本辦法依洗錢防制法第五條第二項適用同法第六條第三項、第七條第四項前段、第八條第三項、第九條第三項、第十條第三項及資恐防制法第七條第五項規定訂定之。
本辦法用詞,定義如下:
一、虛擬通貨平台及交易業務事業(以下簡稱本事業):指為他人從事下列活動為業者。
(一)虛擬通貨與新臺幣、外國貨幣及大陸地區、香港或澳門發行之貨幣間之交換。
(二)虛擬通貨間之交換。
(三)進行虛擬通貨之移轉。
(四)保管、管理虛擬通貨或提供相關管理工具。
(五)參與及提供虛擬通貨發行或銷售之相關金融服務。
二、虛擬通貨:指運用密碼學及分散式帳本技術或其他類似技術,表彰得以數位方式儲存、交換或移轉之價值,且用於支付或投資目的者。但不包括數位型式之新臺幣、外國貨幣及大陸地區、香港或澳門發行之貨幣、有價證券及其他依法令發行之金融資產。
三、建立業務關係:指接受客戶申請註冊或建立類似往來關係。
四、臨時性交易:指與未建立業務關係之人進行第一款各目活動。
五、實質受益人:指對客戶具最終所有權或控制權之自然人,或由他人代理交易之自然人本人,包括對法人或法律協議具最終有效控制權之自然人。
六、風險基礎方法:指本事業應確認、評估及瞭解其暴露之洗錢及資恐風險,並採取適當防制洗錢及打擊資恐措施,以有效降低此類風險。依該方法,對較高風險情形應採取加強措施,對較低風險情形,則可採取相對簡化措施,以有效分配資源,並以最適當且有效之方法,降低經其確認之洗錢及資恐風險。
前項第一款所稱本事業,係以在國內設立登記者為限。
洗錢防制法第五條所定金融機構及指定之非金融事業或人員從事第一項第一款各目活動者,分別依其所屬之中央目的事業主管機關所定洗錢防制相關規定辦理,不適用本辦法規定。
本事業確認客戶身分措施,應依下列規定辦理:
一、不得接受客戶以匿名或使用假名建立或維持業務關係。
二、於下列情形時,應確認客戶身分:
(一)與客戶建立業務關係時。
(二)辦理等值新臺幣三萬元以上之臨時性交易或多筆顯有關聯之臨時性交易合計達等值新臺幣三萬元以上時。
(三)發現疑似洗錢或資恐交易時。
(四)對於過去所取得客戶身分資料之真實性或妥適性有所懷疑時。
三、確認客戶身分應採取下列方式:
(一)以可靠、獨立來源之文件、資料或資訊,辨識及驗證客戶身分。
(二)對於由代理人辦理者,應確實查證代理之事實,並依前目方式辨識及驗證代理人身分。
(三)辨識客戶實質受益人,並以合理措施驗證其身分,包括使用可靠來源之資料或資訊。
(四)確認客戶身分措施,應包括瞭解業務關係之目的及性質,並視情形取得相關資訊。
四、前款規定於客戶為自然人時,應至少取得客戶之下列資訊,辨識及驗證客戶身分:
(一)姓名。
(二)官方身分證明文件號碼。
(三)出生日期。
(四)國籍。
(五)戶籍或居住地址。
五、第三款規定於客戶為法人、團體或信託之受託人時,應瞭解客戶或信託(包括類似信託之法律協議)之業務性質,並至少取得客戶或信託之下列資訊,辨識及驗證客戶身分:
(一)客戶或信託之名稱、法律形式及存在證明。
(二)規範及約束客戶或信託之章程或類似之權力文件。但下列情形得不適用:
(三)在客戶中擔任高階管理人員者之姓名。
(四)客戶註冊登記之辦公室地址,及其主要之營業處所地址。
六、客戶為法人時,應瞭解其是否可發行無記名股票,並對已發行無記名股票之客戶採取適當措施以確保其實質受益人之更新。
七、第三款第三目規定於客戶為法人、團體或信託之受託人時,應瞭解客戶或信託之所有權及控制權結構,並透過下列資訊,辨識客戶之實質受益人,及採取合理措施驗證:
(一)客戶為法人、團體時:
(二)客戶為信託之受託人時:應確認委託人、受託人、信託監察人、信託受益人及其他可有效控制該信託帳戶之人,或與上述人員具相當或類似職務者之身分。
(三)客戶或具控制權者為下列身分者,除有第六條第三款但書情形或已發行無記名股票情形者外,不適用第三款第三目辨識及驗證實質受益人身分之規定。
八、本事業確認客戶身分作業應自行辦理,如法令另有規定得依賴第三方執行辨識及驗證客戶本人身分、代理人身分、實質受益人身分或業務關係之目的及性質時,該依賴第三方之本事業仍應負確認客戶身分之最終責任,並應符合下列規定:
(一)應能立即取得確認客戶身分所需資訊。
(二)應採取符合本事業本身需求之措施,確保所依賴之第三方將依本事業之要求,毫不延遲提供確認客戶身分所需之客戶身分資料或其他相關文件影本。
(三)確認所依賴之第三方受到規範、監督或監控,並有適當措施遵循確認客戶身分及紀錄保存之相關規範。
(四)確認所依賴之第三方之所在地,其防制洗錢及打擊資恐規範與防制洗錢金融行動工作組織(FATF)所定之標準一致。
九、本事業完成確認客戶身分措施前,不得與該客戶建立業務關係或進行等值新臺幣三萬元以上之臨時性交易。
十、對於無法完成確認客戶身分相關規定程序者,應考量申報與該客戶有關之疑似洗錢或資恐交易。
十一、懷疑某客戶或交易可能涉及洗錢或資恐,且合理相信執行確認客戶身分程序可能對客戶洩露訊息時,得不執行該等程序,而改以申報疑似洗錢或資恐交易。
本事業確認客戶身分時,有下列情形之一者,應予以婉拒建立業務關係或交易:
一、疑似使用匿名、假名、人頭、虛設行號或虛設法人、團體建立業務關係。
二、客戶拒絕提供審核客戶身分措施相關文件。
三、對於由代理人辦理,且查證代理之事實及身分資料有困難者。
四、持用偽、變造身分證明文件。
五、提供文件資料可疑、模糊不清,不願提供其他佐證資料或提供之文件資料無法進行查證。
六、客戶不尋常拖延應補充之身分證明文件。
七、建立業務關係對象為資恐防制法指定制裁之個人、法人或團體,以及外國政府或國際組織認定或追查之恐怖分子、法人或團體。但依資恐防制法第六條第一項第一款至第三款所為支付不在此限。
八、建立業務關係或交易時,有其他異常情形,客戶無法提出合理說明。
本事業確認客戶身分措施,應包括對客戶身分之持續審查,並依下列規定辦理:
一、應依重要性及風險程度,對現有客戶身分資料進行審查,並於考量前次執行審查之時點及所獲得資料之適足性後,在適當時機對已存在之往來關係進行審查。上開適當時機至少應包括:
(一)客戶新增業務往來關係時。
(二)依據客戶之重要性及風險程度所定之定期審查時點。
(三)得知客戶身分與背景資訊有重大變動時。
二、應對客戶業務關係中之交易進行詳細審視,以確保所進行之交易與客戶及其業務、風險相符,必要時並應瞭解其資金來源。
三、應定期檢視其辨識客戶及實質受益人身分所取得之資訊是否足夠,並確保該等資訊之更新,特別是高風險客戶,應至少每年檢視一次。
四、對客戶身分辨識與驗證程序,得以過去執行與保存資料為依據,無須於客戶每次從事交易時,一再辨識及驗證客戶之身分。但對客戶資訊之真實性或妥適性有所懷疑、發現客戶涉及疑似洗錢或資恐交易、或客戶之交易或帳戶之運作方式出現與該客戶業務特性不符之重大變動時,應依第三條規定對客戶身分再次確認。
第三條第三款與前條規定之確認客戶身分措施及持續審查機制,應以風險基礎方法決定其執行強度,包括:
一、對於高風險情形,應加強確認客戶身分或持續審查措施,其中至少應額外採取下列強化措施:
(一)在建立或新增業務往來關係前,應取得本事業高階管理人員同意。
(二)應採取合理措施以瞭解客戶財富及資金來源。其中資金來源係指產生該資金之實質來源。
(三)對於業務往來關係應採取強化之持續監督。
二、對於來自洗錢或資恐高風險國家或地區之客戶,應採行與其風險相當之強化措施。
三、對於較低風險情形,得採取簡化措施,該簡化措施應與其較低風險因素相當。但有下列情形者,不得採取簡化確認客戶身分措施:
(一)客戶來自未採取有效防制洗錢或打擊資恐之高風險國家或地區,包括但不限於國際防制洗錢組織所公告防制洗錢與打擊資恐有嚴重缺失之國家或地區,及其他未遵循或未充分遵循國際防制洗錢組織建議之國家或地區。
(二)足資懷疑該客戶或交易涉及洗錢或資恐。
本事業如擔任虛擬通貨移轉之轉出方,應依下列規定辦理:
一、應取得必要且正確之轉出虛擬通貨之客戶(以下簡稱轉出人)資訊及必要之接收虛擬通貨之客戶(以下簡稱接收人)資訊,且依第十條規定保存所取得之前開資訊,並應將前開資訊立即且安全地提供予擔任接收方之事業。檢察機關及司法警察機關要求立即提供時,應配合辦理。
二、前款轉出人及接收人之必要資訊應包括:
(一)轉出人資訊應包括:轉出人姓名、轉出虛擬通貨之錢包資訊及下列轉出人各項資訊之一:
(二)接收人資訊應包括:接收人姓名、接收虛擬通貨之錢包資訊。
三、本事業未能依前二款規定辦理時,不得執行虛擬通貨之移轉。
本事業如擔任虛擬通貨移轉之接收方,應依下列規定辦理:
一、應採取適當措施,以辨識出缺少前項第二款必要資訊之虛擬通貨移轉。
二、應具備以風險為基礎之政策及程序,以判斷何時執行、拒絕或暫停缺少前項第二款必要資訊之虛擬通貨移轉,及適當之後續追蹤行動。
三、應依第十條規定,保存所取得之轉出人及接收人資訊。
本事業執行虛擬通貨之移轉時,應確認交易對手(接收方或轉出方)之事業所受監理規範與防制洗錢金融行動工作組織(FATF)所定防制洗錢及打擊資恐標準一致。
本事業應依據風險基礎方法,建立客戶及交易有關對象之姓名及名稱檢核政策及程序,以偵測、比對、篩檢客戶、客戶之實質受益人或交易有關對象是否為資恐防制法指定制裁之個人、法人或團體,以及外國政府或國際組織認定或追查之恐怖分子、法人或團體。
本事業執行姓名及名稱檢核之情形應予記錄,並依第十條規定之期限進行保存。
本事業於確認客戶身分時,應運用風險管理系統確認客戶及其實質受益人是否為現任或曾任國內外政府或國際組織之重要政治性職務人士:
一、客戶或其實質受益人若為現任國外政府之重要政治性職務人士,應將該客戶直接視為高風險客戶,並採取第六條第一款各目之強化確認客戶身分措施。
二、客戶或其實質受益人若為現任國內政府或國際組織之重要政治性職務人士,應於與該客戶建立業務關係時,審視其風險,嗣後並應每年重新審視。對於經認定屬高風險業務關係者,應對該客戶採取第六條第一款各目之強化確認客戶身分措施。
三、對於非現任國內外政府或國際組織之重要政治性職務人士,應考量相關風險因子後評估其影響力,依風險基礎方法認定其是否應適用前二款之規定。
四、前三款規定於重要政治性職務人士之家庭成員及有密切關係之人,亦適用之。
前項重要政治性職務人士與其家庭成員及有密切關係之人之範圍,依洗錢防制法第七條第四項後段所定辦法之規定認定之。
第三條第七款第三目第一小目至第三小目及第八小目所列對象,其實質受益人為重要政治性職務人士時,不適用第一項規定。
本事業應以紙本或電子資料保存與客戶往來及交易之紀錄憑證,並依下列規定辦理:
一、對國內外交易之所有必要紀錄,應至少保存五年。但法律另有較長保存期間規定者,從其規定。
二、對下列資料,應保存至與客戶業務關係結束後或臨時性交易結束後,至少五年。但法律另有較長保存期間規定者,從其規定:
(一)確認客戶身分所取得之所有紀錄,如護照、身分證、駕照或類似之官方身分證明文件影本或紀錄。
(二)契約文件檔案。
(三)業務往來資訊,包括對複雜、異常交易進行詢問所取得之背景或目的資訊與分析資料。
三、保存之交易紀錄應足以重建個別交易,以備作為認定不法活動之證據。
四、對權責機關要求提供交易紀錄及確認客戶身分等相關資訊時,應確保能夠迅速提供。
本事業進行交易時,對新臺幣五十萬元(含等值外國貨幣及大陸地區、香港或澳門發行之貨幣)以上之現金交易,應於交易後五個營業日內,依法務部調查局所定之申報格式及方式,向法務部調查局申報。
前項向法務部調查局申報資料及相關紀錄憑證之保存,應依前條規定辦理。
本事業對客戶交易之持續監控,應依下列規定辦理:
一、應依據風險基礎方法,建立交易監控政策與程序,並得利用資訊系統輔助發現疑似洗錢或資恐交易。其交易監控政策與程序應定期檢討之。
二、前款交易監控政策及程序,至少應包括完整之監控態樣、參數設定、金額門檻、預警案件與監控作業之執行程序與監控案件之檢視程序及申報標準,並將其書面化。
三、執行交易監控之情形應予記錄,並依第十條規定之期限進行保存。
本事業對疑似洗錢或資恐交易之申報,應依下列規定辦理:
一、對於符合依前項第二款規定所定之監控態樣或其他異常情形,應儘速完成是否為疑似洗錢或資恐交易之檢視,並留存紀錄。
二、對於經檢視屬疑似洗錢或資恐交易者,不論交易金額多寡,均應依法務部調查局所定之申報格式簽報,並於專責人員核定後立即向法務部調查局申報,核定後之申報期限不得逾二個營業日。交易未完成者,亦同。
三、對屬明顯重大緊急之疑似洗錢或資恐交易案件之申報,應立即以傳真或其他可行方式儘速向法務部調查局申報。
四、向法務部調查局申報資料及相關紀錄憑證之保存,應依第十條規定辦理。
本事業進行資恐防制法第七條第三項之通報,應依下列規定辦理:
一、於知悉後即依法務部調查局所定之通報格式簽報,並於專責人員核定後立即向法務部調查局通報,核定後之通報期限不得逾二個營業日。
二、有明顯重大緊急之情事者,應立即以傳真或其他可行方式儘速向法務部調查局通報。
前項通報紀錄及相關交易憑證之保存依第十條規定辦理。
本事業應採取適當作為以辨識、評估及瞭解其洗錢及資恐風險,至少涵蓋客戶、國家或地區、產品及服務、交易或支付管道等面向,並依下列規定辦理:
一、每兩年應製作風險評估報告。
二、應考量所有風險因素,以決定整體風險等級,及降低風險之適當措施。
三、應確保風險評估報告之定期更新。
四、於金融監督管理委員會(以下簡稱本會)要求時提供風險評估報告。
本事業應依洗錢與資恐風險及業務規模,建立防制洗錢及打擊資恐之內部控制與稽核制度,並經董事會通過;修正時,亦同。其內容應包括下列事項:
一、防制洗錢及打擊資恐之作業及控制程序。
二、指派管理層級人員擔任專責人員,負責協調監督防制洗錢及打擊資恐事宜。
三、建立高品質之員工遴選及任用程序,及持續性員工訓練計畫,包括檢視員工是否具備廉正品格與執行其職責所需之專業知識,及定期舉辦或參加防制洗錢及打擊資恐之在職訓練。
四、備置並定期更新洗錢及資恐風險評估報告。
五、測試防制洗錢及打擊資恐制度有效性之獨立稽核功能。
六、其他依防制洗錢及打擊資恐相關法令及本會指定之事項。
前項制度所定之政策、控制及程序應經高階管理階層核定,俾管理及降低已知洗錢及資恐風險,包括由國家或其本身所辨識之風險。本事業應監控相關控制程序之執行,必要時予以強化,並應採取強化措施以管理及降低已知之較高風險。
第一項第二款專責人員應於充任後三個月內符合下列資格條件之一,本事業並應訂定相關控管機制,以確保符合規定:
一、曾擔任依法令規定設置之專責法令遵循人員或防制洗錢及打擊資恐專責人員三年以上者。
二、參加本會認定機構所舉辦二十四小時以上課程,並經考試及格且取得結業證書者。
三、取得國際或本會認定機構舉辦之國內防制洗錢及打擊資恐專業人員證照者。
本事業應依下列規定辦理第一項第三款在職訓練:
一、第一項第二款專責人員每年應至少參加十二小時防制洗錢及打擊資恐教育訓練,訓練內容應至少包括新修正法令、洗錢及資恐風險趨勢及態樣。當年度取得國際或本會認定機構舉辦之國內防制洗錢及打擊資恐專業人員證照者,得抵免當年度之訓練時數。
二、董事、監察人、總經理、法令遵循人員、內部稽核人員及業務人員,應依其業務性質,每年安排適當內容及時數之防制洗錢及打擊資恐教育訓練,以使其瞭解所承擔之防制洗錢及打擊資恐職責,及具備執行該職責應有之專業。
第一項第五款之稽核功能,本事業應辦理下列事項之獨立查核,並提具查核意見:
一、洗錢及資恐風險評估與防制洗錢及打擊資恐相關政策、控制及程序是否符合法規要求並落實執行。
二、防制洗錢及打擊資恐相關政策、控制及程序之有效性。
本事業於推出新產品、服務或辦理新種業務前,應進行產品之洗錢及資恐風險辨識及評估,並建立相應之風險管理措施,以降低所辨識之風險。
本事業應依本會指定之文件、資料及方式完成洗錢防制法令遵循之聲明。聲明程序經本會令其限期補正,而屆期不補正者,視為自始未完成。
本會對本事業防制洗錢及打擊資恐之執行情形,得採風險基礎方法隨時派員或委託適當機構辦理查核,查核方式包括現地查核及非現地查核,並於必要時得指定或要求本事業委託專門職業及技術人員對本事業防制洗錢及打擊資恐之執行情形辦理查核,向本會提出報告,其費用由受查核之對象負擔。
本會執行前項查核,得命本事業提示防制洗錢及打擊資恐相關之帳簿、文件、電子資料檔或其他資料。前開資料儲存形式不論係以書面、電子檔案、電子郵件或任何其他形式方式儲存,均應提供,不得以任何理由規避、拒絕或妨礙查核。
本辦法除第七條由本會另定施行日期外,自中華民國一百十年七月一日施行。