防制洗錢金融行動工作組織針對虛擬資產與其服務提供業者發布進一步監理指引
防制洗錢金融行動工作組織(Financial Action Task Force on Money Laundering, FATF)為因應虛擬資產(Virtual Assets)對於打擊洗錢與資恐主義措施所帶來的衝擊,協助各國建立可供遵循的一致性標準,於2018年10月修改FATF建議書(The FATF Recommendations),定義「虛擬資產」與「虛擬資產服務提供業者」(Virtual Asset Service Providers, VASPs),將其納入國際洗錢防制之範疇。
為使各國監管機關依據FATF相關建議,正確評估與降低虛擬資產與VASPs所可能涉及的洗錢與資恐風險,有效進行管理並建立公平競爭的虛擬資產產業體系,FATF於2019年6月21日,針對建議書中第15點-新科技所可能隱藏的洗錢隱憂,加入解釋性說明,列出FATF對於虛擬資產和VASPs的應用標準,包含建議監管機關採取註冊或許可制度,以利進行監督與審查,而非透過自律組織方式進行督導,並與他國進行國際合作。以及為防止不法份子與其同夥擁有對VASPs的控股權(controlling interest)或管理職能(management function),各國主管機關須採取必要的法律或監管措施。另監管機構應有足夠權力監督並確保VASP遵守打擊洗錢和恐怖主義融資的要求,包括進行檢查,強制公開資訊和實施金融制裁。
FATF同時公布「虛擬資產與虛擬資產服務商之風險基礎指引」(Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers),指導各司法管轄區如何應用風險基礎方法,針對虛擬資產相關活動與服務商,進行洗錢與資恐防制。相關主管機構在進行風險評估時,應考量特定的虛擬資產類型或VASP活動,了解其具體架構與運作在金融體系和國家經濟的作用,以及對洗錢與資恐防制的影響,將類似風險的產品或服務應用類似的監理原則處理,並針對虛擬資產的匿名性加強客戶識別機制。隨著VASP活動發展,主管機關亦應審視其他監管措施(如消費者保護、資訊安全、稅務等)與洗錢與資恐防制之間的關聯,進行短期與長期的政策擬定,以制定全面性的監管框架。
FATF預計於2020年6月開始啟動上述新審查機制,為期12個月,檢視各國對於前述具體要求之落實情況。以及持續與民間企業合作,共同探討虛擬資產的基礎技術、使用類型、相關業務模式。
阮韻蒨
副法律研究員 編譯整理
Public Statement on Virtual Assets and Related Providers, FINANCIAL ACTION TASK FORCE, http://www.fatf-gafi.org/publications/fatfrecommendations/documents/public-statement-virtual-assets.html (last visited Aug. 19, 2019).
FINANCIAL ACTION TASK FORCE [FATF], The FATF Recommendations (2019) http://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommendations%202012.pdf (last visited Aug. 19, 2019).
Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers, FINANCIAL ACTION TASK FORCE, http://www.fatf-gafi.org/publications/fatfrecommendations/documents/Guidance-RBA-virtual-assets.html (last visited Aug. 19, 2019).
歐盟執委會於今(2020)年2月19日發布「歐洲資料戰略」(A European strategy for data),宣示繼前一期「歐洲數位單一市場」戰略的基礎下,將於新一期戰略建立一個真正的歐洲資料空間及資料單一市場,以解鎖尚未被利用的個人資料及非個人資料,使資料能夠在歐盟內部、跨部門和跨領域自由流動,並使所有公部門、公民,或新創、中小、大企業都可存取資料及利用。 本戰略就此提出四大戰略行動,重點如下: 1、資料存取(Data Access)和利用的跨部門治理框架 (1)2020年第四季提出「共同歐洲資料空間」(common European data spaces)的治理立法框架:A.加強共同資料空間及其他跨公私部門資料利用方式的治理機制;B.於GDPR基礎下,基於科學研究目的利用敏感個資時,能較容易決定可以由誰如何利用哪些資料;以及使個人更容易同意其個資的公益目的利用。 (2)2021年第一季通過開放資料指令(Directive (EU) 2019/1024)的高價值資料集「施行細則/執行法」(implementing acts)。 (3)2021年提出《資料法》(Data Act)草案促進企業對政府的資料共享;以及解決現今企業間資料共享常遇到的障礙,例如多方合作建置資料時(如物聯網),釐清各方的資料使用權限及各自的法律責任。 2、推動方式:投資歐洲資料空間重大項目,以加強歐洲處理和使用資料的基礎設施及能力、加強資料互通性等。 3、加強個人資料管理:在GDPR第20條的可攜權(portability right)基礎下,於《資料法》賦權個人更能控制自己被政府及企業所掌握的個資,並使個人能自己決定由誰存取和利用。另外,將由數位歐洲計畫開發「個人資料空間」。 4、促進戰略性產業領域及公益領域的共同歐洲資料空間:歐盟執委會將協助建立包含「共同歐洲工業(製造)資料空間」(Common European industrial (manufacturing) data space)在內的9種領域共同歐洲資料空間,本戰略亦於附件介紹各領域的資料共享基礎背景。 另外,雖非戰略主軸,但文件內容及新聞稿皆提及,執委會將於2020年第四季提出《數位服務法》(Digital Services Act),為所有企業進入資料單一市場建立明確的規範、審查現有政策框架、加強線上平台的責任及保護基本權利。 總而言之,本戰略所欲推展的各項行動,將促進公民、企業組織、研究人員和公部門能更輕易的獲得和利用彼此的資料,進而確保歐盟成為資料驅動社會的模範和領導者。
美國環保署擬針對兩項奈米材料納入顯著新種使用規則奈米材質之特性雖有助於開發新穎產品,但對於環境與人體健康是否會造成危害,迄今仍未有定見;為避免奈米科技毫無節制地發展,2008年9月以降,美國環保署(Environmental Protection Agency,EPA)以毒性物質管制法(Toxic Substances Control Act,TSCA)管理奈米材料,並在10月底考慮將奈米碳管納入前述法規中;11月初,更進一步依據毒性物質管制法5(a)(2)發布「顯著新種使用規則(Significant New Use Rule,SNUR)」,將以矽氧烷(siloxane)所改造之奈米矽微粒(silica nanoparticles)與奈米鋁微粒(alumina nanoparticles)列入管理範圍內。 一般而言,化學物質如未列於由EPA所公佈之「化學物質目錄」者,皆應向環保署提出製造前通知(Premanufacture Notice,PMN);而顯著新種使用規則以指定特殊新種化學物質的方式,配合適用製造前通知制度,要求業界針對製造、加工、銷售與使用等過程,提出具體因應措施。申言之,關於前述兩項奈米物質,一旦涉及有別於以往的重大創新製造活動,業者即應於正式進行製造前之90天先行通報環保署,再由其評估該業者是否符合相關條件要求,否則得予以禁止或限制之。 根據環保署既有之測試資料,可以確認奈米微粒得由呼吸與皮膚接觸等方式進入人體。以矽氧烷所改造之奈米矽及奈米鋁,泰半係作為添加劑之用;然而,觀察過往製造前通知所登載之內容,該兩項化學物質無論在呼吸或皮膚接觸所造成之暴露程度尚屬輕微;因此,針對該等奈米材料而向環保署所為之通報流程及審查作業,可能會對於業者後續之生產製造活動形成不確定的阻礙。 有鑒於奈米材料可能對人體健康產生未知風險,為保障奈米工作環境中人員的安全,顯著新種使用規則將於2009年1月起正式生效,作為管理特殊化學物質的監督方式。對於製造或使用奈米材料所可能引發之風險,美國環保署正著眼於環境、健康與安全議題,逐漸採取較為謹慎的政策設計方向,以維護大眾利益。
歐洲網路與資訊安全機構和歐洲標準化機構針對網路安全簽訂合作協議歐洲網路與資訊安全機構(European Network and Information Security Agency,簡稱ENISA)為了支持網路安全商品和服務進行標準化,於今年七月九日和歐洲標準化委員會(European Committee for Standardization,簡稱CEN)與歐洲電工技術標準化委員會(European Committee for Electrotechnical Standardization,簡稱CENELEC)共同簽署合作協議,來強化網路安全標準化的各項措施。 本合作協議的目的,在於能夠更有效地了解與解決網路和資訊安全標準化的議題,特別是處理和ENISA有所關連的不同訊息和通信技術(ICT)部門。本次簽署的合作協議,可視為是近來ENISA制定新法規的額外延伸,其將給予ENISA針對支持網路資訊安全(NIS)標準的發展,有更多積極的角色。本合作協議涉及的範圍包含下列情況: ‧ENISA於識別技術委員會(identified technical committees)作為觀察人,CEN與CENELEC的工作小組與講習作為支持歐洲標準的準備 ‧CEN與CENELEC評估ENISA相關的研究成果,並且將其轉化成標準化活動 ‧ENISA參與或適當地擔當依據CEN-CENELEC內部規章所組成的相關技術委員會、工作小組與講習之主席 ‧散布和促進出版物、研究結果、會議或研討會之消息流通 ‧對於促進活動與因NIS標準相關工作之商業聯繫建立和研究網絡提供相互支持 ‧針對處理攸關NIS標準活動的科技和研究議題,舉辦各項局部工作小組、會議和研討會 ‧針對共同利益確定之議題作相關資訊交換 有鑑於ENISA逐漸強調NIS標準化的相關工作,標準化不僅能改善網路安全外,更能提高所有網路安全產品與服務當面對不同網路威脅時的防禦能力。是以,我國資安主管機關是否亦需協調所有資安部門,針對網路安全技術架構研擬或規劃出相關標準化的網路威脅防範模組,則是亟需思考的問題。
世界經濟論壇發布《人工智慧公平性和包容性藍圖》白皮書世界經濟論壇(World Economic Forum, WEF)於2022年6月29日發布《人工智慧公平性和包容性藍圖》白皮書(A Blueprint for Equity and Inclusion in Artificial Intelligence),說明在AI開發生命週期和治理生態系統中,應該如何改善公平性和強化包容性。根據全球未來人類AI理事會(Global Future Council on Artificial Intelligence for Humanity)指出,目前AI生命週期應分為兩個部分,一是管理AI使用,二是設計、開發、部署AI以滿足利益相關者需求。 包容性AI不僅是考量技術發展中之公平性與包容性,而是需整體考量並建立包容的AI生態系統,包括(1)包容性AI基礎設施(例如運算能力、資料儲存、網路),鼓勵更多技術或非技術的人員有能力參與到AI相關工作中;(2)建立AI素養、教育及意識,例如從小開始開啟AI相關課程,讓孩子從小即可以從父母的工作、家庭、學校,甚至玩具中學習AI系統對資料和隱私的影響並進行思考,盡可能讓使其互動的人都了解AI之基礎知識,並能夠認識其可能帶來的風險與機會;(3)公平的工作環境,未來各行各業需要越來越多多元化人才,企業需拓寬與AI相關之職位,例如讓非傳統背景人員接受交叉培訓、公私協力建立夥伴關係、提高員工職場歸屬感。 在設計包容性方面,必須考慮不同利益相關者之需求,並從設計者、開發者、監督機關等不同角度觀察。本報告將包容性AI開發及治理整個生命週期分為6個不同階段,期望在生命週期中的每個階段皆考量公平性與包容性: 1.了解問題並確定AI解決方案:釐清為何需要部署AI,並設定希望改善的目標變量(target variable),並透過制定包容性社會參與框架或行為準則,盡可能實現包容性社會參與(特別是代表性不足或受保護的族群)。 2.包容性模型設計:設計時需考慮社會和受影響的利益相關者,並多方考量各種設計決策及運用在不同情況時之公平性、健全性、全面性、可解釋性、準確性及透明度等。 3.包容性資料蒐集:透過設計健全的治理及隱私,確定更具包容性的資料蒐集路徑,以確保所建立之模型能適用到整體社會。 4.公平和包容的模型開發及測試:除多元化開發團隊及資料代表性,組織也應引進不同利益相關者進行迭代開發與測試,並招募測試組進行測試與部署,以確保測試人群能夠代表整體人類。且模型可能隨著時間發展而有變化,需以多元化指標評估與調整。 5.公平地部署受信任的AI系統,並監控社會影響:部署AI系統後仍應持續監控,並持續評估可能出現新的利益相關者或使用者,以降低因環境變化而可能產生的危害。 6.不斷循環發展的生命週期:不應以傳統重複循環過程看待AI生命週期,而是以流動、展開及演變的態度,隨時評估及調整,以因應新的挑戰及需求,透過定期紀錄及審查,隨時重塑包容性AI生態系統。 綜上,本報告以包容性AI生態系統及生命週期概念,期望透過基礎設施、教育與培訓、公平的工作環境等,以因應未來無所不在的AI社會與生活,建立公司、政府、教育機構可以遵循的方向。