紐西蘭內政部發布新版VASP指引,因應虛擬資產轉帳納入監管
紐西蘭內政部於2024年7月25日發布新版洗錢防制與打擊資助恐怖主義(Anti-Money Laundering and Countering Financing of Terrorism, 以下均簡稱AML/ CFT)指引(下稱指引),指導虛擬資產服務提供者(virtual asset service providers, 下稱VASPs)遵循虛擬資產交易行為準則與注意事項。該國有關AML/ CFT之規定係以多項規則與行為指引構成,且應技術、產業與國際標準之變革持續調整既有框架。本次指引更新係為配合AML/ CFT法(AML/ CFT Act 2009)及其規則之修正與生效,重新規範VASPs對於虛擬資產轉帳再定義後義務。以下針對法規變革脈絡簡要說明:
AML/ CFT規則(AML/ CFT (Definitions) Regulations 2011)將虛擬資產定義為具有價值的數位貨幣,可用於交易、達成支付或投資目的;雖其不等同於債券、股票與衍生性金融產品或數位法定貨幣,VASPs仍為AML/ CFT法定義之報告實體,負有對客戶進行盡職調查、報告特定業務活動與交易的義務。
自2024年6月起,AML/ CFT規則全面納管虛擬資產轉帳,範圍由法定貨幣與虛擬資產間的流動,擴及虛擬資產間的交易,包含以VASPs作為中介機構之交易情形。此外,基於虛擬資產跨境的特性,所有轉帳皆被推定為國際轉帳,除非VASPs確定該筆交易發生紐西蘭境內。AML/ CFT規則對虛擬資產平臺交易之監管密度係以1,000紐幣為閾值,VASPs須對超過此金額的國際轉帳,向金融情報中心(Financial Intelligence Unit, FIU)提送交易報告;而對於臨時性交易則應盡職調查客戶。
為降低虛擬資產被用於非法活動之風險,防制洗錢金融行動工作組織(FATF)倡議於國際施行一致之監管標準,避免因各國法規監管差異造成防堵漏洞。紐西蘭政府藉改造現行金融法規將相關產業逐步納入監管,並提供指引說明及闡釋法規內容,調適金融科技發展與現有制度規範落差。此次AML/ CFT規則與VASPs指引之修正,將有助於紐西蘭更符合國際組織建議之洗錢防制與反資助恐怖活動監管標準。
- Department of Internal Affairs. (2024). Guidance: New AML/CFT regulations for virtual asset service providers. Department of Internal Affairs
- Anti-Money Laundering and Countering Financing of Terrorism Act 2009 (Act No. 35 of 2009, Version as at 1 July 2023), New Zealand Government
- Anti-Money Laundering and Countering Financing of Terrorism (Requirements and Compliance) Amendment Regulations 2023 (Regulations No.2023/0161), New Zealand Government
- Anti-Money Laundering and Countering Financing of Terrorism (Definitions) Amendment Regulations (No 2) 2023 (Regulations No.2023/0158), New Zealand Government
蔡芷茵
副法律研究員 編譯整理
Department of Internal Affairs. (2024). Guidance: New AML/CFT regulations for virtual asset service providers. Department of Internal Affairs. https://www.dia.govt.nz/diawebsite.nsf/Files/AML-CFT-2024/$file/VASP-Guidance.pdf (last visited Aug 9, 2024).
Anti-Money Laundering and Countering Financing of Terrorism Act 2009 (Act No. 35 of 2009, Version as at 1 July 2023), New Zealand Government, https://www.legislation.govt.nz/act/public/2009/0035/latest/DLM2140720.html (last visited Aug 9, 2024).
Anti-Money Laundering and Countering Financing of Terrorism (Requirements and Compliance) Amendment Regulations 2023 (Regulations No.2023/0161), New Zealand Government, https://www.legislation.govt.nz/regulation/public/2023/0161/latest/LMS861813.html (last visited Aug 10, 2024).
Anti-Money Laundering and Countering Financing of Terrorism (Definitions) Amendment Regulations (No 2) 2023 (Regulations No.2023/0158), New Zealand Government, https://www.legislation.govt.nz/regulation/public/2023/0158/latest/LMS859347.html (last visited Aug 10, 2024).
Financial Markets Conduct Act 2013 (Act No.2013/0069), New Zealand Government, https://www.legislation.govt.nz/act/public/2013/0069/latest/whole.html#DLM4090909 (last visited Aug 12, 2024).
Department of Internal Affairs. (2020). Virtual Asset Service Providers Guideline. Department of Internal Affairs. https://www.dia.govt.nz/diawebsite.nsf/Files/AML-CFT-2020/$file/AML-CFT-VASP-Guideline.pdf (last visited Aug 9, 2024).
根據美國聯邦通訊傳播委員會(Federal Communications Commission, FCC)於2016年之寬頻進步報告,美國現行之標準為業者必須提供下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務,相較於2010年所設立之標準─下載速度至少達4Mbps與上傳速度至少達1Mbps的寬頻服務,顯示出美國在寬頻部署上有明顯的進步。然而,目前仍有3400萬美國人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。 這份報告亦顯示,持續之數位落差(digital divide)導致40%生活在鄉村以及部落地區之人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。此外,E-rate計畫方案之持續推行,雖使許多學校之網路連線已有顯著改善,但仍有41%之學校未能符合FCC之短期目標,亦即這些學校之寬頻連線仍無法供應數位學習之應用。基於以上理由,2016年之寬頻進步報告總結:寬頻部署並未被適時並合理的(timely and reasonable)適用於全體美國人。 該份報告亦認為當今的通訊服務應以固網及行動寬頻服務(fixed and mobile broadband service)之方式提供,彼此的功能不同並能互補。然而,FCC尚未建立行動寬頻服務標準,因此,行動寬頻之部署尚未能反映在目前之評估。 依據1996年電信法第706條之規定,FCC必須每年報告先進通訊能力之部署,是否讓每位美國人民都能適時且合理的使用。國會所定義之「先進通訊能力」(advanced telecommunications capability)必須具高品質之能力,可讓使用者傳輸以及接收高品質之聲音、數據資料、照片以及影像服務。 此份報告重點總結如下: ●全面部署: 目前仍有3400萬美國人(約10%人口)無法接取固網下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務。然而,相較於去年之5500萬美國人(約17%人口)未能接取該寬頻服務,今年已有顯著的改善。 ●鄉村與城市間之數位落差仍待改善: 仍有39%之鄉村人口(2340萬人)以及41%之部落人口(160萬人)無法接取該寬頻服務(25Mbps/3Mbps)。相較於都市僅有4%之人無法接取該寬頻服務,發展上仍不平等。但相較於去年報告所示,有高達53%鄉村人口以及63%部落人口無法接取寬頻服務,城鄉發展不均之程度已有改善。 ●學校之寬頻速度: 全國僅有59%之學校達到FCC所設立之短期目標,亦即100Mbps可以供1000位學生使用,並有極少數之學校達到長程目標,即1Gbps可供1000位學生使用。 這份報告首次將衛星寬頻服務列入評估,FCC對於衛星寬頻服務適用與固網寬頻服務採用同樣之標準(25Mbps/3Mbps)。然而,在評估過程中,尚未有任合衛星寬頻服務符合FCC所採行之寬頻標準。
英國資訊委員辦公室(ICO)發布指引以因應歐盟一般資料保護規則(GDPR)正式施行為因應歐盟一般資料保護規則(General Data Protection Regulation,簡稱歐盟GDPR)於2018年5月正式施行,英國資訊委員辦公室(Information Commissioner’s Office, 簡稱ICO)於2017年11月21日發布一般資料保護規則指引(guide to general data protection regulation)(簡稱一般資料保護規則指引)。 ICO所發布的一般資料保護規則指引,係用於解釋歐盟GDPR的各條規定,協助企業符合歐盟GDPR的各項要求,適用於企業中擔負資料保護義務責任者。ICO說明本指引文件致力於擴展與歐盟GDPR、ICO所制定公告之其他指引文件、歐盟第29條工作小組制定公告之相關指導文件的聯結。歐盟第29條工作小組係由歐盟各會員國的資料保護機構代表組成,而ICO即為英國派任於該工作小組之資料保護機構代表。 ICO發布的一般資料保護規則指引,內容簡述如下:本指引文件係在建構歐盟GDPR法規的架構,將反映歐盟GDPR未來的導引與如何呈現,本指引內容有歐盟GDPR的重要定義(如歐盟GDPR適用對象、歐盟GDPR所欲保謢之資料種類)、歐盟GDPR原則、個人資料處理、當事人同意、當事人權利介紹、資料保護、資料洩漏處理、未成年人保護等議題之參考要點;並針對部分議題,設計有簡易清單,供參閱者勾選確認。 英國ICO除採取對外發布一般資料保護規則指引外,另有制定數個線上工具,協助企業依其身分別(如資料管理者或資料處理者),選擇線上工具進行自我檢視是否符合歐盟GDPR要求,期以協助英國業者為今(2018)年5月GDPR正式施行,能作更充分的準備。
資通安全管理法之簡介與因應資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 隨著網路科技的進步,伴隨著資安風險的提升,世界各國對於資安防護的意識逐漸升高,紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量,我國於107年5月經立法院三讀通過「資通安全管理法」(以下簡稱資安法),並於同年6月6日經總統公布,期望藉由資通安全管理法制化,有效管理資通安全風險,以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外,另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法,建置了我國資通安全管理之法制框架。然而,資安法及相關子法於108年1月1日實施後,各機關於適用上不免產生諸多疑義,故本文擬就我國資通安全管理法之規範重點為扼要說明,作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 資安法所規範之對象,主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義,指依法行使公權力之中央、地方機關(構)或公法人,但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣(市)政府機關、依公法設立之法人(如農田水利會[1]、行政法人[2])、公立學校、公立醫院等,均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊,故資安法排除軍事及情報機關之適用[3]。 特定非公務機關依資安法第3條第6款之規定,指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定,須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定,報請行政院核定,並以書面通知受核定者。須注意者為該指定行為具行政處分之性質,如受指定之特定非公務機關對此不服,則可循行政救濟程序救濟之。目前各關鍵基礎設施領域,預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 此外,政府捐助之財團法人,依該法第3條第9項之規定,指其營運及資金運用計畫應依預算法第41條第3項規定送立法院,及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人,則非屬資安法所稱特定非公務機關之範圍。公營事業之認定,則可參考公營事業移轉民營條例第3條之規定,指(一)各級政府獨資或合營者;(二)政府與人民合資經營,且政府資本超過百分之五十者;(三)政府與前二款公營事業或前二款公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 資安法之責任架構,可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段,分述如下: (一)事前規劃 就事前規劃部分,資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」,使各機關得據此落實相關之資安防護措施,各機關並應依據資通安全責任等級分級辦法之規定,依其重要性進行責任等級之分級,辦理分級辦法中所要求之應辦事項[5],並將應辦事項納入安全維護計畫中。 此外,在機關所擁有之資通系統[6]部分,各機關如有自行或委外開發資通系統,尚應依據分級辦法就資通系統進行分級(分為高、中、普三級),並就系統之等級採取相應之防護基準措施,以高級為例,從7大構面中,共須採取75項控制措施。 (二)事中維運 事中維運部分,資安法要求各機關應定期提出資通安全維護計畫之實施情形,上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件,應於機關知悉資通安全事件發生時,於規定時間內[7],依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施,以避免資通安全事件之擴大。 (三)事後改善 在事後改善部分,如各機關發生資通安全事件或於稽核時發現缺失,則均應進行相關缺失之改善,提出改善報告,並應針對缺失進行追蹤評估,以確認缺失改善之情形。 三、情資分享 為使資通安全情資流通,並考量網路威脅可能來自於全球各地,資安法第8條規定主管機關應建立情資分享機制,進行情資之國際合作。情資分享義務原則於公務機關間,就特定非公務機關部分,為鼓勵公私間之協力合作,故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 我國已於107年1月將政府資安資訊分享與分析中心(G-ISAC)調整提升至國家層級並更名為「國家資安資訊分享與分析中心」(National Information Sharing and Analysis Center, N-ISAC)。透過情資格式標準化與系統自動化之分享機制,提升情資分享之即時性、正確性及完整性,建立縱向與橫向跨領域之資安威脅與訊息交流,以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 為使資安法之相關規範得以落實,資安法就公務機關部分,訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容,配合機關內部之人事考評規定訂定獎懲基準,而獎懲辦法適用之人員,除公務人員外,尚包含機關內部之約聘僱人員。就特定非公務機關部分,資安法則另訂有相關之罰則,針對未依資安法及相關規定辦理應辦事項之特定非公務機關,中央目的事業主管機關得令限期改正,並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分,因考量其影響範圍層面較廣,故規定特定非公務機關如未依規定進行通報,則可處以30萬元至500萬元之罰鍰。 參、事件評析 公務機關及特定非公務機關為落實資安法之相關規範,勢必投入相關之資源及人力,以符合資安法之要求。考量公務機關或特定非公務機關之資源有限,故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌,以避免資源或相關措施重複建置,以下則列舉幾點建議: 一、風險評估與安全措施 資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制,與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似,故各機關於適用上可協調內部之資安與隱私保護機制,共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 資安法第18條要求機關應訂定資通安全事件通報應變機制,而個人資料保護法第12條亦規定有向當事人通知之義務,兩者規定雖不盡相同,惟各機關於訂定通報應變機制上,可將兩者通報應變程序進行整合,以簡化通報流程。 三、委外管理監督 資安法第9條要求機關負有對於委外廠商之監管義務,個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同,惟均著重對於資料安全及隱私之保護,故各機關可從資料保護層面著手,訂定資安與個人資料保護共同之檢核項目,來進行委外廠商資格之檢視,並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 資安法施行細則第6條要求於建置安全維護計畫時,須先進行內部之資產盤點及分級,而個人資料保護法施行細則第12條中,則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時,可建立內部共同之資料盤點清單及資料管理措施,並增加資料使用軌跡紀錄,建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定,軍事機關指國防部及其所屬機關(構)、部隊、學校;情報機關指國家情報工作法第3條第1項第1款(包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊)及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定,行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關(構),於其主管之有關國家情報事項範圍內,視同情報機關。 [4] 羅正漢,〈臺灣資通安全管理法上路一個月,行政院資安處公布實施現況〉,iThome, 2019/02/15,https://www.ithome.com.tw/news/128789 (最後瀏覽日:2019/5/13)。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級,各機關應依據其責任等級應從管理面、技術面及認知與訓練面向,辦理相應之事項。 [6] 資通系統之定義,依資通安全管理法第3條第1款之規定,指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後,應於1小時內依規定進行資通安全事件之通報;如為第一、二級資通安全事件,並應於知悉事件後72小時內完成損害控制或復原作業,第三、四級資通安全事件,則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉,行政院國家資通安全會報技術服務中心,https://www.nccst.nat.gov.tw/NISAC(最後瀏覽日:2019/5/14)。
加州法院判決刪除公司電腦之個人資訊非屬犯罪行為美國加州北區聯邦地方法院,於去年(2017年)12月5日做出關於雇員刪除其由公司提供電腦中與公務無關資料是否屬電腦犯罪之判決(United States v. Zeng, 4:16-cr-00172(District Court, N.D. California. 2017).)。 該案情為曾(Zeng)氏為避免其竊取自家公司商業機密行為被揭發,而逕自刪除其在公司提供筆記型電腦內之相關資料。而嗣後仍然被公司發現並報案,於此偵查單位FBI則以曾氏違反電腦詐欺及濫用法案(Computer Fraud and Abuse Act,下稱CFAA)中「未經授權而毀損他人電腦(18 U.S.C. § 1030(1984).).」以美國政府名義(下稱控方)起訴曾氏刪除其犯罪證據之行為。 對於該控訴,被告曾氏以被刪除之電子紀錄與其業務無關,非為公司所有財產為由作為抗辯。此外曾氏同時以其他判決主張毀損電腦之定義應係指由外部傳輸行為所致(如駭客行為),電腦使用者自己刪除行為應不包含之,以及控方未舉證其刪除行為將導致公司有不可回復或無法替代之損害作為抗辯。於此,控方則以刪除行為不應以內容而有所區分作為回應。 在審理期間,承審法官多納托(Donato)氏除參酌控辯雙方證詞外,並特別詢問控方律師指控內容是否會對一般大眾造成其在公用電腦中刪除同類資訊上之顧慮。而控方則以曾氏行為屬特殊情況作為答辯。最後,多納托氏則以控方主張將造成社會恐慌以及控方未提出被告刪除資料行為究竟對公司有何實際損害,判決被告無罪。