在討論這個問題之前,可能需要做一些電子支付法規歷史演變的介紹。「電子支付機構使用者身分確認機制及交易限額管理辦法」在 104 年 5 月 3 日施行,裡面第 22 條要求業者在九個月內完成使用者的身分確認程序,也就是所有電子支付將實名制。以下是第 22 條的完整條文:
本條例施行前已辦理代理收付實質交易款項業務之電子支付機構,對於本條例施行前及施行後三個月內提供服務之客戶,其身分確認及交易限額如未符合第二章及第三章規定者,應於本條例施行後九個月內調整符合相關規定。
電子支付機構於前項規定之調整期間內,其使用者應至少符合下列身分確認程序,始得提供代理收付實質交易款項服務:
一、確認使用者提供之行動電話號碼。
二、確認使用者提供之電子郵件信箱或社群媒體帳號。
僅符合前項身分確認程序所開立之電子支付帳戶,每月累計代理收付實質交易款項之付款金額,以等值新臺幣一萬元為限。
電子支付機構對於第一項客戶及第二項使用者,應按月及於每次提供服務時,向其通知應於本條例施行後九個月內完成符合第二章規定之身分確認程序,並提醒未於本條例施行後九個月內完成符合第二章規定之身分確認 程序者,電子支付機構將無法繼續依原約定或第二項規定提供服務。
九個月,也就是 105 年 2 月 2 日到期,所有電子支付都要實名制。根據這個管理辦法,電子交易的使用者身分有四種:
| 第一類 | 第二類 | 第三類 | 非實名(第零類) | |
| 身分認證機制 |
|
|
|
|
| 每月交易限額 | 三萬元 | 三十萬元 | 個人:一百萬元 非個人:一千萬元 | 一萬元 |
不過到了 105 年 2 月 2 日,仍然沒有任何非銀行的電子支付業者開業,最關鍵的則是非實名使用者的身分認證機制仍然太複雜,其餘還有四項安全控管的關卡:
- 電子支付帳戶連結使用者的銀行存款帳戶,需要業者跟各家銀行逐一介接(電子業者可透過自家專用存款帳戶,去介接金融資訊服務業「間接連結」其他銀行扣款)
- 密碼要英數混和,且不能與前二次相同(每次密碼不得與前一次相同)
- 交易要輸入固定密碼(可用圖形或手勢)
- 十分鐘未使用就中斷連線(延長為三十分鐘)
在 105 年 7 月 6 日,這四項已經放寬(如上述括號內),但是非實名使用者的身分認證機制仍然無解,且原本寬限的調整時間,早已在 2 月 2 日到期。直到半年後,在 105 年 8 月 2 日金管會才又公告如下:
為簡化電子支付機構使用者身分確認流程,適度降低電子支付機構作業成本及提高使用者之便利性,修正法規命令,重點如下:
「電子支付機構使用者身分確認機制及交易限額管理辦法」部分條文修正草案:
(一) 簡化使用者註冊及開立電子支付帳戶之身分確認程序 (修正條文第 8 條及第 12 條):為提高使用者註冊之便利性,刪除「確認電子郵件信箱」及「確認社群媒體帳號」之身分確認程序規定。
(二) 電子支付機構使用者身分確認之執行,放寬賦予至 107 年 12 月 31 日前之調整期間 (修正條文第 22 條)
這次的放寬,不僅將實名制的第一類到第三類電子支付帳戶原本要「確認電子郵件信箱」及「確認社群媒體帳號」刪除了,也將非實名制的電子支付帳戶調整時間放寬到 107 年 12 月 31 日。這是法規命令的修正預告,但是預告之後,在 105 年 8 月 19 日,媒體揭露了兆豐金控的海外洗錢案,也影響到了這次的放寬。所以在 105 年 9 月 6 日的修正草案發布施行新聞稿中,非實名制的電子支付帳戶調整時間最終時點,從預告的 107 年 12 月 31 日改為 106 年 9 月 30 日,整整少了 15 個月。金管會在新聞稿中提及:
鑑於我國將於 107 年第 4 季接受亞太防制洗錢組織(APG)之相互評鑑,評鑑結果如不理想,除影響我國國際聲譽外,將衝擊我國金融機構業務發展及國人金融交易活動。為兼顧防制洗錢國際標準及社會大眾對法規鬆綁之需求,考量相關評鑑作業之準備須於 106 年底前完成,針對該辦法修正草案第 22 條第 1 項規定,調整期間最終時點為 106 年 9 月 30 日。
也就是說,如果有業者順利在今年九月底開業,調整時間也只有一年,而非 8 月 2 日預告的兩年以上。除此以外,原本 8 月 2 日的預告提到:「於調整期間內,電子支付機構確認使用者提供之行動電話號碼後,即得提供代理收付實質交易款項之付款服務。」但在 9 月 6 日的發布,卻又改為:「調整期間須確認使用者提供之電子郵件信箱或社群媒體帳號之身分確認程序」,這其實是比較令人費解的。
電子郵件信箱做為電子支付身分認證是落後作法
怎麼說呢?因為電子支付的使用者其實是以行動裝置為主的,所以用行動電話號碼做為身分認證其實很合理,甚至有了行動電話號碼之後,其實也很接近實名制了,因為申請行動電話號碼需要雙證件。但是電子郵件信箱,卻會成為極大的阻礙,這也是為什麼在實名制的電子支付帳戶刪除了「確認電子郵件信箱」及「確認社群媒體帳號」,因為當你使用行動電話要開通電子支付的帳號,可以在同一個裝置上以近乎沒有時間差的速度認證,但是當你要進行電子郵件信箱認證的時候,問題就出現了:
- 不是所有人都會用行動電話收發 E-mail,所以使用者可能還要跑去用電腦收確認信。
- 不是所有人都有無線網路的連線,所以使用者可能得去找 Wi-Fi 才能收信。
- 不是所有人都能順利收到 E-mail,可能會被當成垃圾信,或是郵件伺服器有時間的落差。
- 撇除這些降低使用者順利完成帳號申請的問題,E-mail 身分確認的效力也很低落,任何人隨時都可以申請到免費的 E-mail。
- 如果業者為了簡化這個流程,在完成行動電話號碼的認證時,就直接提供使用者一個 E-mail,這個限制不就毫無意義了?
以下表格就整理了三個不同版本的「電子支付機構使用者身分確認機制及交易限額管理辦法」:
| 104 年 5 月 3 日 | 105 年 8 月 2 日 | 105 年 9 月 6 日 | |
| 「電子支付機構使用者身分確認機制及交易限額管理辦法」狀態 | 正式施行 | 修正預告 | 修正發布 |
| 電子支付實名制身分認證機制(第 8 條) |
|
|
|
| 電子支付非實名制身分認證機制(第 22 條) |
|
|
|
| 調整期間長度的交易金額與次數限制 | 九個月(105 年 2 月 2 日到期),每月交易金額上限 1 萬元。 | 僅用手機號碼註冊的使用者: (一) 第 1 階段:在 106 年 12 月底之前,每月交易限額 1 萬元,交易次數限 10 次。 | (一) 第 1 階段(106 年 6 月 30 日前):每月總交易金額上限為等值新臺幣 1 萬元。 |
接下來要談談為什麼 8 月 2 日的預告和 9 月 6 日的發布,調整期間會有 15 個月的時間落差,且金額原本在 106 年底都還有到 1 萬元,結果後來改成到 106 年 6 月 31 日交易金額上限 1 萬元,7 月 1 日到 9 月 30 日上限只剩下 5000 元。金管會在發布的新聞稿說到:「金管會經研析外界意見後,調整該辦法修正草案第 22 條規定。」這個外界,指的是誰?是銀行?還是民眾?
「罪魁禍首」是金管會還是法務部調查局?
從八月到九月之間,最關鍵的事件就是兆豐的海外洗錢案,這也是為什麼金管會在 9 月 6 日的發布新聞稿裡面一直提及防制洗錢。但是,防制洗錢是金管會的事嗎?不完全是。事前的預防的確比較接近金管會的事情,透過一些法規命令的發布,避免金融機構出現協助洗錢的行為。但是交易過程中的監控,以及當洗錢行為發生之後的調查,是金管會的事情嗎?不是,是法務部調查局的洗錢防制處所負責的,而且其實洗錢防制處還負責了「洗錢防制相關策略之研究及法規之協商訂定」的工作。
國際上的一些主要的洗錢防制組織有國際刑警組織(目前台灣並沒有加入,但有合作)、防制洗錢金融行動小組(FATF,目前台灣並非會員國,而是以 APG 會員參加會議)、亞太洗錢防制組織(APG,台灣以「中華台北」名義加入會員,法務部調查局的洗錢防制處為主要參與單位,由會員進行相互評鑑,上次為 2007 年,下次為 2017 年)以及艾格蒙聯盟(EG,法務部調查局的洗錢防制處為其會員)。
換句話說,其實法務部調查局才是洗錢防制相關政策的主角,而金管會對於已經遇到的電子支付相關法規命令,卻受到「外界意見」所影響而大轉彎,這個外界可能不是銀行也不是民眾,最有可能的是同樣身為政府單位的法務部調查局。但是如果真是如此,調查局的洗錢防制處為何能影響跟它毫無關係的電子支付政策?目前別說是有任何透過電子支付進行洗錢的案例了,電子支付在台灣根本並沒有真的開始。如果「罪魁禍首」其實不是金管會,而是法務部調查局,為什麼要去干擾跨部會的政策,恐怕就需要洗錢防制處出來講清楚、說明白了。而金管會未能就自己所主管的業務,在專業上有所堅持或是反過來跟「外界意見」好好溝通,也頗令人不解,恐怕金管會的政府內部跨部會溝通以及對民眾的溝通,都做得很差勁。
如果電子支付真的需要實名制,那麼在非實名制的零類帳戶要求除了行動電話號碼以外,還要電子郵件信箱或社群媒體帳號,其實是多此一舉,因為 E-mail 和社群帳號也不是實名制。如果為了準備洗錢防制的評鑑,我們參與的是 AGP 的會員相互評鑑,而就其問卷內容,其實並沒有要求帳戶的實名,反而衝擊最大的,可能是兆豐金控的海外洗錢案。在八月的預告和九月的發布之間出現了那麼大的髮夾彎,其實起因很有可能就是過去金管會對主管的金融機構監管不力所連帶造成的影響,而苦果則是全民買單,不單是電子支付業者有苦難言,民眾想要體驗更方便的電子支付,恐怕也要再等一等了。
