银行内部CRS信息泄漏的启示

2019年11月17日，骇客Phineas Fisher骇进了位于曼岛（Isle of Man，英国王室属地）的开曼国家银行（Cayman National Bank，简称CNB）的服务器，获得了CNB在2007年至2019年的大量数据，包括客户记录（一共4500名客户，涉及共3.7万个账户）、金融财产、受益人记录、邮件、工作底稿，其中就包括非常珍贵的真实CRS及FATCA申报信息，一共40万份文档。骇客将共2.26TB的信息向一个名为“将拒绝的秘密发布”（Distributed Denial of Secrets，简称DDOS）的网站提供，DDOS将相关信息在网站公开，并将上述的泄漏称为“舍伍德”（Sherwood）。

两位研究者，分别是来自伦敦政治经济学院（LSE）税务分析中心（Centre for the Analysis of Taxation）的 Jeanne Bomare，以及欧盟税务观察机构（巴黎经济学院）和挪威生命科学大学（NMBU）的Matthew Collin，对上述泄漏的数据进行分析并形成了研究报告，并于2025年6月13日在欧盟税务观察机构（EU Tax Observatory）发布，报告名为《当银行家成为告密者：自动交换信息的行为效应》（When Bankers Become Informants：Behavorial Effects of Automatic Exchange of Information，简称《报告》）。

我们在这一篇文章中分享《报告》的一些有趣研究发现。