歐盟執委會公布「數位金融包裹」法案
為鼓勵金融產業之創新,同時使其遵循應有之責任,並讓歐盟金融消費者與商業機構享有更多之利益,歐盟執委會於2020年10月24日提出數位金融包裹法案(Digital Finance Package),並提出以下2項數位金融立法提案:
一、加密資產立法提案(Proposal for Markets in Crypto-assets)
為促進金融創新並同時保有金融穩定性與保護投資人,歐盟執委會提出加密資產管制框架立法提案,並將加密資產分為已受監管與未受監管兩類,前者將持續依據既有規範進行管理。而針對尚未管制之加密資產,該提案針對加密資產發行人與加密資產服務供應商建立嚴格限制,要求取得核准後始可提供服務。具體而言之,立法提案包含以下項目:
(一)針對加密資產、加密資產發行人等金融商品名詞進行定義。並建立加密資產服務供應商與發行人營運上、組織架構與資產發行程序之透明度與揭露制度。
(二)針對向公開市場提供加密資產進行管制,例如,依據提案第4條,供應商應為法人,第5條則要求供應商應製作加密資產白皮書,並將其提供給主管機關後始可於公開市場提供相關服務。
(三)針對代幣資產發行人以及其加密資產之審核程序,依據提案第15條,代幣發行者必須為歐盟境內之法律實體。另外,該法要求加密資產發行人應誠實、公平且專業,並完成加密資產白皮書之出版與制定市場溝通規則。
(四)針對加密資產之收購,該法第4章亦設有相關規範,於第37條及38條規定收購之評估機制。
(五)針對加密資產服務供應商之授權與營運條件,該法第5章規定歐盟證券及市場管理局應建立加密資產服務供應商之登記制度。
(六)針對市場秩序維護之部分,該法於第6章規範相關預防市場濫用之禁止事項與要求,並於第7章賦予歐盟成員國各主管機關相關權力,例如第94條之監督與懲處權限。
二、歐盟數位營運韌性管制框架立法提案(Proposal for Digital Operational Resilience)
數位化總伴隨資安風險,歐盟執委會於包裹法案內亦提出歐盟數位營運韌性管制框架立法提案,以確保相關企業可應對所有與通訊技術有關之干擾與威脅,另外,銀行、證券交易所、票據交換所以及金融科技公司將需遵循嚴格之標準以預防並降低ICT資安事件所產生之衝擊,另外亦將針對金融機構雲端運算服務供應商進行監管。具體規範包含:
(一)ICT風險管理要求:該立法提案參照相關國際標準,於第5至第14條制訂相關ICT風險管理要求,惟未要求應遵循具體國際標準。
(二)ICT相關事件報告:該提案於第15至20條規範相關報告義務,將整合歐盟金融機構之ICT相關事件報告與監測程序。
(三)數位運作韌性測試:該提案於第21至第24條要求ICT風險管理框架應定期進行測試,惟具體方法可依據組織之規模、風險側寫與商務模式進行調整。
(四)第三方單位風險:該提案於第25至39條規範組織應對ICT第三方供應商風險進行監測,例如,第25條要求金融機構委外執行業務仍應隨時遵循所有金融服務規範,另外,ICT風險管理框架之內容亦應包含第三方ICT風險之監督策略。
本文為「經濟部產業技術司科技專案成果」
- Digital finance package
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014(2020)
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on Markets in Crypto-assets, and amending Directive (EU) 2019/1937(2020)
- 英國金融行為監督總署公布《加密資產指引》諮詢文件
- 法國通過新的加密貨幣監管法律
余和謙
法律研究員 編譯整理
Digital finance package, European Commission, https://ec.europa.eu/info/publications/200924-digital-finance-proposals_en (last visited: Dec: 10, 2020).
European Commission, Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014(2020), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0595 (last visited: Dec 10, 2020).
European Commission, Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on Markets in Crypto-assets, and amending Directive (EU) 2019/1937(2020), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0595 (last visited: Dec 10, 2020).
杜冠穎,〈英國金融行為監督總署公布《加密資產指引》諮詢文件〉,法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=0&d=8217&no=64(最後瀏覽日:2020/12/10)。
蔣瑜玲,〈法國通過新的加密貨幣監管法律〉,法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=82&d=8292&no=64(最後瀏覽日:2020/08/10)。
自西元2017年1月以來,英國稅務海關總署(Her Majesty's Revenue and Customs, HMRC)開始要求英國民眾使用線上語音方式進行身分認證,而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室(Information Commissioner's Office, ICO)深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形: 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。 蒐集民眾的生物識別資料時,未能給予民眾自由行使同意或拒絕權利的機會。 英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則(General Data Protection Regulation, GDPR),根據歐盟一般資料保護規則,英國稅務海關總署在蒐集、處理或利用民眾個人資料時,必須合法、公正及透明,並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。 本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法(The Data Protection Act 2018),英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆,但絕不能以犧牲民眾的隱私為代價,同時也隱約透露著:「沒有一個組織(包含政府機關)能夠凌駕於法律之上。」。
BS 10012:2017個人資訊管理系統新版標準已發布BS 10012:2009個人資訊管理系統近期轉版,英國標準協會已於2017年3月31日發布BS 10012:2017新版標準,此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準,新標準採用ISO/IEC附錄SL之高階架構(High Level Structure),該架構為通用於各管理系統的規範框架。 2017新版架構由原本的6章變為為10章,新架構如下: 第1章 範圍 第2章 引用規範 第3章 專有名詞與定義 第4章 組織背景 第5章 領導統御 第6章 規劃 第7章 支援 第8章 營運 第9章 績效指標 第10章 改善 新標準主要修改內容如下: 個資盤點單需增加「法規」盤點項目,且應載明個資流向(軌跡紀錄)。 風險管理架構參酌ISO 31000:2009修改。 組織增設資料保護官(Data Protection Officer, DPO)。 個資蒐集、處理及利用: (1)蒐集前須先告知當事人並取得其同意。 (2)蒐集應有必要性且最小化。 (3)兒童個資蒐集、利用須先經監護人同意。 (4)若個資利用目的為開放資料(Open data)須作去識別化。 個資必須維持正確且最新。 個資保存不超過處理目的存在必要之期限(保存期限)。 增加個資完整性與機密性要求。 預先諮詢與授權,例如:網頁有使用cookies需明確告知瀏覽者。 個資管理目標與量測,包括欲導入範圍、現況評估等有效性目標。 增添文件管理規範。 BS 10012:2009版本將於2018年5月25日廢止,公司驗證轉版的過渡期為24個月,因此2019年3月未轉版者證書失效。
美國總統簽署《安全可信通訊網路法》美國總統於2020年3月12日簽署《安全可信通訊網路法》(Secure and Trusted Communications Networks Act),以保護國內的通訊網路以及5G技術之安全。本次立法之目的,主要圍繞三個面向,包括:安全及可靠的網路(Reliable and safe networks)、保護重要利益(Protecting vital interests)以及確保美國未來的安全(Securing America’s future)。 由於國家安全取決於高速與可靠的通訊網路,若使用由無法信賴之供應商建置的電信設施,將威脅到國內網路安全。因此,本法要求聯邦通訊委員會(Federal Communications Commission)應於本法施行一年內於其網站內公布造成國家安全威脅之法人名單,並禁止由名單上之法人建置美國國內關鍵之電信設施。另外,本法亦禁止使用聯邦經費向造成國家安全威脅之法人購買或租借電信設備,並以安全可信之通訊網路補償計畫(Secure and Trusted Communications Networks Reimbursement Program)作為因拆除與更換既有造成國家安全威脅之電信設備之補償機制,聯邦通訊委員會亦將與先進通訊服務供應者(provider of Advanced Communication service)合作,協助該補償計畫之進行。
印度廣告標準委員會公布「虛擬數位資產和連結服務廣告指引」印度廣告標準委員會(Advertising Standards Council of India, ASCI)於2022年2月23日發布「虛擬數位資產及連結服務廣告指引」(Guidelines for Advertising of Virtual Digital Assets and Linked Services),旨在防止使用加密資產和相關服務用戶所面臨的風險。 本指引使用「虛擬數位資產」(Virtual Digital Assets, VDA)此專有名詞,而非「加密資產」,並將虛擬數位資產定義為透過加密或其他方法所產生的任何訊息、編碼或代幣,得以充當計價或記帳單位的憑證或儲存,包括加密貨幣和其他相關產品,例如非同質化代幣(NFTs)均屬之。 該指引目的在將虛擬數位資產廣告與印度廣告標準委員會所發布的準則保持一致,該準則要求廣告必須真實,不得因「模糊、誇大或遺漏」而誤導消費者,並且不得利用消費者之信任或欠缺了解。 最重要的是,廣告商必須在所有虛擬數位資產的廣告中,於明顯位置附上免責聲明,且免責聲明必須至少佔總印刷或靜態廣告空間的20%,而動態廣告至少要有5秒,並且必須出現在聲音和社群媒體廣告中。免責聲明中應載明:「加密資產和非同質化代幣並不受監管,風險高。此類交易造成的任何損失可能因為沒有監理,而難以取得賠償。」