我见我思－资安与新币审核之重要性

虚拟货币是现在最需要且值得被关注的市场，全球各国对虚拟货币监管力度也明显加大。图／美联社

回顾这些年的虚拟货币产业危机事件，大多出自于人为道德瑕疵并非技术本身。说起来有点讽刺。2008年比特币问世之时，本是要解决信任的问题，但当区块链技术谈到商业应用有挂勾时，人性终究是影响的关键因素。

因此不可否认，虚拟货币是现在最需要且值得被关注的市场，全球各国对虚拟货币监管力度也明显加大，今年3月行政院指派金管会为虚拟货币的主管机关，且明确定义金管会管辖范围为虚拟资产，亦即仅包含：1、虚拟货币；2、具有投资跟支付性质的 NFT（非同质化代币）。金管会8月也召开「管理虚拟资产平台及交易业务事业（VASP）指导原则草案」座谈会，并允诺9月将正式颁布指导原则，在座谈会中表明已经委由证期局研议专法，后续如何监管跟监管步调如何推展。虽没有明确的时程表，但已经看到主管机关的关心与重视。

之前笔者有谈过经营虚拟资产交易平台，必须满足「融合金融与科技标准」、「最高的风险意识」、「优先保护客户资产」等三大原则，除了用户的法币信托、公司与用户虚币资产分帐管理之外，笔者认为「资讯安全标准」与「新币上架原则」，也是很重要且需要的经营守则。

虚拟资产产业主要是网路活动，因此维持系统正常运作的首要原则，即是降低「骇客入侵」导致资讯遭到窃取、窜改、灭失或遗漏的发生，因此，取得比特币及虚拟通货发展协会倡议的资安声明、SOC 2 Type I 、 Type II 或 ISO 27001 等认证都是基本检视的方式。这些标准与声明中都对交易资料之隐密性及安全性，维持资料传输、交换或处理之正确性，以及营运之持续性都有相当适宜的规范，如果VASP能取得相关认证，就说明内部资安制度、控管落实度达到一定标准。

另外，个资保护也是重要的一环，如VASP能遵循ISO 27701并将其规范于内控中，将大幅提升用户的信赖感。从资讯安全中延伸出的中心化VASP对于虚拟资产的保管机制与议题，透过冷热钱包相辅使用以及投保对应的保险，严谨的保护机制与流程，才能发挥最高效能，确保风险降到最低。

在2017年ICO（首次代币发行）热潮席卷全球之时，新币项目方在全球各地鼓吹，造成投资人狂热，也让交易所面临是否该上架这些新币、这个项目方到底是否可信的挑战，初期我们采取投资的基本原则 — 了解投资标的，根据多年的纪录与经验，平台已经有一套新币上架守则，新币上架前，从新币项目方的基本资料与白皮书或该项目方发布的官方说明文件开始检视，到评估商业或团队营运模式是否有任何违法疑虑、该项目许诺的价值、市场预期交易量、该项目的智能合约等逐一检视，并出动法务、法遵、洗钱防制、财务、产品开发、区块链技术工程师等不同单位专业人员，由内部团队出具评估意见后，再行决定上架该币种。

未来仍有许多挑战，包含与检警调间的联防合作、如何服务更多国外用户、开发虚拟资产ETF等新商品，都需要仰赖主管机关与VASP的密切合作，也期待产业间能互相跨域合作，将虚拟资产及相关应用透过我国的技术实力、优质服务推广到全世界，除了台积电领头的半导体晶片外，区块链技术产业也成为另外一座护国神山，让我国的软实力能在其他国家硬着陆，笔者相信今年我国将迎来虚拟资产产业重要的转捩点，将是我国虚拟资产产业迎风破浪与国际竞争、接轨的起始元年，真心给予我国主管机关，尤其是金管会给予掌声与喝采。