區塊鏈為結合公開金鑰加密機制、條件式雜湊函數計算及工作量驗證共識決演算法等,所組成的技術協議。由於區塊鏈強調匿名及去中心化等特色,其運用在金融領域內,與既有「瞭解你的客戶」(Know Your Customer,KYC)之規範產生一定的競合與衝突。
區塊鏈為結合公開金鑰加密(Public Key Cryptography)機制、條件式雜湊函數(Hash Function)計算及工作量驗證(Proof of Work)共識決演算法等,所組成的技術協議。其特徵並無強制之中心機構(又稱去中心化Decentralized),不易受特定國家、企業或組織所掌控,而係透過一般稱之為分散式帳本(Distributed ledger Technology,DLT)技術,類似點對點(Peer to Peer)傳輸方式。在前述協議架構下將資訊透過各節點進行傳輸、交換、驗證及儲存,並兼具提供加密、難以被竄改、資訊公開透明、可隨時查詢等特性。
但也由於區塊鏈強調匿名(Anonymous)及去中心化等特色,其運用在金融領域內,與既有「瞭解你的客戶」(Know Your Customer,KYC)之規範產生一定的競合與衝突。例如,依據我國洗錢防制法第7條第3、4項等規定,在現行法下,KYC主要為客戶審查的概念。而客戶審查(Customer Due Diligence)的概念,係源於1988年巴塞爾委員會之指導原則。
強化防制力度KYC加重審查
早期銀行考量業務推展及交易順遂等因素,對於往來客戶只要確認相關身分後並不會太過刁難,以致遭不法之徒有機可趁,用合法掩護非法進行洗錢或其他犯罪行為。基此,巴塞爾委員會認為,雖然銀行監理者的職責並非確認每一筆交易的合法性,但如果銀行直接或間接牽涉到洗錢行為時,則大眾會對銀行體系功能喪失信心,故銀行監理者絕不能漠視不法分子利用銀行體系進行犯罪的情形。該委員會遂於1988年針對洗錢發表一份指導原則,將銀行實務上認識客戶(Customer Identification)原則加以明文化,亦即銀行必須採取適當的程序、完成合理的盡職調查去得知其客戶真實身分為何。
為了提升洗錢防制力度,符合國際趨勢,我國自2017年修正適用之新洗錢防制法。其中即強化客戶審查的要求,從以往單純確認客戶身分,改為客戶審查且同時要求對擔任重要政治性職務人士等應進行風險控管,而實務操作及規範皆應遵循防制洗錢金融行動工作組織(FATF)在2016年建議之40項建議內容。因此,在我國洗錢防制法第7條第1項確認客戶身分,與第7條第3項客戶審查的文字雖有並存,但實際上依國際規範,KYC須採用世界通用的「客戶審查」與「風險基礎方法」,而非僅確認客戶身分。
如前所述,此一客戶審查之概念及實際操作方式,與區塊鏈技術特徵及強調匿名之概念有異。一般而言,多數加密貨幣之交易所,僅依循透過公開金鑰加密機制,確認錢包、公私鑰後,即可進行加密貨幣之交易、移轉等。雖技術上可進行追蹤或驗證,然而,實際執行上常造成追蹤斷線或無法確認交易相對人之真實身分。在我國加密貨幣之交易,先撇開是否屬於法定貨幣之爭論,倘若要符合金融機構之KYC規範,須考量進一步要結合實名制,或透過第三方如銀行之協助,例如MAX交易所即與凱基銀行合作,始可能初步符合洗錢防制相關規範(服務條款可見https://assets.maicoin.com/max/MAX-Terms-of-Use.pdf)。
管轄權約定蔚為重點
在網路上除身分確認外,還有管轄權等議題,例如為確認提供商品或服務之交易相對人身分,常以E-mail為註冊方式。除在金融領域之應用有前述KYC規範等考量外,在其他領域內,尚可能會有非本國人使用本國相關服務。在民事關係上,為確保交易雙方之權利義務,跨國交易的主體之間常有準據法或管轄法院的約定。然而,網路無國界,遑論區塊鏈運用分散式帳本之技術,充分結合各節點之能量,更無從確定特定交易行為之發生地。
如發生爭議時,在區塊鏈應用上要確認行為人或交易相對人已經不是容易的事情,不僅如此,即使有準據法或管轄法院之約定,由於所處疆域或人員移動等實際因素,依現行司法體制進行調解、仲裁或訴訟將有一定難度。這不僅是區塊鏈應用會碰到的問題,國際社會在處理洗錢防制、打擊恐怖主義、氣候變遷、核能擴散等,因非屬單一國家或地區的事務,需要透過國際合作。
加密貨幣之交易,倘若要符合金融機構之KYC規範,須考量進一步要結合實名制,或透過第三方如銀行之協助。(Photo:mohamed_hassan/pixabay)
傳統國際合作的方式,多透過簽署雙邊或多邊協定,或成立國際組織如聯合國或WTO,以處理相關事務或確保約定之權利義務能夠落實。但在相關科技應用上,尤其是區塊鏈等技術,目前多用於金融、智慧財產權及貿易通關等,多屬民事關係,與前述洗錢防制、打擊恐怖主義、氣候變遷、核能擴散等涉及公益之議題,各國政府願意主動協助或處理不同。又屬於網路科技之事項,常由社群或技術性之國際組織如國際電信聯盟(ITU)制定相關標準或規格。惟對於法令規範,因私法自治等考量,各國司法主權不宜過度介入民事關係,也不太可能為單一科技應用成立國際組織、制定條約或協定。
綜合上述,在區塊鏈席捲全球的同時,吾人樂見相關應用不斷出現。然在規劃區塊鏈可能之應用案例或情境,企業經營者或開發人員,除一般會考量的個資或資安議題外,如KYC規範、管轄權約定能否符合現行法規、能否透過既有機制解決糾紛,不可不注意。
<本文作者:陳宏志現為資策會創研所區塊鏈科技組正分析師。>