第三方支付服務業防制洗錢及打擊資恐辦法
民國 113 年 1 月 22 日
手機睡眠
語音選擇
第 1 條
本辦法依洗錢防制法(以下簡稱本法)第六條第三項、第七條第四項前段、第八條第三項、第十條第三項及資恐防制法第七條第五項規定訂定之。
第 2 條
本辦法用詞定義如下:
一、第三方支付服務業:指非屬電子支付機構管理條例所稱電子支付機構,提供代理收付網路實質交易款項服務之業者。
二、買方客戶:指網路實質交易之付款方。
三、賣方客戶:指網路實質交易之收款方。
四、客戶:指代理收付網路實質交易之買方客戶與賣方客戶。
五、高風險國家或地區:指本法第十一條第二項所規定之國家或地區。
第三方支付服務業者不得接受其他第三方支付服務業者簽約成為付款方或收款方。
第 3 條
第三方支付服務業應每二年採取適當作為以辨識、評估及瞭解其洗錢及資恐風險,至少涵蓋賣方客戶、國家或地區、服務及交易或支付管道等面向,並依下列規定辦理:
一、備置並更新風險評估報告。
二、在決定整體風險之等級及降低該風險之適當措施前,應考量所有的相關風險因素,包括國家風險評估結果。
三、於數位發展部(以下簡稱本部)要求時,提供風險評估報告。
第 4 條
第三方支付服務業應遵守下列規定:
一、具備由高階管理階層核定之政策、控制及程序,俾管理及降低已知洗錢及資恐風險,包括由國家或其本身所辨識之風險。
二、監控相關控制程序之執行,必要時予以強化。
三、採取強化措施以管理及降低已知之較高風險。
第 5 條
第三方支付服務業應依洗錢與資恐風險及業務規模,建立內部控制與稽核制度,其內容應包括下列事項:
一、防制洗錢及打擊資恐之作業及控制程序。
二、定期舉辦或參加防制洗錢及打擊資恐之在職訓練。
三、由負責人或其指派之專責人員負責協調監督第一款事項之執行。
四、備置並定期更新洗錢及資恐風險評估報告。
五、稽核程序。
前項第二款之在職訓練,第三方支付服務業應以下列方式之一辦理:
一、至少每二年由負責人或其指派之專責人員參加一次由政府機關、法人或團體等辦理之防制洗錢及打擊資恐在職教育訓練。
二、至少每二年自行舉辦一次防制洗錢及打擊資恐教育訓練,並得安排與其他專業訓練一併辦理。
第一項第五款之稽核程序應依洗錢與資恐風險及業務規模,以自我審視或內部稽核之方式為之。
本部對第三方支付服務業防制洗錢及打擊資恐之執行情形,得採風險基礎方法隨時派員或委託適當機構辦理查核,查核方式包括現地查核及非現地查核,並得於必要時指定或要求第三方支付服務業委託專門職業及技術人員對其防制洗錢及打擊資恐之執行情形辦理查核,向本部提出報告。
本部執行前項查核,得命第三方支付服務業提示防制洗錢及打擊資恐相關之帳簿、文件、電子資料檔或其他資料。前開資料不論係以書面、電子檔案、電子郵件或任何其他形式方式儲存,均應提供,不得以任何理由規避、拒絕或妨礙查核。
第 5-1 條
第三方支付服務業應依本部指定之程序及方式,申請辦理洗錢防制暨服務能量登錄;其經審查通過者,由本部通知並予公告。
第三方支付服務業有下列情形之一者,本部得廢止其登錄:
一、未依洗錢防制法令遵循聲明書確實遵循本法、本辦法及第三方支付服務定型化契約應記載及不得記載事項相關規定。
二、申請計畫書所載內容已與現況不符。
前條第四項至第五項及前二項所定查核及登錄相關事項,本部得委任所屬機關辦理。
本條修正施行前,經本部所屬機關審查通過並公告之第三方支付服務機構服務能量登錄者,於登錄有效期間視為已依第一項規定辦理。
第 6 條
第三方支付服務業於推出新服務或辦理新種業務前,包括新支付機制、運用新科技於現有或全新之業務,應進行洗錢及資恐風險評估,並建立相應之風險管理措施以降低所辨識之風險。
第 7 條
第三方支付服務業確認客戶身分措施,應依下列規定辦理:
一、於下列情形,應確認客戶之身分:
(一)與賣方客戶建立或維持業務關係時。
(二)提供買方客戶代理收付服務,每筆金額達新臺幣五萬元時。但以信用卡付款每筆金額未達新臺幣二十萬元者,不適用之。
(三)發現疑似洗錢或資恐之代理收付時。
(四)對於過去所取得客戶身分資料之真實性或妥適性有所懷疑時。
二、確認客戶身分應採取下列方式:
(一)以可靠、獨立來源之文件、資料或資訊,辨識及驗證客戶身分,並保存該身分證明文件予以記錄。
(二)確認客戶身分措施,應包括瞭解業務關係之目的與性質,並視情形取得相關資訊。
三、客戶為法人、團體或信託時,應瞭解客戶之業務性質,並應取得相關資訊以便驗證客戶身分。
四、對於無法完成確認客戶身分相關規定程序者,應考量申報與該客戶有關之疑似洗錢或資恐交易。
五、懷疑某客戶或交易可能涉及洗錢或資恐,且合理相信執行確認客戶身分程序可能對客戶洩露訊息時,得不執行該等程序,而改以申報疑似洗錢或資恐交易。
第 8 條
第三方支付服務業於確認客戶身分時,有下列情形之一者,應予以婉拒建立業務關係或提供服務:
一、疑似使用匿名、假名、人頭、虛設行號或虛設法人團體名義往來或使用服務。
二、客戶拒絕提供確認客戶身分措施相關文件。
三、持用偽、變造身分證明文件。
四、出示之身分證明文件均為影本。但依規定得以身分證明文件影本或影像檔,輔以其他管控措施辦理之業務,不在此限。
五、提供文件資料可疑、模糊不清,不願提供其他佐證資料或提供之文件資料無法進行查證。
六、客戶不尋常拖延應補充之身分證明文件。
七、客戶為資恐防制法指定制裁之個人、法人或團體,以及外國政府或國際組織認定或追查之恐怖分子或團體。但依資恐防制法第六條第一項第二款至第三款所為支付不在此限。
八、建立業務關係或提供服務時,有其他異常情形,客戶無法提出合理說明。
第 9 條
第三方支付服務業應對於業務關係實施持續性的賣方客戶審查,並依下列規定辦理:
一、對賣方客戶業務關係中之服務進行詳細審視,確保所進行之服務與賣方客戶及其業務、風險相符。
二、應定期檢視其辨識賣方客戶身分所取得之資訊是否足夠,並確保該等資訊之更新,特別是高風險賣方客戶,應至少每二年檢視一次。
三、應依重要性及風險程度,對現有賣方客戶身分資料進行審查,並於考量前次執行審查之時點及所獲得資料之適足性後,在適當時機對已存在之往來關係進行審查,包括在得知賣方客戶身分與背景資訊有重大變動時。
四、對賣方客戶身分辨識與驗證程序,得以過去執行與保存資料為依據,無須於賣方客戶每次使用服務時,一再辨識及驗證賣方客戶之身分。但對賣方客戶資訊之真實性或妥適性有所懷疑、發現賣方客戶涉及疑似洗錢或資恐交易,或賣方客戶之交易或帳戶之運作方式出現與該賣方客戶業務特性不符之重大變動時,應依第七條規定對賣方客戶身分再次確認。
第 10 條
第三方支付服務業於辦理第七條第二款與前條規定之確認客戶身分措施及持續審查機制,應以風險基礎方法決定其執行強度,包括:
一、對於高風險情形,應加強確認客戶身分或持續審查措施,其中至少應額外採取下列強化措施:
(一)在建立或新增業務往來關係前,取得高階管理人員同意。
(二)採取合理措施以瞭解客戶財富及資金來源。其中資金來源係指產生該資金之實質來源。
(三)對於業務往來關係採取強化之持續監督。
二、對於來自高風險國家或地區之客戶,應採行與其風險相當之強化措施。
三、對於較低風險情形,得採取簡化措施,該簡化措施應與其較低風險因素相當。但有下列情形者,不得採取簡化確認客戶身分措施:
(一)客戶來自高風險國家或地區。
(二)足資懷疑該客戶或交易涉及洗錢或資恐。
第 11 條
第三方支付服務業於確認客戶身分時,應詢問客戶並利用外部資料庫或資訊來源確認客戶、其高階管理人員是否為現任或曾任國內外政府或國際組織之重要政治性職務人士,並依下列規定辦理:
一、客戶若為現任國內外政府之重要政治性職務人士,應將該客戶直接視為高風險客戶,並採取第九條各款之強化確認客戶身分措施。
二、客戶之高階管理人員若為現任國內外政府或國際組織之重要政治性職務人士,應考量該高階管理人員對該客戶之影響力,決定是否對該客戶採取第九條各款之強化確認客戶身分措施。
三、前二款規定於重要政治性職務人士之家庭成員及有密切關係之人,亦適用之。前述家庭成員及有密切關係之人之範圍,依本法第七條第四項後段所定標準之規定認定之。
第 12 條
第三方支付服務業對於服務或交易事項有下列疑似洗錢或資恐交易情形之一者,應依本法第十條第一項規定向法務部調查局(以下簡稱調查局)申報,交易未完成者,亦同:
一、為賣方客戶提供代理收付網路實質交易款項服務,賣方客戶未能說明具體事由,或其事由顯不屬實。
二、與賣方客戶委託關係結束後,發現該客戶否認該委託、無該客戶存在或其他有事實足認該客戶係被他人所冒用。
三、買方客戶無正當理由,多次或連續以略低於新臺幣五萬元之額度進行非信用卡交易,或多次或連續以略低於新臺幣二十萬元之額度進行信用卡交易。
四、客戶有不尋常之交易,且該交易與客戶身分、收入顯不相當或與其營業性質無關。
五、客戶為法務部依資恐防制法公告制裁之個人、法人或團體,或法務部公布之其他國家、國際組織認定或追查之恐怖組織、恐怖分子。
六、交易疑似與恐怖活動、恐怖組織、資助恐怖主義或武器擴散有關聯。
七、其他疑似洗錢或資恐交易情事。
第 13 條
第三方支付服務業應保存與客戶往來及服務之紀錄,並依下列規定辦理:
一、對服務之所有必要紀錄,應至少保存五年。但法律另有較長保存期間規定者,從其規定。
二、對下列資料,應至少保存至與客戶業務關係結束後五年。但法律另有較長保存期間規定者,從其規定:
(一)確認客戶身分所取得之所有紀錄,如護照、身分證、駕照、健保卡或類似之官方身分證明文件影本或紀錄。
(二)銀行帳戶資料、支付證明或契約文件檔案等。
(三)業務往來資訊,包括對複雜、異常交易進行詢問所取得之背景或目的資訊與分析資料。
三、保存之服務紀錄應足以重建個別交易,以備作為認定不法活動之證據。
四、對權責機關依適當授權要求提供代理收付紀錄及確認客戶身分等相關資訊時,應確保能夠迅速提供。
第 14 條
第三方支付服務業對疑似洗錢或資恐交易之申報,應依下列規定辦理:
一、對於經認定屬疑似洗錢或資恐交易,應於二個營業日內,向調查局申報。
二、對屬明顯重大緊急之疑似洗錢或資恐交易案件之申報,應立即以傳真或其他可行方式儘速向調查局申報,並應補辦書面資料。但經調查局以傳真資料確認回條確認收件者,無需補辦申報書,並應留存傳真資料確認回條。
三、前二款申報書及傳真資料確認回條,應依調查局規定之格式辦理。
向調查局申報資料相關紀錄之保存,應依前條規定辦理。
第 15 條
第三方支付服務業應注意法務部依資恐防制法第四條及第五條規定公告之制裁名單,並依同法第七條第一項規定辦理,對於未完成之服務,亦同。
第三方支付服務業因業務關係知悉其本身持有或管理經指定制裁之個人、法人或團體之財物或財產上利益,或經指定制裁之個人、法人或團體之財物或財產上利益所在地,應即依調查局所定之通報格式及方式向調查局通報。
前項之通報紀錄、相關服務紀錄之保存依第十三條規定辦理。
第 16 條
本辦法除中華民國一百十一年一月二十八日訂定發布之第十三條第四款以外之條文及一百十二年二月二十四日修正發布條文自一百十二年一月一日施行外,自發布日施行。