歐盟創新採購機制觀測

　　英國金融行為監督總署（Financial Conduct Authority, FCA）與英國財政部、英格蘭銀行於2018年3月共同組成「加密資產專案小組」（Cryptoasset Taskforce），為英國政府「金融科技產業戰略」（Fintech Sector Strategy）之一環。2019年1月23日，FCA公布《加密資產指引》（Guidance on Cryptoassets）諮詢文件，除在配合加密資產專案小組之調查、研究外，亦在於落實FCA作為金融監理主管機關，盤點及釐清法規適用之職責，以妥適因應金融科技發展。公眾意見徵集期間至2019年5月4日，FCA並預計在同年夏季提出最終版本的報告。 　　依據《加密資產指引》，FCA臚列了四項監理代幣（token）可能的法源依據，包含： （1）受監管活動指令（Regulated Activities Order）下的「特定投資項目」。 （2）歐盟金融工具市場指令II（MiFID II）下的「金融工具」。 （3）電子貨幣條例（E-Money Regulations）下之「電子貨幣」。 （4）支付服務條例（Payment Services Regulations）。 　　由於加密資產市場與分散式記帳技術發展迅速，參與者迫切需求更清晰之監理規範，包含交易匯兌、主管機關等，避免因誤觸受管制之活動（regulated activities）而遭受裁罰。其次，FCA亦希望能強化消費者保護，依照加密資產商品類型，讓消費者知道可以尋求何種法律上之保障。

　　歐盟於2018年4月19日宣布通過「第五洗錢防制指令」(the Fifth Anti-Money Laundering Directive)，並於同年6月19日公布確定案文，其要求歐盟成員國必須於18個月內將該命令納入國內法律中。 　　歐盟在本次指令中，特別針對恐怖主義組織財政和運作方式揭示出所觀察的新趨勢，其指出某些作為替代金融體系的新技術服務越來越受歡迎，但卻不受法令所拘束，或是被豁免於相關法律適用外等不合理情事，因此「第五洗錢防制指令」為了跟上不斷進步的科技環境，乃要求法人、其他法律實體(legal entities)、信託及具有與信託類似結構或功能的法律協議(類似的法律協議) 應採取進一步措施，以確保提高金融交易的透明度，並藉此改進現有的預防框架，達到更有效地打擊資助恐怖主義行為的目的；另外歐盟亦於該指令中提醒所有採取的措施應和洗錢風險成比例。 　　有關「第五洗錢防制指令」主要新增及修正包含： 迎接新技術：託管錢包供應商(custodian wallet providers)和虛擬貨幣交換平臺將被視為新的義務主體而納入於洗錢防制法的範圍。另外「第五洗錢防制指令」還允許使用電子身分證明進行客戶盡職調查。 改進執法：各成員國須建立自身國家的銀行帳戶登記系統，以便執法當局能夠方便地查閱在該成員國內的所有銀行帳戶資訊。另外該登記系統須與其他成員國互相連線，並且即便在沒有提交可疑活動報告的情況下，執法當局也可以要求義務主體提供資料。 明確定義"重要政治性職務人士"：各成員國都必須發佈一份清單，列出哪些屬於 "重要的公共職能"。 針對高風險第三國為更嚴格的管制：「第五洗錢防制指令」要求涉及高風險第三國的商業關係或交易須採取強化盡職調查措施,，並允許成員國限制義務主體在高風險第三國設立分支機搆或子公司，亦禁止總部設在高風險第三國的義務主體於成員國設立分支機搆。 提高公司實質受益權的透明度：各成員國的公司實質受益權登記將放寬查詢限制，公眾無須提出任何合法權益證明即可查閱基本資訊。另外還要求企業(登記義務主體)必須針對持有資訊與在登記系統上資訊的差異提出報告。 信託的實質受益權：「第五洗錢防制指令」擴大實質受益權申報義務主體範圍，要求任何類似信託的法律安排及租稅中立性的信託均須申報；另外還擴大該實質受益權申報的查閱至任何能提出具有合法利益的人，但其並未對合法利益提出定義，而是讓各成員國自行訂定。然而「第五洗錢防制指令」指出，該合法利益的定義不應侷限在行政或法律訴訟未決的案件，而是應針對洗錢防制及反資助恐怖組織領域的預防工作為考量。 禁止匿名保險箱。 調整預付工具(prepaid instruments)需進行盡職調查的門檻(如禮品卡、旅遊卡)：價值要求從250歐元降低到150歐元。

英國內閣辦公室指出，英國政府將設立網路兒童保護中心以協助警方與孩童保護機構，該中心主要偵查目標為利用網際網路散佈違法之兒童影像或「打扮」兒童的戀童癖人士。其宗旨在減少利用網路協助虐童的行為，而對孩童、家庭與社會產生傷害的情況。 　　該中心未來將隸屬於 2006 年 4 月 1 日成立之「嚴重組織犯罪局」（ Serious Organized Agency = SOCA ）管轄，並於該局成立之同時開始運作，由專責的警察人員協同孩童保護，並由網路工業專家負責業務之執行。

　　歐盟於2016年7月6日公布了網路與資訊系統安全指令（Directive on Security of Network and Information Systems, NIS Directive），該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力，以提高歐盟內部市場之功能。 　　故至2018年11月前，各會員國須確認境內的關鍵基礎服務營運商並建立一份清單，包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分，其判斷標準為（a）提供維持社會重要或經濟活動之服務；（b）倚賴網路或資訊系統供應之服務；（c）該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務，如線上市場、搜尋引擎及雲端服務之數位服務提供者，而上述兩者所適用之規範略有不同，如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時，另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 　　此外，為了促進會員國間之策略合作及資訊交換，歐盟將會設立一個合作小組，亦將建立電腦安全事件因應小組（Computer Security Incident Response Teams, CSIRTs），主要負責監測國家資安事件、並對資安風險為預警、因應及分析等，另為確保各會員國彼此間在運作上之迅速與效率，並建立電腦安全事件因應小組網路（CSIRTs network），提供各會員國交換資安風險或事件相關資訊之平台。 　　該指令於今年8月生效，會員國須於指令生效後21個月內即2018年5月，將指令之內容適用至本國法並公布之，該指令之內容可做為我國訂定資安法規之參考。