台灣虛擬通貨平台及交易業務事業反洗錢及打擊資恐簡介及實務運作初探（下）

金管會訂定「虛擬通貨平台及交易業務事業防制洗錢及打擊資恐辦法」（以下簡稱本辦法），本文在此擬初步介紹VASP反洗錢及打擊資恐相關制度之建立，上輯請見「台灣虛擬通貨平台及交易業務事業反洗錢及打擊資恐簡介及實務運作初探（上）」。曹維傑律師指出我國在虛擬通貨之管理上仍有好長一段路需要與時俱進，例如是否仿照如韓國、新加坡等發放牌照，透過牌照要求VASP達到更多義務，例如消費者保護、資訊安全落實等；或是針對NFT、DeFi洗錢及資恐防制上，應如何作為，乃至於DeFi觸及傳統期貨交易法、衍生性金融商品之管理等，均須待主管機關釐清。希冀透過此種逐步且溫和調整之方式，讓業者仍在創新與監管之間取得平衡，共同促進產業之發展。

3. 認識客戶身分（Know Your Customer , KYC）
   (1) 規範內容及其目的
   誠如上所述，對於防制洗錢及打擊資恐機制之建立，乃是以風險為基礎之方法進行相關管控機制之設置。方法之一即是將客戶進行不同程度之風險評分，賦予不同客戶不同評分或等級，並依其評分進行不同程度之管控以及交易監控。而有效之風險評分，乃是建立在已經取得完整之客戶資訊，VASP應建立妥適之客戶身分確認措施，並且有效認識客戶資訊，即所謂之客戶實名認證，故依本辦法第3條以及第4條規定，VASP需建立確認客戶身分之流程，同時亦須有拒絕建立業務關係之機制，以確保客戶之資訊完整，其後始能據此作為後續風險評級之依據。
   (2) 機制設立
   A. 有關於客戶身分確認之措施之建立，其流程應包含客戶身分確認之時點，於虛擬通貨產業常見之情形，例如新建立業務關係、發現疑似洗錢或資恐交易時、對於過往所取得客戶身分資料之真實性或妥適性有所懷疑時，均是確認客戶身分明確之時點。
   B. 其次，於取得客戶身分資訊後，亦須對於各項資訊進行驗證，故在進行KYC程序中，即需蒐集相關之佐證文件，包含自然人身分證明文件、可驗證地址之水電帳單、法人之設立登記文件等，以作為客戶身分確認及驗證之依歸。
   C. 另針對客戶屬於法人或信託之受託人時，尚需檢視確認是否取得必要資訊，包含法人客戶之章程、股東名冊，或信託契約等，以辨識客戶之實際受益人或信託關係中之信託人、受託人或受益人等，以判斷是否進行合理之驗證。尤其與法人建立業務關係時，對於法人之股權結構計算，應特別留意對於持股比例之計算是否正確。
   (3) 常見之問題：
   A. 在實務中，有關於客戶身分證明文件之蒐集與確認，如客戶屬於台灣本國之客戶，其身分證明文件可以我國發行之身分證作為依據，如有蒐集第二證件亦可以健保卡或駕照，但第一證件仍應以身分證為宜，蓋因取得身分證後，可透過內政部換補領系統確認該身分證是否有換補領，是否為客戶最新之資訊，而健保卡或駕照則無法進行確認其上所顯示資訊為最新以及是否換補領，故作法上仍應以身分證件作為第一證件為宜。然如VASP有國外客戶，則須留意，世上部份國家並未核發身分證件，例如丹麥或冰島等國，此時，VASP始可進一步考量，是否以當地政府所核發之證明文件進行身分驗證，例如護照、駕照進行驗證。再者，世界各國所核發之官方證明文件多有不同，究應蒐集何種證件，實應時時依據所申請建立業務關係之客戶國籍而逐一檢視各國政策，以避免有所疏漏或所蒐集之文件不切實；同時不論是此等國家，或其他境外客戶而以護照或其他官方身分證明文件，皆應留意其有效期限，不得以逾期文件進行身分驗證。
   B. 居住地址之蒐集，乃具有確認客戶之實際居住地址之目的，如客戶確實進行洗錢甚或詐騙等犯罪行為，亦有助於警察以及檢調等得以迅速定位嫌犯。而對於居住地址之驗證，多以水、電帳單或銀行對帳單進行驗證。實務上常見問題在於，如客戶為居住在外地，其銀行帳單或對帳單所列地址，未必屬於其所承租之地，或是水電帳單上之姓名為房東本人，此種情形，或可考量取得客戶與其房東之租賃契約，只要能確保該客戶確實為租賃契約上之承租人，即可確認其居住地。
4. 客戶風險分級
   (1) 規範內容及其目的
   對於客戶進行風險評估以及分級，其主要目的在於可使VASP依客戶之風險等級不同，進行不同之管理，對於經識別出之高風險客戶，VASP得以集中較多之資源進行管控，而對於中低風險客戶，則得以採取相對寬鬆彈性之管控，充分達到以風險為基礎之管理。
   (2) 機制設立
   A. 對於客戶風險等級之建立，除建立VASP內部規範或程序文件以建立起風險分級架構及其規則，且客戶風險等級至少劃分為兩等級，較為完整之方式為三等級，並對於各類風險之客戶制定有定期審查之機制。
   B. 另有關於客戶風險評估因子部分，其面向可涵蓋客戶本身、客戶之國籍或地區、客戶所使用之產品及服務、交易或支付管道等進行設計，在此或可評估：
   (A) 客戶：年齡（或公司成立期間）、提交之身分證證明文件形式
   (B) 國籍：出生國（公司註冊國家）、居住國籍（或公司主要營運國家）
   (C) 產品及服務：現貨、代買代賣、槓桿、定投、流動性挖礦、期權或經由交易所參與Defi投資等
   (D) 交易或支付管道：綁定信用卡、綁定銀行、超商、虛擬資產ATM過往是否有六層以內之交易無法追蹤其來源或去向等
   以上風險因子僅為初步提供參考，實際狀況須依照各個VASP所提供之服務進行擇採，同時間各個風險級距也須因各個VASP業務量或其他因素進行劃分。
5. 客戶及交易有關對象之姓名及名稱檢核
   (1) 規範內容及其目的
   依本辦法第4條第7款VASP應辨識建立業務關係之對象是否屬於制裁名單人士，並婉拒與此等人士建立業務關係，並且依本辦法第9條之規定，VASP應辨識客戶及其實質受益人是否為現任或曾任國內外政府或國際組織之重要政治性職務人士，並且透過風險評估賦予此類客戶不同風險分數後，採取不同之管控措施或進一步拒絕交易。因此各VASP應建立起對於客戶、實質受益人及交易對象等姓名檢核之機制。
   (2) 機制建立
   A. 首應建立VASP對於客戶及交易有關對象之姓名及名稱檢核程序，確認VASP依風險基礎方法建立書面化之姓名檢核之機制，同時亦可藉此訂定上開機制之比對與篩檢邏輯，以及制定比對及篩檢門檻，以確認有效篩選確實有疑義之名單人士。
   B. 上開比對以及篩選邏輯，應有其建立之方法，並考量VASP內部資源以及人力（即所謂以風險為基礎之方式），進行門檻之選擇。最後，此種比對及篩選邏輯之建立，亦須經過一定之核可程序並留下軌跡記錄，如欲調整亦同，以避免恣意調整而使得姓名檢核系統流於無用。
   C. 在制定前述姓名檢核程序時，應留意該程序應包含如掃中名單時，後續之派案及調查程序，以及如應於一定期間內完成調查，如無法判斷客戶與名單上是否為同一人，應如何處理？如仍欲建立業務關係，後續應如何管控其風險？交易是否應另有監控措施？
   D. 同時VASP對於姓名檢核程序亦須建立起定期掃描，因為客戶身分資訊會變動，例如本為低風險之一般客戶，但一段時間後客戶因為涉有犯罪而有負面新聞，且可能為洗錢前置犯罪之新聞，故可能須對客戶進行較為嚴格之管控。故建立掃瞄機制時，亦應有定期大量批次掃描之機制，其頻率至少每週，如能每日夜間批次掃描則更為妥適。
   (3) 常見問題
   A. 實務上對於姓名掃描時，由於各國的命名系統不同，導致客戶在進行KYC以及姓名檢核時，難以透過其身分證明文件進行篩選。例如，有部分之印尼人其命名系統上，不會使用姓氏，因此可能出現僅單一名之可能，也有可能不帶姓氏的複名，或帶有姓氏的複名等情形。因此，如客戶為印尼人，其所提交之姓名資訊，很可能僅為一字，此時在姓名掃描篩選上，將因無法有完整資訊而有效篩選與外部名單系統上同名同姓之客戶。對於此類無法篩選之客戶，各VASP可能須視實際情形，斟酌跟客戶額外徵提其他佐證文件可供篩選，或者對於此等客戶建立業務關係初期，將之列為高風險客戶，並且再限縮其交易額度，待觀察其交易模式，是否有符合異常交易情境，或建立業務關係後短期內其有大量交易，以判斷其是否確實有風險，如未有異常，待過一定期間後再調降其風險等級。
   B. 其次，如果客戶掃中負面新聞，是否一律均須劃分為高風險？例如客戶曾有酒駕、外遇等，是否即應視為高風險？就此，應以洗錢及打擊資恐有關之犯罪新聞為主，例如洗錢防制法第3條所列之之前置犯罪，例如詐欺侵佔，蓋因這些前置犯罪往往僅跟隨後續之洗錢犯罪，故應著重在此類與洗錢或資恐有高度關聯之負面新聞。同時，亦可考量該犯罪新聞。
   C. 縱然客戶真的曾有類似詐欺侵占等前置犯罪行為，然如果此等犯罪之負面新聞已非常久遠，例如達十年以上，且期間亦未有其他犯罪新聞，則或許毋庸再將該客戶評價具有負面新聞而列為高風險，蓋因十年前之犯罪，其期間久遠洗錢風險或許已低，然仍應個案中輔以其他資料判斷，同時也需要兼顧VASP中之資源，以風險為基礎判斷之。
6. 客戶身分持續審查
   (1) 規範內容及其目的
   對於客戶進行風險評分後，客戶之資訊極可能發生變動，例如客戶之居所地變更，可能搬遷至高風險國家地區，或客戶可能因其職業變更，可能變更為高風險職業如律師或會計師等，此時如未有對客戶身分資訊有效掌握以及更新，將可能因此使得客戶風險評估無法反應客戶真實身分，而無法有效評估，進而無法有效掌控風險以及設計抵減措施。是以，依本辦法第5條之規定，VASP需依照不同等級之客戶，進行不同頻率以及程度之持續性調查，對於客戶資訊之有效且確實的掌握，並據此降低VASP洗錢及資恐風險。因此，VASP亦應建立起客戶盡職調查之機制，其內容應依客戶重要性及風險程度，並於考量前次執行審查之時點及所獲得資料之適足性後，決定審查之方式以及頻率，對已存在或新增業務往來關係之客戶進行審查，或依據客戶之重要性及風險程度或其身分背景有重大變動時執行審查程序。尤其對於高風險客戶，應至少每年檢視一次相關之客戶及實質受益人身分之資訊。
   (2) 機制建立
   A. VASP首應先確立是否訂定確認客戶身分措施及持續審查之程序，檢視是否以風險基礎方法作為其執行強度之依據，甚而其內容對於高風險客戶是否採取更進一步之強化措施，並且能有效降低其風險。而於調查之內容上，可設計表單加以輔助，內容可包含瞭解客戶財富及資金來源，如資金來源為存款，則應進一步瞭解該存款之來源，並可由客戶進行細部說明。
   B. 以上各項資料之徵提，不能僅單純將盡職調查表單交由客戶填寫即為結束，而應就客戶所填寫之各項資料，徵提相關資料予以驗證。此外，由於虛擬通貨產業之交易上，基本上都是非面對面交易，然對於某些特殊高風險之客戶，在執行盡職調查過程中甚至可斟酌是否以視訊調查之方式，加以探詢客戶之實際狀況，並留下佐證紀錄。
7. 旅行規則（Travel Rule）
   (1) 規範內容及其目的
   A. 本辦法在制訂時，特別於第7條訂定擔任虛擬通貨移轉交易轉出人之VASP，於其用戶進行虛擬通貨交易時，需取得該用戶以及接收方必要且正確之資訊，並應將前述資訊立即且安全地提供予擔任接收方之VASP。而相關資訊於轉出人應包括：轉出人姓名、轉出虛擬通貨之錢包資訊及官方身分證明文件號碼、地址、出生日期及出生地；於接收人其則應包括接收人姓名、接收虛擬通貨之錢包資訊等。此一規則，猶如傳統金融在進行國際匯兌時，需要經由環球銀行金融電信協會（SWIFT）系統傳送有關銀行之間的交易內容以及客戶資訊等標準化訊息後，可以併同執行反洗錢或打擊資恐之檢核。
   B. 接收方另應採取適當措施，以辨識出缺少必要資訊之虛擬通貨移轉並透過風險為基礎之政策及程序，以判斷何時執行、拒絕或暫停缺少必要資訊之虛擬通貨移轉，及適當之後續追蹤行動。
   C. 於雙方VASP接收到相關訊息時，應進一步確認交易對手接收方或轉出方之事業所受監理規範與FATF所定防制洗錢及打擊資恐標準一致，確認該VASP未有其反洗錢與打擊資恐之相關作為達到FATF所定之標準。
   D. 應特別留意者在於，上開機制在立法前金管會邀集業者之討論會議上，業者提出因現行國際上各國並非全然施行Travel Rule，倘如本辦法第7條予以制定並施行，業者在國際虛擬通貨之交易上，將無法遵行恐有違法之虞，是以金管會特於第18條規定，須視國際間之執行情形，再由主管機關另訂施行日，故本條目前尚未有實際施行之案例。
   (2) 機制建立
   A. 有關於Travel Rule 之實踐流程上，除相關程序應予以制定外，其發出方以及接收方之資訊相互拋傳應採取資訊先行之方式，亦即每次交易發動時，應先以將發出方之資訊拋傳予接收方之VASP，並由接收方VASP進行完相關法遵檢核後回傳確認無誤或無異狀之訊息後，始開始後續之鍊上交易。此種資訊先行之方式，能在交易發出前即確定交易對手是否具有洗錢及資恐風險，並進而防堵之。
   B. 交易雙方VASP依照Travel Rule所傳輸取得之資訊時，即可透過VASP之姓名檢核系統進行掃描，判斷客戶是否屬於名單人士，此外，因錢包資訊亦會先行互相拋傳，此時亦可針對此等錢包進行掃描，確認是否經過制裁，並據此決定是否開啟後階段之交易。
8. 帳戶及交易持續監控及交易追蹤
   (1) 規範內容及其目的
   與客戶建立業務關係後，VASP對於其客戶即須對於客戶之帳戶或其交易內容持續性監控，以確保客戶之交易未有疑似洗錢或資助恐怖主義之情形。而此種監控均同時應搭配虛擬通貨於區塊鏈上之交易追蹤系統，以辨識虛擬資產之交易活動。
   (2) 機制設立
   A. 首先應依據以風險為基礎之方法，並參考金管會於110年7月所發布異常交易情境監控態樣，建立客戶帳戶及交易監控程序，內容應依據本辦法之規定以及客戶性質、業務規模及複雜度、洗錢與資恐之相關趨勢與資訊、內部風險評估結果等，設定疑似洗錢之監控態樣，並且包含交易態樣、交易金額門檻、交易頻率等參數，同時亦須有監控案件的檢視程序及申報標準等，以作為各項表徵之內容。
   B. 其次，對於上開機制亦同時訂有定期檢視以及更新交易監控態樣之機制，並且檢視其資訊系統是否整合全公司客戶之基本資料及交易資料，確認是否足以強化VASP對於帳戶及交易監控能力。此外，亦可透過實際檢測系統之程式碼，確認前述各項表徵以及參數、金額門檻等，均有確實設定於系統上。
   C. 由於虛擬通貨之交易，均是透過虛擬通貨之錢包進行幣與幣之間之交易，而現行國際上已經開始有政府組織會將用於洗錢或資恐之錢包進行制裁並發布相關名單，實應於交易過程中，併同掃描錢包地址，確認此一地址是否來已受制裁？如有，亦應於交易當下予以拒絕交易。
   D. 交易追蹤部分，VASP對於用戶之每筆交易應判斷並追蹤其後續之交易層級，盡可能追溯其交易後面一定層數以上，識別出交易是否曾經過暗網、或是否曾經由混幣器等此種人為刻意抹去其交易歷程或使得難以追蹤。且亦可另外訂定，例如客戶之過往交易曾有單筆交易五層內曾有經過暗網或混幣器等，賦予該筆交易較高之風險，如客戶短時間內有三筆或五筆此類高風險交易，即應回饋之客戶自身之風險評估，將客戶之風險列為高風險，並即採行嚴格之盡職調查。前述例子，僅供參考，實則，在交易監控上，不如是異常交易之監控或是虛擬通貨之交易追蹤上，均可將其風險回饋之客戶風險評估上，除可滾動式調整客戶風險達到現時的客戶風險樣貌，並且可及時採取後續之盡職調查作為，以減低VASP之機構風險。
9. 紀錄保存
   (1) 規範內容及其目的
   在執行反洗錢及打擊資恐之相關義務時，相關執行或調查之紀錄保存實屬管控重點之一，例如姓名檢核知調查結果、異常交易監控之調查報告等，主要因為VASP須配合金融情報機構或金融監理單位甚或是合作往來之銀行單位之管理需要，適時提供相關交易紀錄或調查記錄，因此VASP必須明訂相關紀錄保存與保護之機制，且相關紀錄資料是否保存至與客戶業務關係結束後或臨時性交易結束後，至少五年。
   (2) 機制建立
   A. VASP面對記錄保存此義務，應明訂相關規範或作業方式，其應至少包含記錄保存內容之完整度、保存時間、保存位置、存取管控、調閱方式等議題。同時間，亦應針對何種資訊可能哪些層級之職員閱覽，而建立起不同之分層管理架構，以避免文件記錄不當外洩。
   B. 應特別留意，各項客戶之個人資訊、交易紀錄、風險評估等，均係在系統上完成，應留意此類資訊之變更、或如風險評估之因子設定或調整、異常交易情境等參數設定或調整，其系統背後之軌跡記錄亦應留存，凡有異動均須記錄下來，包含何人、何時、為何異動均須記錄，以避免私自竄改。
10. 可疑交易申報
    (1) 規範內容及其目的
    可疑交易申報作業乃屬於VASP應盡義務之一，VASP應依其作業特性、客戶交易往來狀況，適時將相關可疑交易資訊申報至金融情報機構，以收即時反應與打擊洗錢犯罪之效果。
    (2) 機制建立
    VASP應確認當監控報告識別出異常交易時，VASP有無適當的分析與調查政策、程序和派案流程，並確保案件不會積累過多。此外各項程序亦應明定細部調查判斷之方法，如：與客戶身分、收入或營業規模顯不相當、與客戶本身營業性質無關、不符合客戶商業模式、無合理經濟目的、無合理解釋、無合理用途、資金來源不明或交代不清等情事。如個案中專責人員核定確實為異常交易，應於核定後立即向法務部調查局通報，其期限不得逾二個營業日。
11. 指定防制洗錢及打擊資恐專責人員負責遵循事宜
    (1) 規範內容及其目的
    由於VASP對於防制洗錢及打擊資恐之管控有其特殊性與必要性，因此透過配置一定之管理監督資源並設置專責角色，能夠確保相關管控能夠結合業務活動適當執行，以收防制洗錢及打擊資恐之效。
    (2) 機制建立
    A. VASP在此應設置反洗錢及打擊資恐合規之專責人員，並確認其權責分工與資源配置是否合宜。
    B. 一旦確立專責人員，該專責人員即需負責協調監督防制洗錢及打擊資恐事宜。並定期向董事會或高階管理階層進行報告公司反洗錢及打擊資恐相關事宜，包含內部控制與稽核制度、備置並定期更新洗錢及資恐風險評估報告等。
12. 員工遴選及任用程序
    (1) 規範內容及其目的
    由於防制洗錢與打擊資恐之作業活動須有適當且專業之員工執行，因此如何遴選出具有廉正品格之員工，並協助其發展防制洗錢與打擊資恐之管理專業，亦是VASP管理重點。是以，VASP依第15條第1項第3款之規定建立高品質之員工遴選及任用程序。
    (2) 機制建立
    A. VASP應建立書面化之員工遴選及任用程序，其內容應至少包含員工資格遴選方式、瞭解員工基本資訊與背景等，並應確認針對特定工作職務之資格任用，是否符合洗錢防制法暨相關法令或辦法規定之資格條件。
    B. 實務上可參考之作法，乃是於遴選中，將員工之姓名進行姓名檢核，已確認是否曾有負面新聞或是是否有其他名單上所示之資訊，以考量該名員工是否聘任？倘如聘任，後續應如何管控？或其職務是否需要進行一定阻隔？
13. 持續性員工訓練計畫
    (1) 規範內容及其目的
    由於虛擬通貨產業，因此如何有效嚇阻或偵測相關異常行為，亦須仰賴執行人員具備豐富之相關經驗與足夠認知，透過持續性地對相關員工展開適當之訓練計畫，能夠讓VASP從業人員在面對可疑交易對象或活動時，保持足夠敏感度執行客戶審查或交易分析工作。
    (2) 機制建立
    A. VASP應建立持續性之職前訓練與在職教育訓練計畫，且各項課程內容應涵蓋教育訓練紀錄以及教育訓練計畫之落實度。同時亦應包含針對未滿足該年度上課時數要求或缺席課程之補救或追蹤機制。
    B. VASP應針對不同對象執行適合該對象之教育訓練活動，例如第一線執行人員、法令遵循人員、內部稽核人員或高階主管等。同時亦應有如何衡量教育訓練成果，以確定教育訓練之有效性。
14. 測試防制洗錢及打擊資恐系統有效性之獨立稽核功能
    (1) 規範內容及其目的
    VASP一旦建立起內部之反洗錢與打擊資恐管理機制運作，後續即需確認其機制有效性，此時VASP必須結合內部稽核機制，或透過委由獨立第三方協助進行有效性測試活動，以便能夠掌握管理機制在設計面或是落實面，是否還有需要改善或優化之處。
    (2) 機制建立
    A. VASP應建置防制洗錢及打擊資恐系統有效性之內部稽核作業計畫，並應評估該作業計畫內容之妥適性與完整度，確保其涵蓋面向足夠。
    B. 並應建立內部稽核報告和工作底稿內容，確認稽核方法或稽核之抽樣比例亦應合宜。
    C. 應建立反洗錢及打擊資恐系統有效性之內部稽核報告，並依據其所提之查核意見或發現事項進行內容確認，並應審視高風險事項之改善計畫，期改善計畫內容應包含改善負責單位，預計完成時程，具體改善方式等資訊。

以上針對本辦法之初步介紹，內容亦有提及機制如何設立。然應留意者在於，各項機制設立或可能遇到的問題，乃是筆者過往服務之經驗累積，且乃是依筆者所待之交易所或其他VASP內部情形，不一定能一體適用到其他VASP。然此也體現出，反洗錢及打擊資恐本就是以風險為基礎之方式進行設置，順應實際狀況進行調整。而我國在虛擬通貨之管理上仍有好長一段路需要與時俱進，例如是否仿照如韓國、新加坡等發放牌照，透過牌照要求VASP達到更多義務，例如消費者保護、資訊安全落實等；或是針對NFT、DeFi洗錢及資恐防制上，應如何作為，乃至於DeFi觸及傳統期貨交易法、衍生性金融商品之管理等，均須待主管機關釐清。希冀透過此種逐步且溫和調整之方式，讓業者仍在創新與監管之間取得平衡，共同促進產業之發展。