許多人投入加密貨幣世界,就是因為它象徵著「去中心化」與「匿名自由」。我們以為只要擁有自己的錢包,就能在鏈上隱身,享受不被監管的金融自主。然而隨著「旅行規則(Travel Rule)」的上路,只要你把幣轉進或轉出中心化交易所的那一刻,你的姓名、帳號甚至錢包地址,全都必須被蒐集、紀錄,並在必要時傳遞給其他機構。換句話說,你引以為傲的「隱私交易」在進入中心化交易所的那一刻,已經徹底曝光。你以為自己在匿名世界裡自由穿梭,但其實,你的每一步都留下了可被追蹤的足跡。
什麼是旅行規則(Travel Rule)
旅行規則(Travel Rule)源自全球防制洗錢金融行動工作組(FATF)修訂後的第 16 號建議。這項國際標準的核心目標是提升加密資產交易的透明度和可追溯性,以有效防範洗錢(AML)與恐怖主義融資(CFT)。
為何稱為「旅行」規則?
源自於美國《銀行保密法》(Bank Secrecy Act, BSA)及其實施規則。原本應用在傳統電匯(wire transfer)領域,後來FATF在第 16 號建議中將此概念延伸到加密貨幣。之所以叫「旅行規則」,就是因為 付款人與收款人的身份資訊必須「隨著資金一起旅行」,不管資金走到哪裡,中間機構都能看到並傳遞。
該規定要求虛擬資產服務提供商(VASP),在處理等值超過 1,000 歐元或 1,000 美元門檻的虛擬資產轉移時,必須履行資訊交換義務。 VASP必須立即且安全地收集、持有並傳輸發起人與受益人的身份細節給對手方的VASP。這使得虛擬資產轉帳程序趨近於傳統的國際電匯(Wire Transfers)規範。
多少金額的交易會觸發旅行規則?
FATF:建議上限不高於 USD / EUR 1,000
歐盟:無門檻規定,只要有交易就會觸發旅行規則
美國:USD 3,000
新加坡:SGD 1,500
日本:JPY 100,000
誰受到旅行規則規範
主要規範作為企業營運的虛擬資產服務提供商(VASP)。VASP 是指以業務形式,為客戶提供加密資產交換、託管與管理、轉移服務或營運交易平台的法律或自然人。一旦客戶發起的交易達到當地門檻,VASP 就必須遵守此規範。
然而,此規定不適用於非商業性質的參與者。例如,個人用戶為自身目的(如購買商品或一次性轉帳)而使用的虛擬資產,以及不涉及VASP介入的個人對個人(Person-to-person, P2P)轉移。此外,僅提供網路或軟體開發等輔助性基礎設施的實體,也不是受規範對象。
發起方VASP的義務
從虛擬資產服務提供商(VASP)發送到另一個虛擬資產服務提供商(VASP)
發起方VASP對發起人及受益人資訊有「取得」、「持有」及「傳輸」之義務
在此情況下,發起方虛擬資產服務提供商(VASP)在轉移虛擬資產時,核心義務是立即且安全地取得、持有並傳輸發起人與受益人的資訊給接收方VASP。此義務適用於所有虛擬資產轉移,虛擬資產轉移被視為跨境電匯,旨在利於VASP進行制裁篩查,並在偵測到可疑活動時,及時提交報告。
- 發起人(Originator)資訊包括姓名;帳號或錢包地址;可識別身份的資訊,如地址或身分證字號或客戶識別號碼(可唯一識別發起人身份)或出生日期與地點。
- 受益人(Beneficiary)資訊包括姓名;帳號或錢包地址。
- 「立即」係指發起方VASP應在虛擬資產轉移本身進行的同時或並行地(simultaneously or concurrently)提交所需資訊。
[舉例]Jeff要從他的BN交易所帳戶,發送以太幣到Kelly的CB交易所帳戶
BN交易所必須將其收集Jeff和Kelly的資訊立即且安全地傳輸給CB交易所。
從虛擬資產服務提供商(VASP)發送至非託管錢包
發起方VASP可豁免對發起人及受益人資訊之「傳輸」義務,但仍有「取得」及「持有」之義務
在此情況下,發起方虛擬資產服務提供商(VASP)在轉移虛擬資產時,仍必須取得、持有並傳輸發起人與受益人的資訊。但由於受益方是非託管錢包(即受益人為個人虛擬資產使用者,而非受監管的VASP),所以發起方VASP得豁免「傳輸」義務,意即發起方VASP不用將發起人資訊及受益人資訊傳輸給非託管錢包。
然而,由於受益方是非託管錢包,此類活動被視為較高洗錢/恐怖融資(ML/TF)風險,發起方VASP應額外考量其高風險並遵守可疑交易報告(STR)義務。
高風險考量係指如果活動涉及旨在混淆交易或提高匿名性的技術(例如匿名增強加密貨幣(AECs)、混幣器(tumblers)),且VASP無法有效管理這些風險,則不應參與此類活動
可疑交易報告(STR)義務則規定VASP 一旦懷疑或有合理理由懷疑資金涉及犯罪所得或恐怖主義融資,無論交易金額多寡或是否完成,都必須及時向金融情報單位(FIU)報告其懷疑。
[舉例]Jeff要從他的BN交易所帳戶,發送以太幣到自己的非託管錢包Metamask
由於轉移是發送到自託管地址(Self-hosted address,即非VASP託管的地址,如MetaMask),BN交易所仍必須取得並持有發起人和受益人的資訊。只是少了傳輸給受益方VASP的步驟(因為受益方是非託管錢包,不屬於VASP)
由於受益方非屬VASP,BN交易所必須額外識別和評估與轉移至自託管地址(Jeff的Metamask錢包)的相關的洗錢和恐怖主義融資風險。BN交易所必須應用與所識別風險相稱的緩解措施,以管理和減這些風險。
受益方VASP的義務
從虛擬資產服務提供商(VASP)發送到另一個虛擬資產服務提供商(VASP)
受益方VASP需取得並持有發起人及受益人資訊、驗證受益人資訊
在此情況下,受益方 VASP 必須取得並持有發起方 VASP 傳輸的發起人及受益人資訊。而對於受益人資訊還必須驗證其是否「準確」,意指受益方 VASP 須驗證接受到的受益人身份資訊與先前其執行之客戶盡職調查所取得之資訊是否一致。
如果受益方 VASP發現所需的發起人或受益人資訊缺乏或不完整,應將此視為評估交易是否可疑的重要因素之一。受益方 VASP應採取適當措施管理風險,包括決定是否執行、拒絕或暫停該轉移。
受益方VASP亦負有可疑交易報告(STR)義務,一旦懷疑或有合理理由懷疑資金涉及犯罪所得或恐怖主義融資,無論交易金額多寡或是否完成,都必須及時向金融情報單位(FIU)報告其懷疑。
[舉例]Jeff要從他的BN交易所帳戶,發送以太幣到Kelly的CB交易所帳戶
CB交易所必須獲取並持有BN交易所傳輸的資訊,並偵測是否包含Jeff和Kelly的資訊。收到Kelly的資訊之後,在向Kelly提供虛擬資產之前,CB交易所必須驗證Kelly的身份資訊是否準確。
CB交易所偵測到發起人Jeff或受益人Kelly資訊缺失或不完整,CB交易所根據風險敏感原則,決定是執行、拒絕、暫停該轉移,或要求BN交易所補齊缺失的資訊。
如果BN交易所重複地未能提供所需資訊,CB交易所可採取措施,例如拒絕BN交易所未來的任何轉移,或限制/終止與其的業務關係。
從非託管錢包發送至虛擬資產服務提供商(VASP)
受益方VASP需向其客戶取得並持有發起人及受益人資訊、驗證受益人資訊
由於非託管錢包的發起方並非受監管的義務實體,VASP 必須從其客戶(受益人)處取得並持有所需的發起人資訊,以及準確的受益人資訊。儘管發起方是非義務實體,但若 VASP 在與客戶溝通時,仍無法取得所需的發起人資訊,應將此視為評估交易是否可疑的因素之一。
VASP 必須及時向金融情報單位(FIU)報告可疑交易(STR),無論交易金額多少或是否完成。此外,VASP 必須進行制裁篩查,對被指定的個人和實體採取凍結行動並禁止交易。
[舉例]Jeff要從他自己的非託管錢包Metamask,發送以太幣到自己的BN交易所帳戶
由於發起人是個人用戶非託管錢包,BN交易所無法收到發起人的詳細身份資訊(因為沒有發起方 VASP 進行傳輸)。
此時BN交易所必須識別和評估與轉移來自Metamask自託管地址相關的洗錢和恐怖主義融資風險。BN交易所可能包括對發起人(即自託管錢包的持有人)進行身份識別和驗證,例如要求Jeff,證明該地址是Jeff自己的MetaMask錢包。
如果缺乏資訊且存在風險,BN交易必須根據風險評估程序,決定是執行、拒絕、退回或暫停該轉移。
加密匿名是個謊言,身份數據將被強制引渡
一進一出 CEX,你的隱私正被迫「隨著資金一起旅行」
許多人因迷戀「去中心化」與「匿名自由」而踏入加密世界,但現在,只要資金轉入或轉出中心化交易所,個人資料就與交易紀錄被綁在一起,從此不再「匿名」,你引以為傲的「隱私交易」就已經徹底曝光。你的身份資訊必須「隨著資金一起旅行」,不管資金走到哪裡,中間機構都能看到並傳遞。若主管機關(無論是為了反洗錢或稅務追蹤)提出合法請求,中心化交易所便要依法提供這些資料。
你的每一步都逃不過,CARF資訊自動交換,跨國追稅即刻啟動
更可怕的是:只要政府需要,不論是為了反洗錢或追稅,都能透過法律要求中心化交易所提供你的所有細節。就算你把資金藏到海外,也無濟於事!經濟合作暨發展組織(OECD)的資產申報框架」(CARF),類似傳統金融的 CRS,可在國家間自動交換虛擬資產申報資訊。這代表著,如果你是台灣人 Jeff,就算在境外的新加坡 BN 交易所交易,一旦兩國皆實施 CARF,台灣政府就可以自動、定期地取得你在 BN 交易所上的所有交易資訊 。
