台灣虛擬通貨平台及交易業務事業反洗錢及打擊資恐簡介及實務運作初探（上）

我國107年修正洗錢防制法，首將虛擬通貨平台及交易業務事業（Virtual Assest Service Provider, VASP）納入規範，要求該等事業建立反洗錢以及打擊資助恐怖主義（以下簡稱「反洗錢及打擊資恐」）制度，並指定金融監督管理委員會（以下簡稱金管會）為VASP之反洗錢及打擊資恐之主管機關。據此，金管會依據上開法令之授權，訂定「虛擬通貨平台及交易業務事業防制洗錢及打擊資恐辦法」（以下簡稱本辦法），本文在此擬初步介紹VASP反洗錢及打擊資恐相關制度之建立，礙於片幅，本文將分上下兩篇文章說明，另請見「台灣虛擬通貨平台及交易業務事業反洗錢及打擊資恐簡介及實務運作初探（下）」

一、前言

我國於中華民國（下同）107年修正洗錢防制法，首將虛擬通貨平台及交易業務事業（Virtual Assest Service Provider, VASP）納入規範，要求該等事業建立反洗錢以及打擊資助恐怖主義（以下簡稱「反洗錢及打擊資恐」）制度，包含內部控制制度、稽核制度、客戶身分確認、紀錄保存、疑似洗錢或資恐交易申報等事項，並指定金融監督管理委員會（以下簡稱金管會）為VASP之反洗錢及打擊資恐之主管機關。據此，金管會依據上開法令之授權，於110年6月30日發佈「虛擬通貨平台及交易業務事業防制洗錢及打擊資恐辦法」（以下簡稱本辦法），規範VASP建立反洗錢及打擊資恐之各項制度及細節，並於同年9月30日要求在國內設立登記之VASP出具洗錢防制法令遵循聲明文件，至遲於須在11月底完成；並且應於111年6月底前完成「防制洗錢及打擊資恐內部控制與稽核制度檢查表」，並由會計師事務所查核，始可謂完成相關法令遵循。至此，我國正式將虛擬通貨納入反洗錢及打擊恐資之一環，有其重要性。本文在此擬介紹上開辦法之相關內容，並初步說明各項制度之設立重點，如有實務上可能觸及之問題或模糊地帶，亦將併予說明。

二、我國反洗錢及打擊資恐之制度建立

（一）適用主體

欲探討各項制度之建立，首應確認者乃在於本辦法之適用範圍，釐清哪些主體應遵守本辦法之義務。依本辦法第2條第1項之規定訂了五種事業，會被金管會認定為虛擬通貨平台及交易業務事業，在此說明如下:

1.虛擬通貨與新臺幣、外國貨幣及大陸地區、香港或澳門發行之貨幣間之交換：此種類型之業者，多數是指提供法幣入金以及出金之VASP，且此處之法幣，不限於新台幣，包含任何外國政府或區域所通行之法幣且用以交換虛擬通貨，均屬之。

2.虛擬通貨間之交換：即所謂之幣幣交易而言，即任何虛擬通貨間之互相交換均屬之。依目前各個VASP內，所提供不同虛擬通貨交易對之之交換，縱然該VASP為提供法幣入出金服務，亦不能脫免此之義務，均須符合本辦法所賦予之各項義務，認識客戶、風險評估、交易監控等。

3.進行虛擬通貨之移轉：

此處所指乃是協助客戶進行虛擬通貨之移轉服務，包含在不同VASP之間之轉移，或協助用戶將虛擬通貨移轉之冷錢包，或移轉予用戶所指定之人。

4.保管、管理虛擬通貨或提供相關管理工具：

此處之相關管理工具，乃是指提供託管技術工具之業者，且於立法理由中明確表示，此類業者同時也包含為客戶保管私鑰，換言之，如未保管私鑰者，例如冷錢包業者，即毋庸進行本辦法所賦予之反洗錢及打擊資恐義務。

5.參與及提供虛擬通貨發行或銷售之相關金融服務

此處於立法理由明示，所謂相關金融服務即虛擬通貨之承銷等行為，諸如常見的ICO、STO、IEO等業者，或協助進行造市之業者，均屬之。

以上本辦法所定之五大類別，其範疇實為廣泛，實已涵蓋諸多現行常見的產業活動，且產業常見哪些業者需要遵守反洗錢以及打擊資恐義務的適用爭議解決，諸如幣幣交易、ICO等，均須本辦法中加以規範，以杜爭議。惟因虛擬通貨此一產業之變化迅速，即有新的適用疑義，說明如下：

1. NFT 是否需要執行反洗錢及打擊資恐義務？
   (1) 有關於NFT（Non-Fungible Token），即所謂的「非同質化代幣」，是建立區塊鏈上程式碼，能用智能合約（Smart Contract）自動執行協議，具有不可替代、不可分割及獨一無二的特性。而於本辦法中其用語為「虛擬通貨」，究竟NFT是否可為本辦法所稱之虛擬通貨所涵蓋，即有疑義。
   (2) 防制洗錢金融行動工作組織（Financial Action Task Force, FATF）於西元2021年10月28日發布之最新加密監管指南，即提到NFT原則上應不符合FATF對於虛擬資產之定義，但如果NFT在運作過程中用於支付或投資，則可能又落入該組織對於虛擬資產之定義，進而提供NFT應用之各種服務提供商，諸如交易平台、發行方等均負有遵守反洗錢及打擊資恐之義務，是以FATF 建議採用個案判斷之方式，加以定調個案中之NFT用於支付或投資。
   (3) 而以目前實務上有關於NFT之運作，時常可以看到某些NFT之價值動輒數百萬台幣，並且在各大平台諸如OpenSea、Rarible、Nifty Gateway等均可見NFT交易，殊難想像NFT不具有投資價值，故多數提供這類交易之服務提供者，實應遵守反洗錢及打擊資恐之各項義務。
   (4) 我國法務部於110年12月28日公告洗錢防制法修正草案（以下簡稱修法草案），草案將原有之「虛擬通貨」作為立法用語，調整為「虛擬資產以及虛擬資產服務提供者」，而使反洗錢義務可更精準涵蓋所有虛擬資產服務提供者，包含NFT業者，或許可據此將NFT交易亦納入反洗錢及打擊資恐之義務中。惟如欲更加清楚，則或可於本辦法中明揭NFT亦應遵守相關反洗錢及打擊資恐義務。
2. DeFi是否需要執行反洗錢及打擊資恐義務？
   (1) 有關於DeFi為Decentralized Finance之縮寫，即「去中心化金融」，相關於傳統應用上都是由中心化實體提出服務，監管上針對這些中心化業者進行管理較為直接方便。但在DeFi中，則無中心化業者之概念，是一種建立於將程式碼部署於區塊鏈上之金融，例如DEX（Decentralized Exchange；去中心化交易所）、P2P借貸、期貨、槓桿交易等，不依賴任何中心化之券商、交易所或銀行等機構提供金融工具，而是利用區塊鏈上的智慧型合約（例如以太坊）進行，並以虛擬通貨進行金融活動。
   (2) 由於DeFi形式上不若傳統中心化金融，由中介機構進行推出各項金融商品服務，而可賦予此等中介機構執行相關義務。DeFi等金融商品之智能合約一經部署於區塊鏈上後，即自行運作。使用者只要透過自身之加密錢包與智能合約互動即可開始進行各項投資，中間亦無任何中介機構進行任何反洗錢及打擊資恐之作為。
   (3) 實則，各項於區塊鏈上之DeFi智能合約，雖號稱去中心化未有人對之進行管理運作，惟其背後多數都有運營團隊對之進行維運，甚或是宣傳行銷，例如多數的DEX背後都有團隊在進行管理行銷等。然也因此，去中心化金融容易成為以去中心化之名義推出各項中心化之金融服務，卻可以規避中心化金融之監管義務，例如反洗錢及打擊資恐，此即為漏洞。
   (4) 於前所述2021年10月28日發布之最新加密監管指南亦有針對DeFi之運作明確表示，DeFi此一產業並未完全排除在反洗錢及打擊資恐義務之外，並且在某些情況下，例如該DeFi之創造者、所有者、營運團隊或任何保持對DeFi有安排且有控制或足夠影響力之人，也可能被視為VASP，藉此將DeFi亦納入反洗錢及打擊資恐之義務中。
   (5) 我國對此並未有明確之表示，是否本辦法第2條第1項所列之各種主體，即可涵蓋DeFi業者？然DeFi既然部署在區塊鏈上，究應尋求何人或者何機構、單位負擔相關義務，在實務運作上恐有模糊地帶。或許可參考前述FATF之認定標準，具體個案判斷究竟何人有影響力而為適用主體，較為妥適。

（二） 各項管控

1. 內部控制制度之建立
   (1) 規範內容及其目的
   為強化我國防制洗錢與打擊資恐機制，並健全VASP內部防制洗錢及打擊資恐之管控，我國於本辦法第15條規定，虛擬通貨業者之反洗錢及打擊資恐風險控管機制，應包括建立辨識、衡量與監控洗錢及資恐風險之管理機制，及遵循防制洗錢及打擊資恐相關法令之政策以及標準作業程序，以降低其洗錢及資恐之風險。
   (2) 建立重點
   A. 為建立虛擬通貨業者完善落實內部控制制度之建立，首應先行制定相關洗錢與資恐風險管理政策。政策之重要性，猶如國家憲法之位階相同，乃是屬於不可牴觸相違背，各公司內部之反洗錢及打擊資恐政策為公司在反洗錢以及打擊資恐領域中最高位階之規範，公司內部之各項程序錯失，或其他輔助施行之表單等，均須架構在此一政策下，往下制定各個細節之規範，且不容違背此政策。
   B. 其次，建立起注意事項程序以及各項標準化作業流，同時輔以各個文件表單，以此協助公司內部人員在執行時，不至於於各個作業流程中有所遺漏。
   C. 最後，各項之內部規範，亦需經適當之管理階層核准，同時各項書面文件亦有每年經適當之管理階層定期檢視與確認其內容之妥適性等規範。縱然，於虛擬通貨產業中，均為新創產業，組織特色乃極為扁平，然仍應予公司之經營管理階層，諸如公司之代表人、執行長或其他具有管理權責之主管等，予以核准，且其過程中，應留下紀錄。此等文件經過公司內部一定程序核准除可彰顯公司管理階層之重視，同時亦可據此上行下效，全公司均應遵守與施行。
2. 洗錢及資恐風險之辨識、評估與管理
   (1) 規範內容及其目的
   依本辦法第14條之規定，VASP應採取適當作為以辨識、評估及瞭解其洗錢及資恐風險，評估之面向至少涵蓋客戶、國家或地區、產品及服務、交易或支付管道等。之所以需要先瞭解評估前述風險，是因為現行對於防制洗錢及打擊資恐機制之建立，希望是以風險為基礎之方法進行相關管控機制之設置，瞭解哪些風險比較大後，VASP投入較多資源在此已進行防堵，而非要求各VASP以無限上綱、漫無目的全方位之方式進行管控。因此，VASP反洗錢及打擊資恐之作為上，即需辨識以及評估VASP內洗錢及資恐之風險程度，瞭解這些面向在VASP經營上，帶給VASP多大的洗錢及資恐風險，進而發展出抵減這些風險之方法進行管理。
   (2) 建立重點
   A. 為確保VASP落實前述風險為基礎之方法，於建立各項機制時，應先行建立各項辨識、評估、管理洗錢以及資恐之相關方法論，並將之書面化，藉此確認相關機制設計之基本思維，後續並以此等方法論作為機制有效與否之基本依據。
   B. 再者，各項風險評估之內容及其範圍應完整包含是否涵蓋客戶、地域、產品及服務、交易或支付管道等面向，並與各項業務種類、性質、營運規模相對應，同時檢視細項規定分析風險因素與風險判斷方式等是否符合邏輯。例如，客戶層面，可以考量在VASP內部中有多少來自於高風險國家之客戶、客戶有多少是從事高風險職業；產品以及服務層面，則考量VASP中有多少產品是去中心化等。