说实话,4.2万起这个数字咋一看不算特别夸张——CRA每年要服务全加拿大上千万纳税人。但仔细想想,从2020年到现在差不多五年,平均下来每天都有账户被未授权访问或者纳税人信息被偷偷改动。这事就有点不一样了。
Vancouver Is Awesome 援引 Canadian Press 的报道称,联邦隐私监管机构(federal privacy watchdog)已经把这个数字摆到了台面上,并明确要求 CRA 加强账户安全保护。具体的整改计划、监管机构的下一步措施,请以官方公告为准。
为什么这事和华人朋友关系特别大
加拿大税务局的 My Account 系统对华人来说其实是个高频入口。每年报税、查 NOA(评税通知)、确认 RRSP 和 TFSA 余额、申请 GST/HST credit、查 CCB 牛奶金的进度,都要登 My Account。很多人为了方便,密码设得简单,又把 My Account 和 SIN 号、出生年月这些信息全填进去了。
一旦账户被未授权访问,最直接的风险有两类:一是退税被改去别人的银行账户,二是有人冒名提交虚假报税,让你下一年被 CRA 倒查。新移民、留学生家庭最容易中招——很多人对加拿大税务系统本来就不熟,钓鱼短信和假冒 CRA 的电话一打来就慌。
账户怎么保护,先做这几件事
报告本身没有给出具体的整改时间表,但作为纳税人,自己能做的事其实不少:
第一,开启两步验证(multi-factor authentication)。CRA My Account 已经支持把验证码发送到手机或邮箱,登录的时候多一道关。这一步如果没设,强烈建议今晚就去开。
第二,定期查看登录记录。My Account 里可以看到最近的登录时间和 IP。如果发现自己根本没登过的时间点出现登录,或者 IP 地址明显不在加拿大,立即改密码并联系 CRA。
第三,警惕假冒 CRA 的钓鱼信息。CRA 不会通过短信发链接让你点进去查退税,也不会用 WhatsApp、微信、Interac 转账要求"补缴税款"。但凡看到这些字眼,基本就是诈骗。真有问题,CRA 会寄正式信件到你的家庭住址。
报税季之外更要警惕
很多人觉得报税季一过就可以松口气。但账户安全是常年的事。2020 到现在的 4.2 万起里,相当一部分泄露发生在非报税月,反而是大家警惕性最低的时候。
对于在加拿大住了多年、习惯把所有税务材料都数字化保存的家庭,建议把 RRSP、TFSA 的截图、NOA 的 PDF 单独存一个加密文件夹,不要和 My Account 共用同一个登录习惯。
具体的隐私监管报告原文、CRA 后续如何回应、是否针对受影响纳税人提供补救方案,请以 Vancouver Is Awesome 原文及联邦隐私专员办公室(OPC)官方公告为准。