選擇章節
陳冠廷等21人
115/01/30 提案版本
第十條之一
司法警察機關及法務主管機關應將本條例第二條所定詐欺犯罪、洗錢防制法第二十條至第二十二條之罪之通緝犯及因前開犯罪經判決確定受有期徒刑之自然人之資料,透過指定之資料傳輸平臺,提供予金融機構及提供虛擬資產服務之事業或人員,作為執行確認客戶身分、持續審查及交易監控之用。
依本條蒐集、處理、利用及提供前項資料,屬個人資料保護法第六條第一項但書、第十五條、第十六條、第十九條及第二十條所稱之法律明文規定。
第一項資料之提供範圍,以下列各款為限:
一、經發布通緝中者。
二、受有期徒刑之執行完畢或赦免後,未滿五年者。
前項第一款或第二款之情事消滅、變更或期間屆滿時,資料提供機關應即時於平臺更新,並應採行足資驗證資料完整性及來源辨識性之安全傳輸機制。前項第二款之對象,不包括緩刑期滿而未經撤銷者。
金融機構及提供虛擬資產服務之事業或人員,得於第一項所定目的之必要範圍內,蒐集、處理及利用前項資料;並不得逾越特定目的利用、不得提供第三人。但法令另有規定或司法、主管機關依法調取者,或同一金融控股公司與其所屬子公司間、同一金融機構與其子公司間基於防制洗錢及打擊詐欺之必要為前述目的之利用者,不在此限。前開資料不得作為商業行銷、授信評分、保險核保或其他與防制詐欺無關目的之利用。涉跨境傳輸或海外委外者,應依個人資料保護法第二十一條及中央金融主管機關規定辦理;境內委外處理者,準用前開規定,受委託者視為金融機構及提供虛擬資產服務之事業或人員之一部分,負同等之保密與資通安全義務,並受本條及依本條所定辦法之約束。
第一項資料傳輸平臺之建置、資料異動之主動通知機制、指定平臺故障時之緊急聯絡窗口與替代機制、查詢與異動留痕,其留存期間原則與資料保有期限一致、命中案件之人為覆核機制、個人資料事故通報、外部稽核頻率、資料保有期限及其縮短或分級註銷條件、資料正確性之定期複核機制、提供虛擬資產服務之事業或人員之分級管理及其他應遵行事項之辦法,由中央金融主管機關會商中央主管機關及法務主管機關定之。
前項資料保有期限原則為五年,且不得逾五年。但第三項第二款所定期限,中央金融主管機關得依犯罪情節輕重於前項所定辦法另定較短之期限。因調查或訴訟之必要者,以書面記載理由並留痕後,得延長之。前揭保有期限之規定,適用於資料提供機關及受領之金融機構、提供虛擬資產服務之事業或人員;其延長期間不得逾達成本條目的必要範圍。
依本條蒐集、處理、利用及提供前項資料,屬個人資料保護法第六條第一項但書、第十五條、第十六條、第十九條及第二十條所稱之法律明文規定。
第一項資料之提供範圍,以下列各款為限:
一、經發布通緝中者。
二、受有期徒刑之執行完畢或赦免後,未滿五年者。
前項第一款或第二款之情事消滅、變更或期間屆滿時,資料提供機關應即時於平臺更新,並應採行足資驗證資料完整性及來源辨識性之安全傳輸機制。前項第二款之對象,不包括緩刑期滿而未經撤銷者。
金融機構及提供虛擬資產服務之事業或人員,得於第一項所定目的之必要範圍內,蒐集、處理及利用前項資料;並不得逾越特定目的利用、不得提供第三人。但法令另有規定或司法、主管機關依法調取者,或同一金融控股公司與其所屬子公司間、同一金融機構與其子公司間基於防制洗錢及打擊詐欺之必要為前述目的之利用者,不在此限。前開資料不得作為商業行銷、授信評分、保險核保或其他與防制詐欺無關目的之利用。涉跨境傳輸或海外委外者,應依個人資料保護法第二十一條及中央金融主管機關規定辦理;境內委外處理者,準用前開規定,受委託者視為金融機構及提供虛擬資產服務之事業或人員之一部分,負同等之保密與資通安全義務,並受本條及依本條所定辦法之約束。
第一項資料傳輸平臺之建置、資料異動之主動通知機制、指定平臺故障時之緊急聯絡窗口與替代機制、查詢與異動留痕,其留存期間原則與資料保有期限一致、命中案件之人為覆核機制、個人資料事故通報、外部稽核頻率、資料保有期限及其縮短或分級註銷條件、資料正確性之定期複核機制、提供虛擬資產服務之事業或人員之分級管理及其他應遵行事項之辦法,由中央金融主管機關會商中央主管機關及法務主管機關定之。
前項資料保有期限原則為五年,且不得逾五年。但第三項第二款所定期限,中央金融主管機關得依犯罪情節輕重於前項所定辦法另定較短之期限。因調查或訴訟之必要者,以書面記載理由並留痕後,得延長之。前揭保有期限之規定,適用於資料提供機關及受領之金融機構、提供虛擬資產服務之事業或人員;其延長期間不得逾達成本條目的必要範圍。
立法說明
一、本條新增。
二、第一項修正犯罪定義,明確援引第二條(詐欺)及洗錢防制法第二十條至第二十二條(人頭帳戶相關犯罪);若前開法規條次有變更,適用現行對應之規定。
三、第二項及第三項完備個資法源並設定資料範圍。針對通緝犯,係基於行政風險管理與促其歸案之目的,非刑事處罰;針對受刑人,參酌刑法累犯規定設定五年期限。
四、第四項後段,採技術中立用語,規定應採行安全傳輸機制。所稱「足資驗證資料完整性」,例如採用數位指紋、驗證碼或區塊鏈等技術;「來源辨識性」,例如時間戳記、數位簽章等機制,具體規格由主管機關定之。
五、第五項規範資料利用及委外責任。增訂「法令另有規定」及「依法調取」之例外;同時允許金控集團內部基於防制洗錢及打擊詐欺之必要進行共享。明確禁止將資料用於商業行銷、授信評分等與防詐無關之目的,以符目的限制原則。
六、第六項授權子法規範傳輸安全,並參酌英國法制,授權主管機關得訂定「縮短或分級註銷條件」;另針對VASP之分級管理,容許主管機關視業者規模訂定差異化規範。
七、第七項將「資料保有期限(原則五年)」提升至母法位階;並授權主管機關得於子法中針對輕微犯罪訂定較短之揭露期限,以符比例原則。
二、第一項修正犯罪定義,明確援引第二條(詐欺)及洗錢防制法第二十條至第二十二條(人頭帳戶相關犯罪);若前開法規條次有變更,適用現行對應之規定。
三、第二項及第三項完備個資法源並設定資料範圍。針對通緝犯,係基於行政風險管理與促其歸案之目的,非刑事處罰;針對受刑人,參酌刑法累犯規定設定五年期限。
四、第四項後段,採技術中立用語,規定應採行安全傳輸機制。所稱「足資驗證資料完整性」,例如採用數位指紋、驗證碼或區塊鏈等技術;「來源辨識性」,例如時間戳記、數位簽章等機制,具體規格由主管機關定之。
五、第五項規範資料利用及委外責任。增訂「法令另有規定」及「依法調取」之例外;同時允許金控集團內部基於防制洗錢及打擊詐欺之必要進行共享。明確禁止將資料用於商業行銷、授信評分等與防詐無關之目的,以符目的限制原則。
六、第六項授權子法規範傳輸安全,並參酌英國法制,授權主管機關得訂定「縮短或分級註銷條件」;另針對VASP之分級管理,容許主管機關視業者規模訂定差異化規範。
七、第七項將「資料保有期限(原則五年)」提升至母法位階;並授權主管機關得於子法中針對輕微犯罪訂定較短之揭露期限,以符比例原則。
第十條之二
金融機構及提供虛擬資產服務之事業或人員依前條資料確認客戶身分,發現客戶有前條第三項第一款情事者,應依下列規定辦理:
一、建立業務關係時:應拒絕之。但為保障其維持生活所必需,得受理其開立基本存款帳戶,並應即時依第二項規定辦理圈存;其金額在維持生活所必需之最低限度內者,不在此限。
二、已建立業務關係者:應即時就帳戶或帳號內得移轉之資金為圈存並持續監控,暫停與防制詐欺直接相關之高風險交易功能,並應即時向司法警察機關通報,最遲不逾下一營業日。
司法警察機關接獲前項通報後,應於五個營業日內依相關法律規定向檢察官或法院聲請扣押或為其他適當之處分;未獲許可或逾期未為通知者,金融機構及提供虛擬資產服務之事業或人員應即解除圈存及暫停措施。
發現客戶有前條第三項第二款情事者,得拒絕其開立新帳戶,或依風險評估結果限制其原有帳戶之功能。但對於金融機構,為保障客戶維持生活所必需,不得拒絕其開立或持有基本存款帳戶;其所附限制不得逾越維持生活所必需之最低限度,且不得收取顯不相當之費用。
前項基本存款帳戶之功能項目、額度及相關限制事項,由中央金融主管機關參考強制執行法第一百二十二條所定維持生活所必需之標準定之。
客戶認前條第三項之資料有誤時,得向原資料提供機關申請更正。受理機關應於相當期間內查證並回覆;逾期未回覆者,視為爭議成立。於更正期間,金融機構及提供虛擬資產服務之事業或人員得維持原有之控管措施,並應對爭議案件予以標註;於爭議標註期間,所為控管措施以達防制詐欺之必要為限,不得構成對基本存款帳戶之實質拒絕往來。因第一項之通報或圈存致生損害,經確認係機關資料錯誤所致者,被害人得依國家賠償法請求損害賠償。
第一項所稱高風險交易功能,具體項目由主管機關動態調整。本條所稱圈存,指限制資金之移轉及提領,但不限制資金之存入。本條之執行,適用第十二條免責之規定。
一、建立業務關係時:應拒絕之。但為保障其維持生活所必需,得受理其開立基本存款帳戶,並應即時依第二項規定辦理圈存;其金額在維持生活所必需之最低限度內者,不在此限。
二、已建立業務關係者:應即時就帳戶或帳號內得移轉之資金為圈存並持續監控,暫停與防制詐欺直接相關之高風險交易功能,並應即時向司法警察機關通報,最遲不逾下一營業日。
司法警察機關接獲前項通報後,應於五個營業日內依相關法律規定向檢察官或法院聲請扣押或為其他適當之處分;未獲許可或逾期未為通知者,金融機構及提供虛擬資產服務之事業或人員應即解除圈存及暫停措施。
發現客戶有前條第三項第二款情事者,得拒絕其開立新帳戶,或依風險評估結果限制其原有帳戶之功能。但對於金融機構,為保障客戶維持生活所必需,不得拒絕其開立或持有基本存款帳戶;其所附限制不得逾越維持生活所必需之最低限度,且不得收取顯不相當之費用。
前項基本存款帳戶之功能項目、額度及相關限制事項,由中央金融主管機關參考強制執行法第一百二十二條所定維持生活所必需之標準定之。
客戶認前條第三項之資料有誤時,得向原資料提供機關申請更正。受理機關應於相當期間內查證並回覆;逾期未回覆者,視為爭議成立。於更正期間,金融機構及提供虛擬資產服務之事業或人員得維持原有之控管措施,並應對爭議案件予以標註;於爭議標註期間,所為控管措施以達防制詐欺之必要為限,不得構成對基本存款帳戶之實質拒絕往來。因第一項之通報或圈存致生損害,經確認係機關資料錯誤所致者,被害人得依國家賠償法請求損害賠償。
第一項所稱高風險交易功能,具體項目由主管機關動態調整。本條所稱圈存,指限制資金之移轉及提領,但不限制資金之存入。本條之執行,適用第十二條免責之規定。
立法說明
一、本條新增。
二、第一項及第二項針對通緝犯,區分「建立業務關係時」與「已建立業務關係者」二種情境,分款規範。除明定應拒絕建立業務關係或圈存資金外,亦保障其得開立基本存款帳戶及保留最低生活費用之權利。
三、第三項及第四項落實普惠金融。參酌歐盟支付帳戶指令(PAD)精神,增訂「不得收取顯不相當之費用」,具體標準由主管機關以命令定之;並明定限制基準參考強制執行法第一百二十二條規定,作為量化參考。
四、第五項強化爭議處理效果,明定受理機關應於相當期間內查證,該期間由主管機關依第十條之一第五項辦法定之。為督促行政效率,保留「逾期視為爭議成立」之法律效果;並明定國家賠償責任,以保障人權。
五、第六項明定高風險交易功能及圈存之定義,並明確重申適用本條例第十二條之免責規定。
二、第一項及第二項針對通緝犯,區分「建立業務關係時」與「已建立業務關係者」二種情境,分款規範。除明定應拒絕建立業務關係或圈存資金外,亦保障其得開立基本存款帳戶及保留最低生活費用之權利。
三、第三項及第四項落實普惠金融。參酌歐盟支付帳戶指令(PAD)精神,增訂「不得收取顯不相當之費用」,具體標準由主管機關以命令定之;並明定限制基準參考強制執行法第一百二十二條規定,作為量化參考。
四、第五項強化爭議處理效果,明定受理機關應於相當期間內查證,該期間由主管機關依第十條之一第五項辦法定之。為督促行政效率,保留「逾期視為爭議成立」之法律效果;並明定國家賠償責任,以保障人權。
五、第六項明定高風險交易功能及圈存之定義,並明確重申適用本條例第十二條之免責規定。
第十三條
金融機構及提供虛擬資產服務之事業或人員有下列情形之一者,由中央金融主管機關處新臺幣二十萬元以上二百萬元以下罰鍰,並令其限期改正;屆期未改正者,按次處罰:
一、違反第八條第二項規定,未提供照會者相關資訊。
二、違反第九條第一項規定,未保存資料或交易紀錄。
三、違反第九條第二項規定,未依限保存資料或交易紀錄。
四、違反第十條第一項規定,未配合建立聯防通報機制,或未將通報之款項或虛擬資產進行圈存持續監控。
金融機構及提供虛擬資產服務之事業或人員有前項各款所定情形之一,情節重大者,由中央金融主管機關處新臺幣一百萬元以上一千萬元以下罰鍰,並令其限期改正;屆期未改正者,按次處罰。
一、違反第八條第二項規定,未提供照會者相關資訊。
二、違反第九條第一項規定,未保存資料或交易紀錄。
三、違反第九條第二項規定,未依限保存資料或交易紀錄。
四、違反第十條第一項規定,未配合建立聯防通報機制,或未將通報之款項或虛擬資產進行圈存持續監控。
金融機構及提供虛擬資產服務之事業或人員有前項各款所定情形之一,情節重大者,由中央金融主管機關處新臺幣一百萬元以上一千萬元以下罰鍰,並令其限期改正;屆期未改正者,按次處罰。
金融機構及提供虛擬資產服務之事業或人員有下列情形之一者,由中央金融主管機關處新臺幣二十萬元以上二百萬元以下罰鍰,並令其限期改正;屆期未改正者,按次處罰:
一、違反第八條第二項規定,未提供照會者相關資訊。
二、違反第九條第一項規定,未保存資料或交易紀錄。
三、違反第九條第二項規定,未依限保存資料或交易紀錄。
四、違反第十條第一項規定,未配合建立聯防通報機制,或未將通報之款項或虛擬資產進行圈存持續監控。
五、違反第十條之一第五項規定,逾越特定目的利用或洩漏資料。
六、未依第十條之一第六項所定辦法留存查詢或異動紀錄、未建立人為覆核機制、未依規定辦理外部稽核,或未依規定通報資安或個人資料事故者。
七、資料保有期限屆滿未刪除、銷毀或去識別化。
八、違反第十條之二第一項規定,未拒絕建立業務關係、圈存資金、暫停與防制詐欺直接相關之高風險交易功能或通報。
九、違反第十條之二第二項規定,未依限解除圈存、暫停措施。
十、違反第十條之二第三項但書規定,拒絕開立或持有基本存款帳戶,或附加過度之限制。
金融機構及提供虛擬資產服務之事業或人員有前項各款所定情形之一,情節重大者,由中央金融主管機關處新臺幣一百萬元以上一千萬元以下罰鍰,並令其限期改正;屆期未改正者,按次處罰。
一、違反第八條第二項規定,未提供照會者相關資訊。
二、違反第九條第一項規定,未保存資料或交易紀錄。
三、違反第九條第二項規定,未依限保存資料或交易紀錄。
四、違反第十條第一項規定,未配合建立聯防通報機制,或未將通報之款項或虛擬資產進行圈存持續監控。
五、違反第十條之一第五項規定,逾越特定目的利用或洩漏資料。
六、未依第十條之一第六項所定辦法留存查詢或異動紀錄、未建立人為覆核機制、未依規定辦理外部稽核,或未依規定通報資安或個人資料事故者。
七、資料保有期限屆滿未刪除、銷毀或去識別化。
八、違反第十條之二第一項規定,未拒絕建立業務關係、圈存資金、暫停與防制詐欺直接相關之高風險交易功能或通報。
九、違反第十條之二第二項規定,未依限解除圈存、暫停措施。
十、違反第十條之二第三項但書規定,拒絕開立或持有基本存款帳戶,或附加過度之限制。
金融機構及提供虛擬資產服務之事業或人員有前項各款所定情形之一,情節重大者,由中央金融主管機關處新臺幣一百萬元以上一千萬元以下罰鍰,並令其限期改正;屆期未改正者,按次處罰。
立法說明
一、配合新增第十條之一及第十條之二,修正本條第一項。
二、第五款至第七款,針對違反資料保密、資安及個資保護義務(第十條之一)者,予以處罰。
三、第八款至第十款,針對未依規定執行圈存、未依限解除圈存及未落實普惠金融保障(第十條之二)者,予以處罰。
二、第五款至第七款,針對違反資料保密、資安及個資保護義務(第十條之一)者,予以處罰。
三、第八款至第十款,針對未依規定執行圈存、未依限解除圈存及未落實普惠金融保障(第十條之二)者,予以處罰。
第五十八條
本條例除第十九條、第二十條、第二十二條、第二十四條、第三十九條第二項至第五項有關流量管理措施、停止解析與限制接取處置部分及第四十條第一項第六款之施行日期由行政院定之外,自公布日施行。
本條例除第十九條、第二十條、第二十二條、第二十四條、第三十九條第二項至第五項有關流量管理措施、停止解析與限制接取處置部分、第四十條第一項第六款及第十條之一、第十條之二之施行日期由行政院定之外,自公布日施行。
立法說明
一、考量跨機關資料平臺建置需時。
二、將新增之二條文列入由行政院定施行日期之範圍。
二、將新增之二條文列入由行政院定施行日期之範圍。
