金管會證券期貨局 5 日公告,VASP 業者須依據其資訊安全管理制度認證情況,將客戶資產 70~80% 存放在冷錢包之中。
(前情提要:金管會搞黑箱?加密專法公聽會「早上公布下午舉辦」,彭金隆:台灣監管走在世界前端)
(背景補充:P2P交易全違法?台灣金管會喊「個人幣商關七年」,VASP專法草案拚6月送行政院)
台灣金管會目前分四階段納管 VASP 虛擬資產業者,第 1 階段依《洗錢防制法》納管,規定業者須向金管會完成法遵聲明,第 2 階段設立 VASP 公會,訂定指導原則、自律規範。
目前已進入第 3 階段,金管會於《洗錢防制法》訂定子法,增訂「VASP 登記制」,據業務複雜程度對 VASP 業者進行差異化管理。相關虛擬資產業者需在 2025 年 9 月底前完成登記,否則將禁止繼續經營。
金管會宣布冷錢包資產規定
根據金管會證券期貨局 5 日最新公告,VASP 業者須依據其資訊安全管理制度認證情況,確保客戶虛擬資產在冷錢包的存放比例。
根據 《提供虛擬資產服務之事業或人員洗錢防制登記辦法》 第二十六條第三項,金管會解釋:虛擬資產保管商需依資安標準將客戶資產存放於冷熱錢包,並符合以下要求:
-
符合國際資訊安全管理標準者
- 若虛擬資產保管商之核心系統取得 ISO 27001、ISO 27701 或 SOC2 Type 2 等國際資安標準,則客戶資產冷錢包存放比例不得低於 70%,熱錢包存放比例不得超過 30%。
- 若核心系統涉及雲端服務,則委外廠商需取得 ISO 27017、ISO 27018、ECSA(歐盟雲端服務星級驗證制度)或 CSA STAR(美國雲端安全聯盟星級驗證) 之認證,方可適用該標準。
-
未符合國際資訊安全管理標準者
- 若保管商未達上述資安標準,則冷錢包存放比例不得低於 80%,熱錢包存放比例不得超過 20%,以進一步降低資產暴露於網絡攻擊風險。
此外,規範中提到的核心系統指的是直接提供客戶資產保管、風險控制及帳務管理等業務所需的關鍵技術架構。
我們知道冷錢包(Cold Wallet)通常相比熱錢包(Hot Wallet)更能有效防範駭客攻擊,業者將 70~80% 用戶資產放在冷錢包能夠有效提升安全。不過我們知道 Bybit 此前才剛發生世上最大筆駭客攻擊,攻擊者從冷錢包中竊取近 15 億美元的 ETH,因此也不能說 100% 安全,產業安全機制仍需不斷完善。
另一方面,該規定似乎並沒有考慮到 VASP 業者可能會將客戶資產進行鏈上操作,例如質押(Stake),而僅關注在現貨的狀況,是否會因此造成 VASP 能提供的服務受限,還有待金管會更進一步說明。
📍相關報導📍
央行:台灣未考慮將比特幣納入外匯存底、彭金隆預告虛擬資產專法明年6月送立院
