，还可能被税务部门质疑“声明不售卖用户信息”的真实性。所以，企业必须做好“员工离职管理”：比如，离职员工必须“工作交接”，交接清单里要明确“不得带走任何用户数据”；电脑、手机等设备要“数据清除”；签订《离职承诺书》，再次强调“不得泄露、出售用户信息”。我之前帮一家互联网公司处理过类似纠纷：某前员工把用户数据卖给第三方，公司发现后，立刻报了警，并提供了“员工离职交接记录”“数据访问日志”等证据，最后不仅协助警方抓到了前员工，还向税务部门证明了“公司没有违规”，避免了信用损失——所以，“员工离职”是高风险节点，必须严格把关。

第二个风险是“外部攻击”。比如，黑客入侵企业服务器，窃取了用户数据，然后在黑市上售卖。这种情况下，企业虽然“主观没有过错”，但根据《个人信息保护法》，仍然需要承担“未采取必要安全措施”的责任，还可能被税务部门要求“重新评估合规性”。所以，企业必须加强“技术防护”：比如，安装防火墙、杀毒软件；对用户数据进行“加密存储”（比如用MD5、AES算法加密）；定期“备份数据”，并确保备份数据“与主数据分离”；聘请第三方机构做“数据安全测评”，及时发现漏洞。我有个客户是做在线教育的，他们每年都会花几万块请专业的“白帽子黑客”测试系统安全性，去年就发现了一个“SQL注入漏洞”，及时修复后，避免了10万条用户数据泄露——“花小钱防大风险”，这笔投资绝对值。

第三个风险是“业务模式变化”。比如，企业原本是“线下零售”，后来转型做“线上电商”，需要收集大量用户信息；或者原本是“免费提供服务”，后来改成“会员制”，需要收集用户的支付信息。这种情况下，原来的“声明内容”和“隐私政策”可能就不适用了，企业必须及时更新，并向税务部门“补充备案”。我见过一个客户，做线下母婴店，税务登记时声明“不售卖用户信息”（只收集会员的联系方式和购买记录），后来转型做线上社群，需要收集用户的“家庭住址、孩子年龄”等信息，但没及时更新隐私政策和声明，结果被税务部门要求“重新办理税务登记”，还罚款2000元——所以，“业务模式变，声明和制度也得跟着变”，千万别“一劳永逸”。

## 常见问题巧解答

最后，我整理了一些企业最常问的“关于税务登记声明不售卖用户信息”的问题，结合我的经验，给大家一一解答。这些问题虽然“小”，但处理不好，也可能成为“大麻烦”。

问题1：“我公司根本不收集用户信息，需要声明吗？” 答：如果公司业务确实不涉及任何用户信息（比如纯贸易公司，只卖货，不记录客户信息），那么在税务登记时，可以勾选“不涉及用户信息处理”选项，不需要额外提交《不售卖用户信息承诺书》。但要注意：“不收集”和“不声明”是两回事，必须明确勾选，否则税务部门默认你可能涉及用户信息。我见过一个做原材料贸易的客户，他们既不收集客户信息，也不做线上业务，但没勾选“不涉及”，结果税务人员打电话来核实“为什么不提交承诺书”，耽误了3天才办完——所以，“涉及就声明，不涉及就勾选”，千万别含糊。

问题2：“我们是集团公司，子公司需要单独声明吗？” 答：如果子公司独立运营，有自己的业务和用户信息，那么每个子公司都需要单独提交《不售卖用户信息承诺书》；如果子公司只是集团公司的“分支机构”，不独立处理用户信息，那么可以由集团公司统一声明，子公司在税务登记时提供“集团公司的声明复印件”即可。这里有个细节：复印件必须加盖集团公司的公章，否则无效。我之前帮某集团公司办税务登记，子公司直接提交了“总公司的声明”但没盖章，结果被退回——后来补了盖章件才通过。

问题3：“声明后，如果发现员工偷偷卖数据，税务部门会处罚吗？” 答：会的！税务部门在核查企业时，如果发现“企业声明不售卖用户信息，但实际存在售卖行为”，会认定企业“提供虚假材料”，根据《税收征管法》第六十四条，可以处“1万元以上5万元以下的罚款”；情节严重的，还会“列入失信名单”，影响企业的发票领用、出口退税等。更麻烦的是，如果用户信息售卖涉及“隐匿收入”，税务部门还会追缴税款、加收滞纳金。我见过一个客户，税务登记时声明“不售卖用户信息”，后来被举报“通过数据交易隐匿收入500万”，税务部门不仅罚款50万，还把公司列入“D级纳税人”，公司连高铁票都买不了——所以，“声明不是‘挡箭牌’，违规了照样罚”，企业必须“说到做到”。

问题4：“小微企业可以简化声明流程吗？” 答：根据“放管服”改革要求，小微企业（年应纳税所得额不超过300万元）在税务登记时，确实可以“简化材料”。比如，《不售卖用户信息承诺书》可以简化为“一页纸声明”，不需要提供太详细的内部制度；但如果涉及“用户信息处理”，隐私政策、培训记录等核心材料仍然需要提交。我之前帮一家小微企业（做社区团购）办税务登记，他们问“能不能不交培训记录”，我告诉他们：“可以简化，但培训记录至少要有‘员工签字’证明你们培训过。”后来他们用“培训签到表”代替了详细的课件，顺利通过了审核——所以，“简化”不是“不交”，而是“简化形式，不简化核心”。

## 总结与前瞻

说了这么多，其实核心就一句话：在税务登记中声明“不售卖用户信息”，不是企业“额外负担”，而是“合规起点”。它既是《个人信息保护法》的刚性要求，也是企业建立信任、规避税务风险的重要举措。从政策依据到材料准备，从登记流程到后续管理，每个环节都需要企业“用心对待”——毕竟，合规不是“选择题”，而是“必答题”。作为财税工作者，我见过太多企业因为“小细节”栽跟头，也见过太多企业因为“早合规”而走得更远。未来，随着税收征管数字化、智能化的发展，税务部门对“企业数据合规”的监管只会越来越严，比如“金税四期”就可能把“企业用户数据”和“税务数据”进行关联分析。所以，企业现在就开始布局“数据合规”，不仅是为了“通过税务登记”，更是为了“长远发展”。

在加喜财税秘书，我们常说：“财税工作不是‘记账报税’那么简单，而是‘企业合规的守护者’。”关于“如何在税务登记中声明公司不售卖用户信息”，我们的经验是：提前梳理业务模式、准确理解政策要求、细致准备申报材料、持续跟进后续管理。我们服务过上千家企业，从初创公司到集团巨头，都因为“合规声明”做得好，避免了后续的税务风险和信用损失。如果您对“声明流程”“材料准备”还有疑问，欢迎随时联系我们——毕竟，专业的事，还是得交给专业的人。

加喜财税秘书作为深耕财税领域12年的专业机构，始终认为“合规是企业发展的生命线”。在“数据安全”成为时代命题的今天，税务登记时的“不售卖用户信息声明”，不仅是企业对监管部门的承诺，更是对用户的尊重。我们通过“政策解读+材料辅导+流程代办”的一站式服务，帮助企业轻松完成合规声明，将风险扼杀在萌芽阶段。未来，我们将持续关注数据安全与税收征管的交叉领域，为企业提供更前瞻、更落地的合规建议，让企业在合法合规的轨道上，走得更稳、更远。