時 間 中華民國107年5月2日(星期三)9時3分至11時40分
地 點 本院紅樓302會議室
主 席 吳委員志揚
主席:現在開會。今天舉行「健全加密貨幣洗錢防制」公聽會,這個題目說新不新,加密貨幣已經在全世界發生很多事,據我了解,很多政府單位對這個議題還不熟悉,立法院委員真正懂的也沒幾個,這是一個很大的危機。因為我們在數位經濟上的很多東西都落後全世界,如果我們沒有掌握最新的貨幣、最新的有價交易單位,將來經濟甚至可能會被邊緣化,所以今天召開「健全加密貨幣洗錢防制」公聽會。剛好行政院正在召開洗錢防制會議,我們原本邀請法務部次長出席,但次長正在主持跨部會的洗錢防制會議,如果該會結束,他就會過來聆聽大家的意見。
首先很榮幸邀請各位蒞臨立法院司法及法制委員會,這個題目也可以由財政委員會召開,財政委員會現在就在隔壁開會,我相信他們等一下如果有興趣就會過來聽。
站在司法法制的立場來講,洗錢防制屬於司法的範疇,目前全球的加密貨幣值已經有1,500多種,市值也將近6,000億美元,數量非常龐大。它是用區塊鏈的技術提供去中心化、匿名化、不可竄改性、可追蹤性以及加密安全性等特色,是傳統貨幣所沒有的。它有它的好處─交易快、交易成本低,也有一些隱密性;但是它也有它的危險,像去年五月發生WannaCry勒索病毒的問題,當時歹徒發動攻擊全世界就有40萬台電腦染毒,而且要求使用比特幣來交換、當做勒索的贖金,在大家還搞不清楚時,已經開始有人用這個做贖金。目前台灣政府把這類的加密貨幣視為非貨幣的商品,所以相關法制就視同商品交易,但這樣夠嗎?這樣先進嗎?
加密貨幣雖有剛剛講的一件大家很擔心的事,卻也有其技術上可控制的部分,如果運用得當反而是防制洗錢更有力的工具。你不去了解它,它就是洗錢的天堂;你去了解它、了解它的技術,加以合理的管制,它就是幫助政府防制洗錢最好的方法,所以這是一體的兩面。我們特別謝謝許毓仁委員,這個案子是之前我主持司法及法制委會時,他提出臨時提案來要求本會安排公聽會,我們馬上就召開。因為我們覺得這件事不能再等,雖然目前懂的人真的不多。我們特別謝謝今天蒞臨的專家學者及政府各機關代表,各機關代表除了自己的專業以外,也可以利用這個機會多請教相關學者。
本次公聽會討論提綱為:
1.對政府部門加密貨幣反洗錢政策之建議。
2.建立跨部會加密貨幣KYC/AML機制研究小組之必要性及具體作法之建議。
3.區塊鏈技術於加密貨幣交易時,應如何建立資訊安全防護機制?
邀請各位發言之前說明如下:公聽會主要請受邀的學者專家先發言,發言順序基本上依照簽到順序。如果各位因為忙真的有急事,也可以請主席調整發言順序;如果本委員會委員陸續到場就是依照他們登記先後發言,我們會讓幾位專家學者發言完以後再穿插委員發言。最後我們再請政府機關代表來發言,並針對專家學者及委員的意見加以回應。
由於公聽會主要是為了聽取專家學者的意見,所以每位學者專家發言時間為8分鐘,必要時得延長2分鐘;本院委員發言時間5分鐘,不再延長,請大家盡量控制時間。如果還有時間,我們可以進行第二輪發言。如果大家覺得第一輪還有其他重點沒有講到,可以進行第二輪發言。在各位進行發言之前,本席想先請許毓仁委員說明,因為他是本次公聽會召開的倡議者,請許委員簡單說明你的想法。
首先請許委員毓仁發言。
許委員毓仁:主席、各位學者專家、各位同仁。首先,我想代表司法及法制委員會與立法院感謝吳志揚召委特別在繁忙的議程當中來安排這次公聽會。我在過去幾次關注加密貨幣及區塊鏈發展中也特別提到,希望政府在面對這個新型態產業發展的過程裡,可以以發展與管制並重的方法去規範,並且協助這個產業可以在台灣,甚至於國際上可以有健康且健全的監理。在國際發展底下,我們可以看到加密貨幣在世界各國的監理已經成為重要議題,包括今年6月召開G20,各國也即將對加密貨幣開始做出監理的相關步驟。我想台灣在這件事不能缺席,尤其以台灣目前在國際上面臨幾個重要的關鍵,第一、我們在反洗錢的憂慮上的確有一些concern,如何利用這樣的機會?透過與業者公私協力的方式,台灣可以打造比較健全的KYC及AML的反洗錢機制,並且可以倡議台灣成為國際反洗錢的示範中心,我覺得這樣的作法相對重要。第二、眾所皆知,加密貨幣的底層技術是區塊鏈,具有去中心化及不可竄改的特性,如果可以利用這次機會聽取業界意見,並與業者有相對應的合作關係,透過這個方式可以理解在該產業所面臨的機會、挑戰及最新科技發展,尤其在資安、反洗錢、各個項目及領域上,台灣可以怎麼做,甚至於我們可以扮演什麼角色是相對重要的。
全世界面對加密貨幣及區塊鏈行業的興起,大部分國家都從原本的禁止到觀望、到現在走向逐漸開放的態勢。以這樣作法來說,台灣可以做些什麼事呢?我覺得主要有三點:第一、以政府的角度能夠去協助業者與政府對話,避免在這個行業發展的過程中,消費者受到無辜的災害波及。此外,政府應該提供正確的資訊,並與業界產生緊密溝通而且合作的相互關係。第二、政府應該積極與區域間的國家溝通、協議並合作、制訂相關產業之間的協定,譬如在區塊鏈及加密貨幣,我們對於監理的態度、對於監理的看法、稅以及相對應的管制措施。我覺得台灣在這一塊應該可以更積極地參與國際對話。第三、我們都希望台灣的新興科技及新產業不會因為政府監管馬上受到阻礙,所以我把這次的契機看成台灣可以有機會與新創科技及新創產業相互合作,並扶持或引導新產業可以在台灣落地,且在國際上能夠有絕佳的發言權與重要的核心位置。
我非常謝謝吳志揚召委特別安排這場重要的公聽會,法務部部長也說今年年底會對加密貨幣進行相關立法管制及規範。我們期待從這樣的公聽會開始,能對加密貨幣及區塊鏈有更正確且更健全體制上的了解。大家一起合作、加油!
主席:謝謝許委員的說明,也幫我再說一次的這次召開公聽會的主要意旨。我們希望相關的政府機關要動起來,現在不懂沒有關係,但是這個速度會非常快,也希望今天的會議是啟動。現在就專家學者來發言。
請普華商務法律事務所梁鴻烈律師發言。
梁鴻烈律師:主席、各位委員。今天這個議題在談虛擬貨幣,我們要思考的第一件事是關於虛擬貨幣我們到底要監管有什麼?虛擬貨幣不只涉及反洗錢而已,還涉及消費者保護的問題。比如平台商在賣平台服務的時候,消費者到底知不知道商品的風險和報酬、資安的問題、safety and soundness穩健經營的問題?我們要不要要求平台業者必須有產業的穩健基礎,讓它的客戶可以在持續的基礎上信賴這個機構?反洗錢和我們剛剛講的另外三個監管的agenda有本質上的不同,反洗錢這樣的監管思維都是在FATF的40項推薦標準下發展出來的。但是所謂消費者保護包含資安、穩健經營的監管agenda,屬於自己的體系。大家先要思考的是我們到底要監管什麼,不只是反洗錢而已,其他面向要如何來處理?
反洗錢與FATF有直接的連結關係,我想從這個點來開始今天的分享。從FATF對虛擬貨幣反洗錢的治理來講,大概有幾個重要的點:第一、從反洗錢角度來講,我們到底要監管什麼貨幣?我覺得有幾個基準點,第一個、虛擬貨幣必須可以兌換成法幣,這樣的貨幣才需要被監理;第二個、虛擬貨幣必須是以去中心化的方式來進行,因為它沒有贖回的機制,所以必須兌換成法幣。第二、監管的對象是什麼?FATF的規則非常清楚,監管對象是與虛擬貨幣有關的服務提供者,與既有銀行體系或其他金融體體性連結時才需要被監管,比如比特幣的平台商是最典型的,其他可能還有比特幣的錢包業者、比特幣支付服務的業者。平台商常常會兼辦錢包保管,比如虛擬貨幣私鑰的保管者,像是虛擬貨幣的ATM業者,這些與既有金融體系有連結者才是需要監管的對象。至於強度如何?比特幣平台業者是否必須特許,或在一般非特許的基礎上被監管?這就涉及國家風險,現在國家風險評估有沒有把比特幣或虛擬貨幣平台服務提供者放在我國國家風險的straits或volatility評估裡?似乎還沒有看到很清楚的圖像,對台灣的影響是什麼?這幾個基準點需要先確定,我們才有結構,有結構才會有細節,有細節才會有具體討論。
其次,我想跟各位分享,從反洗錢的角度來講,我們剛剛提到要被監管的業者大概有幾個面向,第一個面向是它和銀行連結的面向,比特幣的平台業者必須去銀行開戶,它的金流實際上還是經過銀行來付款,銀行要對比特幣平台業者執行什麼樣的反洗錢任務?另外一個面向是這些平台業者作為DNFBP,它本身對於客戶所要負擔的反洗錢義務是什麼?這兩個面向是完全不一樣的面向。
從銀行的角度來講,各國政府都開始在注意銀行和虛擬貨幣平台業者之間的關係,韓國在今年初公布一項新的規定,這應該是我所看過的最嚴格規定,當然台灣不一定要和他們一樣,但是我想跟各位分享一下,讓大家有點感覺,這項規定大概是這樣子:所有比特幣平台業者的客戶和平台業者必須在同一個銀行開戶,為什麼?因為銀行比較可以掌握到平台業者及其客戶的金流,帳戶都在同一個地方,這是我看過最嚴格的規定。另外一項規定就是對於所有比特幣平台業者都要作EDD(強化盡職調查),包括它的客戶群、服務細節規範等等。第三、銀行業者必須對比特幣業者相關資訊進行資訊分享。從FATF的角度來講,他們沒有這麼嚴格的要求,但是銀行如何對比特幣平台業者監管的確是一個非常需要被處理的問題,這也呼應許委員剛才所提到的重點,有一些平台業者跟我說現在銀行紛紛把他們關戶,只剩下幾個在反洗錢新規定實施之前的銀行還可以開戶,所以他的客戶必須提著皮箱裝現金過來付款,這是一個真實的困局。站在金融創新的角度來講,我們不希望這樣限制比特幣業者,必須讓他們有一個金流的出路,但是從銀行風險的角度來講,我們必須給他們一些比較具體的指引,到底什麼涉及到比特幣平台高風險的區域?這件事情有一個很關鍵的地方,那就是如何指引銀行作風險評估,包括評估他們的比特幣平台業者客戶對於銀行的反洗錢風險到底在哪裡、這些平台業者的客戶到底是誰、我們有沒有辦法做到真正的實名制?業界都有共識實名制是勢必要推動的,這是比較常被談到的部分。另外還有一個比較少被談到的部分,就是關於比特幣平台業者如何監管或控制客戶自身的可疑交易,這又是另外一個面向。舉例來講,去中心化的技術將使得虛擬貨幣往上移轉時可以是匿名性的,我所交易的虛擬貨幣可能是別人給我的,我是別人的人頭,這件事情如何被處理?虛擬貨幣所有的下達交易指示都是在網上進行的,如何利用IP變動的方式找到可疑交易?比如它的IP一直都是設在台灣,近幾個月卻有非常多來自於歐洲的IP在對同樣的比特幣帳戶進行交易,這可能就是可疑的警訊。這些事情是到目前為止都沒有被處理的,銀行對於比特幣業者可疑交易的監控如何執行、情狀是什麼,以及比特幣業者對於它自己客戶可疑交易的情狀是什麼,這些事情都沒有被處理,甚至沒有被討論,我覺得對於可疑交易的監控是除了KYC之外最重要的一件事情。
另外我再講一下資安的問題,我覺得資安與消費者保護有直接的連結,試想一個幫客戶保護私鑰的平台,假設它的資安被突破了,它的比特幣被偷走了,其實私鑰就等於比特幣的所有權,請問這時它要如何對它的客戶履行資產及服務方面的承諾呢?這和消費者保護有直接的關連。其實大家對於資安都有一個共識,廖教授一定可以提供各位許多意見,我覺得這方面有幾個重點:第一、資安的重點並不在於比特幣密碼的演算法,基本上大家都認為那是可靠的,重點在於保管私鑰的平台業者資安如何?比如網站本身是不是容易被駭客突破?比如ICO會不會有駭客的虛擬網站讓客戶把錢丟到那個平台去?是不是有程式碼的問題?其實這些問題的重點都在於提供比特幣平台業者本身與私鑰、網頁有關的機制,我認為這些機制不只是資安的問題,它也必須是消費者保護的議題,平台業者的資安和消費者保護必須要做一些連結,它不只是平台本身的問題,同時也是消費者保護的重要議題,謝謝。
主席:請政治大學法律學系張冠群教授發言。
張冠群教授:主席、各位委員。很榮幸今天能夠來參加這場公聽會,因為個人在法學院及風險管理保險學系任教,因此以下我簡單就法制面風險管理的角度來向各位報告。首先,我想要再次強調加密貨幣的洗錢風險,其實剛才主席及許毓仁委員都已經提過加密貨幣有很嚴重的洗錢風險,到底它有多嚴重呢?如果大家去搜尋今年的新聞,就會發現它的嚴重程度已經超乎我們的想像,而且現在利用虛擬貨幣洗錢的情況已經在發生當中,2018年FATF再次召集會員國,它希望能夠強化虛擬貨幣洗錢防制的機制。日本在2017年4月將比特幣交易平台合法化,從2017年4月到2017年年底,也就是他們開放平台合法化之後8個月的時間當中,總共發生了669件疑似洗錢的案例。美國前一陣子才發生用比特幣作為支付毒品交易對價的例子,單筆交易金額高達16萬美金,後來當然是被美國政府查獲。如果有持續關注這項議題的人,大概都會知道前一陣子發生了全世界最大的比特幣竊盜案,這件竊盜案的總值高達45億英鎊,其所涉及的就是一家英國公司。
為什麼虛擬貨幣的交易會有這麼高的洗錢風險,主要是因為它有幾個特徵:第一個特徵就是它去中介化,所謂去中介化就是指它的交易不一定需要金融中介機構,過去的金融監理法制之所以能夠達到妥善的監理,乃是因為所有金融交易都是透過中間化的交易平台、集中交易的機制或者有銀行、交易所等進行集中結算和清算的金融中介機構,所以政府監理單位只要對這些中介機構加以要求、進行監管,對於他們的洗錢防制用相關規定加以規範就可以了。但是在去中介機構的情況之下,它的交易其實是點對點,私人之間的交易可以達到點對點,在這種情況下,就會發生集中監理機構到底是誰的問題,如果點對點是私人之間的交易,那它受不受金融監理法規的規範?這就會發生一個問題,也就是會造成沒有辦法集中監理、沒有任何一個監理機構可以進行監理的法制空窗。其次是到底有沒有可以提供查詢的交易總帳,如果點對點交易可以利用區塊鍵技術的話,其實它有個別的帳簿,但卻沒有總帳可供查詢,也許查到的只是片斷,以比特幣交易來講,現在比特幣交易算是比較健全,整體交易流程是可以被追蹤的,但如果是Altcoin或Privacy coin,那就是完全匿名化交易,既然它的交易不需要中央伺服器,那麼要進行洗錢防制的監管就會比較困難。第二個造成高風險的原因就在於匿名交易,之所以會有匿名交易的原因就是因為有加密技術,現在存有許多虛擬貨幣,像比特幣和乙太幣是比較健全的,但是包括Privacy coin和Altcoin都可以做到完全匿名化,而完全匿名化就是洗錢防制的漏洞。另外,因為它可以點對點交易,所以它可以低成本而快速的進行跨境移轉,在點對點進行快速跨境移轉的情況之下,要進行洗錢防制或洗錢追蹤將會變得更加困難。
各國面對這樣的風險,在法制建設上有什麼樣的因應?歐盟最近正在討論的就是第五號洗錢防制指令,之前他們提出來的是第四號,現在是第五號洗錢防制指令(MLD5),首先他們明確定義什麼是虛擬貨幣以及所規範的標的是什麼,其次他們明確定義受洗錢防制指令規範的機構,再者他們明確課予受規範機構必須diligence履行可疑交易通報的義務。第五號洗錢防制指令明確將虛擬貨幣納入規範的範圍當中,它對虛擬貨幣的定義如下:非由中央銀行或政府機構發行或保證,而以數位方式表彰一定價值,這種價值未必可以和法定貨幣相互轉換或連結,它並不是政府所發行的通貨或金錢,但是它可以被自然人或法人用來作為交易工具,並且可以透過電子方式移轉、儲值或交易。從這項定義我們就可以發現虛擬貨幣是用電子方式表彰價值,它可以作為交易工具,它並不是法定貨幣,然而它可以和法定貨幣之間相互進行轉換,這就是虛擬貨幣的定義。既然要做虛擬貨幣和實體貨幣之間的轉換,一般來講大概會有一個交易的平台,因此歐盟第五號洗錢防制指令將虛擬貨幣交易平台業者、錢包經營者或保管者都列為新的洗錢防制指令應該要規範的對象,不過有人說它有一個漏洞,也就是如果是虛擬貨幣和虛擬貨幣之間相互移轉呢?這算不算是洗錢防制規範的範圍?假定實體貨幣轉換成虛擬貨幣,再將這種虛擬貨幣轉換成另外一種虛擬貨幣,然後再將另外這種虛擬貨幣轉換成實體貨幣的話,而虛擬貨幣和虛擬貨幣之間可以轉化好幾手,那麼轉換好幾手這部分可能就會成為洗錢防制的斷點。
我們再來看美國的情況,美國是以聯邦和各州協力的方式進行,美國財政部之下設有金融犯罪防制網(FinCEN),他們認為金融服務業和金錢移轉者都必須列入洗錢防制的規範範圍,包括虛擬貨幣的交易平台、提供虛擬貨幣中央儲存服務並發行或回贖虛擬貨幣,這兩個和歐盟其實是很像的。另外,美國現貨與期貨交易委員會(CFTC)將虛擬貨幣定位為現貨(Commodity),這種現貨的交易也納入現貨及期貨相關交易法規當中加以管制。再者,各州政府也把虛擬貨幣納入洗錢防制體系,例如之前裁罰兆豐銀行的NYSD早在2015年就已經訂定虛擬貨幣交易平台的相關規範,他們的規範範圍比歐盟更廣,包括虛擬貨幣之間相互移轉的部分也把它涵蓋進去。剛剛梁律師也有提到,韓國金融監理署(FSS)允許銀行從事虛擬貨幣交易,但是全面禁止匿名交易。
最後我要談一談立法建議,目前我們對於虛擬貨幣的定位是什麼?虛擬貨幣的型態那麼多,它該如何定位?什麼樣的虛擬貨幣需要受到規範,什麼樣的虛擬貨幣不需要受到規範?它所許可的交易型態是什麼?禁止的交易型態又是什麼?如果是非銀行的經營平台業者,必須受到什麼樣的規範?它要遵循什麼樣的法令?因為目前我們的法規付諸闕如,所以個人認為應該要訂定虛擬貨幣交易專法,針對這方面加以規範,包括虛擬貨幣交易實名制等等,透過這樣的規範之後,第二步我們再來修正洗錢防制法,因為在洗錢防制法針對洗錢的相關規範當中,對於業者有非常明確的要求,透過法源讓平台業者可以設立,然後再把他們納入洗錢防制法的規範範圍當中,我認為這樣才是比較完整的法制建設,謝謝。
主席:請余委員宛如發言。
余委員宛如:主席、各位學者專家、各位同仁。首先感謝召委召開這場重要的公聽會,我覺得創新的力量一直在立法院存在著,這也是我們一直在努力的方向。加密貨幣和交易行為在台灣已經有一段時間了,事實上我們也看到市場對此有剛性的需求,如果台灣是一個新創國家的話,對於這種新興的加密貨幣或交易行為都應該要有明確的法規規範。就本席所知,歐盟在很早之前就已經邀請加密貨幣平台作為他們洗錢防制委員會的成員,並以他們為顧問實際瞭解加密貨幣交易資安及消費者保護等方面的風險。雖然我們今天所討論的是洗錢防制,但我覺得這是對於這項新興產業的瞭解與合議,其實洗錢防制只是加密貨幣監管的一部分,剛剛兩位專家已經說得非常清楚,現在我們所看到的就是台灣對於加密貨幣並沒有明確定義,目前是以商品的交易來看待。在這種情況下,我們不能在不瞭解它的全貌之下就貿然行事,當然洗錢防制非常重要,等一下本席也會提出洗錢防制法有哪些部分應該修正,但我還是認為如果要建立法制基礎的話,就加密貨幣的管理而言,我們必須有其他的法規。不只是加密貨幣本身,還牽涉到加密貨幣的交易、交易所及未來的ICO,這些都是相關連的,所以它應該是一整套的法規建置。我們可以看看國外的相關法規,以瑞士來講,他們的規範是最完整的,針對交易所已經有明確的規範,它是合法的,同時他們把加密貨幣的用途區分為Payment、Utility及Access token,這樣的區分非常明確,唯有明確區分才能真正管理或掌握加密貨幣這種新興交易工具未來所存在的風險,因此我認為明確交易貨幣或交易所的合法化非常重要。另外,有關洗錢防制,之前我就一直在倡議我們應該儘早關注此事,假設我們都不管,或缺少明確法規規範,但這又是市場的剛性需求,那麼就可能變成under the table,如此將會讓我們更無法掌握。政府預計在今年底前將加密貨幣納入洗錢防制規範,對此,我支持梁律師的意見,也就是說,在把加密貨幣納入洗錢防制規範前,必須先針對加密貨幣交易所或監理制訂guideline。再則,我認為洗錢防制法第五條第二項可以納入加密貨幣交易平台,這點之前也有相關案例可供參考,如電子票證發行機構或電子支付機構均非銀行機構,卻被洗錢防制法第五條第一項納入金融機構並予以規範,所以我認為這是可行之方向。
最後我要重申,在列入法規討論前,我認為還是要先給此一新興產業一個更明確的方法、指引或規範,謝謝。
主席:余委員最後的意見和張教授所言之立法順序有點像,也就是要有專法,再修正洗錢防制法納入。
余委員宛如:對於加密貨幣交易是否明確合法,現行法規與交易所並無任何明確規範。以最近所通過的金融監理沙盒來說,當中有滿多申請者其實就是打算作為交易所,所以我們期待立法院能儘快完備相關法制,好讓業者有所適從。
主席:很多業務與財政委員會有關,謝謝余委員。
請理慈國際科技法律事務所李蒂娜律師發言。
李蒂娜律師:主席、各位委員。我對這行恐不如各位先進熟悉,故僅能提供一點個人意見供各位參考。在洗錢方面,FATF主要是在區分是否為convertible,而有convertible就有non-convertible,其規範方式是否要求凡為Cryptocurrency就必須統統監管?我想這當中仍有討論空間。不過從剛剛各位先進的講法可知,加密貨幣確實可用於洗錢,如把wallets給人家,而這樣就足以拿來洗錢。由於剛剛很多先進已提到諸種洗錢方式,這裡就不再贅述。不過臺灣的加密貨幣並不只有一種,誠如余委員所說,瑞士就分成三種。原則上加密貨幣可分成三種,卻可再另外衍生出複合式貨幣,而不再只是單純的一種貨幣。在臺灣,是不是對這三種都採取一樣的洗錢防制標準?若把加密貨幣視為商品,則三種均為商品?主管機關為何?又該如何監理?我認為應先研究上述問題才能知道究竟該如何管制。
這是一個新興且會繼續發展的新科技,如果台灣只是為了防制洗錢而做了非常嚴格的監理規範,如此是否會讓Financial Innovation感到擔心,從而認為臺灣是個不容易接受新科技國家?爰此,在政策的擬定上,能否做出區分而非均採同一套標準?但這麼一來,就不是現有金融監理所能規範的,或許必須另外設計一套比較新的,同時加入新興元素的規範會比較適合。謝謝。
主席:請現代財富科技公司劉世偉執行長發言。
劉世偉執行長:主席、各位委員。我從比較實務面的方向來談,因為我們是國內的交易所,也就是業者。我們每天與銀行處理金流,面向台灣消費者來處理逐筆交易,現在簡單向各位介紹一下流程。
第一,實名認證,也就是洗錢防制。我們剛開幕的交易所稱為MAX,此為全球第一家與銀行有直接信託的交易所。換句話說,我們無法動用客戶儲存在我們這邊的台幣,且每一筆都必須由銀行來授權。
第二,在實名認證這部分,我們不僅僅蒐集客戶的KYC資料,還必須透過FXML把資料交給銀行,銀行再透過聯合徵信或其他資料庫來做對比。舉例來說,我是公司負責人,被銀行資料庫列在高風險之列,因此無法使用自己的交易所。今天我們除了是第一家與銀行有直接信託的交易所外,也是唯一與銀行有如此緊密合作方式的一家。雖然沒有達到剛剛張律師說,韓國即將執行的客戶必須於本行開戶這點,但就跨行而言,我覺得我們已經做得滿嚴謹的。
另外,針對如何加強實名認證,我們有些具體建議如下。
國內的群信公司係由幾家電信業者與金融機構合資所設立的,在進行KYC過程中,我們要求需上傳本人身分證資料與自拍照外,也必須提供電信帳單,以對應客戶名字與其地址。群信其實擁有這些資料,因為從電信業者手上自可取得客戶身分證資料與地址;至於金融部分,則與金流資訊有關。倘若我們可以與群信合作、連結,相信足以加強KYC與洗錢防制的關係。
在取得客戶的身分證資料後,我們會向內政部國民身分證查詢系統查詢。如螢幕上所示,為了分辨並防止機器人而設置了CAPTCHA CODE,我們希望能做到API化,即透過內政部國民身分證查詢系統來查詢該身分證是否為自然人,這是我們的一個建議。
剛剛也有教授提到,假設我們進入區塊鏈世界,那麼法幣都會換成虛擬貨幣。其實我們公司在加州的部門研發出blockseer區塊鏈,這是一種實名與資料分析的工具,國內除了刑事警察局與調查局從2015年就開始使用以外,在美國也得到FBI與Secret Service的認可每天使用。簡單來說,這是一個統計工具,將比特幣與乙太幣的地址透過統計方式綑綁成一個單位。我們唯一缺乏的是每一個單位的實名身分。一些比較大的單位,如大的交易所,雖可以直接認定該錢包該地址等於該交易所,但反過來說其他的就沒有辦法,爰此,我們的建議為:將國內每一個提供錢包或者交易所服務的地址提供給警方,而警方即可透過類似blockseer的工具來做對比,讓在區塊鏈所發生的交易實名化。
最後,我們另外一個建議是,我們每天所處理的,除了與洗錢防制有關的案子外,其他就是詐騙案件,譬如三角詐騙、其他詐騙之類的。也因此,我們常常接到警察單位的電話與來函,為此,我們希望政府能設置蒐集所有詐騙案件的統一窗口,讓我們可以統一處理並解決每個案子,我想這樣做應該可以提高效率。謝謝。
主席:所謂的統一窗口是指不要一件一件來,蒐集好了再一起來,是嗎?
劉世偉執行長:可以這樣說。或者就是每一起發生的事件都匯集到某單位,我們再直接與該單位對接。
主席:劉執行長是今天出席人員中唯一的業者代表,或許大家可以根據他所提供的案例來給政府與業者建議。
請臺灣大學資訊工程學系廖世偉教授發言。
廖世偉教授:主席、各位委員。區塊鏈及反洗錢涉及鏈圈與幣圈問題,其中區塊鏈就是鏈圈,幣圈就是虛擬貨幣、數字貨幣與洗錢等問題。我上個月到監察院試著與監察委員解釋何謂區塊鏈、物聯網與人工智慧,講了半天後,我以國父的地盡其利、物盡其用、貨暢其流與人盡其才為例來解釋,所謂地盡其利就是區塊鏈;至於貨暢其流,我不敢說這是洗錢和反洗錢,只能說是貨幣暢流;而物盡其用就是物聯網,人盡其才則為AI。這是我上個月為了給出自社會系的監察委員們解釋所想出來的。
我現在很快地講一下何謂地盡其利、貨暢其流,但又不會有洗錢疑慮。其實反洗錢也不能無限上綱,舉例來說,如果到銀行提領十萬元,銀行並不會告訴我們這十萬元來自哪裡,也不會說當中的一萬是來自台灣肯亞詐騙集團存進來的,畢竟銀行無法一下子就把所有資訊統統告訴大家。在與金融機構和金管會交流過後,我反過來思考臺灣的虛擬貨幣,不管是幣圈或鏈圈業者,若其達到KYC和AML標準與銀行類似,則政府理當給其與金融業者一樣的待遇,我想這樣應該滿公平的。畢竟業者把區塊鏈上的每一筆交易都鏈起來了,且每一筆都可以往前追蹤,而且是在沒有實名制的前提下,所以我認為實名制是一個最基本的要求。
接下來我把韓國、日本、瑞士與新加坡的狀況蜻蜓點水說一下。從今年1月開始,韓國交易所可以在銀行開戶,這點比臺灣來得好,因為去年12月金管會表示,對比特幣業者到銀行開戶是持比較不鼓勵的態度。至於韓國政府則在1月30日要求落實實名制,並訂出反洗錢遵循標準換言之,這是一種收放自如的兩手策略,既放手讓交易所可以到銀行開戶,卻也可以收緊管理,這樣業者才敢做比較大程度的開放。反觀臺灣金管會,則不允許交易所到銀行開戶,偏偏交易行為仍在進行中!所以,如果臺灣能訂出標準讓業者有所遵循,並可以到銀行開戶,我想這會是比較健康的,否則就會像余委員所說的,若政府不以清楚的標準規範,就可能轉往地下金融發展。
韓國金融委員會(Financial Services Commission)於2018年1月底實施反洗錢規範,但早在1月初,即檢查了韓國6家銀行,並發現與反洗錢有關的諸多問題,進而制訂相關規範與遵循標準。在2月時,美國SEC和FED提到,將積極正面看待並瞭解虛擬貨幣,他們所用的字是The genie is out of the bottle,genie已經爬出瓶子了。像美國和韓國都檢查後,才知道要怎麼制訂法規,因此,我建議政府必須先積極瞭解業者與銀行間的關係,譬如韓國政府就發現有6家銀行對交易所KYC的處理能力比較弱,因為交易所都是以電商名義在銀行開戶。如政府能積極面對這問題,那麼交易所就可以直接表明是比特幣交易所,也可以在銀行開戶,無須藉助電商名義。
其次,韓國在1月檢查時也發現,銀行曾把交易所的錢匯到股東和員工帳號內,而該銀行並未申報此類非正常交易。考慮到KYC和AML的特性及臺灣稅法的影響,我希望政府能就此先做釐清,因為2013年央行和金管會認定此為虛擬商品,這點也是主席一開始曾提到的。但若是商品,其VAT並不合理,因為VAT要課徵5%,若交易所的每一筆交易均照此規定課徵,則交易所利潤將會降低,是以,可否仿新加坡以capital gain來課稅?其實交易所是願意繳稅的,也願意合規合法,但在政府未明確制訂稅率前,其執行業務的風險就會很大!就算國外業者願意來臺灣,也願意繳稅,卻必須面對到底繳1%還是5%稅率的不確定風險。更不知會不會過個兩年,政府就說該行業非法,必須課徵5%的稅?爰此,我希望國稅局或貴院財委會能訂定明確規範,降低業者的風險。像上個月監察院審計部就依審計提出要求,這對業者來說都是比較大的風險。最後是我思考的三個點,第一,有關積極和消極的部分,韓國遵循的標準及定義比較積極,比如交易要主動申報,的確韓國反洗錢的規範,在第三十二條就開宗明義講目的是消費者保護、降低逃稅及洗錢風險,可見優先順序也比較是在這個地方,而非制度化交易所或活絡交易量,因此他們是採取積極申報及監理的方式。我認為積極和消極是很重要的點,比如講成是虛擬商品時,金管會就可能會比較沒有事情的感覺。比特幣在5年前還沒有這麼大,但在之後政府於上個月就提到要監理這部分。
第二,有關online及offline的部分,如果比較能夠取得online的AML,即不只是開戶提來銀行帳戶,就表示銀行幫其做了KYC。在國外比較可以看到即時與國際洗錢的組織等有關連,比如在幾分鐘內可以update,如果客戶在3分鐘前被定義為恐怖份子,而能online去追蹤到的話,在比較積極及online的情況下,我認為政府才會比較放心。由於沒有監理科技就沒有金融科技,如果讓政府可以放心的話,這對業者也是一種很好的保護。最後,我們與工研院及調查局有進行Bitcoin Trace Project,希望以後能夠繼續回報。謝謝。
主席:剛才廖教授講到很重要的一點,就是積極和消極的態度,等一下會由官員來回應。韓國是正面面對及直球對決,當然就要正名化,比如用交易所的身分,而不是採用電商身分來登記。針對登記也要有一套法律,當然可以嚴格去要求實行實名制,並放入反洗錢的機制之中,就是所謂納管的意思。
請國際公認反洗錢師鄭旭高會計師發言。
鄭旭高會計師:主席、各位委員。今天很高興能在這裡與大家分享一些看法,我們要討論的重點是加密貨幣相關洗錢防制的政策,因此會試圖從政府的角度來理解,看看要如何就行政上來落實,我也找了各國的法規,以及他們的落實狀況是否能應用在我們這裡。
我的outline就是關於反洗錢及反恐融資的相關風險及國際準則,並從國際準則帶到國內發展及國際趨勢,最後還會提出簡單的政策建議。首先,反洗錢的四項重點,包括風險、應對方法、組織(FATF)及如何評估風險及回應。其實FATF有兩份文件,之前政府有做一些翻譯,基本上是在談數位貨幣的風險基礎,以及有關的指導方針,還請大家看一下。
如果從執法層面來看國內的現況,在11月底會有評鑑,我希望在11月前也可以做到一個程度。針對交易所之客戶審查及法規盤點的兩項議題,從法規盤點的來看,去年金管會有提到,是否將數位貨幣納入證券交易法的規範?目前是採個案認定。至於,洗錢防制法該如何去做一些結合?在第五條中有提到「其他業務特性或交易型態等從業人員」,依此就可以將數位貨幣業者納入,而且我們已有一個刑事判決提到數位貨幣與洗錢防制的關連性,這已經出現在司法的實務判決裡。
其次,如何決定它是否有問題,還有責任的衡平及分配等,比如守門員角色應該分配給誰?針對交易所業者之外,我們還有錢包業者及支付處理的提供商,他們之間的負責狀況及舉證責任是在哪裡呢?我認為這都是要討論的問題。大家常常談到數位貨幣可能是一種洗錢工具,它真的是理想的洗錢工具嗎?有時候它的波動價格還挺大的,或許現金洗錢的方便性及匿名性還比數位貨幣好。針對這方面的考察及顧慮,我們可以從另一角度來思考,比如可以用古董來洗錢的話,那是不是要將畫廊都關掉呢?假使是用現金洗錢,那是不是要將銀行都關掉呢?當然我們不會說數位貨幣可以洗錢,就不去管區塊鏈的產業。
再者,銀行法中還有規定,比如非銀行的收受存款會有什麼顧慮?在我們全面檢視法規時也可以去顧慮此一問題。我自己有在研究監理沙盒,其本意是鼓勵創新,即以科技發展創新及金融商品服務,重點就是要減緩業者的責任。然而在第二十五條的但書有提到,「但洗錢防制法、資恐防制法及相關法規命令或行政規則不得排除。」就是數位貨幣或區塊鏈業者去申請監理沙盒時,原本以為可以得到一些行政上或相關責任的豁免,可是從此但書可知,只要是與洗錢防制法等有關就不得排除。今天我們是討論要將數位貨幣納入洗錢防制法,這會出現互相衝突的狀況,到底要免除責任或不得免除責任呢?對於區塊鏈業者而言,監理沙盒會不會形同虛設呢?
在幾百年前成立銀行時,銀行之間也沒有所謂的聯徵中心,如果要去查客戶也不是能查得很清楚,比如某人在A銀行表現不好或信用紀錄不佳,當他去B銀行時,B銀行可能都還不知道。之後才慢慢衍生出聯徵中心,而對於實名認證的需求及數位貨幣是不是也能導入這樣的概念呢?我們可以聯合幾個比較主要的交易所,把聯合徵信的概念納入,這樣一來政府監理變得方便了,因為本來就不容易查到每一個個人,尤其是數位貨幣部分,可是對於大型、具體的、國際知名的交易所,我想會比較容易查找吧!如果可以透過這樣的方式,或許監理上會更有效,在建立公眾信任上或許也是一種方式。
關於美國,第一個討論到證交法的管轄以及防止不當炒作影響市場,美國有些公司把名字改成區塊鏈之後,股價就上漲。目前在台灣似乎還沒有這樣的現象,如果有的話,或許這也是我們的一個concern。美國有聯邦層級和州層級的法規,在責任之衡平與歸屬上,到底責任是歸給虛擬貨幣的發行人還是數位貨幣交易所的管理人,這可能又是下一個議題。比如說立法院發行了一個法律幣,現場有很多很厲害的大律師,當我遇到法律問題想要諮詢各位大律師就可以用法律幣。假如法律幣上到了MY COIN交易所,到底法律幣的盡職調查責任是落在發行法律幣的人還是交易所?歐洲也談了監理交易平台之納管,另外還有對法人之盡職調查,因為比對個人來得容易。英國則是禁止匿名,並對平台與錢包供應商納管。
贊成政府監管有兩種說法,一是有助提升業者自律,二是增加數位貨幣信任度。南韓課稅也有這樣的概念,因為人民依法納稅,這是憲法的權利,所以它也是合法化的。同時南韓也限制未成年人與外國人,不是每個人都可以買數位貨幣。在歐美有些國家,有十幾歲的神童買數位貨幣變成小富豪,風險當然比較高,我們可以從保護兒童和青少年的立場來切入。南韓還會要求分享用戶交易資訊,這和剛才提到的聯徵中心有異曲同工之妙。至於銀行要如何配合處理,其實銀行等機構的態度是看政府主管單位而定,我們政府主管單位的態度如何,現在正在討論之中,這導致銀行是否要協助業者開戶或做其他事情也不是很明確。因此銀行要做一些專案時,都會遇到很多問題,對我們的發展也有一些影響。
除了專法之外,或許我們也可以訂立專門的部門,例如日本就有專門部門負責虛擬貨幣的監管,像是支付相關法規和相關的地位,剛才已經提過,馬來西亞也有相關的規定。至於伊斯蘭國是不是真的以數位貨幣來洗錢?其實因為我們有反洗錢的規定,所以要大額提領也沒有那麼容易。
最後我提出12項小建議和回顧:首先,ICO是否屬於證交法規範?金管會目前是個案認定,如果要納入洗錢防制法規範就要看第五條。至於守門員的角色包括交易所、錢包業者和支付業者,其責任區分包含盡職調查和異常申報,程度則包含上傳身分證、地址、照片和相關業者。責任歸屬是屬於虛擬貨幣發行人還是交易所負責人?監理沙盒第二十五條但書的豁免會不會影響區塊鏈業者實行金融科技的創新呢?銀行的部分要如何處理?政府除了專法之外,是不是也可以有專責部門呢?贊成政府監管的論點是合法化和背書功能,所以或許政府的監管不一定是壞事,謝謝。
主席:今天各位提供的書面資料都會列入公報紀錄,這些資料都很寶貴,謝謝你們把智慧結晶提供給我們。
請聯誠國際法律事務所周宇修律師發言。
周宇修律師:主席、各位委員。我對這個議題不能說有專精做研究,以下謹就我在法律實務運作上提供一些意見。我認為要討論加密貨幣、洗錢防制,應該先討論它在憲法上的問題。依照憲法第十五條和第386號解釋的意旨,政府對財產權其實有義務作制度性的保障。第386號解釋講得滿清楚,如果對一個財產,政府無法用一個制度作鞏固和危害的預防以及回復的機制,會有一個核心性的問題。
回到加密貨幣的討論,剛才很多老師和實務先進都提過,到底加密貨幣的定位是什麼?它是貨幣還是商品?我們不知道,我們知道的是它確實有某種程度的價值,如果要保護這個價值不被侵害,勢必要在制度上讓這個價值能被實現。這個問題就像我們會在那麼多票據制度中去設計掛失等等,道理是一樣的。憲法中不是沒有對這種東西立法的依據,但是另外一個反面的問題是,我認為它會侵害到資訊自主權和秘密通訊自由,這在第756號解釋已彰顯過對基本權的侵害。
所謂的加密貨幣乃至於先進的技術都在保障人民私底下不受政府干擾和討論的空間,尤其在現在這個社會,政府機關或其他相關單位都希望對人民充分掌握和監控,我不能說它絕對錯,但是當我們在做這件事的時候,要想到對人民做的這些掌控和監控,它的正當性、目的性和手段到底在哪裡?所以我認為如果要討論加密貨幣,勢必要考慮到人民透過這個東西做自己想做的事情的空間。
第一步,在立法上可能還是得對加密貨幣作比較明確的定義,如果再把這個東西扣到洗錢防制的概念,會發現幾個層次的問題。假如我們認為加密貨幣本身就是一種金錢和貨幣,那我們把交易行為變成加密貨幣的同時,可能我就會直接受到相關法令的管制,甚至就是一個洗錢的行為。但如果我們認為加密貨幣在做成的時候,只是有點類似代幣或網路遊戲的點數,最後並沒有真正的金錢實現,那麼是不是需要給它這麼多管制?大家都知道,洗錢防制法所以叫做ML是因為當年是用洗衣店來洗錢,我們不會要求洗衣店提供每一條毛巾的來源。這時到底要要求加密貨幣到什麼程度,在這裡的討論就會變成很多的層次。我覺得最基本可以要求的是實名制的部分,因為管制的正當性還是來自「我知道是誰」這件事是比較重要的。就像以前我們辦手機門號時不需要太多的證件,導致很多犯罪預防出了問題,所以最後要求辦門號時至少要知道你是誰。可是如果我們要針對這些東西作管制時,整個管制成本必須考慮,畢竟現在政府官員的人數有限,能做的事情再怎麼多也是有限的,所以要在什麼樣的行為去做什麼樣的管制,我們至少要考慮兩件事,第一個是對象,第二個是行為。就如同洗錢防制法,它並不是毫無邊際地要求什麼樣的交易行為都要管制,而是列出特定的犯罪罪名和特定的人,這些人必須負起這些責任或是針對某些犯罪如商標法等相關法規的犯罪行為才會納入洗錢防制的討論,這個時候是不是要漫無邊際的對所有加密貨幣行為進行管制?其實我們可以看到洗錢防制法的核心並不是這樣子,我們還是要界定對象和行為來加以討論,在界定對象和行為時,我們還要考慮兩個問題:第一是我們在執行這些行為的時候,可能會發生外溢效應的問題,所謂的外溢效應是指進行這樣的管制之後,可能反而會得到一些我們不想要的結果。
在此我必須講一個洗錢防制法施行之後,對於律師界和會計師界產生明顯困擾的情況,為什麼?因為每個律師都被銀行要求重新提供事務所帳戶的資料,有些搞不清楚狀況的銀行就直接發給一張股份有限公司的表叫我們填寫,然後問我們事務所的代表人是誰、怎麼沒有在經濟部登記等等,問題在於法務部就不是這樣做,因此導致許多律師都去把銀行帳戶關閉,問題是帳戶關閉之後會比較好嗎?把錢存在家裡之後就不會有洗錢的問題嗎?其實問題反而更大不是嗎?我認為此時的問題應該在於如果要呼籲大家不要透過加密貨幣來洗錢的話,那麼至少要告訴大家什麼樣的狀況可能會導致洗錢的結果,或者我們應該要考慮為什麼有人會希望透過加密貨幣的管道去做一些有價值的交易?依照我的看法,第一個有可能是稅務的問題,第二個是現行法定貨幣在運作上可能有一些盲點,例如近幾年為什麼大家要推動行動支付?其實我覺得有一個更深層的原因是因為目前信用卡的交易機制很容易遭到側錄及盜抓,當我告訴你說我使用行動支付,而刷卡單位根本不知道卡號的時候,我就會比較想要去用。也就是說,現在的問題在於當我們在路邊作交易的時候,有人會給你一張假鈔而你是看不出來的,之後你可能得以關係人的身分去警察局說明或是去調查局吃一個滿好吃的便當,這時使用加密貨幣的誘因就出現了,反之,如果現在的法定貨幣或其他貨幣行為能夠有更強大的競爭關係的話,那麼使用加密貨幣的誘因就會減低,源頭的問題也就不會發生。回到我一剛開始所講的,當然洗錢防制區分為許多程度,可是我始終認為我們應該要討論的問題要不是壓制最前端的犯罪行為,就是管制最後端把這些有價值的東西變成錢的那個時候,所以關鍵還是在金融機構身上。
相信大家都知道,並不會因為相關法規通過之後,金融機構所遭遇的洗錢問題就因而結束,去年12月29日金管會針對慶富案,分別就兆豐、第一、土地銀行裁罰800萬元、1,000萬元及400萬元,為什麼?金管會把理由交代得很清楚,它說:你們在做這些查核的時候,忘記要考慮洗錢的問題。如果到最後破口出現,而這些東西都還是有兌現過程的話,我們能不能找到前面的東西?對於這些東西的防止措施是不是能夠做得好?這些東西和加密貨幣絕對的關聯性在哪裡?坦白講,我個人認為無法絕對看得出來在哪裡,但我並不反對針對加密貨幣進行一些必要的措施,包括實名化或是在某種程度下讓它在銀行正大光明的開戶或是進行一些交易行為,畢竟我們所要control的是讓每個交易行為或兌現行為能夠清楚交代他們的客戶或金錢來源的可能方向是什麼,這樣才能抓到更前面的部分。與其什麼都禁止,倒不如直接攤在陽光底下讓大家看。
最後,為什麼剛才我要特別提到隱私權和秘密通訊自由的問題,主要是因為今天討論題綱第三點提及資訊安全防護機制的問題,同時委員會也提供了資訊總處組織法草案的相關規定,但我還是必須提醒大家,資訊總處組織法畢竟只具有組織法的功能,不可能因為資訊總處組織法通過之後就自然取得行為法的適格,連帶導致現在就可以針對所有資訊加以管制,我們要問的是現在針對資訊管制的法律依據到底在哪裡?現在資安法還躺在立法院裡面,可是我們面對這麼多資訊,究竟要授權讓政府能夠控制人民的資訊到什麼程度?我覺得這可能是更上位的部分必須要去作討論的。
以上就是我的簡單說明,謝謝各位。
主席:謝謝周律師,周律師是從憲法的角度一路分析下來,其實不管是貨幣、錢或貨物,基本上它都是財產,從這個角度來講的話,就是憲法所要保障的財產權。剛才大家就許多不同的角度來討論,也就是說,如果沒有一套制度的話,財產權就沒有辦法保障,這好像比較是站在消費者保護的角度來看。
有關資通安全的部分,在場的三位委員都是專家,針對資安法的部分,現在是不是還在協商?
許委員毓仁:委員會協商已經結束了,下一波應該是政黨協商。
主席:我想那也不會協商太久,應該馬上就會進入二、三讀。我們可以看到余宛如委員及許毓仁委員所提的資訊總處組織法草案,周律師講得沒有錯,那應該只是一個架構,架構自己不會動,必須還有作用法才可以。
現在休息。
休息
繼續開會
主席:現在繼續開會。
請金管會銀行局王副局長說明。
王副局長立群:主席、各位委員。針對虛擬貨幣的議題,方才有許多專家學者及業者提出許多指教,今天我們是抱著學習的心態來聽取各界意見。金融監理機關對於這項議題一直都在持續關注,我們對它並不是陌生或有不瞭解的地方,但是為了營造新創科技或新型態商業行為的合理發展空間,金管會在這方面的立場比較審慎,我們也不願意過多干涉,以致於妨礙它可能的發展,但是對於現有法規所應該維持的尺度,我們會視實際行為的狀況及事實,基於執法的立場,持續予以高度關注。從剛才的討論當中,我們可以看出許多不同層面的意見,因為它所涉及的不只是新興的Fintech區塊鏈技術的應用,同時也涉及資訊安全的問題。
就這個議題而言,我分兩個層次來報告,第一個是關於金融機構可能涉及的洗錢防制的部分,洗錢防制的架構目前是所有金融機構按照相關法規、相關建議及評鑑所要求各國一致的標準在執行洗錢防制作業,所以不管是虛擬貨幣業者或個別平台,任何客戶在和銀行進行業務往來,都要遵守我們對洗錢防制的要求。
其實洗錢防制最主要的就是要瞭解風險之可能所在,辨識風險、認知風險,然後要採取有效的風險抵減措施,把可能的剩餘風險做一個最有效的防制。所以在客戶端的部分,銀行在執行客戶盡職調查、瞭解客戶時,如果認為客戶的業務往來或經營型態涉及高風險行為,就按照現行洗錢防制的相關法律架構進行評估,並根據各銀行的營業政策來做一些經營上的取捨。總之,這個部分無論新開戶或已開戶,就是按照現有的洗錢防制架構來和客戶互動。
就監理機關而言,我們對這個議題是抱持審慎的態度,對新創科技的發展是希望不要用太過明確、嚴格的法規來阻礙它未來的可能性,但是我也要強調,我們必須在不違反現行法規,包括剛剛有先進提到的證券交易法、銀行法,比方說非法集資或者是涉及違規、未經許可的行為,這個部分我們希望在一個最低的法律規範環境底下去做一些系統上或技術上可能的應用和發展。
就虛擬貨幣的業者來講,我國目前採取的步調和其他國家相較並沒有什麼太大的不同。雖然叫做虛擬貨幣,但是現在沒有任何一個國家用法律去認定它屬於貨幣的地位。所以有關我們對虛擬貨幣的立場,從去年到現在,還有它過去整個發展,我們認為它並沒有所謂的市場價格,因為它是一個交易價格的呈現,事實上市場價值的波動是很劇烈的,所以我們必須提醒民眾。雖然我們不去干預它,但是剛剛大家也不斷提到消費者權益保護的問題,所以我們必須提醒民眾,在相關的交易風險上,它是一個高風險的虛擬商品。針對這個部分,我們覺得我們只有不斷提醒民眾在這方面做相關的、謹慎地處理。
在業者平台方面,其實我們和其他國家的認定標準是相當類似的。因為虛擬貨幣本身存在著一些值得深入探討,比方說剛剛有教授提到的實名制的問題,而在虛擬世界的環境裡面,最大的問題就是並非面對面,不知道對方到底是誰;因為不知道對方是誰,後續就會衍生「問責」的問題。針對這個部分,我們願意觀察市場的發展,給它適當的空間,但是相對的,在資訊安全、消費者權益保障,和營業行為的內容可能涉及被洗錢等不法手段利用的時候,在現有的法制中,我們應該是有能力充分來處理這些問題,但是如果有更深入的探討或建議,我們原則上都會抱持開放的立場,也願意和外界保持對話,隨時發展新的、可能的未來市場的規範。以上報告。
主席:請科技部工程技術研究發展司賴副司長發言。
賴副司長宇亭:主席、各位委員。其實科技部關注區塊鏈技術已經有兩、三年了,106年我們就有一個數位經濟的旗艦計畫,其中也對金融科技和區塊鏈技術做了一些探討。
區塊鏈的技術不僅應用在金融科技這一塊,工業4.0、食安、能源等等,也都有相關的運用。針對金融科技方面,科技部有補助兩個比較大的案子,一個是政大的金融科技創新營運研究中心,這個部分張老師和廖老師都有接觸;另外是去年有一個國際產學聯盟,希望能夠協助業者和學界,對於區塊鏈技術、金融監理、資安、交易安全等相關規劃,都可以在這個國際產學聯盟裡面進行討論,它也可以做為學界、科研界、產業界與政府部門之間的contact。也就是說,我們可以把國際趨勢、學界所看到的一些比較好的發展狀態,和可能可以建置的機制做一個反映。這其實是政大王副校長在handle的計畫,我覺得透過這個計畫的執行,可以讓我國未來推展這個部分時,包括法務部、金管會之間的聯繫更通暢一點。以上說明。
主席:請法務部檢察司副司長兼行政院洗錢防制辦公室余執行秘書發言。謝謝余執秘剛剛從外面趕過來。
余執行秘書麗貞:主席、各位委員。行政院剛好在今天舉辦首部「國家洗錢及資恐風險評估報告」的發表會,所以很抱歉沒有在第一時間趕過來。
非常敬佩主席這麼具有前瞻性地針對虛擬貨幣的問題召開今天的公聽會,因為我也是檢察官,其實我們跟執法部門偶爾都會聽到有人在問:部裡面有沒有要針對利用虛擬貨幣(前一陣子以比特幣居多)做為詐欺、販毒交易工具進行納管?也就是說,納管方面確實有滿多聲音進來,但是相關的納管工作當然要符合國際規範。
FATF針對這方面提出40項具有前瞻性的建議,其中第15.1項是各國與其金融機構在推出新產品的時候,包括採用新的支付機制,或運用新的科技產品,一定要辨識並評估其所產生之洗錢或資恐風險。也就是如同剛剛很多老師提供寶貴意見時所講的,定義是什麼?定義清楚之後,我們就可以知道它在這個產業和社會上到底會產生什麼樣的風險,並且進行評估。
法務部曾經在106年12月27日邀集中央銀行、經濟部、金管會和警政署,瞭解目前在金融面或執法面,比特幣被運用於犯罪或者有沒有可能被運用於洗錢,進行公部門的討論。大家的共識是似乎有納管的必要,但它的範圍為何?要由哪個機關來負責監理?這些部分還有待釐清。
接下來是今年4月10日,我們邀請兩家比特幣業者來法務部討論,最主要是針對管制面,尤其是客戶審查和交易紀錄。這部分執法部門也提出質疑,表示如果犯罪所得是用比特幣來做交易的話,技術上要突破的就是要如何扣押,因為他們有一個私密金鑰的技術問題要突破。現在調查局和警政署都在陸續評估,如果真的是犯罪所得的話,查扣部分的技術面要如何有所進展。
今天公聽會的第二和第三個主題是KYC/AML機制研究小組的必要性及具體做法。如果這些虛擬貨幣要納管,當然就是要指定,看要不要納入整個洗錢防制的體系。根據洗錢防制法第五條第四項的規定,就像最近記帳士納入管理,如果有必要納管的話,可以由行政院把相關的業別納入洗錢防制的體系。也就是說,如果要進行這些加密貨幣的交易,就要採取關於KYC和AML等相關的具體作法,還要建置安全體系,不過要先等到我們定義好虛擬貨幣、確定要怎麼監理和由誰來監理,這樣才能夠有一套比較完整的制度並據以規劃未來的監理流程,要遵循相關法律來做客戶審查跟保存交易紀錄,還要加上執法機關的協力,針對這個部分,法務部在納入業者的意見之後會儘快呈報行政院。我也要謝謝主席今天召開這個公聽會,讓公部門能夠更積極的從事這方面的研議,謝謝。
主席:請行政院資通安全處吳高級分析師發言。
吳高級分析師啟文:主席、各位委員。首先感謝主席安排召開今天這個公聽會來討論防洗錢和資安的議題,讓我們可以有初步的了解並聽取學者專家的建議。關於資安這個議題,其實要從資安是一種風險管理的觀點來看,以加密貨幣來講,其實我們第一個要掌握的就是資安威脅的趨勢。就如同主席在一開始所談到的,從104年開始勒贖軟體的問題非常嚴重,到了105年、106年特別的嚴重。可是要追查勒贖軟體非常的困難,一般就是把資料加密、綁架來要求用比特幣支付贖金。我剛才聽到一個消息以後非常的高興,就是目前調查局跟臺大的廖教授有在研究Bitcoin Tracing這個問題,因為Bitcoin這個技術有用到區塊鏈、用洋蔥網路、都是匿名化,所以要追查會非常的困難,甚至要國際間一起來合作,我非常樂見有這樣的合作。
其次,通常電腦在被入侵以後,其實第一種可能就是偷取比特幣,第二種就是在政府機關裡面電腦被入侵並被植入一些挖礦程式,目前我們看到的例子就是一些門禁系統,因為比較沒有管理,所以被駭客用來賺一些挖礦的錢,這是目前在政府機關裡面看到比較多的例子。所以我們要先了解一些威脅手法、入侵手法,第一,目前特別多的就是挖礦程式;第二,就是入侵使用者數位裝置或是雲端的伺服器來進行挖礦;第三,其實目前有時候是用社交工程的方式,包括透過e-mail或釣魚網站來入侵電腦。最近我還有看到一種趨勢,就是用假的QR Code讓你點選,然後再入侵你的電腦。所以第一個方式一定是先入侵你的電腦。我想這是第一個部分,所以我們必須要了解入侵的手法。
再者,我們可以看一下目前國際上一些有關加密貨幣的盜領案例,我們可以分兩個面向來看,第一個就是服務平台、交易平台這一塊,第二個是消費者保護,包括服務平台管理者的問題。以服務平台來講,其實我們也有看到一些例子,就是交易所內部同仁監守自盜,這就是內部控管的問題。第二個就是程式設計不當,有弱點讓駭客能夠入侵並盜取加密貨幣。以終端用戶使用者來講,包括平台的管理者,可能因為社交工程郵件的部分被入侵而被盜走整個管理的帳號密碼,並導致比特幣被盜走。第二個是一般消費者這個部分,因為連結到釣魚網站,導致他的憑證被盜走、比特幣被盜走。我們目前在國際和國內看到比較多這樣的例子,就可以分成兩個面向來看。
一般我們在看加密貨幣安全的時候會看兩個問題,第一,我們如何確保加密貨幣不會被盜走;第二就是怎麼確保加密貨幣交易不會被偽造,我想這兩個是我們比較關心的議題。以第一個議題來看,要怎麼確保不會被偷盜走,我們建議消費者要選擇比較可以信賴的交易平台,就是目前全球比較大的交易平台,因為它在資安方面會做得比較好。第二,我們要去思考一個觀念,目前我們把數位貨幣稱為熱錢包,這裡面可能包括可連網的位址還有交易平台,可以轉存到離線,因為如果還在連線中,電腦的路徑就被偷走了,如果轉到冷錢包,可能是一個硬體裝備,如果妥善去管理這個冷錢包,其實它的安全度是比較高的,就算電腦被入侵,因為不在電腦設備裡面,所以會是比較安全的。
第二,其實我們會思考這個交易會不會被偽造的問題,剛剛普華的梁律師也有提到,目前我們區塊鏈是用PKI的技術,在加密方面非常的嚴謹,所以要入侵會非常的困難。我們也有去算過,以比特幣為例,如果要破解的話就要用51%的資源,要花48億美金,而且每天大概要6,600萬度的電力,才能去主導這些比特幣的流向。所以我覺得這一塊其實比較不會發生,目前也沒有發生相關的案例。
我們後續對資安強化這一塊可以為兩個面向,第一個就是從消費者保護的觀點來看,對於加密金鑰的保存要宣導用冷錢包的觀點。第二個就是一般我們在連上電腦以後常用的帳號密碼,目前駭客最常用的就是Keylogger,它會側錄你的帳號密碼,在你的帳號密碼被偷了以後,就可以取代你去上網。第三個就是我們不要去隨便安裝app還有一些公眾WiFi,特別是在涉及到金融交易的時候,更不要去使用這些東西,這樣對使用者來講會比較安全。
第三,我們從企業的角度就是平台的角度去看這件事情,以平台業者的角度來看,我們剛剛也有談到程式碼弱點的問題,所以我們要去加強資訊人員特別是程式開發人員、系統維運人員的資安能力,這是我們後續必須要加強的地方。
第四,如何去加強內外部的控管,我要跟各位委員報告,其實目前電腦漏洞一直在發生,以往在發生漏洞的時候,可能是花一個月去補,可是現在如果在發生以後不馬上去補起來,大概一天、兩天就會被入侵了。所以要定期執行軟體的更新還有弱點的掃描,建置應用程式白名單來進行權限存取控管,這些都是我們要注意的地方。
第五,如果真的發生資安事件要怎麼去儘快通報應變,要不要向銀行局、警調通報,要怎麼做定期演練,然後把損害降到最低,這就是我們對平台業者的建議。剛才現代財富的劉執行長也有談到,後續關於檢調機關統一窗口即反詐騙165這一塊,我們會協調刑事局來做這一塊的工作,以上報告,謝謝。
主席:謝謝吳主任,也麻煩你把資料提供給本委員會。
請國發會資管處潘處長發言。
潘處長國才:主席、各位委員。謝謝主席今天召開這一場公聽會,我個人對於今天公聽會的主題有一些想法,我在這邊跟大家分享一下。從今天公聽會的主題來看是有兩個部分,第一個是洗錢防制,第二個就是加密貨幣的控管,這兩個部分當然也是互相有關聯,但是我們分開來談,洗錢防制基本上目前已經有一個完善的架構機制,甚至跟國際間的連結也都非常的完善,但是在這個完善的機制裡面,因為有虛擬貨幣的出現,所以是不是要對虛擬貨幣這一塊再去做補強,這當然就是今天公聽會最主要的議題。但是我們從另外一個面向來看,虛擬貨幣有一些特性,我們要針對這些虛擬貨幣的特性從洗錢防制法裡面去做加強,還是說我們要先就虛擬貨幣做一些管理,這也是未來值得討論的問題。
我們從虛擬貨幣的這個面向來看,其實虛擬貨幣是在新的技術上面所發展出來的,如果我們特別針對虛擬貨幣去做一些管制,那由這些新的技術所衍生出來的一些現象是不是也需要管制呢?我以區塊鏈這一塊來講,虛擬貨幣固然是基於區塊鏈發展出來的,可是區塊鏈這個技術持續的發展,其實後續也有所謂的智能合約和其他的一些應用,我們管了虛擬貨幣,那麼智能合約的法律性或它衍生出來的部分,是否也要考慮到這些問題?所以我認為我們應該先把這些問題加以釐清,先盤點一下我們要處理的範圍是哪些。
再回到虛擬貨幣這件事,其實它在十幾年的發展過程中也有一些技術上必須處理的問題,像比特幣是最原始的,以乙太幣來講,它也曾發生過所謂斷鏈的問題,也就是說,過了一段時間之後,它經過某些機制而造成了分岔,目前這部分的處理都是在社群中間大家來做決定,如果這部分納管、法制化的話,我們所做出來的這些決定,社群他們能否接受?國際上的看法會怎麼樣?所以這部分我認為應該參考一些國際趨勢、其他國家的想法,也就是說,我們先看看虛擬貨幣、區塊鏈等等在社會跟經濟上的風險有哪些,再看看目前洗錢防制的機制中有哪些不足之處,然後對於這些不足的地方去做處理,經過這樣的分析、盤點之後,也許我們未來的規劃會更清楚。
主席:請問列席機關代表有無補充發言?(無)無補充發言。接下來請區塊科技公司黃敬博執行長發言。
黃敬博執行長:主席、各位委員。我們公司算是新創公司,主要是跟瑞典一些區塊鏈專家合作,我知道他們也在推國有的虛擬貨幣,所以這是一個主要的趨勢。我覺得這裡面有幾個很重要的部分,如果要防弊,實名制是必要的,我自己是這樣認為,現在區塊鏈最大的應用就是比特幣,其最主要的問題就是匿名,所以沒有辦法追蹤,因此變成一個很大的洗錢管道。如果有辦法把整個transaction用自然人憑證或其他方式鏈結在一起,應該可以解決大部分的問題。
至於資安,我覺得所有資安問題應該都是回歸到資安的防護機制,所以不是只有區塊鏈的應用上有什麼特別獨到的地方,也就是說,其實它還是回歸到各個層面的防護,總之,我認為最主要就是匿名制的問題,這部分需要好好去加強。還有一個就是認證的問題,在瑞典的應用裡面有一個很好的應用叫做BankID,它不是用政府來主導,而是民間企業來主導,每個人有一個自己的ID,這個ID很像自然人憑證,只是它是鎖在app裡面,所以任何人只要勾稽到這個人是自然人,他登入的時候能證明是這個人,所以它的機制很簡單,你不用再上網去敲帳號、密碼,只要你能打開你的app,不管你用什麼方式來打開,那可能是一個很簡單的指紋辨識加帳號、密碼,打開這個app裡面自然就有他的私鑰,如此一來,這個自然人等於憑證的應用就起來了,所以他做的所有交易就可以被trace。他們在瑞典的應用非常普及,可能有超過80%以上是沒有所謂的現金交易,因為他們就是用一個很簡單的BankID,我想這是世界的趨勢,所以將來應該也可以看看怎麼樣來推廣,把政府一直在推的自然人憑證機制結合在一起,以上是我個人的看法,謝謝!
主席:瑞典已經達到80%無貨幣交易了。現在所有專家學者第一輪發言完畢,我們還有一些時間,請問各位專家學者有沒有需要第二輪發言?有需要的請舉手。第二輪發言時間為5分鐘。
請普華商務法律事務所梁鴻烈律師發言。
梁鴻烈律師:主席、各位委員。我再簡單把我的一些論點跟各位做個分享。我們今天談virtual currency大概有兩個議題,一個是反洗錢,它是在FATF的結構下做的,另一個是消費者保護,它包含幾個區塊,第一個就是傳統消費者保護的議題,包含揭露、客戶的客訴處理等,另外我覺得有相關性的議題就是我剛剛說的審慎監理傳統這些元素,safety and soundness要不要放在對於這些機構的相關監理,要不要變成一個元素?比如說,比特幣平台。第三個就是資安,我覺得這兩個是不同的議題,要分別處理消費者保護和反洗錢,今天主要是談反洗錢,對於反洗錢,我覺得大家的共識是實名制必須澈底執行,我相信這也是業者的共識,比特幣平台他們也是這樣認為。但實名制是不夠的,因為實名制做到的是什麼?是一個入口,是一個onboarding的process,你可以知道這是誰,但是持續的交易監控這一塊才是真正的難點,我們如何得知這個比特幣平台的使用者在做疑似洗錢的交易?我剛剛說過了,虛擬貨幣在線上移轉,基本上你是找不到的,實際上賣這個比特幣的人,他的貨幣來源是從哪邊來?你可以知道最終的來源嗎?這是非常困難的,這是一個典型的可疑交易你必須突破的地方,而且還有一個問題,對於這些交易平台,包含比特幣平台、錢包的服務業者、支付業者,你是不是要訂定一個獨立的專法?我覺得也不一定需要,因為你可以綁在銀行的監理,銀行對這些平台業者的監理其實就已經足夠了,世界上很多金融中心是用這樣的方法,而不是特別把這些找出來立一個專法,我覺得這部分可以搭配目前洗錢防制法對於非金融機構這一塊的監理,其實應該就足夠了,就是以銀行為主,然後搭配對於非金融機構的反洗錢監理,這是有關反洗錢的部分。
關於資安,我要呼應吳主任所提冷錢包的概念,對於資安的部分,我覺得我們有兩個可以努力的方向,第一、對於服務提供者本身是否具有合適的資安的能力,這是一個消費者保護的議題,另外,當客戶自己保管他的私鑰,舉例來說,這個沒有服務提供者的問題,其實這是一個教育宣導的問題,私鑰這件事是一個關鍵,私鑰就等於是虛擬貨幣的所有權,但是你要如何來做資安維護?如果我是一個投資人,我自己要保管我的私鑰其實是很簡單的,你把那64個數字加上英文的私鑰密碼,你把它離線,你可以把它存在一個存取性裝置,或是寫在一張紙上,把它放在保險箱裡面鎖起來,這不就成了嗎?這就表示你不會被駭客攻擊了,其實有些是非常容易、非常簡單來推廣的觀念,但是它對資安的維護有很大的助益,我希望把這個結構、我個人的觀點和各位分享,也許我們可以從這邊開始,各界來做一些細節的討論和細節的腦力激盪,謝謝!
主席:請政治大學法律學系張冠群教授發言。
張冠群教授:主席、各位委員。謝謝主席,我第二次發言,我簡單地補充幾點。就剛剛的討論來講,實名制是一個共識,從實名制衍生出來的部分,即當我們要許可虛擬貨幣交易時,到底要許可哪些虛擬貨幣?你要允許虛擬貨幣在法制架構下交易時,有些採取匿名交易的貨幣,那個部分我們應該要排除,不應該讓它進來。比如,現在很多完全匿名式的虛擬貨幣,最惡名昭彰的就是Zcash,Zcash用了一種加密技術叫做ZK-SNARK,這樣子的加密技術不只是交易流程,它讓兩方交易對手之間是完全地匿蹤,這樣的虛擬貨幣即便我們未來訂定專法或以其他監理架構許可虛擬貨幣交易之後,這一類的是不是一定要排除?因為這一類其實就是會被犯罪者利用來做洗錢的工具。
另外,即便是許可這樣的虛擬貨幣交易之後,我們還要很注意一件事情,尤其是在實名制的落實上面,因為現在雖然在區塊鏈的公開帳本上,我們可以查詢整個交易流程,但到底真正交易當事人的身分認證部分,剛剛很多先進都提到身分認證連結的問題,因為在區塊鏈記錄上面,有很多是用化名,這個化名的真人是誰,他是不是利用人頭放在前面呢?這部分才是未來洗錢防制落實跟執行上必須努力執行的重點。
第二個部分是,從剛剛的討論衍生出來的問題,如果我們要訂專法,就要訂得全面,我們今天主要是討論洗錢,不過我簡單的講一下有關消費者保護的部分,剛剛鄭會計師提到ICO的問題,ICO是允許發行者獨立發行一個新型態的虛擬貨幣,新型態的虛擬貨幣提到消費者防制,第一個要知道怎樣防範詐欺的問題,今天發行者要具備什麼資格?發行時是不是要先經過審查?這個就變成是金融犯罪防制上非常重要的問題,不然發行者發行了一個虛擬貨幣吸一筆資金之後,它倒閉了,人就不見了,這時候該怎麼辦?要如何處理?尤其他是透過虛擬貨幣發行的方式,金流很難追查,到時候你要如何幫這些投資人求償?你是沒有辦法的!這跟有價證券發行,它的公開發行公司就在那邊,可以透過投保中心機制幫投資人跟股東求償是不一樣的,這部分要非常地注意。
其次,在虛擬貨幣交易上面,它的型態跟其他金融商品完全不一樣,你說它像有價證券嗎?老實說不像有價證券;你說它像現貨嗎?雖然現在是被定義為現貨,但它又不太像是現貨;所以它的定位、漲跌、風險以及加密機制等都要告訴消費者。
另外,在做適合度評估時,因為它是全新型態的風險,適合什麼樣的消費者,如果未來要開放虛擬貨幣交易時,這部分在KYC(適合度分析)層面上,要怎樣落實?我覺得必須要做比較前衛的思考。我簡單做以上再補充,謝謝!
主席:請聯誠國際法律事務所周宇修律師發言。
周宇修律師:主席、各位委員。剛剛兩位教授及律師講滿多的,我簡單補充我的看法。首先,有關管制加密貨幣產業的法律依據應該要怎麼設計?我想要提醒的是,現狀之下做金融機構管制,其實不只靠單一的銀行法,例如電子支付機構管理條例亦是。所以變成一個狀況是,我們確實會發展一種東西,它長得有點像金融機構,但卻又不是那麼金融機構的組織。所以我要問,我們面對這樣的問題時,要把它當成金融組織做管理嗎?
另一個方向是有關資安的部分,我個人比較想要強調資安的問題,為什麼大家對資安法那麼在意?因為它某種程度課予一些產業必須適度地、必要地、好好地保管這些個人資料跟資訊的運用。草案裡面說的是金融機構、醫院之類的基礎建設,在這個時候,這些加密貨幣的資安管制是不是也至少要有最基礎的建設或是怎樣,我覺得這也是可以討論的。
此外,現在的消費者對加密貨幣這件事情到底瞭不瞭解?在整個交易過程中,在消費者保護的觀點之下,要不要給予適度、某種程度的告知義務?我覺得這件事情也可以去做討論,譬如我現在要來買加密貨幣,到底知不知道這是什麼?評估完,當你知道這是什麼之後,我再建議你買這個東西,這其實也是一個方法。我為什麼要講件事情?因為現在我們國內很多詐騙集團,其實就是透過加密貨幣這個聽起來好像很厲害的口號,去行一些龐氏騙局或老鼠會的行為。
如果政府機關要做,其實某種程度必須要做有點類似bake news check的行為,就是有些人號稱是做加密貨幣的,可是他不是,因為他根本沒有告訴你這是什麼樣的東西,是一個什麼樣的機制,他只是告訴你:你把東西丟給我,兩個月內就可以得到20%的利息,而它的名字叫做加密貨幣而已!
之所以談這麼多,我要講的是在現況下,其實我們稍微調整現行法就可以解決我們遇到的問題,至於是不是要再立一個法,我覺得最終還是要看,我們怎麼去想像這些加密貨幣產業它要長什麼樣子,這是我一個很簡單的補充。
主席:謝謝,周律師講了很多,其實也跟反詐騙有關。
請國際公認反洗錢師鄭旭高會計師發言。
鄭旭高會計師:主席、各位委員。很高興聽到很多專家學者的專業意見,我想這幾個面向來講:第一、消費者保護,這也是呼應張教授剛剛所提到的;第二、金融機構的態度;還有,我們的時勢,昨天我們的邦交國又少了一個,從科技外交的角度;還有剛剛周律師提到的,我們怎麼做一些自律公約或是相關的一些面向。此外,我自己還想要提一下有關稅務改革的部分,也是從會計的角度。
第一、就消費者保護這件事情而言,我目前有接觸到很多業者,他以前可能是做資金盤或是傳直銷,他轉換身分做虛擬貨幣,這樣的類型我們應該怎麼去處理?我們要怎麼讓消費者知道這件事情,這都是我們現在的課題。就業者而言,我們也在做這個區塊鏈的相關項目,我們會透過辦活動的方式、透過彼此訊息的交換來判斷這些人的背景是什麼?所以我們也滿常彼此互相做盡職調查,再把盡職調查的結果互相做分享跟查證,這是我們目前的做法,或許從政府的角度有機會可以做得更好。
第二個,目前金融機構的態度。剛剛召委有提到跟政府的態度有關,比如幾個禮拜前金融機構都有收到金管會的一些函文,提到對於這種數位貨幣平台業者態度是什麼。但是當主管機關態度不明確時,通常金融機構會推定主管機關是相較比較保守,所以他的回復也會傾向於保守,如此就變成兩方都不了解的狀況下,互相推定彼此為保守時,這個結論自然就非常保守了,再加上APG(亞洲反洗錢評鑑組織)11月要來評鑑,讓這些金融機構在採行新創新科技上有更大的束縛跟包袱,我覺得這也是一個滿大的問題,包含比如先前有一些數位貨幣交易所,一天的營業額可以達到100億元,甚至早先有一間更大的,在前幾個月已經撤出台灣,原先他們在臺灣耕耘比較深,也有跟一些政府單位做溝通,然後他們並沒有得到太具體的回應之後就到瑞士;在4月中旬,又有一間滿大的公司負責人曾經登上富比士雜誌,那天他有來台灣待上幾天,我有跟他吃過飯。據我所知,最近他有發布一些訊息,最新的動態是,他到歐美與當地政府或一些相關政商團體,簽訂一些協定或備忘錄,這樣的發展對我們來說滿可惜的。其實我們有機會可以掌握這樣的趨勢,尤其在我們通過這樣的監理沙盒法案之後,我們立法速度在這個領域上,於全球中是位列領先的,但是我們能否繼續保持像這樣的態勢?譬如昨天我國就少了一個邦交國,在某種程度上,或許我們在既有的外交或國際團體組織中,本來就會有一些日益艱難的處境,但如果我們可以從科技的角度來突破,採用科技外交或參加新的科技組織,抑或是制定新型態的科技技術的標準,說不定我還可以有機會找到話語權。畢竟我們本身不是以國家擔保或以黃金本位就會比較有利,如果我們從技術的角度出發,進而發行數位貨幣,還可以節省現今印製紙鈔與硬幣的費用。從央行財報來看,每年花費幾十億元的印製費用,我的想法是從這些面向來看,或許這會是一個難得的歷史機遇,所以我把這樣的想法與大家分享。
主席:其實這就是要與國際做連結。請區塊科技公司黃敬博執行長發言。
黃敬博執行長:主席、各位委員。因為方才有人提及資安的議題,所以我再做補充說明。事實上,我們調查許多家電商遭駭客入侵的類似事件,因為我們本身另外一家公司也是在做駭客入侵的調查,其中我針對與交易有關的部分提出建議,特別是將來與交易相關區塊鏈的應用。第一、我們提及有關數位證據的保存,這個部分非常重要,因為我們在很多時候進行調查,所有的電商參差不齊,有些電商根本沒有所謂的……因為最重要就是開發程式會有很多漏洞,fundamental他可能是租用Amazon或Google等平台,其實那是很安全的平台,但是,他們在這些平台上架設自己開發的應用軟體、應用程式或自己的資料庫之後,就產生很多的漏洞。即使有漏洞也沒關係,問題在於等到這些漏洞出問題的時候,往往無法還原事情的真相。因為他所有的application稽核的log並沒有留下來,所以我建議特別是在審核有關交易的程式上,應該有某種程度要保留到一定完整的log,也就是我們所指的application的log。或許相關法令已經有規範要保留各式transaction的log,可是application的log好像從來沒有人去規範過。
其次,我還提出一項建議就是,基本上,大家都在強調區塊鏈的framework必須透明,所有很多的open source可以自行下載並修改,或許有某種程度就會經過商業包裝之後就不透明了,如果不透明的東西用在一個很大base的framework以後,就可能產生某位工程師或某個人自己寫一段程式就放在裡面,誰也不知道他那段程式到底是在幹嘛?如果是商業應用就算了,但如果是交易應用的話,那應該有一份程式進行透明的監管,以上是我的建議。
主席:有關那個open source呢?
黃敬博執行長:這不見得要open source,但是,你的conversion source也應該要被監管;也就是說,這要open一份程式放在監理機構,看誰要保存這一份程式。萬一出問題的時候,大家可以審視這個code到底是設計上的問題,還是有人植入一段不該有的一個home。
主席:那是惡意的、故意的,抑或只是程式寫得不好而已?
黃敬博執行長:其實這是可以判斷的。譬如現在美國很怕中共有任何的device,可能他是矯枉過正,果真如此,其實我們在一開始的源頭,就可以把他device的很好,任何要參與大型公共的framework區塊鏈的應用,在source code就交出一份程式,看看要放在哪個公正的第三類機構。
主席:謝謝黃執行長,這確實是業界自己在執行上提出很好的建議。請問吳高級分析師對這部分的問題,你會不會比較了解?
吳啟文高級分析師:謝謝黃執行長,我們在很久之後就認識,我們曾經協助刑事局做數位鑑識的調查。我想方才黃執行長所提出的這一塊,確實是目前很多發生資安事件的時候,我們進行追查都發現事證不足,所以很難去找出原因與追溯源頭,所以我認為尤其在交易的部分,剛才有提到很多application log的保存不是很明確,到底要保存哪些log,其保存期限是多少?我們並不是很清楚,以便萬一發生事情的時候,再去做追查就會有困難。如果這方面可以明確,就盡量明確,並賦予業者一些責任,我想這對資安事件處理上是有一定的幫助。第二是黃執行長也提到區塊鏈技術不透明的問題,方才他提到第三方程式監管的問題,我反而是採用積極的態度,我認為他應該定期要做檢測、掃描,譬如目前正在推動SSDLC,即是你在程式開發過程中,最後把資安管理部分也放進去,目前的做法都開發完才去做檢測,這等於事後再做檢測,看看有沒有漏洞,這部分是一年檢測一次,但我認為這方面的做法比較消極,所以我想這可能會強化定期檢測的機制。
其次,在座學者專家很關心資安法的議題,感謝各位立法委員的支持,目前資安法是處於正在協商的進度。其實資安法對於特定非公務機關有所規範,特定非公務機關有分為三類:第一是關鍵技術提供者,以金融來講就是其中的一類。我們規範主要有兩個部分:第一個是它要最基本的資通安全維護計畫,所以後續金融改革對於金融業者要針對資安的部分,提擬自己要如何符合資安維護的計畫,另外還要附上資通安全通報的責任,我想資安法通過之後,我會搭配一些方式來做相關的推動。
其實方才有學者專家也提到科技外交的議題,我向在座各位報告,目前我們在資安這一塊已經掌握滿多駭客攻擊的趨勢,我也向主席報告,其實有很多的國家希望與我們做經驗分享,特別是我們掌握一些比較屬於組織型駭客攻擊的趨勢,所以我們針對這部分也有在做科技外交。以上補充說明。謝謝。
主席:請問學者專家還有沒有人需要發言?如果沒有人要發言,最後我們請法務部檢察司副司長兼行政院洗錢防制辦公室余執行秘書發言。
余執行秘書麗貞:主席、各位委員。今天與會人士有提出很多的議題,雖然我沒有聽到前面學者專家的發言,但我進入會場之後,我聽到大家對於實名制的部分認為這是一個ABC,確實是對洗錢防制有相當大的助益。法務部會儘快整理業界一些意見之後,將公私部門的意見提供給行政院,儘快對於虛擬貨幣做出監理與否及如何監理的決定,所以法務部針對這部分會儘快做處理,應該也是在近期之內就會完成。以上,謝謝。
主席:請金管會銀行局王副局長發言。
王副局長立群:主席、各位委員。方才有幾位先進特別提到金融機構角色的問題,我想我在第一輪報告時有說明過,因為金融機構在洗錢防制的執行作業上,就是按照既有相關的監理政策、洗錢防制要項去做認識客戶、認識風險等必要程序,不管是對開戶或交易持續的過程,都有其一定的標準與程序。方才有人提及金融機構與業者如何做好責任分擔的問題,我在第一輪報告裡面有特別強調,當然大家都非常關心消費者保護與資訊安全,還有平台業者本身應該注意的事項,對於這些議題,我個人更關切由誰負這個責任,因為就金融機構而言,他可能只是參與一般金流的服務,可是大家關切的虛擬貨幣的共同議題要由誰負責?如果要課責金融機構執行認識客戶、實名制、資訊安全等工作,我會覺得對象應該要再檢討,因為對金融機構本身來說,其實這些平台業者就是一般的客戶,他適用的標準跟洗錢防制程序是一樣的。當然他可能有特殊的風險,剛剛大家不斷提到的一點就是透明度的問題。剛才也有反洗錢的專家在現場,洗錢的風險最重要的大概就是透明度的問題。既然沒有辦法完成很多必要的要件,在風險的角色上,他當然是比較高的。金融機構對於高風險的客戶,當然有他必須進一步執行的責任跟義務,但是這是屬於金融機構的責任。現在討論的相關責任─資安、非面對面交易下客戶身分的確認等,應該由這些平台業者扮演、參與一定的角色。我在這邊補充做以上的說明。
主席:好,今天主要是針對反洗錢的部分,但是其實它有很多面向,有資安、消費者保護及監理,監理比較是屬於金管會這邊,資安就是屬於科技部還有行政院資安會報,洗錢的部分就是法務部。剛剛也講過,聽了大家的意見以後,至少洗錢的部分大家可能趕快要一個態度,國際間互相也有這樣的要求。監理的部分是不是還要再觀察一下?千萬不要立一個法,馬上把他們打死,這是最不好的。就像之前的Uber、Airbnb這一類新興科技業者,你們的意思大概也是看他們的發展。
如果沒有人要再發言的話,我們非常謝謝大家所提的建議,今天的發言到此告一段落,所有的發言及書面意見均會列入紀錄。剛剛有簡報,但是還沒有簡報檔出來的,麻煩提供一下,我們會刊登在立法院公報,並製作公聽會的報告,送交本院全體委員及本日出列席人員參考。
行政院資通安全處書面意見:
