協助中小企業因應國際綠色產品輔導措施

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。

　　2016年10月27日，FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點： 選擇加入（Opt-in）：當使用或分享消費者之「敏感資訊」，須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄，以及通訊內容。 選擇退出（Opt-out）：對於符合消費者期待的「非敏感資訊」，除非客戶Opt-out，ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外：推定客戶會同意之資訊，例如在客戶與ISP業者建立關係後，不須額外取得寬頻服務或計費之同意。 　　2016 Privacy Order通過後受到ISP業者大力抨擊，尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分，其認為如此可能扼殺電子商務發展，消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平，因此通過後半年，美國參議院與眾議院分別於2017年3月投票廢止，總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。 　　廢止《寬頻用戶隱私保護規則》之原因為，消費者之個人資料雖可受到保護，但該規則僅適用於寬頻服務提供者與其他電信供應商，並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制，其餘網路服務則由FTC管轄，而FTC對隱私權之規範較為寬鬆，因此可能發生提供不同服務的兩家業者使用同一份客戶資料，受到的管制程度卻不同之情形。 　　贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範，因消費者能輕易在網站間轉換，卻不能輕易更換ISP，且ISP得以取得消費者在所有網站上之瀏覽資料，但如Google與Facebook等大廠雖非ISP業者，卻亦能取得不限於自身網站的客戶瀏覽資料。 　　由於《寬頻用戶隱私保護規則》已正式廢止，FCC將不得再通過其他相同或實質上相同之規範，對ISP業者之管制回歸《傳播法案》第222條，亦即，對於網站瀏覽與應用程式使用紀錄之使用或分享，不須取得客戶之事先同意。

　　法國國民議會（National Assembly）於2019年7月9日通過反仇恨言論立法提案，希望效仿德國社群媒體管理法（NetzDG），課予網路平台業者積極管理平台上仇恨言論（hate speech online）之責任。該提案希望透過立法要求大型網路平台及搜尋引擎，如Facebook及YouTube等，必須設置用戶檢舉管道，並於24小時內刪除以種族、宗教、性別、性取向或身心障礙為由之煽動仇恨或歧視性侮辱言論，否則將面臨高達全球營業額4%之罰款。 　　在主管機關方面，規劃由法國廣電主管機關「最高視聽委員會」（High Audiovisual Council, CSA）進行監管，網路平台業者必須向其提交仇恨言論之處理報告與相關數據。同時，平台業者應加強與法國司法系統的合作，取消違法用戶的匿名權利並提供相關證據資料，以利司法追訴。 　　2019年3月15日紐西蘭清真寺槍擊案之網路直播事件，讓各國警惕勿讓網路平台成為傳遞仇恨言論的工具。發起立法的法國議員Laetitia Avia表示，對抗網絡仇恨言論是場艱巨且長期的戰鬥，希望透過立法讓各方負起應有的責任，讓仇恨言論無所遁形，但反對者認為平台業者為了避免裁罰的風險，可能會對內容進行過度審查，相關自動化過濾技術也可能對言論自由產生不利影響。本立法提案仍待法國參議院完成審議。

歐盟、中國第三方支付立法簡介 科技法律研究所 2013年4月1日 壹、事件摘要 　　自2010年起，國內便不斷湧現訂立第三方支付專法的呼聲，希望主管機關開放第三方支付相關業務，並立法給予第三方支付明確的法律地位，以提升產業發展環境，滿足產業發展需求。事實上，第三方支付服務在國外已有多國立法規範，如中國、歐盟、日本、美國、新加坡、香港、泰國、馬來西亞等等。有將第三方支付定位為資金傳輸業者，或強調是「非銀行」的金融服務業者，著重於第三方支付服務的支付清算功能。多數國家的第三方支付主管機關為金融監理單位或者是中央銀行，如日本金融廳，英國金融服務局(Financial Service Authority，FSA)，新加坡金融管理局(Monetary Authority of Singapore，MAS)，中國、馬來西亞、泰國央行。礙於篇幅，本文以下僅就歐洲以及中國規範做介紹。 貳、重點說明 一、歐盟 　　第三方支付服務為歐盟2007年「支付服務指令(Payment Service Directive，簡稱PSD) 」所規範的「支付服務(payment service)」，第三方支付服務業者為指令所稱之「支付機構(payment institution)」。依照PSD第5條規定，支付機構欲進行營業必須要依照會員國國內法向會員國相關主管機關提出核准申請。以英國而言，英國的主管機關是「金融服務局(Financial Service Authority)」。 以下說明重要規範。 (一)創辦資本(initial capital)最低金額： 　　依照第6條，支付機構具有最低創辦資本額限制，網路支付機構的最低資本額限制為五萬歐元。 (二)資本維持義務(Own funds)： 　　依照第8條規定，支付機構必須要繼續持有一定數額的資金，至於應持有的金額，以下述三標準判定，如果下述三標準判定出的金額低於前述創辦資本的金額，則以創辦資本的金額為應持有資金的數目： 1.前一年度固定經常費用(overhead)的10%。 2.依照前年月平均處理金額的一定比率決定。 3.依照前一會計年度利息收入、利息支出、所收取的費用以及其他營運收入的總和，按比例提存之。如果實際無前一會計年度資料，可採取預估值。 (三)資金防護義務(safeguarding requirements)： 　　依照第9條規定，支付機構對於自消費者所收取的代收轉付資金，必須要提供下述防護措施，原則上只要滿足其一即可。對於個別支付金額超過600歐元的消費者，指令認為會員國的主管機關可以要求對於這類大額消費者單獨提供防護措施。 1.專用存款帳戶： 　　消費者的資金不得與其他資金混同，支付機構一旦收取代收轉付資金即須將之存入獨立的帳戶，或者是投資於由會員國指定的低風險、流動性佳的資產。 2.破產隔離： 　　應依照會員國的國內法，基於消費者的利益做好破產隔離工作，排除支付機構的其他債權人對代收轉付資金主張權利。 3.保險： 　　為消費者的代收轉付資金投保，或者是提供其他來自保險公司或者是信用機構同等效力的擔保，在支付機構無法履行其財務責任時進行理賠。 (四)資料保存義務(Record-keeping)： 　　依照第19條規定，會員國應要求支付機構妥善保存交易資料，保存義務期限至少五年。 (五)洗錢防制義務： 　　依照第5條規定，支付機構在申請核准時，需要提供公司治理以及內部控制規劃架構，其中第f款指出，支付機構須提出符合Directive 2005/60/EC以及Regulation (EC) No 1781/2006關於防制洗錢以及恐怖組織金融活動(terrorist financing)的內部控制機制。 (六)書面締約義務： 　　依照第41條規定，支付服務提供者必須要與支付服務使用者就第42條所規定的事項以紙本或者是其它可永久保存的媒體(durable medium)進行締約。第41條並要求支付服務提供者應在契約中使用淺顯易懂的文字，並以支付服務提供者所在國的官方語言或者是雙方同意使用的語言進行。第42條所規定的契約要項除了雙方的姓名之外，必要規定事項包含費用說明、支付服務使用所需的系統說明等等，除了必要規定事項，雙方也可以約定支付服務的支付金額限制，或者是依照第55條約定服務提供者得基於支付工具安全的理由限制支付工具的使用，例如發生可疑交易或詐欺事件而封鎖使用者，暫停其使用權限。 二、中國 　　中國人民銀行在2010年發布了「非金融機構支付服務管理辦法」，依照該法第2條規定，網路支付為該法所稱之非金融機構支付服務。非金融機構提供支付服務，應當向中國人民銀行申請取得「支付業務許可證」成為支付機構，未按規定申請者將被處以行政罰，嚴重者會被處以刑罰。支付業務許可證的有效期限五年，達五年期限者得於期滿前半年申請續展。 (一)最低資本額要求： 　　依照第9條規定，想要在中國全國境內提供支付服務者，最低註冊資本額為1億元人民幣；想要在中國單一省，或自治區、直轄市範圍內提供不跨境的支付服務者，最低註冊資本額應達3000萬元人民幣。最低註冊資本額為實繳貨幣資本，應於申請支付業務許可證時全數繳足。 (二)洗錢防制義務： 　　依照第8條規定，許可證申請人在申請時必須要提出符合相關法令要求的反洗錢措施。依照「非金融機構支付服務管理辦法實施細則」第4條規定，所謂的「反洗錢措施」，包括反洗錢內部控制、客戶身份識別、可疑交易報告、客戶身份資料和交易記錄保存等預防洗錢、恐怖融資等金融犯罪活動的措施。依照第44條規定，支付機構如果沒有履行反洗錢義務，中國人民銀行將可依據相關的反洗錢法規進行處罰，嚴重者得撤銷其支付業務許可證。 (三)服務使用者真實身分查核義務： 　　支付服務的使用者在註冊時必須要提供真實的身分資料。依照第31條規定，支付機構應該要對於客戶所提出的資料比對其有效的身分證件或者是其它的身分證明文件，並且進行登記。 (四)支付服務協議書面簽約義務： 　　支付機構應該與客戶就雙方之間的權利義務、糾紛處理原則以及違約責任等等事項簽訂協議。支付協議可以紙本也可以電子方式呈現，依照「非金融機構支付服務管理辦法實施細則」第32條規定，支付服務協議「包括符合法律法規要求、可供調取查用的紙質形式或數據電文形式的合同。」，與我國電子簽章法第四條關於以電子文件作為法律「書面」要件的規定相似。 (五)專用存款帳戶開立義務： 　　依照第26條規定，支付機構收受服務使用者的資金後，必須要將資金存入在商業銀行所開立的「備付金專用存款帳戶」。一個支付機構只能在一家商業銀行開立一個備付金專用存款帳戶。另外特別指出，依照第24條規定，客戶備付金非支付機構之自有財產，支付機構只能根據客戶的指示轉移備付金，不得自行挪作他用。 (六)資本維持義務： 　　依照第30條規定，支付機構的實際持有資本不能低於日處理金額的10%，日處理金額以90天內每日日中的平均餘額計之。 (七)資料保存義務： 　　依照第34條規定，支付機構應該要妥善保管客戶身分資料、支付業務資料以及會計檔案等資料。依照實施細則第39條，資料保存義務至少為五年。 (八)報表提交義務以及受查義務： 　　依照第20條，支付機構有義務向中國人民銀行提交支付業務統計報表以及財務會計報表。另外依照第35條，支付機構有義務配合中國人民銀行定期和不定期的現場檢查以及非現場檢查。 參、事件評析 　　綜整歐盟以及中國立法例，管制重點為確保業者具有償債能力和營運能力以及洗錢犯罪防制，要求經營需事先申請許可並另外輔以查核等機制。共通管制規範如下： (一)洗錢防制要求： 　　皆要求業者必須要具備內部洗錢防制措施，對外則需要與主管機關密切配合。 (二)償債能力備置要求： 　　要求服務提供者維持一定的資金水位，以避免服務提供者發生賠償責任時無償債能力。歐洲另輔以金融保證或保險，或是以其它方式進行風險隔離。 (三)專用存款帳戶： 　　歐盟與中國皆要求開立專用存款帳戶，避免與服務提供者的資金混同，明確帳務。 (四)代收資金運用限制： 　　業者收取之待轉資金限用於服務使用者指示之移轉，如准予用作投資，也僅限投資於低風險產品，且投資總額必須要依一般會計準則將資金水位維持在代收轉付資金的帳面價值之上。 (五)資料保存義務： 　　為了滿足洗錢防制追查的需求，要求業者對於交易資料進行保存的工作。無獨有偶，歐盟以及中國的保存義務年限都是至少五年。 (六)書面簽約義務： 　　為了保障消費者，要求業者以契約明確列出服務提供的要項以及雙方的權利義務關係。契約需為書面，以電子方式為之應符合各國以電子為書面的法律要件。