紐西蘭內政部發布新版VASP指引,因應虛擬資產轉帳納入監管
紐西蘭內政部於2024年7月25日發布新版洗錢防制與打擊資助恐怖主義(Anti-Money Laundering and Countering Financing of Terrorism, 以下均簡稱AML/ CFT)指引(下稱指引),指導虛擬資產服務提供者(virtual asset service providers, 下稱VASPs)遵循虛擬資產交易行為準則與注意事項。該國有關AML/ CFT之規定係以多項規則與行為指引構成,且應技術、產業與國際標準之變革持續調整既有框架。本次指引更新係為配合AML/ CFT法(AML/ CFT Act 2009)及其規則之修正與生效,重新規範VASPs對於虛擬資產轉帳再定義後義務。以下針對法規變革脈絡簡要說明:
AML/ CFT規則(AML/ CFT (Definitions) Regulations 2011)將虛擬資產定義為具有價值的數位貨幣,可用於交易、達成支付或投資目的;雖其不等同於債券、股票與衍生性金融產品或數位法定貨幣,VASPs仍為AML/ CFT法定義之報告實體,負有對客戶進行盡職調查、報告特定業務活動與交易的義務。
自2024年6月起,AML/ CFT規則全面納管虛擬資產轉帳,範圍由法定貨幣與虛擬資產間的流動,擴及虛擬資產間的交易,包含以VASPs作為中介機構之交易情形。此外,基於虛擬資產跨境的特性,所有轉帳皆被推定為國際轉帳,除非VASPs確定該筆交易發生紐西蘭境內。AML/ CFT規則對虛擬資產平臺交易之監管密度係以1,000紐幣為閾值,VASPs須對超過此金額的國際轉帳,向金融情報中心(Financial Intelligence Unit, FIU)提送交易報告;而對於臨時性交易則應盡職調查客戶。
為降低虛擬資產被用於非法活動之風險,防制洗錢金融行動工作組織(FATF)倡議於國際施行一致之監管標準,避免因各國法規監管差異造成防堵漏洞。紐西蘭政府藉改造現行金融法規將相關產業逐步納入監管,並提供指引說明及闡釋法規內容,調適金融科技發展與現有制度規範落差。此次AML/ CFT規則與VASPs指引之修正,將有助於紐西蘭更符合國際組織建議之洗錢防制與反資助恐怖活動監管標準。
- Department of Internal Affairs. (2024). Guidance: New AML/CFT regulations for virtual asset service providers. Department of Internal Affairs
- Anti-Money Laundering and Countering Financing of Terrorism Act 2009 (Act No. 35 of 2009, Version as at 1 July 2023), New Zealand Government
- Anti-Money Laundering and Countering Financing of Terrorism (Requirements and Compliance) Amendment Regulations 2023 (Regulations No.2023/0161), New Zealand Government
- Anti-Money Laundering and Countering Financing of Terrorism (Definitions) Amendment Regulations (No 2) 2023 (Regulations No.2023/0158), New Zealand Government
蔡芷茵
副法律研究員 編譯整理
Department of Internal Affairs. (2024). Guidance: New AML/CFT regulations for virtual asset service providers. Department of Internal Affairs. https://www.dia.govt.nz/diawebsite.nsf/Files/AML-CFT-2024/$file/VASP-Guidance.pdf (last visited Aug 9, 2024).
Anti-Money Laundering and Countering Financing of Terrorism Act 2009 (Act No. 35 of 2009, Version as at 1 July 2023), New Zealand Government, https://www.legislation.govt.nz/act/public/2009/0035/latest/DLM2140720.html (last visited Aug 9, 2024).
Anti-Money Laundering and Countering Financing of Terrorism (Requirements and Compliance) Amendment Regulations 2023 (Regulations No.2023/0161), New Zealand Government, https://www.legislation.govt.nz/regulation/public/2023/0161/latest/LMS861813.html (last visited Aug 10, 2024).
Anti-Money Laundering and Countering Financing of Terrorism (Definitions) Amendment Regulations (No 2) 2023 (Regulations No.2023/0158), New Zealand Government, https://www.legislation.govt.nz/regulation/public/2023/0158/latest/LMS859347.html (last visited Aug 10, 2024).
Financial Markets Conduct Act 2013 (Act No.2013/0069), New Zealand Government, https://www.legislation.govt.nz/act/public/2013/0069/latest/whole.html#DLM4090909 (last visited Aug 12, 2024).
Department of Internal Affairs. (2020). Virtual Asset Service Providers Guideline. Department of Internal Affairs. https://www.dia.govt.nz/diawebsite.nsf/Files/AML-CFT-2020/$file/AML-CFT-VASP-Guideline.pdf (last visited Aug 9, 2024).
美國亞利桑那州曾於2014年通過違反本人意願散布隱私內容之條文(泛稱為情色報復法Revenge Porn Law),構成要件未涵蓋行為人需有傷害的主觀不法構成要件,只要未經本人同意散布隱私內容即有可能觸犯本法而被判重罪(Felony),最高將可處三年又九個月之有期徒刑。然而,因構成要件過於廣泛,甚至未排除具新聞、藝術、教育價值之內容,未考慮本人之隱私期待性和傷害有無,美國公民自由聯盟遂代表出版業、媒體業和攝影業等,以該條文侵害言論自由有違憲之虞,於同年9月向亞利桑那州提告。該案於2015年7月10日達成和解,亞利桑那州地方法院宣告該條文將不會生效施行。 在經過漫長的修法後,亞利桑那州參議院最終於2016年3月7日無異議通過情色報復法之最新修法法案(House Bill 2001),待州長簽署核准後便立即生效施行。本次修法與2014年的版本不同處為,檢察官需證明隱私內容之本人具有合理的隱私期待,若被害人曾將自拍的影像寄送與他人,更需證明被害人未有分享的意思。此外,檢察官需證明行為人具有意圖傷害、騷擾、威脅或迫使他人之主觀意思。在此條文尚未通過前,實務上已有檢察官多次反應現行法無從對違反本人意願散布隱私內容之行為論罪,至多僅能以網路跟蹤或霸凌法等追究,對受害人保護甚為不周。
截圖也違法,日本著作權法擬擴大違法下載之態樣日本文化廳文化審議會著作權分科會於2018年2月13日,出具分科會報告書,內容說明著作權法修正之方向。書中提及「重新檢視並修正違法下載之態樣」一點,擬將違法下載之態樣及動作,由「影音」擴及到所有靜態圖文(如漫畫、照片、小說、雜誌及論文等),「下載」擴及「截圖」(スクショ,screenshot)。 此次修法,起因於近來日本大量出現線上盜版漫畫網站,推估其半年所造成之損失可達4000億日幣以上。該報告書公布後,隨即湧現大量反對之聲浪。反對者認為修法之弊大於利,日本漫畫學會對此發表反對聲明,會長竹宮惠子對於修法表示憂心,認為修法將導致以下問題: 阻礙創作研究(如二次創作); 創作萎縮(日常下載及剪輯將被禁止); 難以判斷網路靜態圖文是否為違法上傳; 即使「下載」違法化,仍然無法根除線上盜版漫畫流通平台。 報告書中亦提及,在個人部落格及需加入會員之社群網(SNS)上傳或下載未經著作權人同意而公開之著作,亦屬違法。倘若為全書掃描上傳等惡性重大之行為,應科以刑責。 針對上述疑慮,報告書中的確未排除修法後將造成著作物在網路上利用萎縮之可能,然仍強調應透過官民間之合作努力,傳達正確之修法内容。並由出版社端導入「ABJ Mark」,推動正版漫畫流通平台,透過科技推動盜版網頁近用警示制度,使大眾知悉其行為即將侵害著作權等。由於法令修正之内容,影響人民日常生活甚鉅,後續修法將在各團體間如何折衝,上述措施能否普及或啟發人民觀念,值得後續持續關注。
英國上議院正逐條審議資料保護和數位資訊法案,期展現脫歐新格局英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。 下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明: 一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。 二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。 三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。 四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。 就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。
因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議2024年7月1日,美國實務界律師撰文針對使用生成式AI(Generative AI)工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議,其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中,而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊,以Chat GPT為例,原始碼(Source Code)可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者(AI Provider)用於訓練生成式AI模型等,進而導致洩漏;或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用,此時營業秘密可能在人工審查階段洩漏。 該篇文章提到,以法律要件而論,生成式AI有產生營業秘密之可能,因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」;因此,由生成式 AI 工具協助產出的內容可能被視為營業秘密,其範圍可能包括:公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例,故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出,即使訴訟上尚未明確,企業仍可透過事前的管理措施來保護或避免營業秘密洩露,以下綜整成「人員」與「技術」兩個面向分述之: 一、人員面: 1.員工(教育訓練、合約) 在員工管理上,建議透過教育訓練使員工了解到營業秘密之定義及保護措施,並告知向生成式AI工具提供敏感資訊的風險與潛在後果;培訓後,亦可進一步限制能夠使用AI工具的員工範圍,如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面,建議公司可與員工簽訂或更新保密契約,納入使用生成式AI的指導方針,例如:明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊;亦可增加相關限制或聲明條款,如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者(合約) 針對外部管理時,公司亦可透過「終端使用者授權合約(End User License Agreement,簡稱EULA)」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用,如輸入內容不可以被用於訓練基礎模型,或者該訓練之模型只能用在資訊提供的公司。 二、技術方面: 建議公司購買或開發自有的生成式AI工具,並將一切使用行為限縮在公司的私有雲或私有伺服器中;或透過加密、防火牆或多種編碼指令(Programmed)來避免揭露特定類型的資訊或限制上傳文件的大小或類型,防止機密資訊被誤輸入,其舉出三星公司(Samsung)公司為例,三星已限制使用Chat GPT的用戶的上傳容量為1024位元組(Bytes),以防止輸入大型文件。 綜上所述,實務界對於使用生成式AI工具可能的營業秘密風險,相對於尚未可知的訴訟攻防,律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中,換言之,企業可透過「營業秘密保護管理規範」十個單元(包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理,甚至是後端的爭議處理機制,如何監督與改善等)的PDCA管理循環建立基礎的營業秘密管理,更可以透過上述建議的做法(對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元)加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站(https://www.tips.org.tw)