第六章 我國法制及運行方式之研析
第一節 法制建議
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
另外,現行法目前禁止金控集團內部進行「新客戶」盡職調查資訊分 享,使金控集團內部子公司接受新客戶時,需一再進行重複性盡職調查,
降低金控集團執行防制洗錢及打擊資恐之效率,造成社會資源重複浪費並 過度擾民;且觀諸OBU、OSU 和 OIU 管理辦法,國際金融業務分行、國 際證券業務分公司及國際保險業務分公司皆得依賴第三方機構取得「新境 外客戶」身分資訊,故現行法制一概禁止金控集團新客戶盡職調查資訊分 享似有待商榷。而若開放新客戶盡職調查資訊分享,同樣可能出現涉及個 資法之爭議,亦即縱使新客戶資訊分享合法,新客戶盡職調查資訊分享同 樣可能有涉及個資法第8 條及第 19 條規定之爭議。
關此,在美國法規定下,愛國者法案Section. 314(b)明文,金融機構或 聯合組織基於辨識及申報疑似涉及恐怖主義或洗錢活動之目的而進行傳 輸、接收或分享相關資訊者,其資訊揭露行為及未向該資訊內容所涉主體 或其他被辨識之人通知揭露資訊的行為,可豁免「任何聯邦法律及相關規 範」、「任何州憲法、州法及相關規範」、及「任何契約或法定可執行協議(包 含任何仲裁協議)」所定之責任;且Section. 314(c)亦明文,金融機構或聯 合組織依 Section. 314(b)揭露或分享關於疑似涉及恐怖主義行為或洗錢活 動之個人、法人或組織的資訊,並不違反金融服務現代化法案第5 章規定。
綜上,美國透過「法律」明文允許金融機構得遵循Section. 314(b)之程序,
基於辨識並於適當時申報可疑交易之目的分享關於「個人、法人、組織或 國家的資訊」,並可豁免因其他法令所受之限制及應負之義務,故此立法方 式係有效緩減資訊分享與資訊保護法令的衝突317。
317 國外亦有律師持相似看法,認為愛國者法案第 314 條第 b 項規定能平衡某些資料隱私保護法 令對於資訊分享的限制,請參考:Kevin Petrasic, Paul Saltzman, Jonah Anderson, Jeremy Kuester, John Wagner, Rebecca Copcutt, and John Timmons, AML Information Sharing in a Technology-Enabled and Privacy-Conscious World, “These statutory carve-outs and safe harbors, which apply
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
另外在新加坡法,其銀行法第47 條及附件三明文規定,新加坡之銀行 或其董事、經理人及員工等得基於風險管理目的揭露客戶資訊,揭露對象 包含「總公司或母公司」、「其他由總公司書面指定之海外分行(僅適用於 該分行並非註冊於新加坡之情形)」及「其他由總公司或母公司書面指定之 關聯企業」;而其信託公司法第 49 條第 2 項及附件三亦明文規範,新加坡 之持牌信託公司及其董事、公司秘書及經理人等得基於風險管理目的揭露 受監管信託的相關資訊(可能含「委託人身分資訊」、「受益人身分資訊」
或「信託的交易資訊」)。綜上,新加坡規定亦是透過「法律」明文允許銀 行和持牌信託公司分享客戶資訊,不僅能豁免銀行法及信託公司法中的保 密限制,解釋上亦可豁免新加坡個人資料保護法關於資訊揭露須得個人同 意之限制318。
參考上述美國法和新加坡的立法模式,本文認為我國可從洗錢防制法 或金控法規定進行相關修正,分析如下:
(一)修正洗錢防制法第6 條規定
參照美國愛國者法案 Section. 314 係將金融集團資訊分享明訂 於防制洗錢及打擊資恐專法,本文認為可於現行洗錢防制法第6 條 第 1 項第 1 款規定319後頭新增:「……;該程序應含同一金控集團 內金融機構間之防制洗錢及打擊資恐的資訊分享程序及保密措
to specific instances of AML information sharing, offer a balance against some of the privacy law requirements that would otherwise limit or prohibit such sharing…”,Compliance and Enforcement, available at: https://wp.nyu.edu/compliance_enforcement/2019/02/05/aml-information-sharing-in-a-technology-enabled-and-privacy-conscious-world/, last visited 2019/02/05.
318 Personal Data Protection Act 2012 §13, “An organisation shall not, on or after the appointed day, collect, use or disclose personal data about an individual unless —(a) the individual gives, or is deemed to have given, his consent under this Act to the collection, use or disclosure, as the case may be; or (b) the collection, use or disclosure, as the case may be, without the consent of the individual is required or authorised under this Act or any other written law.”
319 現行洗錢防制法第 6 條第 1 項第 1 款規定:「金融機構及指定之非金融事業或人員應依洗錢 與資恐風險及業務規模,建立洗錢防制內部控制與稽核制度;其內容應包括下列事項:一、
防制洗錢及打擊資恐之作業及控制程序。……」
‧
‧
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(三)本文見解
本文傾向修正洗錢防制法,因為此修法方式相較於修正金控法 會呈現兩個優點:1.維持立法體系之一貫,蓋解釋上金融集團防制 洗錢及打擊資恐資訊分享機制本屬防制洗錢及打擊資恐內控制度 之一環,故透過「洗錢防制法」明文金融集團資訊分享可維持一貫 的法制體系;2.強化現有資訊分享法規命令之正當性而毋需耗時費 力制定新規範,蓋現行「銀行業防制洗錢及打擊資恐內控辦法」、「保 險公司防制洗錢及打擊資恐內控辦法」、「證券期貨業防制洗錢及打 擊資恐內控辦法」皆是主管機關依據洗錢防制法第6 條訂定之規範,
因此直接修正洗錢防制法第6 條規定即可賦予該等行政規範的法源 正當性,可以避免增加主管機關重新修訂子法的負擔。
另外,雖或有謂,現行洗錢防制法第6 條第 1 項第 1 款規定之 文義範圍解釋上可包含金融集團資訊分享,此種修正的方式有重疊 架屋之嫌;惟本文認為,為解決個資法對於資料蒐集及處理之限制、
降低新客戶和既有客戶(含實質受益人)盡職調查資訊分享的作業 困難以提升分享效率,及強化客戶(含實質受益人)盡職調查資訊 分享不受個資法限制的法源正當性,以「法律」明文允許金融集團 資訊分享並豁免個資法對於蒐集或處理個人資料之限制(亦即,金 融集團為進行資訊分享而必須蒐集或處理個人資料時毋庸再告知 當事人並徵求同意),實屬必須。因此,本文建議直接修正洗錢防制 法以解決現行新客戶和既有客戶(含實質受益人)盡職調查資訊分 享的實務爭議。
綜上所述,無論是對於洗錢防制法或金控法的修正,皆旨在透過「法 律」明文金融集團資訊分享,並豁免因分享而必須蒐集或處理個人資料之 行為受到個人資料保護法限制,如此金融集團內進行新客戶和既有客戶
‧
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
對於集團洗錢及資恐風險管理有所助益,則第3 階段的資訊相較前二階段 產生的資訊,既經金融機構完成調查並確認為可疑交易,資訊品質更加正 確且完整,對集團洗錢及資恐風險管理幫助更大,似無一概禁止分享之理。
對此,在美國法下,雖然愛國者法案Section. 314(b)規定及其執行規範 雖允許金融機構間資訊分享,但仍禁止分享「可疑交易報告」及「申報交 易之事實」,但FinCEN 與其他聯邦機構於考量金融集團監理一體性的特性 後,首先於2006 年 1 月發布「子(分)公司向母(總)公司分享可疑交易 報告之實務指引」,允許「外國銀行之在美分行或代理行得向美國境外總行 揭露可疑交易報告」,以及「美國存款機構得向其國內或國外的控制公司揭 露可疑交易報告,且若存款機構的股權架構包含複數控制公司,則得向所 有控制公司分享該資訊」;而後亦於2010 年 11 月再發布「存款機構向特定 美國關係企業分享可疑交易報告之實務指引」,允許存款機構得將可疑交 易報告及申報交易之事實分享予「特定關係企業」,而該「特定關係企業」
必須是「受控於存款機構」或「與存款機構共同受控於其他公司」,且依法 必須「遵循美國法可疑交易申報規範」之企業。
而在新加坡法下,「MAS Notice 626 第 15.6 段及第 15.7 段」、「MAS Notice 314 第 13.6 段及第 13.7 段」及「MAS Notice SFA04-N02 第 14.6 段 及第14.7 段」規定銀行、人壽保險公司及證券期貨公司應建立並實施以執 行客戶審查及洗錢和資恐風險管理為目的之集團資訊分享政策及程序,並 建置適當且足夠資訊安全防護措施,且該政策及程序內應涵蓋:銀行、人 壽保險公司及證券期貨公司之分支機構或子公司於防制洗錢及打擊資恐 所必要時,得依集團內部規定向集團法遵、稽核及防制洗錢及打擊資恐專 責單位提供客戶身分、帳戶及交易資訊;另外,依據「MAS Notice 626 實 務指引」、「MAS Notice 314 實務指引」及「MAS Notice SFA04-N02 實務指 引」,金融集團資訊分享機制中得分享的資訊種類應包含:「洗錢及資恐名
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
單掃描比對相符之客戶名單」、「因疑似洗錢及資恐而被終止業務關係之客 戶名單」及「被申報可疑交易之客戶名單」。
綜上,本文認為相關主管機關應允許金融集團內部得分享可疑交易報 告相關資訊,理由如下:
(一)金控集團的洗錢及資恐風險管理能保持整體一致,避免出現差異。
例如,同一金控集團下之兩個金融機構有相同客戶,若客戶在兩個 金融機構所為之交易確實皆涉及洗錢或資恐活動,但因為集團內部 無法分享可疑交易報告相關資訊,可能導致其中一個金融機構對該 客戶之交易申報可疑交易,但另一金融機構對該客戶卻未偵查出任 何異常活動,反而造成集團洗錢及資恐風險管理的漏洞。
(二)國際規範也朝向開放金融集團內部得分享可疑交易報告相關資訊。
國際規範上,除FATF 40 項建議中敘明可疑交易報告應秘密之規定 並非意在限制金融集團資訊分享機制外,美國和新加坡的實務指引 亦考量金融集團風險管理之必要性,因而允許金融集團應可分享可 疑交易報告相關資訊。
(三)已申報的可疑交易資訊相較未申報的資訊更具價值,但現行規範卻 禁止分享可疑交易報告相關資訊,無法滿足金控集團風險管理之需
(三)已申報的可疑交易資訊相較未申報的資訊更具價值,但現行規範卻 禁止分享可疑交易報告相關資訊,無法滿足金控集團風險管理之需