自從兆豐紐約分行因洗錢防制及內控疏失遭美國紐約州金融署裁罰美金1.8億元引起軒然大波後,洗錢防制即成為金融機構的顯學,洗錢防制法也再度修訂而於2017年6月28日正式施行,採用行政管制、刑事處罰及國際合作等方式多管齊下,受到規範者不僅包括金融機構,也涵蓋指定之非金融事業或人員包括銀樓業、會計師、地政士、公證人、律師等。
今年(2018)台灣將接受亞太反洗錢組織(APG)的同儕評鑑,政府與民間相關機構都動了起來,致力於強化洗錢防制措施。與洗錢防制息息相關的資安系統與服務,也受到高度重視而為業者帶來商機,但個資保護則會因應洗錢防制而受到限縮。
自從兆豐紐約分行因洗錢防制及內控疏失遭美國紐約州金融署裁罰美金1.8億元引起軒然大波後,洗錢防制即成為金融機構的顯學,洗錢防制法也再度修訂而於2017年6月28日正式施行,採用行政管制、刑事處罰及國際合作等方式多管齊下,受到規範者不僅包括金融機構,也涵蓋指定之非金融事業或人員包括銀樓業、會計師、地政士、公證人、律師等。
為落實洗錢防制,相關業者須確實執行認識客戶 (Know Your Customer,KYC)程序,以及辨識各種風險與涉嫌洗錢之交易並依法申報,此有賴大數據分析及資安系統之協力,老舊設備恐需大幅更新以因應洗錢防制的挑戰。而相關從業人員的心態與腦袋也應同步更新,不能僅著眼於賺錢營利而全盤配合客戶需求,亦應同步進行防弊措施以強化內控內稽。過往金融機構強調維護客戶隱私及個資的立場,也因洗錢防制而有所退讓,才能過濾出隱藏在貌似合法交易背後的藏鏡人。
洗錢防制的發展
洗錢(Money Laundering)是指把犯罪所得的黑錢透過巧妙手法轉成乾淨的錢,使得司法機關難以查緝沒收。洗錢並非如其英文Laundering指放到洗衣機裡把黑錢洗成白的,但早期洗錢的手法確實有美國黑幫以經營洗衣店當掩護,因為洗衣店收的是現金,可與犯罪所得金額混成大水庫,再一起存入銀行把黑錢漂白。
洗錢的手法常常是跨國作業且牽涉到金融機構,故需要過國際合作與金融業的配合才能有效防制洗錢。洗錢之前必先有特定犯罪,才會有犯罪所得需要漂白。早期對於洗錢的先行為犯罪類型主要鎖定毒品交易,後來則擴大到走私、搶劫、經濟犯罪、貪汙等重大犯罪。1989年由七大工業國高峰會議針對洗錢防制事項決議成立金融行動工作組織(FATF),後來更提出40項反洗錢建議而形成國際規範指引。FATF從洗錢防制也擴大到打擊資助恐怖活動及武器擴散。
依新修訂的FATF第20項建議,金融機構有合理依據懷疑資金係犯罪收益或提供恐怖活動有關時,應儘速直接依法令所定義務向金融情報中心提出申報。各國的金融情報中心組成「艾格蒙聯盟」的國際組織,以交換洗錢情報,而我國對應之金融情報中心即為法務部調查局。1997年國際上成立亞太防制洗錢組織( APG)以協助其會員國接受與履行FATF所制定有關洗錢防制等規範,台灣為創始會員,並於1996年制定亞洲第一部防制洗錢的專法。繼2001年與2007年兩度接受APG會員的相互評鑑之後,台灣今年將第三度接受APG的同儕評鑑,事關國家顏面及金融與反洗錢的發展,政府至為重視,去年還成立行政院洗錢防制辦公室,以發揮跨部會整合的領導架橋效用。
疏失重罰帶來資安商機
金融機構是洗錢防制法主要的規範對象,銀行更是洗錢常用的管道。依洗錢防制法規定,金融機構應制定防制洗錢注意事項,對於一定金額以上之通貨交易、疑似洗錢交易等情應向法務部調查局申報;對於受僱人因執行業務而涉犯洗錢罪者,除處罰行為人之外,對該法人並科以各該洗錢犯罪法條所定之罰金。洗錢防制也應納入於銀行內部控制及稽核制度。依銀行法規定,銀行應建立內部控制及稽核制度;銀行未建立或未確實執行內部控制及稽核制度者,應處新台幣2百萬元以上1千萬元以下罰鍰。近來許多銀行遭金管會裁罰之原因即包括洗錢防制缺失,如兆豐紐約分行洗錢防制疏失案、慶富造船獵雷艦聯貸案亦涉及包括第一銀行、兆豐銀行、土地銀行等多家銀行的洗錢防制疏失。
銀行業者因洗錢防制疏失遭到重罰,也為資安業者帶來商機。由銀行公會所定之「銀行防制洗錢及打擊資恐注意事項範本」第9條可見,資安業者就銀行對帳戶及交易之如下所述之持續監控,可提供相關之洗錢防制服務:
1.銀行應逐步以「資訊系統」整合全公司客戶之基本資料及交易資料,供總(分)公司進行基於防制洗錢及打擊資恐目的之查詢,以強化其帳戶及交易監控能力。
2.應依據以風險基礎方法,建立帳戶及交易監控政策與程序,並利用「資訊系統」,輔助發現疑似洗錢或資恐交易。
3.銀行就各項疑似洗錢或資恐交易表徵,應以風險基礎方法辨別須建立相關「資訊系統」輔助監控者。
完善的資安系統亦可協助調查局對於彙整而來的洗錢大數據進行分析整合,以有效過濾人頭帳戶與背後的實質受益人,並勾稽出綿密複雜的金流網路,以有效打擊洗錢犯罪及進行國際情報合作。
對個資保護的限制
歐盟新版個資法(GDPR)即將於今年5月25日全面實施,也會影響到有蒐集、處理和利用歐洲民眾個資的台灣企業。保護個資隱私是資訊氾濫時代的新趨勢,個資法即為民眾的法律盾牌,台灣也有相關的立法,但個資保護並非絕對而設有許多例外。以洗錢防制為例,金融機構及指定之非金融事業或人員對於達一定金額(即新台幣50萬元)以上之通貨交易以及涉嫌洗錢之交易,應向法務部調查局申報,洗錢防制法第9條與10條更規定依法為申報者,免除其業務上應保守秘密之義務。此亦屬個資法所規定對個資保護之例外,因另有法律明文規定免除保密義務。歐盟於2015年通過洗錢防制第四指令對於揭露實質受益人的要求更加嚴格,也與個資保護產生緊張關係。可見新時代的資安議題,既要維護民眾個資保護也要打擊犯罪,必須平衡兼顧。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>