【我們為什麼挑選這篇文章】虛擬貨幣除了投資之外,日本政府修法,讓虛擬貨幣也能使用於日常的購物交易。但是方便之下,卻讓不肖份子有可趁之機,號稱日本第一大的虛擬貨幣交易所 Coincheck,即遭駭客入侵,導致大量的虛擬貨幣遭竊,是非常嚴重的資安危機。

面對虛擬貨幣的資安問題,政府可以如何介入,又該如何因應呢?(責任編輯:杜維)

文/資策會科技法律研究所法律研究員 游于萱

日本 2017 年新法上路,增訂虛擬貨幣交易業相關法規範。面對政府介入監管,反倒提振日本民眾對虛擬貨幣的信賴,其交易量不減反增,讓日本一舉成為比特幣市場的最大交易國

為回應市場需求,自 2017 下半年起,日本有更多的實體店家與虛擬貨幣交易業者合作,導入虛擬貨幣的支付機制。此外,亦連動其他相關產業的發展,如三菱日聯信託銀行,預計於今年推出虛擬貨幣的信託業務,冀能整備出一個讓虛擬貨幣使用者安心的交易環境。

然而,正逢虛擬貨幣相關產業蓬勃發展之際,號稱日本第一大的虛擬貨幣交易所 Coincheck,日前傳出駭客入侵,大量的虛擬貨幣(NEM)遭竊,按當時匯率價值約為 580 億日圓(近 156 億元台幣)。日本繼 2014 年 MT.GOX 交易所的比特幣失竊事件後,資安危機再度浮現,其損失金額更突破過往紀錄

2014 年以 MT.GOX 事件為契機,日本針對虛擬貨幣交易業者積極展開修法方針。修訂後的資金結算法於 2017 年 4 月正式上路,其監管方式係是透過導入登錄制,掌握業者的營運動態,並賦予相關之責任義務,對此,日本金融廳亦於官網定期發布審查合格的業者名單供民眾參考,凡登錄合格者始得營業,若未登錄而營業者,處以 3 年以下有期徒刑或科或併科 300 萬日圓以下罰金(資金結算法第 107 條)。惟金融廳再三重申,該舉措並非鼓勵從事虛擬貨幣交易,民眾仍應自行承擔風險。

本次事件焦點的 Coincheck 並非為審查通過之業者,卻在新法上路後持續營運,係因按相關規定,凡於 4 月 1 日前已開始從事虛擬貨幣交易之業者,僅需於新法上路後的六個月內提出申請,並於等待審核結果期間仍可營業,該段期間營業的業者,則稱為「擬制業者」(みなし業者)。

然而本次的虛擬貨幣失竊案,卻浮現了「擬制業者」上的監管灰色地帶矛盾。

第一、一般而言,審查業者登錄與否之期間約為 1~2 個月,依 Coincheck 自身發布訊息,於 2017 年 9 月提出登錄申請,但直至去年底卻仍未出現於金融廳的公布名單裡,其間 Coincheck 曾表示由於本身提供虛擬貨幣的種類較多,而延宕了審查的時間。

此一未設置審查期門檻的作法,雖賦予業者更多的彈性和調適的機會,卻亦可能因監管之不周全影響消費者保護。針對尚在延長審期間的「擬制業者」,權責機關或可適度揭露部分訊息與民眾,將消費者權益受損的機會減至最輕。

第二、依金融廳所訂定的行政規則事務ガイドライン第三分冊,登錄審查重點包含 (1)使用者保護措施 (2)將客戶的資產或虛擬貨幣與業者自有的資產或虛擬貨幣分設帳戶管理 (3)資安系統管理。

這起 Coincheck 遭駭事件中,資安系統的管理顯而不足,雖然 Coincheck 在第一時間提出否認表示,登記許可尚未通過,非為資安上之不完備。然而,多數的虛擬貨幣交易所,為防止外部不當連線,會將私鑰離線存放,以提升其安全性。而 Coincheck 則係將私鑰儲存於能被外部網絡連結到的位置當中,此一管理上的疏失,在事件爆發後更為大眾所詬病。

在此,筆者以為若金融廳於審查過程中,認為業者的資安系統不完備,應即時提出業務停止或改善命令,或針對尚未通過審核的業者,進行密度較高的業務監管,以避免監管上的灰色地帶,導致輕重失衡。

日本金融大臣麻生太郎曾於1月12日,針對中韓打壓虛擬貨幣表示:「不是什麼都要嚴加限制」,並回應了日本資金結算法的修法理由,國家干預的目的在於達到使用者保護與業者創新之間的平衡,然而此次的事件,卻也暴露了監管上不完備所導致消費者保護之不周全

面對新興金融科技的興起,政府的介入該是多少,才能讓創新在穩固的市場秩序中前進,應為當前一大課題,值得我國作為借鏡。

(本文經合作夥伴 資策會科法所 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈從全球最大起虛擬貨幣遭竊事件,看日本監管灰色地帶〉首圖來源:Unsplash, CC Licensed 。)

延伸閱讀

走路能賺錢,我還不減肥?英國新創推出虛擬貨幣「汗幣」,讓你走路換現金
【憑一己之力搞垮產油強國】委內瑞拉獨裁總統奇葩力作:虛擬貨幣「油幣」!
虛擬貨幣不死!花旗銀行正在開發 Citicoin 卡位新金融戰場