我見我思-資安與新幣審覈之重要性

虛擬貨幣是現在最需要且值得被關注的市場,全球各國對虛擬貨幣監管力度也明顯加大。圖/美聯社

回顧這些年的虛擬貨幣產業危機事件,大多出自於人爲道德瑕疵並非技術本身。說起來有點諷刺。2008年比特幣問世之時,本是要解決信任的問題,但當區塊鏈技術談到商業應用有掛勾時,人性終究是影響的關鍵因素。

因此不可否認,虛擬貨幣是現在最需要且值得被關注的市場,全球各國對虛擬貨幣監管力度也明顯加大,今年3月行政院指派金管會爲虛擬貨幣的主管機關,且明確定義金管會管轄範圍爲虛擬資產,亦即僅包含:1、虛擬貨幣;2、具有投資跟支付性質的 NFT(非同質化代幣)。金管會8月也召開「管理虛擬資產平臺及交易業務事業(VASP)指導原則草案」座談會,並允諾9月將正式頒佈指導原則,在座談會中表明已經委由證期局研議專法,後續如何監管跟監管步調如何推展。雖沒有明確的時程表,但已經看到主管機關的關心與重視。

之前筆者有談過經營虛擬資產交易平臺,必須滿足「融合金融與科技標準」、「最高的風險意識」、「優先保護客戶資產」等三大原則,除了用戶的法幣信託、公司與用戶虛幣資產分帳管理之外,筆者認爲「資訊安全標準」與「新幣上架原則」,也是很重要且需要的經營守則。

虛擬資產產業主要是網路活動,因此維持系統正常運作的首要原則,即是降低「駭客入侵」導致資訊遭到竊取、竄改、滅失或遺漏的發生,因此,取得比特幣及虛擬通貨發展協會倡議的資安聲明、SOC 2 Type I 、 Type II 或 ISO 27001 等認證都是基本檢視的方式。這些標準與聲明中都對交易資料之隱密性及安全性,維持資料傳輸、交換或處理之正確性,以及營運之持續性都有相當適宜的規範,如果VASP能取得相關認證,就說明內部資安制度、控管落實度達到一定標準。

另外,個資保護也是重要的一環,如VASP能遵循ISO 27701並將其規範於內控中,將大幅提升用戶的信賴感。從資訊安全中延伸出的中心化VASP對於虛擬資產的保管機制與議題,透過冷熱錢包相輔使用以及投保對應的保險,嚴謹的保護機制與流程,才能發揮最高效能,確保風險降到最低。

在2017年ICO(首次代幣發行)熱潮席捲全球之時,新幣項目方在全球各地鼓吹,造成投資人狂熱,也讓交易所面臨是否該上架這些新幣、這個項目方到底是否可信的挑戰,初期我們採取投資的基本原則 — 瞭解投資標的,根據多年的紀錄與經驗,平臺已經有一套新幣上架守則,新幣上架前,從新幣項目方的基本資料與白皮書或該項目方發佈的官方說明文件開始檢視,到評估商業或團隊營運模式是否有任何違法疑慮、該項目許諾的價值、市場預期交易量、該項目的智能合約等逐一檢視,並出動法務、法遵、洗錢防制、財務、產品開發、區塊鏈技術工程師等不同單位專業人員,由內部團隊出具評估意見後,再行決定上架該幣種。

未來仍有許多挑戰,包含與檢警調間的聯防合作、如何服務更多國外用戶、開發虛擬資產ETF等新商品,都需要仰賴主管機關與VASP的密切合作,也期待產業間能互相跨域合作,將虛擬資產及相關應用透過我國的技術實力、優質服務推廣到全世界,除了臺積電領頭的半導體晶片外,區塊鏈技術產業也成爲另外一座護國神山,讓我國的軟實力能在其他國家硬着陸,筆者相信今年我國將迎來虛擬資產產業重要的轉捩點,將是我國虛擬資產產業迎風破浪與國際競爭、接軌的起始元年,真心給予我國主管機關,尤其是金管會給予掌聲與喝采。