加密貨幣業者的反洗錢合規寶典:台灣 VASP 求生指南

·

「虛擬通貨=洗錢天堂」是外界最常見的刻板印象。隨著加密貨幣與區塊鏈技術不斷成熟,詐騙案件也並未停歇:2023 年美國 FBI 估算的虛擬資產詐騙損失已衝破 39.4 億美元,同比激增 53%。各國主管機關緊縮監管,台灣亦步亦趨。如何在強化反洗錢(AML)義務的同時,維持流暢用戶體驗與商業成長? 本文從實戰角度拆解台灣 VASP 應完成的七項核心合規動作,並提供可直接落地的操作指引。

為何 AML 已成 VASP 的生死線?

加密貨幣具匿名、跨境、高速三大特性,不法分子得以透過以下十種伎倆漂白資金:

  1. 混幣服務與混幣器(tumbler)混淆金流
  2. 隱私幣(Monero、Zcash、Dash)躲避鏈上追蹤
  3. 去中心化交易所(DEX)豁免實名
  4. P2P 場外交易淡化監管邊界
  5. 分層交易(layering)產生「看起來正常」的碎裂金流
  6. 加密貨幣 ATM 快換現金、零 KYC
  7. 多重簽名錢包與錢包群集製造追蹤迷宮
  8. NFT 買賣炒作假行情,暗地套現
  9. 勒索軟體綁架系統,要求比特幣贖金
  10. VPN、Tor 隱匿 IP 與地理位置

面對上述高風險場景,傳統金融的 KYC、KRI、可疑交易報告(STR)已被 FATF 明確要求導入至虛擬資產服務提供者(VASP)體系,走投無路的時代已過。

七項 VASP 不能打折扣的 AML 合規動作

1. 風險評估

製作組織層級的「風險地圖」,釐清交易類型、客戶群、地域與產品所帶來的洗錢風險等級,並設定每年覆核週期。

2. 認識你的客戶(KYC)與強化盡職調查(ECDD)

3. 交易監控

導入鏈上與法幣雙軌監控:金額、頻率、對手位址黑名單、抽屜式異常模型。確保觸發條件後 24 小時內可召回交易紀錄與客戶檔案。

4. 可疑交易報告(STR)

由合規官先行整理事件摘要,再於法定期限內向「洗錢防制辦公室」申報。記得留存「申報前所有內部討論與決策歷程」以備稽核。

5. AML 合規計畫

確保「政策—程序—控制措施」三位一體,每年請第三方進行壓力測試;並在重大產品或服務上線前評估合規影響。

6. 紀錄留存

客戶、交易與培訓紀錄至少保存五年;採用加密儲存與存取稽核軌跡,避免資料遭內部竄改。

7. 員工培訓

從董事會到第一線客服每半年須參與洗錢防制課程,測驗未達80分者需重修;高管需簽署「責任聲明書」。

「VASP 防制洗錢及打擊資恐辦法」懶人包

法源依據
《洗錢防制法》第5條之2,金管會於 2021 年 7 月 1 日正式上路。

受監管業態(五大類)

  1. 法幣兌虛擬資產
  2. 虛擬資產兌虛擬資產
  3. 虛擬資產移轉
  4. 虛擬資產保管與管理工具
  5. 虛擬資產發行或銷售服務

重點條款

案例解析:ACE 交易所 152 萬罰單啟示錄

事件摘要
金管會發現 ACE 未落實 ECDD,未留存高風險客戶交易監控紀錄,且「交易時間戳與區塊鏈時間不符」。

根本原因

借鏡建議

  1. 導入自動化風險引擎,減少人為遺漏
  2. 建立「警報—審核—治癒」三步驟
  3. 結合區塊鏈瀏覽器比對鏈上與內部時間戳

搶先答疑:5 個最常見的 VASP 合規 Q&A

Q1:只有「交易所」才需要註冊 VASP 嗎?
A:不只。只要從事五大類活動之一,包括提供保管錢包、代投 ICO、甚至混幣服務的軟硬體業者,都需向經濟部登記。

Q2:KYC 所需的證件等級有法定標準嗎?
A:台灣目前參照 FATF「基礎身分、地址、來源」三大要素;官方指引雖未強制「雙證件」,但業界多採「身分證+健保卡/護照」以加速稽核。

Q3:冷、熱錢包的比例在法規上有限制嗎?
A:法規僅要求「不得全數存放於熱錢包」,業界普遍做法是把 90 % 以上長期持有資產轉為冷存;熱錢每日只預留應付提領即可。

Q4:發現可疑交易後,應該在多久內報告?
A:須於「知悉日起 2 個營業日內」完成內部審查,並立即向「洗錢防制辦公室」線上申報。

Q5:員工培訓線上考試即可嗎?
A:可以線上,但試題需涵蓋案例分析;考後須留檔,主管機關查核時會抽查答題紀錄影音以確認非代答。

下一站:從合規到品牌信任

區塊鏈產業的下一站不是「牌照到手就大功告成」,而是把「安全、合規」轉化為用戶信任與市場溢價。持續優化 KYC 體驗、以自動化減少人工、用教育影片提高用戶對資安防詐的敏感度——這才是長期領跑的關鍵。

無論你是剛起步的新創還是準備合規升級的交易所,合規從來不應被視為成本,而是通往全球化市場的通行證。