白金渝/金融業法遵人員,法學博士
儘管台灣2025年11月再度通過亞太洗錢防制組織(Asia/Pacific Group on Money Laundering, APG)第4輪評鑑的第3次後續追蹤報告,維持「一般追蹤」(Regular Follow-up)之最佳等第,然推動反洗錢的腳步並未停歇。近年,金融機構因執行反洗錢缺失而遭裁罰的案件仍不時出現,甚至涵蓋銀行、虛擬資產平台等不同類型機構。從國際觀察,日本金融機構亦曾因未即時通報可疑交易而遭監理機關處分,顯示反洗錢的問題並非單一國家特有現象,而是全球金融監理共同面對的挑戰。
近年金管會持續透過金融檢查與行政裁罰敦促金融機構落實反洗錢相關措施,觀察這類案例可知,金融機構違規情形多集中在反洗錢內控制度與實務執行間有落差,即雖已建立形式上的反洗錢制度,但實際操作卻未能有效落實風險評估與交易監控,請參下表。
過往反洗錢的重心放在掌握金流的銀行體系,故銀行第一、二線人員被賦予把關責任,執行繁瑣的檢核與宣導,非常辛苦。隨著洗錢態樣多元化(例如與詐騙集團結合)、洗錢管道複雜化(例如虛擬貨幣被利用),國際洗防組織提醒擴張反洗錢受監督管理的機構範圍。相較於銀行業,有些壽險業認為被用來洗錢的可能性低的迷思,致使執行面尚欠嚴謹,然綜觀國際組織研究報告,保險商品雖非洗錢之首要管道,但具備高現金價值(Cash Value)、可早期解約或部分提領、屬投資型保單或複雜結構化商品之特性,且伴隨多重受益人設定或大額現金躉繳等特徵時,即便保險非洗錢首位工具,仍潛藏極高洗錢風險。
其實務態樣包括:大額躉繳後隨即短期解約、利用保單借款進行資金循環洗白、透過法人或家族保單進行複雜之受益人交叉安排,或將保險視為資金停泊工具。此外,洗錢風險亦延伸至「契約變更」與「理賠給付」階段,例如:將受益人變更為無保險利益之第三方,或藉由保單質借將非法資金轉化為具備合法名義之貸款金流。
從近年修法方向可看出,為達成防制洗錢金融行動工作組織(Financial Action Task Force on Money Laundering, FATF)
的 40項建議及11項及時成果以及重視前置犯罪(如:詐欺),台灣對金融機構執行反洗錢的要求已從前階段的法規技術遵循走向有效性落實評估的實質遵循。
2024年修正通過「打詐四法」,使反洗錢工作與「防詐、打詐、阻詐、識詐」四大面向深度整合,回應 APG 第五輪評鑑中對「有效性」的嚴苛要求。其中新修正的《洗錢防制法》第 7 條進一步強化客戶審查義務,要求金融機構落實辨識與持續監控客戶身分。而為因應虛擬資產洗錢風險,第 6 條正式建立「虛擬資產服務提供者(VASP)」登記制度,規定未完成登記者不得提供相關服務,違者最高可處 2 年有期徒刑,將原本處於監管邊緣的業者納入法規框架。此外,針對「人頭帳戶」問題,同法第22條明定任何人不得無正當理由交付帳戶或虛擬資產帳號,並賦予金融機構與 VASP 業者對於疑似涉案帳戶更大的「即時阻斷」與「功能限制」權力,以避免金融體系被洗錢者當成「資金轉運站」利用。
此外,監理機關透過裁罰將《銀行法》第45條之1及《金融控股公司及銀行業內部控制及稽核制度實施辦法》以「功能性解釋」將反洗錢納入內控架構,使相關缺失得以透過銀行法體系進行處分,而不再侷限於違反洗錢防制法,以強化金融機構在風險管理與稽核的責任,目的在於解決「制度存在但未落實」的問題。反洗錢已不再僅屬《洗錢防制法》下之法遵義務,而是被視為銀行內控制度是否健全的重要判準。保險業、證券期貨業等也分別在《保險業內部控制及稽核制度實施辦法》、《證券期貨業內部控制及稽核制度實施辦法》將反洗錢列為法定應執行的內控項目,不僅可突破《洗錢防制法》的罰鍰上限,亦可將處分層次提升到「管理責任」是否完備。
關於非金融機構的監管,數位發展部透過《提供第三方支付服務之事業或人員防制洗錢及打擊資恐辦法》第5條,要求業者應依洗錢風險及業務規模,建立內部控制與稽核制度;制訂《提供第三方支付服務之事業或人員洗錢防制及服務能量登錄辦法》,建立「市場准入」門檻,未完成能量登錄的業者,銀行可拒絕為其開立信託或價金保管帳戶;此外,《第三方支付服務業疑似涉詐客戶認定及控管措施處理辦法》第9條賦予業者對疑似涉詐帳號進行「延後撥款」(至少 20 日)或暫停服務的法定權利與義務。至於指定之非金融事業或人員(DNFBPs),如律師、地政士與銀樓等,其內控化仍待補強。由於主管機關分散(分布於法務部、內政部、經濟部等),導致監理強度存在落差,這在APG評鑑中對於「公部門監督有效性」的要求下,將是台灣未來需重點強化之環節。
國外經驗與未來挑戰
2024年日本金融廳檢查AEON銀行,發現該行的交易監控系統偵測到一萬多筆可疑交易,但該行未及時進行調查、也未依法提交可疑交易報告(Suspicious Transaction Report, STR),顯示內部反洗錢審查機制不足,因而對該行發出業務改善命令,指出儘管金融廳雖已多次提醒,該行的董事會與管理層仍未將反洗錢列為優先事項,導致資源分配(如專業人力)嚴重失衡。
台灣與日本在APG評鑑中同樣取得「一般追蹤」的評價,兩者各有所長。兩者在反洗錢制度上,均已將董事會與高階管理層納入責任架構。日本更強調風險導向監理(Risk-Based Approach, RBA)、亦即金融機構必須建立完整風險評估模型(國家風險、客戶風險、產品風險、通路風險等)且每年更新調整以確保有效性。此外,日本監理強化「管理階層責任」,檢視高層是否支持反洗錢政策措施,當金融機構出現反洗錢缺失時,金融廳不僅要求改善制度,還要求董事會與高階管理人提出具體的改善計畫,並定期向監理機關報告,使董事會責任更具問責壓力與可驗證性,顯示日本不只將反洗錢問題提升至公司治理層級,更重要的是,要求董事會需具備足夠的風險理解能力,能夠評估公司的反洗錢制度是否真正有效,而非僅依賴業務部門製作的反洗錢報告。
同時,隨著虛擬資產與數位支付快速發展,洗錢犯罪結合詐騙集團已有龐大複雜的科技支持,無論是監理機關與金融機構都需要導入更多元的人工智慧分析與區塊鏈監控等科技工具,例如:善用「網路爬蟲技術」耙梳PEP/負面新聞、運用「圖形分析技術」分析複雜的人際網路與金流路徑,以提升交易監控能力,亦是公司提升反洗錢能力的重要手段。而且,導入科技工具必須搭配專業人員的判斷與持續訓練,方能發揮實質效果,這些都需要董事會與高階管理層投入大量資源支持,始有可能讓反洗錢成為像呼吸般自然的企業文化。
APG第五輪評鑑已於2024年啟動,預計2030年台灣將進行現地評鑑(On-site Visit),APG的評鑑方法論(Methodology)大幅翻新,從「技術合規」轉向「實質成效」(Effectiveness),過去只要證明有法規、有系統即可,第五輪更重視「執行結果」。例如:銀行申報許多可疑交易,最後轉化為有效的洗錢偵辦的比例。第五輪評鑑傾向嚴格檢視對虛擬資產服務業、第三方支付及律師/會計師/不動產經紀等非金融事業的實際管理與處罰情況以及資助武器擴散(如北韓、伊朗相關制裁)的風險評估與控管。因應空殼公司與複雜的公司架構常被用於洗錢活動,未來的反洗錢評鑑應該會對強化實質受益人資訊透明度有更高的期許,例如法人投保、跨境、信託架構下,建立可穿透多層結構的審查機制,以驗證最終控制人/實質受益人,而非僅滿足於取得公司登記資料。
雖然學生都不喜歡考試,但考試仍然沒有消失,台灣面對APG持續的評鑑似乎也沒看到終止的一天,反洗錢不只是「為了通過評鑑的應試」,而是「維護台灣金融體系韌性(Resilience)與國際信譽的基石,抱持著透過評鑑發現不足才是正確態度。未來金融機構若無法建立有效且可驗證的反洗錢機制,其面臨的將不僅是行政裁罰,更可能影響整體經營穩定與市場信任。反洗錢的挑戰,在於制度是否真正被執行,並內化為企業治理的一部分。
