税务局表示，这种做法是合法的，过程也是安全的。

税务局已被告知，如果决定再次采取这种做法，将考虑给予纳税人选择不与社交媒体平台分享个人信息的权利。

一项新的调查发现，税务局还在2017年将纳税人的详细信息发送给TradeMe，用于定制广告活动。

财政部周二表示，由于公众的强烈反对，它将停止与Facebook、Instagram、谷歌（Google）和领英（linkedIn）共享加密纳税人详细信息（但不包括任何财务信息）、用于营销目的的十年做法。

尽管它坚称，这种做法是向纳税人进行营销的“一个非常有价值的工具”，而且是完全安全的，没有证据表明数据被滥用，但它还是停止了这种做法。

当被问及其新举措是否完全取决于公众舆论时，税务局局长彼得·默西（Peter Mersi）表示：“没错。”

他说，这种做法是合法的，过程也是安全的。

这一立场在一定程度上得到了税务局周二发布的36页内部审查报告的支持，尽管该报告也表示，它发现了与这些平台分享的“问题”，并建议其停止。

审查和内审局流程发现了两次未加密客户名单的泄露——其中一个名单中有26.8万名客户，并进入了元数据——并发现了2017年的TradeMe活动，它说这是一次性的，但没有提供细节。

默西说，促使它停止的不是违规行为，而是整体信任。

报告称：“我们认识到建立和维护公众信任的重要性，这是有效的税收和社会政策体系的基石。”

“基于这些原因，税务局将在可预见的未来停止使用自定义受众名单。”

默西表示，税务局仍将使用社交媒体进行营销，但不再使用目标客户名单，但不排除未来会重新启用这种方法。

该审查称，该部门应重新评估其对社交媒体营销的所有使用，所使用的所有产品，“以及启用这些产品所需的信息共享”。

就此事联络税务局的八千名人士，以及向私隐专员提交审计报告或投诉的人士，普遍抱怨缺乏选择退出的选择。

“建议，如果税务局确定需要针对个人的社交媒体营销或广告能力，则应考虑在核心税收系统中实施选择加入/选择退出流程的适当性，”审查称。

在新西兰央行的一份报告对其提出质疑后，税务局开始调查其对纳税人详细信息的加密（称为“哈希”）是否“仍然安全”，而海外监管机构在9月初的建议中表示，其加密力度不够。

另一个常见的抱怨是关于社交媒体平台的数据收集做法，以及税务局的做法是否促进了这种做法。

审查考虑的一个核心问题是，社交媒体平台是否使用自定义受众列表中的数据来增强自己的用户资料。

“社交媒体平台表示，自定义受众列表信息没有被用来增强或建立自己的用户档案，”它表示，除了这些公司所使用的保证流程清单外，没有提供支持性证据。

默西在新闻发布会上说：“没有任何证据表明，这些数据的使用方式与预期的方式不同。”

纳税人的详细信息受到《隐私法》和《税收管理法》的保护。

报告称：“税务局认真对待与纳税人保密有关的TAA义务，并有签署信息披露的内部程序。”

“使用的三个平台（meta、谷歌和linkedIn）都有书面批准，但鉴于过去10年的组织和人员变化，这些文件的时间存在差距。”

自2014年以来，税务局一直在与脸书分享纳税人的姓名、地址和出生日期信息，但首次对其进行隐私评估的记录是在2016年。

早期的内审局显示，这是通过“简短的隐私分析”的方式进行的，但新的审查将其称为全面的隐私影响评估，这是以前从未进行过的更全面的评估。

谷歌在2019年左右被列入，领英在2020年被列入，没有任何评估。

唯一的另一次评估发生在2024年9月，新西兰广播公司对此进行了报道。

这是一个较小的“隐私阈值评估”，结论是不需要进行完整的隐私影响评估。

新的审查不包括任何来自隐私专员办公室（OPC）的输入，只说明OPC正在评估其散列的好坏。

OPC周二对新西兰广播公司表示：“我们正在审查IR在其审查中提供的信息，并与他们进行了其他接触，预计将在未来几个月内得出结论。”

早些时候，副局长Liz MacPherson表示，得知税务局的两项违规行为令人失望。

她说：“在这个案件中，特别令人担忧的是，税务局显然不知道发生了这些事件，包括税务局员工故意在社交媒体平台上分享26.8万新西兰纳税人的可识别个人信息。”

税务局的内部审查表示，该系统是安全的，“平台的散列数据是在一个自动化的、机器对机器的过程中”。

“匹配过程完成后，这些数据将被删除，平台不会以任何其他方式使用这些数据，”它表示。

如果某个人被广告告知，因为他们已经在目标客户名单上，那么“通过与广告互动，社交媒体平台有可能推断出他们可能对某些话题感兴趣，比如学生贷款（这与用户档案增强不同）。”

该评论称：“简单地点击或查看广告不会给社交媒体平台提供确凿的数据，而是增加了用户对某个主题感兴趣的可能性。”

在保证方面，三家平台从可能的九种保证中列出了五种。这五种类型的保证中有一种超过10年，而meta说它有一份系统和组织的审计报告-税务局要求查看。

然而，与meta不同的是，谷歌没有列出这一点，它有一个国际标准（称为ISO27001）。

在数据保留方面，审查称谷歌保留客户名单的时间“没有超过必要”；领英将它保存了四周；脸书和Instagram在匹配数据后“迅速删除”了这条微博。

税务局表示，它在政府通信安全局（GCSB）维护的新西兰信息安全手册的指导方针下运作良好。

当GCSB被问及该手册是否涵盖自定义社交媒体营销时，它表示，它只涉及如何建立安全系统，而不涉及如何使用信息——“这取决于该机构的决策者”。

在系统级别上，用于税务详细信息的散列算法符合GCSB标准。

税务局要求税务律师杰夫·南丁格尔（Geoff Nightingale）审查这份报告。

他在一封简短的信中报告说，“这些发现得到了很好的支持，而且阐述得很清楚。我没有发现任何未解决的问题。”

注册Ngā Pitopito Kōrero，这是一份由我们的编辑策划的每日通讯，每个工作日直接发送到您的收件箱。