搜尋結果

部落格文章（150）

其他頁面 (6)

以空白搜尋找到 150 個結果

零知識證明在台灣現行《洗錢防制法》下的證據能力問題—兼論使用混幣器是否直接等同於洗錢故意
壹、前言上一篇討論到：Tornado Cash與Samourai Wallet兩案的比較與啟示—兼論以太坊開發未來的隱私基礎建設。本篇是衍伸的議題：零知識證明在台灣現行《洗錢防制法》下的證據能力問題—兼論使用混幣器是否直接等同於洗錢故意。假如將 Vitalik 的「隱私池（Privacy Pools）」概念落地到台灣的法律環境中，我們必須將討論拆解為兩個層次：一是刑事訴訟中的「證據法」層次（被告能否用 ZK-Proof/零知識證明以自證清白？），二是行政監管中的「合規」層次（VASP 能否接受 ZK-Proof 作為 CDD/Customer Due Diligence/客戶盡職調查的依據？）。貳、零知識證明在台灣現行《洗錢防制法》下的證據能力問題以下是針對台灣現行《洗錢防制法》及《刑事訴訟法》架構下的分析：一、證據能力：數位證據的門檻在台灣刑事訴訟中，零知識證明（ZK-Proof）首先面臨的是證據能力的挑戰。這涉及準文書與數位證據的同一性。（一）法律定性： ZK-Proof 本質上是一段電磁紀錄。根據《刑事訴訟法》及最高法院對於數位證據的見解，其必須具備「同一性（Integrity）」與「真實性（Authenticity）」。（二）技術優勢： ZK-Proof 的密碼學特性使其在「同一性」上具有極高優勢。只要證明生成（Proof Generation）與驗證（Verification）的演算法是開源且經過審計的，律師可以主張該證據未經（且無法被）人為篡改。（三）實務挑戰（黑盒子問題）：台灣法官與檢察官大多並非密碼學專家。若辯護人提出一個 ZK-Proof 說「這證明我的錢不是髒錢」，基本上法官可能無法直接形成心證。（四）解決路徑：必須聲請鑑定（Expert Witness）。需要具備公信力的第三方機構（如資安鑑識實驗室、睿科金融科技有限公司）出具鑑定報告，說明：「根據該演算法邏輯，若此證明驗證通過，則數學上保證該資金來源不屬於黑名單集合。」二、證明力：與《洗錢防制法》的衝突即便有了證據能力，ZK-Proof 在實質證明力上，與台灣現行偏向「形式審查」的洗錢防制邏輯存在本質衝突。（一）「消極證明」vs. 「積極確認」 1.Privacy Pools 的邏輯：提供的是消極證明（Exclusion Proof）——「我證明我不是壞人（不在 OFAC 名單上）」。 2.台灣法規邏輯：《洗錢防制法》及《金融機構防制洗錢辦法》要求的是積極確認（Positive Identification）——「確認客戶身分」、「瞭解業務性質」及「確認資金來源」。 3.衝突點：在台灣實務上，檢察官通常要求被告提供「完整的資金流向軌跡」（如交易所出金紀錄、銀行水單）。若被告僅提供 ZK-Proof 而拒絕揭露上一手的具體身分（即便證明上一手不是罪犯），檢方極可能認定被告「刻意隱匿資金來源」，具有洗錢的不確定故意。（二）資金來源（Source of Funds）的定義落差 1.爭點：「乾淨」的定義是什麼？ 2.技術定義： ZK-Proof 證明的「乾淨」是指「不在已知的制裁名單內」。 OFAC（Office of Foreign Assets Control，美國財政部外國資產控制辦公室）手中最具殺傷力的法律武器是「特別指定國民和被封鎖人員名單」（Specially Designated Nationals and Blocked Persons List，簡稱 SDN List）。 3.法律定義：台灣法院對於「犯罪所得」的認定範圍可能大於國際制裁名單。例如，一筆資金可能不在 OFAC 的名單上，但它可能來自台灣本地的一起未公開詐騙案。制裁 Tornado Cash (2022年)： OFAC 將 Tornado Cash 的智能合約地址（Smart Contract Addresses）列入 SDN 名單。理由：指控其被北韓駭客組織 Lazarus Group（也在 SDN 名單上）用來洗錢，金額超過 4.55 億美元。法律爭議點：這引發了我們前面提到的 Van Loon 案爭議：OFAC 傳統上是制裁「人」或「公司」，但這次他們制裁了「一段程式碼（智能合約）」。法院最後認定這種擴權是非法的，因為程式碼不是「財產」。對 Vitalik 論文的影響： Vitalik 提出的「隱私池」概念，其核心目標就是讓用戶透過 ZK-Proof 證明：「我的資金來源絕對不包含 OFAC SDN List 上的地址（如 Lazarus Group）」。雖然 OFAC 是美國機構，但在台灣的金融與法律實務上具有實質的約束力：長臂管轄與美元結算：台灣的銀行與 VASP 若想維持美元業務或與國際金融體系接軌，實際上必須遵守 OFAC 的制裁名單。否則可能被切斷美元結算管道（被踢出 SWIFT 系統的風險）。合規實務：台灣的交易所（如 MAX, BitoPro）在進行 AML/KYC 審查時，都會導入資料庫比對客戶是否在 OFAC 的 SDN 名單上。 4.結論： ZK-Proof 在台灣法庭上，目前恐怕只能作為「佐證（Corroborating Evidence）」來證明被告「沒有主觀犯意」（已盡力排除已知風險），但很難單獨作為「資金來源合法」的「直接證據」。三、 VASP 合規層面的困境：旅行規則（Travel Rule）若我們從 VASP（虛擬通貨平台及交易業務事業）的角度來看，接受 ZK-Proof 作為合規憑證目前是不可行的。（一）金管會 VASP 指導原則與旅行規則台灣已導入 FATF 的旅行規則（Travel Rule），要求 VASP 在傳輸虛擬資產時，必須傳遞發起人（Originator）與接收人（Beneficiary）的真實身分資訊。而隱私池(Privacy Pools)的核心設計就是「切斷」身分連結。如果 VASP 僅收到 ZK-Proof 而無發起人的實名資訊，直接違反台灣 VASP 的洗錢防制法令遵循聲明。（二）疑似洗錢交易申報（STR）根據台灣實務，若客戶交易模式顯著異常（例如使用混幣器），VASP 必須申報 STR。目前金管會的態度傾向於「高風險零容忍」。即便客戶提供 ZK-Proof，但只要涉及到「隱私增強技術（Anonymizing Services）」，大多數台灣合規交易所（如 MAX, BitoPro）為了避嫌，很可能會直接拒絕該筆存款或凍結帳戶，而不會去驗證那個 ZK-Proof 的數學有效性。四、攻防策略建議雖然在「合規」層面目前難以過關，但在「刑事辯護」層面，或許可以考慮以下策略：（一）情境：當事人因使用Privacy Pools 而被控洗錢。 1.主張「主觀無犯意」：引用 Vitalik 的論文與 ZK-Proof 的機制，主張當事人主動選擇「將自己與駭客資金隔離」的池子（Association Set）。這證明當事人積極採取防範措施，而非「意圖掩飾或隱匿」。這對於打破洗錢罪的構成要件（主觀犯意）是非常強有力的論述。 2.挑戰「犯罪所得」的舉證責任：利用 Van Loon 案的邏輯，主張區塊鏈技術的中立性。若檢方無法具體指出混入該 Pool 的哪一筆特定資金是台灣法下的犯罪所得，僅因使用隱私技術就推定有罪，則違反無罪推定原則。（二）聲請專家鑑定，不應憑空想像。應聲請具備區塊鏈鑑識能力的專家證人，向法庭解釋：「該 ZK-Proof 在數學上已經排除當事人收到 Lazarus Group 等已知黑名單資金的可能性」，藉此降低當事人的可歸責性。五、總結在台灣現行法制下，ZK-Proof 尚未具備取代傳統 KYC/AML 文件的法定地位。（一）對於 VASP：它是風險紅燈。目前無法僅憑 ZK-Proof 接受存款。（二）對於法庭：它是「量刑辯護」或「主觀犯意抗辯」的新型武器，但還不足以作為「資金來源絕對合法」的完美護盾。參、使用混幣器是否直接等同於洗錢故意？雖然目前台灣法院判決書中，確實極少直接出現「混幣器（Mixer）」或「Tornado Cash」等特定關鍵字，但這並不代表法律沒有規範。依據台灣近期的司法實務，法院是透過「製造資金斷點（Creating Financial Breakpoints）」與「多層次轉帳（Complex Layering）」這兩個概念，來評價類似混幣器的行為（即行為模式分析）。整理台灣法院對於這類「隱匿幣流」行為的裁判邏輯，以及針對地下匯兌（如 88 會館案）的類推適用分析：一、核心裁判邏輯：混幣行為 = 「洗錢故意」的客觀表徵在台灣司法實務上，法官通常不會去探究被告使用哪個具體的混幣協議，而是看資金移轉的軌跡與模式。若交易模式呈現出「人為的複雜化」，法院傾向於認定具有洗錢的不確定故意。（一）判決中的關鍵字代換在閱讀判決書時，您可以用以下概念來對應「混幣器」： 1.「無故頻繁轉帳」：對應混幣過程中的（跳轉） Hops。 2.「製造金流斷點」：對應混幣器的核心功能。 3.「快速轉入轉出（Pass-through）」：資金停留時間極短，不符合一般投資或存款常理。（台灣高等法院113年度上訴字第4046號刑事判決參照）（二）實務見解：多層轉帳 = 掩飾意圖 1.裁判邏輯：當被告將資金分散至多個冷錢包，經過多次無實質經濟意義的跳轉後再匯集、，法院常引用《洗錢防制法》第 2 條關於「掩飾或隱匿」的定義。 2.心證形成：法官會質問：「若資金來源合法，何須大費周章進行十幾次的錢包互轉？」若被告無法提供合理的商業理由（如套利策略、資安分散管理），這種「異常的交易結構」本身就會被視為「主觀上有洗錢故意」的強力佐證。法院認定有罪的依據：資金回流或閉迴路現象（交易迴圈：台灣桃園地方法院112年度金訴字第1572號刑事判決）各錢包之間的高度關聯性，藉此判斷各錢包是否屬同一實質控制者最高法院114年度台上字第693號刑事判決：透過幣流追蹤系統，從區塊鏈公開帳本進行幣流分析，發現相關錢包的實際幣流之流向等多方面，加以判斷是否為假幣商，且應具體調查並比對多重證據而認定是否與詐騙集團成員間有共犯關係。二、類推案例分析：88 會館與 Steaker 案這兩個案件雖非單純的混幣器案件，但可推估刑事司法實務會如何看待「隱匿幣流」的行為。（一）88 會館案（地下匯兌 + USDT）：台灣新北地方法院112年度金重訴字第4號刑事判決 1.案情：郭哲敏等人利用 USDT 的匿名性與跨境流通性，經營地下匯兌與博弈洗錢。 2.判決關鍵（類推混幣）：法院在認定「洗錢」時，重點在於其利用 USDT 進行「切斷資金流向」的操作。他們透過場外交易（OTC）將法幣換成 USDT，再透過多個不記名錢包進行流轉。 3.法律評價：法院認為這種將「法幣轉換為難以追蹤的虛擬貨幣」並進行「多層移轉」的行為，客觀上造成金流追查的阻礙，主觀上即構成洗錢故意。這與使用混幣器在法律評價上是等價的。（二）Steaker 案（涉及吸金 + 複雜轉帳）： ⚠️刑事案件經檢方起訴後法院尚未判決。 1.案情：平台涉嫌未經許可吸金。 2.檢方觀點：起訴書特別指出，資金進入平台後，被轉入由創辦人控制的多個錢包，並流向海外交易所。 3.法律評價：這種「複雜的多層轉帳結構」被檢方視為「製造斷點」的證據，證明被告有意圖掩飾非法吸金的所得去向。這顯示出，只要資金路徑「不必要地複雜」，在台灣法律下就是高風險行為。三、關鍵防禦點：證據能力與鑑定報告這是一個非常重要的程序性防禦點，特別是針對「鏈上分析報告」。最高法院 114 年度台上字第 2062 號判決（新近見解）：（一）爭點：警方或調查局製作的「虛擬貨幣金流分析報告」能否直接當作證據？（二）法院見解：最高法院指出，若該分析報告未經法定鑑定程序（如未依《刑事訴訟法》第 198 條選任鑑定人、未具結、未記載詳細分析過程），則可能無證據能力。（三）應用策略：若檢方指控被告使用混幣器或多層轉帳，依據的是一份「警員自製的 Excel 或圖表」，辯方應強烈質疑其證據能力，要求必須由具備公信力的第三方鑑識機構（如資安實驗室）出具正式鑑定報告，詳述其如何認定該地址屬於混幣器，以及如何排除誤判的可能性。四、總結若當事人涉及類似行為，台灣法院目前的態度如下：（一）使用混幣器（或類似複雜轉帳）本身是一個強烈的「有罪推定」訊號，除非能提出極具說服力的反證（如：這是為了保護商業隱私的極致資安操作，且有完整紀錄可供回溯）。（二）抗辯重心應放在「客觀行為的合理性解釋」： 1.解釋為何轉帳：「這不是洗錢，這是為了『私鑰分片管理』或『搬磚套利』。」 2.挑戰證據鏈：「檢方出具的金流圖只是推測，並無數學上的絕對關聯性（特別是如果經過了混幣器，檢方可能根本無法證明資金流出入的對應關係）。」肆、最高法院對於「數位證據同一性」與「幣流分析報告證據能力」的判決理由。在虛擬貨幣案件中，檢方提出的證據往往是一份「金流分析報告」（通常由調查局資安科或警政署刑事局製作），外加一堆 Excel 表格。針對這些證據，最高法院近年來的見解已經趨於嚴格，不再照單全收。辯方若能精準引用關於「數位證據同一性」與「鑑定報告適格性」的裁判理由，有可能排除不利證據或降低其證明力。整理相關的最高法院判決理由與實務攻防邏輯：一、關於「數位證據同一性」的攻防核心概念：檢方提出的數位檔案（如截圖、備份檔、導出的 Excel），是否與「原始證物」（最初扣押的手機、電腦或伺服器數據）內容完全一致？（一）最高法院判決見解（穩定見解）最高法院107 年度台上字第 3724 號已確立審查數位證據的黃金標準： 1.最高法院強調：「數位證據具無限複製性、複製具無差異性、增刪修改具無痕跡性、製作人具不易確定性、內容非屬人類感官可直接理解（即須透過電腦設備呈現內容）。因有上開特性，數位證據之複製品與原件具真實性及同一性，有相同之效果，惟複製過程仍屬人為操作，且因複製之無差異性與無痕跡性，不能免於作偽、變造，原則上欲以之證明某待證事項，須提出原件供調查，或雖提出複製品，當事人不爭執或經與原件核對證明相符者，得作為證據。然如原件滅失或提出困難，當事人對複製品之真實性有爭執時，非當然排除其證據能力。此時法院應審查證據取得之過程是否合法（即通過「證據使用禁止」之要求），及勘驗或鑑定複製品，茍未經過人為作偽、變造，該複製品即係原件內容之重現，並未摻雜任何人之作用，致影響內容所顯現之真實性，如經合法調查，自有證據能力。」 2.證據排除的依據：如果檢方提供的只是「列印出來的截圖」或「經過整理的 Excel 檔」，而無法提供原始數位檔案的雜湊值供驗證，辯護人可主張該證據不具同一性，進而依照刑事訴訟法證據法則質疑其證據能力。（二）針對虛擬貨幣案的應用 1.攻擊點：檢方常直接提供一份「資金流向圖」。 2.辯護策略： (1)「請問這份圖表是依據哪個『原始數據』製作的？」 (2)「該原始數據（例如從交易所調閱的 raw data 或從被告手機提取的 log）有沒有計算雜湊值？」 (3)「如果沒有，如何證明這份 Excel 表格在『整理』的過程中，沒有發生人為的複製貼上錯誤或數據篡改？」二、關於「虛擬貨幣鑑定報告」的證據能力核心概念：警察自己做的「幣流分析」算不算「鑑定」？有沒有證據能力？（一）最高法院對於「機關鑑定」與「調查報告」的區辨依據最高法院 114 年度台上字第 2062 號判決意旨，區分如下： 1.法定的鑑定報告（有證據能力）：必須是審判長、受命法官或檢察官依《刑事訴訟法》第 198 條或第 208 條規定，選任或囑託具有特別知識經驗者（或機關）所進行的鑑定。該報告必須記載「鑑定之經過及其結果」（第 206 條）。 2.無證據能力的「調查報告」：如果只是承辦警員或調查官，利用自身的電腦知識或市面上的軟體（如 Chainalysis）製作的分析報告，本質上屬於「被告以外之人於審判外之書面陳述」（傳聞證據）。 3.攻擊點：這種報告通常是「為了本案訴訟而製作」，因此不適用《刑事訴訟法》第 159 條之 4 第 1 款（公務員職務上製作之紀錄文書）的傳聞例外，原則上應排除證據能力。（二）實務上的關鍵判詞（攻防金句）可以在法庭上引用類似以下的最高法院論理架構：「司法警察機關基於犯罪調查之目的，自行針對扣案證物或調取資料進行分析所製作之報告，性質上屬被告以外之人於審判外之書面陳述。若未經法院或檢察官依法定程序選任為鑑定人，該報告僅屬個人意見之陳述或調查機關之內部職務報告，並非刑事訴訟法上之鑑定報告，不得作為認定事實之唯一依據。」三、針對「區塊鏈分析工具」的科學性挑戰這是進階的防禦層次，針對工具（如 Chainalysis, TRM Labs）本身的「黑盒子」問題。（一）爭點：分析軟體說「地址 A 和地址 B 屬於同一個實體（Entity Cluster）」，這個結論是怎麼來的？（二）辯護路徑： 1.啟發式演算法（Heuristics）的不可靠性：區塊鏈分析主要依賴「共同花費（Common Input Ownership）」等啟發式規則。但這些規則在 CoinJoin（混幣）或特殊交易結構下可能誤判。 2.要求揭露方法論（Methodology）：依據《刑事訴訟法》第 198 條、206 條精神，鑑定必須說明「經過」。如果檢方證人（或警員）無法解釋軟體背後的判斷邏輯，只會說「軟體顯示就是這樣」，則該結論缺乏科學驗證基礎。 3.主張：「該分析結果僅是『機率性的推測』，而非『確定性的事實』。」四、綜合辯護策略建議若在法庭上遇到檢方提出「幣流關聯圖」指控被告洗錢，建議採取以下三步防禦：（一）否認證據能力（Hearsay Objection）主張該報告是警員自行製作的「調查報告」，非經檢察官選任之「鑑定報告」，且是針對本案製作，無特信性，屬傳聞證據，應予排除。（二）質疑同一性（Chain of Custody Challenge）要求檢方出示原始區塊鏈數據的擷取紀錄與雜湊值。若無法出示，則該 Excel 表格或圖表可能經過人為變造或篩選，不具同一性。（三）挑戰關聯性（Reliability Challenge）針對「同屬一人」的認定，要求說明具體依據。是依據交易所 KYC？還是依據軟體的「群集分析」？如果是後者，該軟體的誤判率是多少？是否有經過國內公正第三方機構驗證？五、最後應注意且高度參考實務上的重要原則與判決（一）不以直接證據為必要：台灣高等法院114年度上訴字第2287號刑事判決 1.檢警於查緝此類犯罪時，本難期待於個案中均能查得幣商與詐欺集團配合之直接證據，惟法院認定事實，並不悉以直接證據為必要，其綜合各項調查所得之直接、間接證據，本於合理之推論而為判斷，要非法所不許。 2.虛擬貨幣之流向分析，具有相當之專業性，本質上屬鑑定報告，且鑑定人馬志豪於原審審理時，已以鑑定人之身分具結，並說明鑑定人之專業能力（具有虛擬貨幣幣流分析課程合格證書及多次進行幣流分析之經驗）、鑑定之基礎事實、資料（係依據本案被告、告訴人虛擬貨幣之交易錢包地址追查相關幣流）、鑑定之原理及方法（以前開虛擬貨幣交易紀錄，搭配幣流分析軟體）等事項，是基隆市警察局刑事警察大隊科技偵查隊所製作之本案虛擬通貨幣流分析報告，自屬受託機關以書面提出之鑑定報告，屬傳聞證據之例外，而有證據能力。（二）依照刑事訴訟法第159-4條為「特信性文書」而有證據能力：台灣台中地方法院113年度金訴字第3104號刑事判決摘要：「臺灣臺中地方檢察署虛擬通貨分析報告（偵17319卷第127至161頁），依證人即該報告製作人甲○○於本院審理時證稱：虛擬貨幣是基於區塊鏈技術，有公開帳本分散在全世界各電腦上，具有不可串改性，也經過全世界的電腦認證，OKLink將公開帳本資料予以表格化放在網路上供全世界使用，針對每筆虛擬貨幣區塊鏈技術都有做Hash認證，具有可信性，TRM是將公開帳本的資料圖形化，我會同時使用OKLink、TRM這2個工具相互驗證，上開報告所記載的每筆交易資料都可以從公開帳本的原始資料內看到等語（本院卷一第284至285頁）。可知上開分析報告既係透過不可竄改之區塊鏈資料而來，其內容正確性極高，不實登載之可能性極低，具有特別可信性，且與被告丁○○被訴犯行之有無，具有不可替代之高度關聯性，核屬刑事訴訟法第159條之4第3款規定之特信性紀錄文書。」（三）台灣高等法院台中分院113年度金上訴字第786號刑事判決「檢事官係經由檢察官指揮後，自虛擬貨幣交易『OKLINK』公開帳本網站，搜尋告訴人3人及幣商所使用之電子錢包之交易紀錄，檢測二者間是否有非正常交易之閉迴路迴圈情形，其出具之上開職務報告固屬傳聞證據，無證據能力，惟其於原審以證人身分到庭具結作證，其所證述其自『OKLINK』公開帳本網站搜尋、查證之經過及所發現本件有非正常交易之閉迴路迴圈情形等內容，皆係其親身經歷之事實，而非僅轉述引用其職務報告，自有證據能力。又檢事官復於原審審理時接受被告4人及辯護人對質詰問，已保障被告4人之對質詰問權，並經合法調查，其證述自得採為認定犯罪事實之基礎」。（四）台灣高雄地方法院113年度金訴字第702號刑事判決「查該幣流分析報告係於被告所涉他案偵查案件中，針對被告本案持有虛擬貨幣錢包進行之分析，因該報告係本案發生後，檢察事務官針對個案所特定製作，不具例行性之要件，應認關於被告部分，並無證據能力。」（五）台灣高等法院114年度上訴字第2070號刑事判決「1.按刑事訴訟法第159條之4所規定特信性文書之種類，除列舉於第1款、第2款之公文書及業務文書外，並於第3款作概括性規定，以補列舉之不足。所謂『除前2款之情形外，其他於可信之特別情況下所製作之文書』，係指與公務員職務上製作之紀錄文書、證明文書，或從事業務之人於業務上或通常業務過程所須製作之紀錄文書、證明文書具有相同可信程度之文書而言(最高法院112年度台上字第4896號判決參照)。 2.而依虛擬貨幣交易之區塊鏈資料結構觀之，若欲修改已上鏈之交易時間、金額或Hash值，若未同步修改所有節點（礦機）之資料，該修正將被視作不正確交易遭剔除，然因其去中心化之性質，理論上無法掌握所有節點之存放位置，其資訊當可認具不可竄改性， 3.而OKLINK等網站僅係在查詢個別電子錢包地址存放於區塊鏈上公開帳本之資訊，並無法修改或編輯已上鏈之交易結果，除非有特殊可認與真實交易不符之情形外，應具相當之可信性，況依卷附被告所使用「TDcQ1MZ6NSJwtY5mdBg3zS8d1ZGPTZML1j」電子錢包（下稱被告錢包）之OKLINK網站查詢資料表所示，其所載於民國112年4月25日、27日USDT轉幣紀錄，與被告自行提出之USDT轉幣紀錄完全相符，益堪認上開OKLINK網站之電子錢包幣流查詢結果表確具可信性而有證據能力」。（以上資訊由陳建佑律師、Gemini、Lawsnote AI協作整理）
Tornado Cash與Samourai Wallet兩案的比較與啟示—兼論以太坊開發未來的隱私基礎建設
壹、前言若從憲法保障言論自由的角度出發，探討混幣器或幣圈隱私工具的開發與應用，同時又考量《刑法》中妨害電腦使用罪章等法律限制，例如針對駭客工具的懲罰規定即刑法第362條—有人製作專門用來進行像是入侵電腦、竊取資料等行為的程式，且提供給自己或他人使用—我們恐將陷入創新的兩難與僵局。因此，不妨暫時跳脫既有的法律框架思維，轉而從相關的實際案例與發展趨勢中，沉澱並展望此領域的未來。本篇主要是討論：Tornado Cash與Samourai Wallet兩案的比較與啟示—兼論以太坊開發未來的隱私基礎建設。下一篇將是衍伸的議題：零知識證明在台灣現行《洗錢防制法》下的證據能力問題—兼論使用混幣器是否直接等同於洗錢故意。貳、什麼是Samourai Wallet？它主要功能與服務為何？ Samourai Wallet 是一款專為比特幣（Bitcoin）設計的非託管（Non-custodial）軟體錢包，過去主要在 Android 平台上運行。它在加密貨幣社群中以「極致的隱私保護」和「安全性」著稱，其核心理念是讓用戶在公開透明的區塊鏈上，仍能保有交易的匿名性。然而，該項目目前正處於重大的法律風暴中。以下是其主要功能、運作機制以及目前的法律狀態說明：一、核心定位 Samourai Wallet 不同於一般的交易所錢包（如 Binance, Coinbase）或普通的熱錢包，它被視為一種隱私增強技術（Privacy-Enhancing Technology, PET）工具。它專注於對抗「區塊鏈分析公司」（如 Chainalysis）的追蹤，保護用戶免受監控。二、主要功能與服務 Samourai Wallet 的功能主要圍繞在斷開「發送者」與「接收者」之間的鏈上連結：（一） Whirlpool (混幣服務 / CoinJoin) 這是 Samourai 最核心、也是最具爭議的功能。 1.機制：利用 CoinJoin 技術，將多個用戶的比特幣（UTXO）混合在一起進行交易。 2.效果：打斷比特幣的交易歷史鏈條。經過 Whirlpool 處理後的比特幣，其過去的交易紀錄會變得模糊，使得外部觀察者難以追蹤資金來源。 3.特點：與傳統混幣器不同，Whirlpool 聲稱具有數學上可證明的匿名性，且用戶保持對資金的控制權（非託管）。（二） Ricochet (跳板發送) 1.用途：專門用於向中心化交易所（CEX）發送資金。 2.機制：在資金到達最終目的地之前，Ricochet 會自動進行多次額外的「跳轉」（Hops）。 3.目的：許多交易所會拒收來自「可疑來源」或「距離過短」的資金。Ricochet 透過增加交易跳轉次數，試圖欺騙交易所的風險評分系統，避免帳戶被凍結。（三） PayNym (BIP-47 可重複使用支付碼) 1.機制：允許用戶公開一個靜態的代碼（Payment Code），他人可以透過此代碼無限次發送比特幣給該用戶。 2.隱私保護：雖然代碼是公開且靜態的，但每次交易都會在鏈上生成一個全新的、互不關聯的地址。這避免「地址重複使用（Address Reuse）」帶來的隱私洩露風險。（四） Stonewall & Stowaway (交易偽裝) 1.機制：這些功能會在交易中創建「誘餌」輸出或模擬 CoinJoin 的交易結構。 2.目的：增加交易的「熵（Entropy）」，讓區塊鏈分析工具難以判斷哪一部分是真實的找零（Change），哪一部分是實際支付金額。（五）遠端節點 (Dojo) Samourai 鼓勵用戶運行自己的後端伺服器（稱為 Dojo）。這意味著用戶不依賴 Samourai 的伺服器來查詢餘額或廣播交易，進一步實現「去中心化」與「無須信任」。三、目前狀態：2024 年執法行動與法律危機關鍵轉折： 2024 年 4 月，美國司法部（DOJ）對 Samourai Wallet 採取嚴厲的執法行動，導致該服務目前實質上已停擺（或功能受限）。（一）創辦人被捕：執行長 Keonne Rodriguez 和技術長 William Lonergan Hill 被捕。（二）伺服器查封：美國執法部門查封 Samourai 的網站域名以及位於冰島的伺服器。這直接導致Whirlpool（混幣）功能的癱瘓，因為該功能依賴於一個中心化的協調伺服器來撮合用戶。（三）刑事指控： 1.共謀洗錢（Conspiracy to Commit Money Laundering）：檢方指控他們處理超過 20 億美元的非法交易，並協助暗網市場及駭客洗錢。 2.無照經營匯款業務（Unlicensed Money Transmitting）：指控其混幣服務收取手續費，屬於法定的匯款業務卻未註冊。四、與 Tornado Cash 的比較（法律視角）將兩者對比有助於釐清法律風險：由此可知，Samourai Wallet 曾是比特幣生態系中最強大的隱私工具之一，但其依賴「中心化協調伺服器」來運作混幣功能的架構，使其在面對執法行動時比去中心化的智能合約（如 Tornado Cash）更為脆弱。參、美國司法部起訴 Samourai Wallet 的起訴書（Indictment）關於「非託管錢包開發者」被認定為「金融機構（Financial Institution）」的具體法律推論路徑。在 United States v. Keonne Rodriguez and William Lonergan Hill（Samourai Wallet 案）的起訴書中，美國司法部（DOJ）採取相當激進且細緻的法律推論，試圖突破傳統上「非託管（Non-custodial）= 非金融機構」的防線。以下整理檢方起訴書將 Samourai Wallet 開發者認定為「金融機構」（具體而言是「貨幣傳輸者」，Money Transmitter）的四階段法律推論路徑：檢方的論述主要建立在 18 U.S.C. § 1960（經營無照匯款業務罪）結合 FinCEN（金融犯罪執法局）2019 年關於可轉換虛擬貨幣（CVC）的指導方針。一、第一階段：將「軟體」剝離，重新定義為「服務」 (Service over Software) 起訴書並沒有攻擊 Samourai Wallet 的「錢包軟體」本身，而是攻擊其提供的 Whirlpool（混幣）與 Ricochet（跳轉）功能。（一）檢方論點：被告不只是發布開源代碼供用戶下載（若是如此，可能屬於單純的軟體開發商）。相反地，被告維護並運營一個中心化的伺服器（Centralized Server），這個伺服器是 Whirlpool 運作所必需的。（二）法律轉譯：檢方主張，當開發者持續運行一個伺服器來協調交易時，他們就不再只是「軟體提供者（Provider of Anonymizing Software）」，而是轉變為「服務提供者（Provider of Anonymizing Service）」。二、第二階段：擴張解釋「接受與傳輸」 (Acceptance and Transmission) 這是最關鍵的法律攻防點。根據銀行保密法（BSA），貨幣傳輸者必須涉及「接受（Acceptance）」價值並將其「傳輸（Transmission）」至另一地點或帳戶。 Samourai 的抗辯一直是：「我們是非託管的，用戶持有私鑰，我們從未『持有』或『觸碰』用戶資金，因此沒有『接受』。」起訴書如何突破這一點？（一）功能性控制論（Functional Control）：檢方引用 FinCEN 2019 指南指出，貨幣傳輸者的定義不以「完全託管（Full Custody）」為必要條件。（二）必要的協調者（Necessary Coordinator）：在 Whirlpool 的 CoinJoin 過程中，雖然資金由用戶簽名，但 Samourai 的伺服器負責： 1.登記參與混幣的用戶。 2.將用戶分組。 3.構建交易結構。 4.廣播交易到區塊鏈。因此檢方認為，由於沒有這個伺服器的「撮合」與「廣播」，交易無法以該種形式發生。因此，開發者在法律上「促進（Facilitated）」資金的轉移，這在法規解釋上滿足廣義的「接受與傳輸」要件。三、第三階段：收費模式證明「商業性」 (Business Purpose) 為了滿足 § 1960 中「業務（Business）」的定義，檢方強調 Samourai 的營利模式：（一）事實認定：使用 Whirlpool 和 Ricochet 功能並非免費。Samourai 收取「池費（Pool Fees）」和「Ricochet 費」。（二）估算獲利：起訴書指出被告透過這些費用賺取約 450 萬美元。（三）法律推論：收取手續費證明這不是單純的開源貢獻或言論自由表達，而是一個以營利為目的的持續性商業行為，因此屬於「貨幣服務業（MSB）」。四、第四階段：主觀意圖的佐證 (Marketing as Intent) 為了補強上述結構性論證，檢方大量引用被告的公開行銷用語，證明他們主觀上也將自己視為金融機構的替代品，而非單純的技術工具。（一）行銷口號：被告曾在推特上稱自己為 "Bank of Samourai"（Samourai 銀行）。（二）用戶引導：被告設立專門的頻道（如 "China VIP"），主動協助用戶規避當地的資本管制。（三）推論：這些言論被用來證明被告明知其服務是用於金融傳輸，且有意圖規避監管（Anti-Money Laundering, AML）與認識你的客戶（KYC）規定。五、律師視角 (Attorney's Takeaway) 美國司法部在 Samourai Wallet 案中的起訴書（Indictment），實際上建立一個對 DeFi 與非託管開發者極具威脅性的法律三段論：（一）大前提：只要你運營的基礎設施（如伺服器、Relayer）參與交易的撮合或廣播，且該參與是交易完成的必要環節。（二）小前提：即使你沒有用戶私鑰（非託管），你也構成了對資金流動的「控制」或「促進」。（三）結論：你就是「貨幣傳輸者（Money Transmitter）」，若未註冊，即構成重罪。六、與 Tornado Cash 案的關鍵區別： Tornado Cash（在 Van Loon 案中）之所以能抗辯成功，是因為智能合約不可篡改且自動運行，開發者沒有「持續運維」一個中心化伺服器來撮合交易。Samourai 敗在 Whirlpool Coordinator Server 這個中心化組件，讓檢方找到切入「控制權」與「經營業務」的實體依據。肆、Samourai Wallet 案的啟示美國紐約南區聯邦法院法官 Denise Cote於 2025 年 11 月 6 日，在 Samourai Wallet 創辦人 Keonne Rodriguez的判刑聽證會上，作出一項極為嚴厲的裁決。她判處 Rodriguez 五年監禁（法定最高刑罰），旨在對加密貨幣隱私工具的開發者發出強烈且明確的警示。法官 Cote 承認金融隱私的普遍價值，並表示「我們都想要金融隱私」，但她同時強調：儘管 Samourai Wallet 的比特幣混合服務旨在保護用戶隱私，卻被廣泛用於洗錢、毒品交易和暗網活動等非法行為。一、案件影響與法律爭議的聚焦儘管本案並未進入正式審判（被告已於 2025 年 7 月認罪，僅承認合謀運營未註冊貨幣傳輸業務），其判決結果卻在加密社群中引發廣泛擔憂。許多人認為，這可能間接威脅非託管隱私工具開發者的言論自由權利。雖然此案並未推翻 Bernstein v. United States（即著名的 PGP 案，確立程式碼受憲法第一修正案保護的先例），但它無疑要求開發者未來需更謹慎地評估工具的潛在濫用風險，以避免類似的法律後果。二、混幣器對人身安全的重要性然而，混幣器對比特幣持有者而言，其價值並非僅止於金融，更是人身安全的關鍵保障。由於比特幣區塊鏈是公開透明的，每筆交易都可被追蹤和分析。一旦持有者的地址暴露，攻擊者可能透過鏈上數據推斷出其財富規模、交易模式乃至個人身份，進而引發現實世界的威脅，例如綁架、搶劫、勒索或針對性攻擊。三、延伸思考：Tornado Cash 案的言論自由爭議這一案件的爭議點與先前發生的Tornado Cash 案不謀而合，兩者皆涉及「程式碼作為言論自由」的憲法權利，與「防止非法洗錢」的法律義務之間的根本衝突。這促使我們必須深入探討，如何在保障創新和個人隱私的同時，有效防範工具被濫用。伍、關於Tornado Cash案目前最新的裁判進度與說明截至 2025 年 11 月 25 日，Tornado Cash 相關案件呈現出「行政制裁方面獲得重大勝利」，但「刑事責任認定仍具高度爭議」的分裂局面。以下為美國與歐盟兩地的最新裁判進度與法律分析說明：一、行政訴訟與制裁法案（美國）案件： Van Loon v. Department of the Treasury (第五巡迴上訴法院) （一）最新進度：勝訴 (2024年11月判決) （二）關鍵裁判：美國聯邦第五巡迴上訴法院（5th Circuit Court of Appeals）於 2024 年 11 月 26 日做出具里程碑意義的判決，推翻下級法院的裁定。 1.判決核心：法院認定，不可篡改的智能合約（Immutable Smart Contracts）不屬於 IEEPA（國際緊急經濟權力法）定義下的「財產（Property）」。 2.法律理由：法院指出，由於這些智能合約是自動執行且不可變更的程式碼，Tornado Cash 的創辦人或任何實體都無法對其行使「所有權」或「控制權」。既然無人能「擁有」這些合約，OFAC（外國資產控制辦公室）將其列入制裁名單即超越其法定權限。 3.影響：這是加密貨幣開源開發者的一次重大勝利，確立「不可變更的程式碼」與「受管制的財產」之間的法律界線。二、刑事訴訟（美國）（一）被告： Roman Storm (Tornado Cash 共同創辦人) （二）法院：紐約南區聯邦地方法院 (SDNY) （三）最新進度：混合判決 / 部分罪名陪審團僵局 (2025年8月) 在此刑事案件中，情況較為複雜且對開發者仍有風險： 1.審判結果 (2025年8月)：經過審理，陪審團做出一個「混合裁決」（Mixed Verdict）。 (1)有罪 (Convicted)：陪審團認定 Roman Storm 犯有「共謀經營無照匯款業務罪」（Conspiracy to operate an unlicensed money transmitting business）。這通常被視為嚴格責任（strict liability）的一種，意即只要涉及資金傳輸且未註冊，即可能構成犯罪。 (2)僵局/未決 (Deadlocked)：針對更嚴重的指控——「共謀洗錢罪」與「共謀違反制裁規定罪」，陪審團無法達成一致裁決（Hung Jury）。 2.法律分析： (1)Roman Storm 的辯護策略強調「他無法控制用戶如何使用開源軟體」，這一點在洗錢指控上似乎對部分陪審團產生說服力，導致檢方無法順利定罪。 (2)然而，「無照匯款」的定罪顯示，美國司法部仍試圖將營運去中心化協議的行為納入傳統金融法規的「資金傳輸者（Money Transmitter）」定義中。三、刑事訴訟（荷蘭 / 歐盟）（一）被告： Alexey Pertsev (Tornado Cash 開發者) （二）法院：荷蘭上訴法院 ('s-Hertogenbosch Court of Appeal) （三）最新進度：上訴中 (保釋候審) 1.一審定罪 (2024年5月)：荷蘭法院一審認定 Pertsev 洗錢罪名成立，判處 64 個月（5年4個月）監禁。法院當時採納了較廣泛的解釋，認為開發者若未採取足夠措施防止犯罪資金流入，即構成洗錢。 2.上訴狀態 (2025年)： (1)保釋： Pertsev 於 2025 年 2 月獲得有條件保釋（佩戴電子監控裝置），以便在監獄外準備上訴辯護。 (2)辯護策略轉變： Pertsev 的律師團目前正積極引用美國第五巡迴法院在 Van Loon 案中的判決（關於不可變更代碼非財產、無法被控制的論點），試圖說服荷蘭上訴法院，證明 Pertsev 客觀上無法控制 Tornado Cash 的資金流動，因此不應承擔洗錢責任。四、綜合法律爭點總結 (Key Takeaways) 目前 Tornado Cash 案在法律界劃分出兩條清晰的戰線：（一）「控制權」是核心 (Control is Key)：美國第五巡迴法院的判決確立一個強有力的先例：如果代碼是不可篡改的（Immutable），則開發者沒有控制權，因此不應視為開發者的財產或受其支配的工具。這對 DeFi 協議的監管防禦至關重要。（二）軟體 vs. 金融服務 (Software vs. Service)： Roman Storm 在「無照匯款」罪名上的敗訴（或定罪），顯示司法系統仍傾向將「發布並維護協議」的行為視為「經營金融服務」，而非單純的「言論自由（發布程式碼）」。這意味著即使洗錢罪名難以成立，開發者仍面臨行政法規（如銀行保密法 BSA）的合規風險。陸、這些案件的發展結果或趨勢，可能影響以太坊目前朝向開發隱私保障等關鍵基礎建設的計畫？ Tornado Cash（Van Loon 案的勝訴 vs Storm 案的刑事風險）與 Samourai Wallet（伺服器被抄導致服務癱瘓）的兩極結果，正在深刻影響以太坊生態系的開發路徑。目前以太坊的隱私與擴容基礎建設，正為了規避 Samourai 案的「中心化陷阱」，加速朝向「去中心化排序器（Decentralized Sequencer）」與「證明即合規（Proof of Compliance）」兩大方向演進。以下是具體的法律風險對技術路線的影響分析：一、 Layer 2 擴容方案的「去中心化排序器」危機這是目前以太坊生態系最大的「房間裡的大象」。（一）現況與風險：目前主流的 Layer 2（如 Optimism, Arbitrum, Base）大多仍依賴單一、中心化的排序器（Sequencer）來接收用戶交易並打包上鏈。（二）Samourai 案的警示：根據 Samourai 案的起訴書邏輯，這些中心化排序器與 Samourai 的「Whirlpool Server」極為相似——它們都「促進（Facilitated）」交易，且由單一實體控制。若有黑錢經過 Layer 2，營運排序器的公司極可能被認定為「未註冊的貨幣傳輸者」。（三）技術轉向： 1.加速去中心化：開發團隊正受到極大壓力，必須盡快放棄對排序器的控制權，轉向 Shared Sequencers（共享排序器，如 Espresso Systems）或 Based Rollups（直接由 Layer 1 驗證者排序）。 2.法律防禦目的：唯有將排序器變成「無人能控制的去中心化網絡」，才能引用 Van Loon 案中關於「不可控制性」的勝訴邏輯，主張開發團隊不對資金流動負責。二、隱私技術的轉型：從「混幣」轉向「隱私池（Privacy Pools）」 Tornado Cash 的制裁案讓開發者意識到，純粹的「匿名混幣」在現行反洗錢（AML）框架下幾乎死路一條。（一）新技術方向： Vitalik Buterin 與其他學者近期提出的 Privacy Pools 概念，正是為了回應法律挑戰而生。（二）運作機制差異： 1.舊模式（Tornado Cash）：「我證明我有錢，但我隱藏來源。」（監管機構無法接受，因為可能來自北韓駭客）。 2.新模式（Privacy Pools）：利用零知識證明（ZK-Proofs），用戶可以生成一個證明，宣告「我的資金不來自已知的犯罪黑名單（如 OFAC 清單）」，同時不需要揭露具體來自哪裡。（三）法律意涵：這種技術試圖在「用戶隱私」與「監管合規」之間尋找平衡點，將法律遵循的邏輯直接寫入密碼學協定中，讓合法用戶可以與非法資金「切割」。三、基礎設施層的「去中介化」（Account Abstraction & MEV）以太坊正在推動的帳戶抽象（Account Abstraction, ERC-4337）引入新的角色——Bundlers（打包者）。（一）Samourai 案的陰影： Bundlers 的功能是協助用戶支付手續費並發送交易。若 Bundler 是中心化運作的（類似 Relayer），他們極可能像 Samourai 的伺服器一樣，被視為 Money Transmitter。（二）技術修正： 1. P2P Mempool：開發者正致力於建立去中心化的 Bundler 內存池（Mempool），避免單一實體壟斷打包服務。 2. 審查抗性（Censorship Resistance）：在 MEV（最大可提取價值）供應鏈中，以太坊正試圖透過 ePBS（Enshrined Proposer-Builder Separation）將交易打包的權力進一步分散，避免像 Flashbots 這樣的 Relay 服務商因必須遵守 OFAC 規定而被迫審查交易（這會削弱區塊鏈的中立性）。四、小結：從「服務」逃回「協議」從律師的角度來看，這一系列案件迫使以太坊開發者採取一種「架構即防禦（Architecture as Defense）」的策略。目前的趨勢非常明確：（一）消除「伺服器」：任何需要持續運維、可被關閉的伺服器（如 Samourai 的架構）都是法律上的死穴。（二）擁抱「不可篡改性」：只有當程式碼一旦部署就無人能改、無人能停（如 Van Loon 判決所保護的智能合約），開發者才能在法庭上安全落地。因此這反而促使以太坊放棄任何「半去中心化」的中間狀態，更激進地追求底層協議的自動化與去人為控制化。柒、代結論— Vitalik Buterin 關於 "Blockchain Privacy and Regulatory Compliance: Towards a Practical Equilibrium"（隱私池論文）的核心法律論證摘要。這篇論文基本上就是技術界對法律界遞出的「和解書草案」。這篇名為《Blockchain Privacy and Regulatory Compliance: Towards a Practical Equilibrium》的論文（以下簡稱「隱私池論文」），由 Vitalik Buterin、Fabian Schär 等人共同撰寫。從法律人的視角來看，這篇論文並非單純的技術白皮書，而是一份「針對監管機構的技術可行性答辯狀」。它試圖在 Tornado Cash 案（全面隱私導致無法區分善惡）與傳統金融監管（全面監控導致隱私喪失）之間，提出第三條路。以下為該論文的核心法律與合規論證摘要：一、核心命題：打破「共犯結構」 (Breaking the Link) （一）現狀問題：傳統混幣器（如 Tornado Cash）最大的法律弱點在於「資金同質化」。當誠實用戶存入資金時，他們的錢在數學上與北韓駭客（Lazarus Group）的髒錢無法區分。這迫使執法機構為了抓捕駭客，必須將整個協議視為洗錢工具，連帶制裁所有用戶。（二）論文主張：技術上可以做到「讓誠實用戶證明自己與壞人無關」。透過將「存款證明」與「公開的交易歷史子集（Association Set）」連結，用戶可以在不揭露具體資金來源的前提下，證明其資金來源不屬於特定的犯罪群體。二、關鍵法律機制：關聯集 (Association Sets) 論文提出一個新的法律/技術概念——關聯集。這是實現合規的具體工具：（一）排他性證明（Exclusion Proofs）——「我不是壞人」 1.運作方式：用戶在提款時，提交一個零知識證明（ZKP），證明：「我的存款來自區塊鏈上所有存款的集合，但絕對不包含那些被標記為犯罪（如 OFAC 制裁名單）的存款。」 2.法律意義：這是一種「消極事實的證明」。它允許用戶在保持隱私（不透露我是誰）的同時，滿足反洗錢（AML）的基本要求（資金非黑錢）。這解決監管機構「無法過濾非法資金」的痛點。（二）成員證明（Membership Proofs）——「我是好人」 1.運作方式：用戶證明其存款來自一個特定的「可信實體列表」（例如：已經過 KYC 的交易所存款集合）。 2.法律意義：類似於傳統金融的「白名單」制度。這雖然合規性更高，但對隱私侵犯較大，且有中心化審查風險，但在機構級金融（Institutional DeFi）中極具潛力。三、合規與司法管轄彈性 (Jurisdictional Flexibility) 這可能是該論文對跨國法律實務最具建設性的論點：（一）論點：區塊鏈是全球性的，但法律是地域性的。美國的制裁名單與歐盟或中國不同。（二）解決方案：隱私池協議本身是中立的，但「關聯集」可以由社會共識或特定司法管轄區定義。 1.美國用戶可以使用包含「排除 OFAC 名單」的集合來生成證明。 2.歐洲用戶可以使用符合 GDPR 或 MiCA 規範的集合。（三）法律效果：這將「合規決策」從協議開發者（避免Samourai 案的中心化控制風險）轉移到前端介面提供者或用戶身上。開發者只提供工具，用戶根據自己所在地的法律選擇「我要向誰證明我的清白」。四、舉證責任的轉移 (Shifting the Burden of Proof) （一）傳統金融：銀行負責監控所有交易（Gatekeeper Model）。（二）隱私池模式：用戶主動證明資金合規（User-centric Model）。（三）法律論證：論文暗示，如果技術允許用戶自證清白，那麼監管機構就沒有理由全面封殺隱私協議。監管的焦點可以從「禁止隱私工具」轉向「要求用戶提供合規證明」。這在法律上將「隱私權」與「洗錢風險」脫鉤了。五、總結 Vitalik 等人在這篇論文中試圖建立一個「誠實用戶的分離機制」。在 Tornado Cash 案中，法院（尤其是荷蘭法院）的一個定罪理由是：開發者創造一個「必然」會協助犯罪的工具，因為誠實資金「不得不」幫助犯罪資金隱匿。 Privacy Pools 的法律防禦邏輯在於：如果協議提供工具（ZK-proofs），讓誠實用戶可以數學上切割（Mathematically decouple）自己與犯罪資金的關聯，那麼：（一）繼續與犯罪資金混合就成了用戶的選擇，而非協議的強制。（二）執法機構可以針對那些「無法提供合規證明」的資金進行追查，而無需扼殺整個協議。這就是以太坊一種試圖保留「去中心化」與「隱私」，同時向「國家暴力（反洗錢執法）」做出最小程度必要妥協的務實方案。下一篇將討論零知識證明在台灣現行《洗錢防制法》下的證據能力問題，並兼論使用混幣器是否直接等同於洗錢故意。 —————— 參考資料：一、關於Samourai Wallet案件（涉及Keonne Rodriguez和William Lonergan Hill）的起訴書及紐約法院判決資料： 1. Samourai Wallet案的起訴書（Indictment）資料來源連結資料來源：美國司法部 (Department of Justice) 連結：起訴書文件（PDF） 2. 紐約法院判決資料（Judgment）來源的連結資料來源：美國司法部紐約南區檢察官辦公室 (U.S. Attorney's Office, SDNY) 連結： Samourai Wallet 創辦人被判處五年和四年監禁的新聞稿二、隱私工具開發者的黑暗一天：Samourai Wallet創辦人被判五年監禁 https://open.substack.com/pub/flashsats/p/samourai-wallet-case-privacy-tool-developer-risks?r=1tbayo&utm_medium=ios 三、Tornado Cash：以太坊的壓力測試 https://matters.town/a/dqa2ab0a8tw8 四、Tornado Cash世紀判決：鴨嘴獸再現、禁不掉的智慧合約 https://open.substack.com/pub/blocktrend/p/653?r=1tbayo&utm_medium=ios 五、Vitalik Buterin 及其共同作者於 2023 年發表的該篇關鍵論文資料來源。這篇論文是目前討論「如何在保有區塊鏈隱私的同時滿足反洗錢合規」最重要的理論基礎。論文標題： Blockchain Privacy and Regulatory Compliance: Towards a Practical Equilibrium 共同作者： Vitalik Buterin (Ethereum Foundation) Jacob Illum (Chainalysis) Matthias Nadler (University of Basel) Fabian Schär (University of Basel - Center for Innovative Finance) Ameen Soleimani (Privacy Pools / MolochDAO) 資料來源連結： 1. SSRN (Social Science Research Network) - 最原始與最常被引用的版本這是學術界與法律界最常引用的來源。連結： SSRN Abstract ID 4563364 說明：點擊頁面中的 "Open PDF" 即可閱讀。 2. ScienceDirect (正式期刊發表) 該論文後來被收錄於學術期刊《Blockchain: Research and Applications》中。連結： Blockchain: Research and Applications (Vol 5, Issue 2, June 2024) DOI： 10.1016/j.bcra.2023.100176 3. Privacy Pools 專案網站 (實作層面) 。連結： Privacy Pools 律師快速導讀 (For Attorney) 如果您需要快速抓取重點撰寫文件，建議直接閱讀論文中的 Section 3 "Association Sets" 。該章節詳細定義如何透過 Merkle Tree 的構造，讓用戶證明「我的資金屬於這棵樹（存款總集），但不屬於那根樹枝（壞人黑名單）」，這是法律上主張「數學證明的合規性（Mathematically Proven Compliance）」的核心段落。六、合規隱私，以太坊最新隱私大升級 Kohaku 是什麼？ https://grenade.tw/blog/ethereum-kohaku-eth/ （以上資訊由陳建佑律師、Gemini、Lawsnote AI協作整理）
AI法律應該像是「牽引繩」，而非「護欄」？
近年來關於AI法律的討論焦點正從「是否該監管」轉向「如何有效監管」。就此，賓州大學 (University of Pennsylvania)凱里法學院 (Penn Carey Law) 的 Cary Coglianese 教授，最近的重點研究就是 "Leashes, Not Guardrails" (牽繩，而非護欄)。他在 2025 年 6 月發表於《Risk Analysis》期刊的論文中提出這個重要概念。論文標題：「牽繩，而非護欄：一種基於管理的 AI 風險監管方法」（Leashes, Not Guardrails: A Management-Based Approach to Artificial Intelligence Risk Regulation）。一、Coglianese教授的核心觀點：許多人主張為 AI 設立嚴格的「護欄」（guardrails）以防止危害。但 Coglianese 教授認為，AI 技術變化太快，固定的「護欄」很快就會過時。他主張採用「牽繩」（leashes）的方式，即要求企業建立強大的內部治理和風險管理系統。監管機構不該去審查 AI 的程式碼，而是該審查企業的「管理系統」是否健全。這篇論文為 AI 監管提供新的實務框架。這確實是近期 AI 監管領域中一個非常重要且具有高度實務性的理論。它直接回應「AI 變化太快，法律如何監管」的核心難題。二、Coglianese 教授所謂「護欄」的定義：指的是傳統的「規範性規則」(prescriptive rules)，就像高速公路的護欄一樣，這是一種固定、僵化、一體適用的限制。例如，立法規定「AI 不得產生歧視性言論」或「AI 必須在特定參數下運行」。Coglianese教授接著說明現今AI「護欄」的法律困境： AI 的異質性 (Heterogeneous)： AI 的應用千差萬別（從自動駕駛到醫療診斷，再到詩歌寫作），試圖用一套固定的規則來規範所有 AI，是不切實際的。 AI 的動態性 (Dynamic)： AI 模型（特別是生成式 AI）會不斷學習、演化和改變其行為。今天有效的「護欄」，明天可能就會因為模型的自我更新而失效。扼殺創新：僵化的護欄會限制 AI 探索新路徑的潛力，阻礙技術的正面發展。三、Coglianese 教授提出的「牽繩」(Leashes) 理論：其本質是一種「基於管理的監管」(Management-Based Regulation)。這個監管模式的核心思想是：監管者不直接監管 AI 技術本身，而是監管「使用和開發 AI 的組織」。他生動比喻：監管 AI 就像「遛狗」，而不是「開車」。汽車（護欄）：汽車是機械的，其行為可預測。你可以為它設定固定的道路護欄，它就會在軌道內行駛。狗（牽繩）：狗 (AI) 是有學習能力和一定自主性的。你無法為牠設定固定的軌道。你該做的是繫上「牽繩」，允許牠在一定範圍內自由探索（創新），但主人（組織）必須時刻保持警惕，並在牠（AI）即將衝向危險（產生危害）時，立即拉緊牽繩（介入管理）。四、Coglianese 教授「牽繩」理論的運作機制：「基於管理的監管」要求企業必須建立一套內部的 AI 風險治理系統。監管機構的任務，就是去審查這套「系統」是否健全有效，而不是去審查 AI 的程式碼。這套系統（即「牽繩」）通常包含以下幾個關鍵組成部分： 1.風險評估 (Risk Assessment)：要求組織在部署 AI 系統之前，必須主動識別其潛在風險。例如：在自動駕駛中，風險是碰撞；在社群媒體中，風險是誘導成癮或自殺；在 AI 生成內容中，風險是偏見和歧視。 2.內部流程與控制 (Internal Processes)：組織必須制定具體的內部政策、程序和培訓，以管理和減輕已識別的風險。 3.持續監控 (Monitoring)：組織必須在 AI 部署後對其進行持續監控，以偵測非預期的行為或新出現的危害。 4.文件與紀錄 (Documentation)：必須保留所有風險評估、決策過程、測試結果和監控數據的完整文件，以便在發生問題時供監管機構審查（問責）。 5.人類監督 (Human Oversight)：在關鍵決策點保留有效的人類介入機制。五、「牽繩」的彈性：動態調整監管強度此理論的關鍵優勢在於其彈性。監管機構可以根據風險等級，要求不同強度的「牽繩」： 1.鬆牽繩 (低風險)：對於風險較低的 AI 應用（例如，用於內部庫存管理的 AI），監管機構可能只要求其提交基本的風險評估報告。 2.緊牽繩 (高風險)：對於高風險應用（如醫療、金融、關鍵基礎設施），監管機構可以要求： (1)更頻繁的監控報告。 (2)更嚴格的第三方審計。 (3)在部署前必須獲得監管機構對其「風險管理計劃」的批准。 3.基於表現的調整：如果一個 AI 系統（或某家公司）過去曾出現過問題（例如，洩露敏感數據），監管機構就可以要求對其繫上「更短、更強的牽繩」。六、總結與評論 Coglianese 教授的「牽繩」理論，是將已在環境法規、食品安全等領域被證實有效的「管理為本」監管策略，巧妙地引入到高度動態的 AI 領域。它避開了為技術本身立法的難題，轉而強化企業的內部治理責任與法律遵循義務 (Compliance)，為監管者提供了一個更靈活、更具適應性，也更切實可行的監管框架。融合法律、資安與經濟等考量因素。其理論也大致符合現今歐美AI監理法規的主流架構與內容，但詮釋的方法很生動有趣！這也讓我聯想到「劍橋分析事件」首位吹哨者—克里斯多福．懷利，以及資訊安全大師布魯斯．施奈爾。「劍橋分析公司」共同創辦人、「劍橋分析事件」首位吹哨者—克里斯多福．懷利，在其「心智操控」一書的最後提出四大監理原則，也是當作給立法者的一封信，希望能建構「數位監理」的環境，讓網路生態系更加安全。他認為「法律跟不上科技發展」只是美國矽谷規避監理的藉口，若在醫藥、土木、食品、能源、航空、交通等方面都能夠審查或監理，為何科技公司不需要經過審查就能推出新的數位系統？政府沒有理由不能加以管制。資訊安全大師布魯斯．施奈爾在其「物聯網生存指南」一書中提倡法律在科技方面的重要性。我們都能夠了解，技術往往是先發展出來，而後就產生管理問題，最後透過政策考量而制定法律規範；但不當的政策或法律，也可能造成管理問題，甚至扼殺技術發展。在面對技術變遷，我們雖能推想出新技術可立刻派上用場的用途，但無法掌握新技術在未來會以何種樣貌出現在社會裡。例如當大家知道可利用網路來保持聯絡，卻沒人預料到會出現Facebook臉書或其類似且迭代的這些東西；一次又一次地，在個人數位助理、機器人、比特幣、人工智慧或無人車，都是相同情況。換言之，我們容易落入「技術決定論」的陷阱，當我們以為現在制定的政策與法律可以有效規範（做好資安管理與防禦）時，但早已落後科技發展（科技帶來的風險與攻擊），甚至根本不能預測未來三年、五年或十年科技在根本層面上會出現哪些突破性的進展。於是乎，往往大家都用一句話帶過：「法律跟不上科技」。大家要如何一起想像出未來的情境，以便超前部署，應負現在或未來的風險？而法律真的跟不上科技嗎？讓科技人員與政策制定者能齊聚一堂，合力找出解決方案，才是正確方向，才可達到規畫和協調推動的權責合一。科技與政策法規必須並行，也不要陷入法律跟不上科技的迷思。根據「原則」而非技術，去決定如何監理，才不會被過時的技術或商業模式嵌入監理或法律規範。 —————— Gemini搜尋的資料來源。以下是圍繞 Cary Coglianese 教授「牽繩」(Leashes) 理論的關鍵論文、機構和教授本人的連結。 📄 關鍵論文與摘要 * 論文全文 (PDF)： * 連結： https://betteregulation.lumsa.it/sites/default/files/sites/default/files/publications/COGLIANESE_A%20Management-Based%20Approach%20to%20AI%20reg_2025.pdf * 說明：這是 "Leashes, Not Guardrails: A Management-Based Approach to Artificial Intelligence Risk Regulation" 論文的完整 PDF 檔案。您可以直接閱讀原文的詳細論述。 * 賓州大學法學院官方報導： * 連結： https://www.law.upenn.edu/live/news/17791-the-future-of-ai-regulation * 說明：這是賓州大學凱里法學院 (Penn Carey Law) 在 2025 年 6 月發布的官方新聞稿，標題為「AI 監管的未來」(The Future of AI Regulation)。它用更簡潔的方式總結了這篇論文的核心觀點和重要性。 🏛️ 相關機構與教授 * Cary Coglianese 教授的官方教職頁面： * 連結： https://www.law.upenn.edu/live/profiles/2302-cary-coglianese * 說明：這是 Coglianese 教授在賓州大學法學院的官方介紹，列出了他的學術職位（Edward B. Shils 法學教授）以及他擔任「賓州監管計畫」主任的職務。 * 賓州監管計畫 (Penn Program on Regulation, PPR)： * 連結： https://www.law.upenn.edu/institutes/ppr/ (官方介紹頁) * 連結： https://pennreg.org/ (計畫主網站) * 說明：這是 Coglianese 教授所領導的主要研究中心。第二個連結 ( pennreg.org ) 展示了他們最新的研究成果和活動，例如近期關於「金融中的人工智慧」和「評估監管績效」的論文。 * 《監管評論》(The Regulatory Review)： * 連結： https://www.theregreview.org/ * 說明：這是由 Coglianese 教授創辦、PPR 附屬的線上出版物，每日提供關於監管政策的分析和新聞。您可以在這裡找到大量由該中心學者撰寫的、關於 AI 監管的最新短評和分析（例如，2025 年 11 月 10 日有關於 AI 與美國憲法第一修正案的討論）。
參與「虛擬資產大未來—紛爭解決暨仲裁規則」研討會之收穫與心得
建佑律師報名參加了 2025臺灣仲裁週（Taiwan Arbitration Week 2025）研討會，這是2025臺灣仲裁週活動結合國內外仲裁與法律專業單位，探討最新的爭議解決趨勢與實務發展。其中我最有興趣的一場就是「虛擬資產大未來-紛爭解決暨仲裁規則」研討會，所以整理了這場與會專家學者的演講報告分享，本文最後也分享一段自己的感想心得與結論，也期許更多人可以一起來探索這塊極具前瞻性的法制發展。 ––––– （以下資訊由陳建佑律師、雅婷逐字稿、Claude AI協作整理）一、專題演講（研究報告）演講人（一）劉奕成 (和鼎創投副董事長暨總經理) 重點摘要：虛擬貨幣與穩定幣市場法律實務分析摘要一、講者背景與投資立場講者具金融投資銀行（JP Morgan）、商業銀行及悠遊卡董事長經歷，現任和頂創投負責人。創投基金規模約1億美元，專注投資虛擬貨幣相關企業，包括台灣的MaiCoin、NBA的Lux及國際上的SIA等公司。二、虛擬貨幣市場的特殊性質虛擬貨幣市場是少數衍生性金融商品交易遠大於現貨交易的特殊市場，而穩定幣的出現是完成此市場拼圖的最後一塊，使整個市場架構趨於完整。三、Web 3.0在金融領域的應用傳統定義對比 - Web 1.0：可上網查詢資訊（如Yahoo） - Web 2.0：可發表言論與分享（如Facebook、Line），但資料所有權仍在平台公司手上 - Web 3.0：資料所有權在用戶手上，「隨插隨用」金融業的演進 - 金融1.0：客戶與銀行一對一往來 - 金融2.0：Open Banking概念，但仍是中心化保管 - 金融3.0：資產保管在用戶自己的冷錢包，隨插隨用於不同金融機構四、穩定幣的法律性質與運作機制核心概念穩定幣類似港幣，是最標準的穩定幣範例。講者特別強調僅相信法幣儲備型穩定幣，對演算法穩定幣持保留態度。主要穩定幣種類 1. USDC（USD Coin） - 發行公司Circle已上市 - 90%以上資產公開透明 - 由知名公司擔任託管（custodian） - 背後的安全技術由台灣SB公司提供 2. USDT（Tether） - 源自台灣，由台灣某外籍女婿收購經營 - 後遷至瑞士 - 百分之百儲備資產營運模式穩定幣發行機構收取資金後購買美國公債，以公債利息維持機構運作。依據美國GENIUS法案規定，穩定幣發行機構本身不得直接發放利息給持有人，利息來源應為： - 借貸雙方的利差 - 財富管理服務 - 其他金融中介服務五、實務應用場景 1. 跨境支付與結算 - 未來消費時可選擇美元、台幣或穩定幣結算 - 信用卡可扣除交易所帳戶中的穩定幣，而非銀行存款 - 台灣進出口貿易企業未來使用穩定幣結算的機率非常大 2. 降低交易成本穩定幣可避免： - 鈔票成本 - 結算成本 - 匯兌成本 3. 國際貿易優勢台灣本地公司BSO投資的下一輪有Tether參與，台灣企業未來可能使用USDT（Tether的穩定幣）作為貿易結算貨幣。六、台灣市場現況與挑戰法規發展 1. 台灣央行已鬆口，但尚未積極推動 2. 金管會負責部門處長已離職，後續態度未明 3. 台灣電子支付草案對外商較為排外，導致國際支付機構較少進入台灣市場台灣特色 - 太子集團（誠摯）的營運中心實際在台灣，在台灣豪宅「和平大苑」登記9家公司 - 富邦曾嘗試成立交易所（幣託），但未取得完整交易所登記牌照產業發展方向講者認為台灣穩定幣發展將呈現雙軌制： - 官方版本：類似「台灣Pay」，由央行主導，8家銀行聯盟參與 - 民間版本：類似「Line Pay」，由民間企業推動（暗示其創投投資的項目）七、比特幣投資價值分析投資邏輯當持有某種貨幣時，自然會想投資該貨幣對應的資產。持有穩定幣者，首選投資標的即為比特幣，因為： - 比特幣總量固定為2,100萬顆 - 供給有限，需求增加將推升價格 - 類似黃金的稀缺性價值黃金與比特幣的類比 - 黃金供給量有限，本身工業價值有限，但作為投資保值工具 - 黃金是投資品，鑽石是消費品（鑽石購買後立即折價70%） - 比特幣雖存在於虛擬世界，但具有類似黃金的稀缺性與保值特性市場規模 - 虛擬貨幣市場總值達3.6兆台幣，但仍遠低於黃金市場 - 比特幣市值2.15兆，超過整體市場一半以上八、金融機構參與態勢國際動向 1. Visa已與台灣主要交易所洽談合作，未來全球布局 2. PayPal推出自有穩定幣，但也開放使用其他穩定幣 3. Stripe已支援USDC 台日韓比較 - 日本、韓國已成立銀行聯盟推動穩定幣 - 台灣採top-down模式，預期央行主導後將有8家銀行跟進九、法律實務建議 1. 資產保管建議建議投資人將虛擬貨幣帳戶開設在台灣交易所，理由： - 台灣財產登記完整，財政部可查詢 - 避免繼承爭議（投資人過世後，家屬無法取得海外交易所帳戶） - 相較於海外交易所（如Robinhood），台灣交易所受本地法規監管 2. 密鑰管理 - 助記詞與密鑰的保管至關重要 - 建議存放於保險箱等安全處所 - 講者個人經驗：早期以400美元購買的比特幣因遺失密鑰而無法取回 3. 投資心態比特幣應視為長期投資，如同「歐陽妮妮的200塊」，放在錢包中即使忘記也無妨，但務必妥善保管密碼。十、未來展望與風險提示短期應用（2-3年內） 1. Line Pay已進入此領域 2. 電商、跨境支付將率先採用 3. Visa與交易所合作，使交易所存款可直接刷卡消費中長期發展 1. RWA（Real World Asset）代幣化：房地產、黃金等實體資產代幣化 2. 新台幣數位化：本地穩定幣可能取代部分現金功能 3. 新台幣紙鈔改版：避免成為洗錢工具風險警示穩定幣不會讓投資人賺大錢，USDC、USDT基本上跟美元匯率相同，最多提供較高利率（銀行存美元約4%，穩定幣約6-7%）。警示案例：幣安給予USDA 12%紅利，導致該穩定幣脫鉤，顯示過高利率隱含風險。十一、結論從法律實務觀點，虛擬貨幣與穩定幣市場已進入實質應用階段。台灣律師應關注： 1. 虛擬資產繼承與遺產規劃 2. 交易所監管合規 3. 穩定幣發行與流通的法律架構 4. 跨境支付的法律適用 5. 投資人保護機制市場規模預測：虛擬貨幣市場年成長率約30%，隨著美國GENIUS法案等法規完善，成長可能更快。附註：講者一再強調「以上我都沒有講」，顯示此類投資建議在法律上的敏感性，律師在提供相關諮詢時應注意投資建議與法律意見的界限區分。 –––––––– （二）林紘宇 (恆業法律事務所科技金融部主任/比特幣及虛擬資產發展協會名譽理事長) 重點摘要：台灣虛擬資產紛爭解決機制研究報告摘要一、台灣虛擬資產監管現況 1. 法規架構 - 已透過洗錢防制法建立登記制度 - 虛擬資產服務業者須向金管會登記，違者處兩年以下刑責 - 成立「中華民國虛擬通貨商業同業公會」（台灣10年來首個新金融同業公會） - 虛擬資產服務專法草案現正送行政院審議 2. 唯一紛爭解決機制 - 目前僅有同業公會的「客戶申訴機制」 - 該機制效力及保障充足性存疑二、台灣虛擬資產訴訟現況分析量化數據（2016-2024） - 案件量自2020年起呈指數型成長 - 2022-2023年後每年成長率超過兩倍 - 總計超過4,000件民事訴訟案件 - 多數案件訴訟標的超過簡易訴訟範圍，審理期間1-1.5年起跳五大紛爭類型 1. 損害賠償（最大宗） - 投資詐騙、吸金、洗錢案件 - 代表案例：王牌交易所詐騙案（台灣史上最大規模） 2. 返還不當得利 - 交易無效、撤銷後的返還請求 - 2023年起空氣幣傳銷案件激增 3. 返還借款 - 投資委託、共同投資糾紛 - 2020-2024年DeFi市場興起後大幅增加 4. 履約糾紛 - 投資代操、收益協定爭議 5. 追償電費 - 台電對挖礦業者的民事追償三、重要指標案例分析 1. 幣寶交易所倒閉案（2019）法律爭點： - 裁判管轄權與準據法認定 - 當事人適格（台灣分公司 vs 日本母公司） - 跨境民刑事程序競合 2. Staker吸金案（2020-2024）關鍵判決： - 民事法院率先認定構成銀行法第29條違法吸金 - 突破公司有限責任，判決負責人負連帶責任 - 已有大量假扣押及民事求償進行中啟示：穩定幣收受服務在法規不明確前成為犧牲品 3. 空氣幣傳銷案舉證困難： - 如何證明加密貨幣「自始無價值」 - 如何證明傳銷團隊「施用詐術」 4. 未進入訴訟的重要案例 - Cobinhood交易所：內部經營權糾紛，用戶損失慘重但未進訴訟 - 嘟嘟房NFT案：賦能取消爭議，涉及定型化契約問題四、現行法律適用困境 1. 法律保護不足 - 公平交易法、消保法、金消法皆不適用 - 過去10年持續如此，消費者/投資人保護嚴重不足 2. 專業門檻高 - 需要裁判者同時具備法律與技術專業 - 產業快速變化，需與時俱進 3. 2022年轉捩點 - FTX破產（全球第二大交易所） - 連環效應：台灣用戶→Staker→FTX，損失慘重 - 促使監管當局重視並推動配套措施五、國際仲裁機制發展（一）英國（最具創新性） 1. 實體法層面 - 英國議會法律委員會研擬數位資產財產法定性修正案 2. 三大紛爭解決組織英國司法管轄特別工作組（2021） - 發布數位爭議解決規則 - 創新：鏈上執行機制（透過智能合約直接執行，無需第三方） - 極速裁決制度 - 要求仲裁人具技術專業倫敦仲裁院（LCIA） - 2023年報告顯示虛擬資產案件大幅增加 - 可指定具專業背景的仲裁員 - 線上仲裁加速程序倫敦國際仲裁調解商會（LCAM, 2025） - 全球首創「區塊鏈加速仲裁規則」 - 六大特色： 1. 專屬虛擬資產/數位資產 2. 針對駭客、平台、NFT、DeFi爭議 3. 加速處理程序 4. 專業仲裁人與技術專家 5. 尊重當事人合意 6. 書面審理與電子送達（二）新加坡國際仲裁中心（SIAC） - 2025年修訂規則，強化電子商務與虛擬資產適用性 - 精簡、加速程序，強化緊急仲裁員制度 - 案例：穩定幣跨境爭議（新加坡發幣商 vs 香港供應商），香港法院尊重仲裁條款，停止訴訟（三）香港國際仲裁中心（HKIAC）突出表現： - 虛擬資產紛爭已進入案件類型前十名 - 比例遠高於其他仲裁機構 - 案件多為涉外案件（因中國內地禁止虛擬資產交易）成功關鍵：司法支持 - 仲裁程序保全與裁決執行可在中國內地法院協助 - 幣安、OKX等大型交易所願意約定香港仲裁 - 2022年制定電子交易仲裁規則（四）MiCA 對虛擬資產申訴機制的規定，主要體現為「雙重保障」： 1. 內部強制 (CASP)：強制 CASPs 必須設立一個有效、免費且透明的「內部客訴管道」。 2. 外部救濟 (ADR/NCA)：如果內部申訴失敗，客戶有權尋求「外部救濟」，這包括： • 向各成員國現有的「法庭外爭議解決 (ADR)」機構（如金融申訴專員）尋求調解。 • 向該國的「金融主管機關 (NCA)」檢舉 CASP 的違規行為。六、律師建議與結論從本研究可以看出： 1. 台灣急需建立專業ADR機制 - 案件量快速成長，法院負荷沉重 - 現行訴訟程序成本高、時間長 - 客戶申訴機制效力不足 2. 仲裁制度的關鍵成功因素 - 司法與仲裁的協作橋樑 - 專業仲裁人培養 - 程序保全與裁決執行的配套 3. 可參考的國際經驗 - 英國的創新機制（鏈上執行） - 新加坡的程序效率 - 香港的司法支持模式 4. 迫切性 - 消費者/投資人保護嚴重不足 - 產業發展與法律保護失衡 - 需要兼顧個案正義與產業發展建議立法者與主管機關應儘速研議建立專業、高效的虛擬資產紛爭解決機制，以保障權益並促進產業健全發展。 –––––––– 二、綜合討論主持人及與談人林繼恆 (恆業法律事務所主持律師) 吳永乾(中華民國仲裁協會理事長) 柯之琛 (Wallace Ko、摩根士丹利台灣區董事長兼執行長) 胡浩叡 (Baker & McKenzie 執行合夥律師) 沈冠伶 (台灣大學法律學院特聘教授) 林盟翔(銘傳大學金融科技學院副教授兼主任) 林紘宇 (比特幣及虛擬資產發展協會名譽理事長) ————— 沈冠伶老師（與談稿）重點摘要：一、虛擬資產爭議的特殊性沈教授指出虛擬資產交易與傳統交易最大的差別在於: 1. 交易在網路上進行,看不到摸不到 2. 具有跨國性 - 台灣消費者容易在美國等境外平台交易 3. 去中心化趨勢 - 當事人常為匿名,僅有號碼識別二、仲裁機制的優勢與挑戰優勢: - 程序快速且彈性 - 當事人可自行選擇仲裁地、準據法、語言及仲裁人 - 不公開性保護交易隱私挑戰: - 當事人匿名問題 - 無法確認對方身分 - 送達方式 - 需改採電子送達 - 跨境執行困難 - 需他國承認我國仲裁判斷三、消費者保護的法律爭議沈教授特別強調兩個重要案例: 1. Versus案(紐約法院) - 平台原本無仲裁條款,2019年新增 - 但消費者先前已概括同意「未來任何變更」 - 紐約法院認定:此種概括同意不合法,2019年仲裁條款不具拘束力 2. 英國PAD案 - 消費者與美國平台在知名仲裁機構JAMS進行仲裁 - 仲裁判斷欲回英國執行 - 英國法院拒絕承認 - 認為違反英國消費者保護法關鍵問題:「點選同意」(click-through)的仲裁條款效力存疑,特別是歐盟採嚴格態度,要求具體爭議發生後消費者才能真正評估風險後同意。四、三種數位資產仲裁模式沈教授將未來發展方向分為三類: 第一類:完全自動化(Code-First) - 完全數位化,由智能合約自動執行 - 在鏈上發生、在鏈上解決、在鏈上執行 - 優點:無需外部機構介入,不涉及承認執行問題 - 缺點:程序保障相對較弱第二類:平台化仲裁 - 結合傳統機制,建立專門平台 - 線上申請、文件交換、視訊開庭 - 可運用AI輔助判斷、自動語音轉譯 - 需要投資與政府資助第三類:強化現有仲裁機構(最可行) 畢竟仲裁法規定與承認的仲裁，才是真正司法機關的「仲裁」，講求與強調司法程序正當性與民主性。 - 在傳統仲裁架構下調整 - 參考新加坡、香港、ICC等新規則 - 加速審理、視訊進行、數位證據、緊急保全 - 建議發展順序:3→2→1 五、對我國仲裁發展的建議 1. 程序設計須考量國際承認 - 避免仲裁判斷在外國被拒絕執行 2. 仲裁人專業要求 - 需具備智能合約、區塊鏈技術知識,必要時輔以專家證人 3. 數位證據規則 - 建立虛擬資產相關證據認定標準 4. 仲裁協議有效性 - 特別注意B2C交易中消費者同意的真實性六、結語回顧過去金融評議中心的成功經驗,期許虛擬資產爭議解決機制能朝向專業化、類型化方向發展。特別是在B2C交易中,如何確保消費者「真正理解並同意」仲裁條款,將是未來立法或規則制定時必須審慎處理的核心問題。 ————— 林盟翔老師（與談稿）重點摘要：一、核心觀點:訴訟外紛爭解決機制的定位林副教授從消費者保護觀點出發,強調訴訟外紛爭解決機制(ADR)本質上是一種「工具」,用以調和政策立法(樹根)與實際應用(樹冠)之間的關係。這個定位非常關鍵,意味著ADR制度的建立不必然要等待完整立法,可以先行透過機構式運作。二、仲裁人資格的務實見解關於仲裁人是否必須具備區塊鏈專業知識,林副教授提出務實看法: - 不必然要求具備區塊鏈專業,正如律師不必親身經歷所有案件類型 - 雙軌並行建議: 1. 盤點現有專業律師人才庫供當事人選擇 2. 與自律組織及相關機構合作,由專家證人協助解決技術問題三、日本經驗的實證分析林副教授補充了研究報告較欠缺的日本制度,提供具體數據: 爭議案件成長趨勢: - 2024年比前期增加1,304件爭議 - 主要爭議類型:個別交易契約不公正(65.7%)、諮詢問題(17.9%) - 2025年第一季又增加52件,年平均超過300件 - 虛擬資產爭議約占整體金融爭議案件的十分之一日本ADR制度特色: - 日本暗號資產取引業協會與東京三個律師公會直接合作 - 官網直接提供紛爭解決機制介紹與雙向連結 - 費用透明化,消費者可清楚了解處理流程四、啟動仲裁的三種途徑林副教授整理日本制度的仲裁啟動條件: 1. 消費者對業者說明不滿意,協商不成立 2. 雙方事前有仲裁約定 3. 自律公會處理超過3個月未完成(類似申訴前置主義) 五、立即可行的實務建議短期作法(無需立法): - 建議仲裁協會下個月即可組團赴日本考察 - 直接與日本東京律師公會及相關協會開啟合作 - 透過跨國線上仲裁合作提升司法互信 - 善用民間力量先行,無需等待法規完備理由:在法規尚未完備階段,反而是「大展拳腳的機會」,可靈活運用公平合理原則(FOS原則)調和當事人權益。六、立法層面的建議參考2018年虛擬通貨交易自律公約: - 當時已將仲裁及爭議解決程序納入自律公約 - 建議參考證券交易法,納入約定仲裁與強制仲裁條款 - 待行政院版本送立法院時,由仲裁協會或律師公會提出相關條文修正評議中心適用的重要提醒: - 虛擬資產消費者不見得都是非專業投資人 - 若全部案件無分流機制直接進入評議中心,將造成系統癱瘓 - 必須建立收費機制與分流機制 - 仲裁可作為評議前的先行程序七、名詞定義的專業建議林副教授特別強調反對使用「虛擬資產」(Virtual Assets)一詞: - 應採用「虛擬通貨」(Virtual Currency)或加州法規的「Financial Currency」 - 「虛擬資產」是從洗錢防制角度出發,範圍過於廣泛 - 建議突顯金融屬性,避免被傳統資產定義完全涵蓋八、預防重於解決的理念引用愛因斯坦名言作結:「智者解決問題,天才預防問題」 - 司法是解決問題 - 仲裁則可更有效預防問題 - 應透過金融教育、消費者權益教育,從源頭減少爭議 —————— 最後是個人觀察(陳建佑律師視角)— 林副教授的發言展現務實的法律人思維，特別值得注意的是： 1. 不等待立法的行動主義：強調民間先行的重要性 2. 國際合作的可行性：日本經驗可立即借鏡 3. 系統性思考：關注金融消費者保護評議中心承載量，提出分流機制 4. 消費者保護優先：以消基會董事身分，強調儘速建立制度保護消費者我認為這場與談研討會，包括演講人的研究報告、與會專家學者的見解與看法，都已為虛擬資產爭議解決機制提供了清晰的實務路徑圖。我也認同沈教授說的意思，不管是黑貓白貓（三種模式的哪一種），只要能解決問題的就是好貓好方法！我猜測楊岳平老師也會採相同態度與觀點吧！或許可考慮將仲裁條款嵌入智能合約代碼，預先指定仲裁機構、規則和程序。去中心化仲裁平台如Kleros和Aragon Court利用區塊鏈技術和經濟激勵機制促進爭議解決。裁決可通過智能合約在鏈上自動執行，提供即時性和確定性。進而發展出一種混合模式，即鏈下仲裁與鏈上技術結合，通過預言機連接智能合約與傳統爭議解決機制。結合鏈上元素與鏈下法律承認和執行機制，適用於複雜法律問題。而其中《紐約公約》仍是跨境執行仲裁裁決的關鍵國際法律文書。國際仲裁機構（如 JAMS）開始制定針對智能合約的特定仲裁規則。一些國家（如波蘭）或地區也出現了專門處理區塊鏈爭議的仲裁機構或平台。墨西哥法院與阿根廷法院承認基於區塊鏈爭議解決協議（Kleros）作出的裁決，也顯示了 ADR 與區塊鏈結合的潛力。傳統法院在處理智能合約糾紛時面臨技術理解、管轄權、執行力等多重困境，解決方案可能越來越傾向於在區塊鏈生態系統內部尋求。這催生了「鏈上治理 (On-chain Governance)」和「鏈上爭議解決 (Blockchain-based Dispute Resolution, BDR)」機制的發展。這些機制可能利用智能合約自動執行裁決，或由去中心化的仲裁庭根據協議規則和鏈上數據做出判斷。這種趨勢預示著未來智能合約糾紛的解決可能部分脫離傳統法院體系，轉而在區塊鏈內部完成。這對律師的角色提出了新的要求：除了傳統的法律分析能力外，律師還需要具備相當的技術素養，能夠讀懂智能合約程式碼、理解協議運作邏輯，甚至可能需要直接參與到鏈上的治理投票或爭議解決流程中。這不僅是知識結構的更新，更是執業方式的潛在變革。
Steaker穩定幣投資款返還民事判決簡評
建佑律師podcast節目封面 💡這份臺灣臺北地方法院 112 年度金字第 50 號的民事判決書（詳細請點閱 https://judgment.judicial.gov.tw/FJUD/data.aspx?ty=JD&id=TPDV,112%2c%e9%87%91%2c50%2c20250829%2c2 ），處理一宗請求返還投資款項的案件。判決書詳細記錄原告周冠廷等63名投資者，向被告塞席爾商思帝科科技有限公司台灣分公司及其法定代理人黃偉軒（Wilson），追討其投入Steaker數位資產管理平台的虛擬貨幣（本案涉及的是一些穩定幣）。 💡案件爭議點聚焦於被告是否違反銀行法非法吸金、未盡善良管理人注意義務，以及FTX交易所破產事件是否構成不可抗力。最終，法院裁定被告違反保護他人之法律構成侵權，需連帶賠償原告實際投入的虛擬貨幣數量，但駁回原告關於利息的請求。判決書中也列出原告聲明請求返還的幣種與數量，以及法院認定被告應返還的實際幣種與數量。 💡這份民事判決對虛擬貨幣投資的法律規範和責任認定產生深遠的影響，主要體現在以下幾個方面： 1. 虛擬貨幣活動納入《銀行法》規範範圍： ◦ 判決明確指出，涉及虛擬遊戲代幣、虛擬貨幣等間接資金流動模式，亦足當作《銀行法》所稱之「收受款項」或「吸收資金」。這突破傳統上對「款項」或「資金」僅限於法定貨幣的理解，將虛擬資產交易活動納入銀行法的規範範疇。 ◦ 法院認定，被告思帝科公司提供「保證獲利」或「保本」的投資方案（例如年化報酬率8%、9.5%、9%，或最大虧損僅為本金1%的浮動利率方案），會吸引不特定投資人交付資金，已構成《銀行法》所定義的「收受存款」或「吸收資金」行為，且約定或給付「與本金顯不相當之紅利、利息或其他報酬」。 2. 確立非法吸金的侵權責任： ◦ 法院認定《銀行法》第29條及第29條之1規定是「保護他人之法律」。被告思帝科公司未經許可經營收受存款業務，違反這些保護他人之法律，因此應依《民法》第184條第2項規定對原告負賠償責任。 ◦ 此判決明確虛擬貨幣投資平台若以保證獲利或保本方式吸引資金，即使契約中含有風險揭露條款，也無法免除其違反《銀行法》的責任。法院認為，契約中對虛擬資產價值浮動的說明，與被告承諾固定比例報酬或保證虧損比例的非法吸金行為無關。 ◦ 被告抗辯FTX事件是「市場不可抗力因素」不應負債務不履行責任，以及已盡善良管理人注意義務，均未被法院採納。法院認為其行為本身已構成違反保護他人之法律的侵權行為。 3. 公司負責人的連帶賠償責任： ◦ 判決依據《公司法》第23條第2項規定，認定被告黃偉軒作為思帝科公司的登記負責人，因執行公司職務違反《銀行法》這類保護他人之法律，對原告構成侵權行為，因此應與思帝科公司負連帶賠償責任。這強調公司負責人在公司違法吸金行為中的個人責任。 4. 損害賠償的範圍與性質： ◦ 法院判決被告應連帶給付原告附表二所示幣種及數量的「虛擬貨幣」。這意味著法院將虛擬貨幣本身視為應予返還的標的，而非僅限於其等值的法定貨幣，體現對虛擬貨幣作為資產的認定。 ◦ 關於利息請求，判決明確指出，由於被告應返還原告的是USDT、USDC、BUSD等虛擬貨幣，無法按週年利率計算其利息，因此原告的利息請求不應准許。這為虛擬貨幣損害賠償中的利息問題提供了指引。 ◦ 判決同時適用《民法》第216條之1「損益相抵原則」，指出原告選擇投資方案所獲取的報酬，並非其損害發生前原本應有之狀態，於請求賠償時應扣除該所受利益。 💡總體而言，這份判決對於虛擬貨幣投資領域具有開創性意義： • 擴大現有金融法規（如《銀行法》）對虛擬資產活動的適用範圍，特別是涉及保證收益或保本的方案。 • 強化對非法吸金行為的打擊和投資者保護，明確虛擬資產平台及其負責人在違法情況下的侵權賠償責任。 • 界定虛擬貨幣作為損害賠償標的的形式，同時也澄清其利息計算的限制。 💡這對未來台灣虛擬資產平台的運營模式、風險揭露以及法律合規性，都將產生重要的指導作用（Leading Case）。 ⚖️補充： 1️⃣其中關於利息請求，我認為這就涉及「虛擬貨幣」的定性或性質，我長期也認為這是非常重要的基礎問題，必須釐清。不然可能就會像這個判決，沒有明確理由或交代，為何「返還虛擬資產之債務」不適用民法第203條「應付利息之債務」。 2️⃣如果將虛擬貨幣定型為民法的「物」或商品，而不是資金或間接的金錢，那當然不會產生民法第203條而有法定年利率5%的問題。但如此一來，是否有所矛盾，因為既然不是間接資金或資金款項，那怎麼會有銀行法第29條吸金的問題？ 3️⃣在民法上，「物」的概念涵蓋金錢（法定貨幣）。具體的鈔票、硬幣屬於有體物，完全落入「物」的範疇。但在法律效果上，金錢同時兼具「物」與「支付手段」的雙重性，並在金錢債務關係中主要作為可替代的給付標的，而不以個別性為重。 4️⃣如今因為合規化、法令到位、企業信任、市場成熟，甚至會計實務也接納與歸類為現金，已發展成與比特幣一樣，與現實世界產生支付的連結，因而被認為是交易媒介、支付工具、有存儲價值，變成通常定義的金錢，所以變成錨定於法定貨幣等值發行的穩定幣 5️⃣這判決見解既然要突破傳統上對「款項」或「資金」僅限於法定貨幣的理解，將虛擬資產交易活動納入銀行法的規範範疇，且將虛擬貨幣本身視為應予返還的標的，而非僅限於其等值的法定貨幣，體現對虛擬貨幣作為資產的認定。那麼關於利息請求，被告應返還原告的是USDT、USDC、BUSD等穩定幣，則應按週年利率計算其利息，因此原告的利息請求應予准許。所以最好是認為虛擬貨幣是物或商品、是間接資金，也是應付利息的標的，而有法定年利率5%的適用。
社群平台資料主權的法制探索：從猶他州到歐盟，再看台灣的可能修法路徑
隨著社群平台逐漸成為現代人網路生活的核心，使用者所產生的個人資料與互動紀錄也被大量集中、壟斷於少數平台之中。用戶是否有權「下載」自己的資料？能否「帶著」資料轉往其他平台？這些問題，正逐漸從技術議題上升為全球立法討論的焦點。本文將聚焦分析美國猶他州近期通過的《數位選擇法案》（Utah Digital Choice Act）、歐盟的 GDPR、DMA、Data Act、DGA 等資料主權相關法規，並討論台灣現行個資法是否足以回應此類需求，或有必要進一步修法或制定專法。一、猶他州《數位選擇法案》：地方立法的新典範 2025年3月通過的《Utah Digital Choice Act》（HB 418）堪稱全球首部針對「社群平台資料主權」明確立法的地方性法案，核心內容包含： ✅ 資料可攜權（Data Portability）：使用者有權要求取得其在社群平台上的社交圖譜、互動紀錄，並以可讀格式轉移至其他平台。 ✅ 資料互操作權（Interoperability）：大型平台必須提供第三方可接入的 API，允許其他平台或應用程式存取使用者資料。 ✅ 刪除權：用戶可請求刪除其在平台上的個資與互動紀錄。此法案的立法精神明確，旨在打破社群平台對資料的壟斷，還給使用者真正的資料主權與選擇權。二、歐盟資料主權法規的多層佈局歐盟作為數位治理的全球領頭羊，早在猶他法案之前，即已建立多層次、交織互補的資料主權法制，包括： 1. 《GDPR》：資料保護的基本法明定資料可攜權（第20條）、刪除權（第17條）、查詢權與知情義務；保障個人對其資料的控制權，是全球資料保護的基礎法規。 2. 《DMA》（Digital Markets Act）：針對超大型平台的互通與反壟斷規範要求被指定為「守門人」的平台開放 API；強制 Messenger/WhatsApp 等通訊軟體跨平台互通。 3. 《Data Act》：聚焦非個資的產業互操作與雲端解鎖 IoT 裝置資料應可攜、可授權他人使用；雲端平台不得設置過高資料遷移障礙；強化企業與政府間資料共享規則。 4. 《Data Governance Act》（DGA）：資料共享制度建構設立資料中介機構制度；鼓勵公益性資料共享（如科研、公益 AI）；保障使用者對資料共享的信任與透明。 ✅ 從使用者資料權利，到平台義務與跨產業資料流通，歐盟形成「GDPR＋DMA＋Data Act＋DGA」的四層資料治理架構，涵蓋個資、非個資、商業資料與公共資料。三、台灣現行制度與修法契機台灣目前的資料保護制度以《個人資料保護法》為主，但相較於上述國際立法，仍存在顯著落差：四、數位發展部草案：資料創新 vs. 資料主權？數位發展部於2025年提出的《促進資料創新利用發展條例》草案，主要著眼於：政府資料開放； AI 訓練語料推動；資料長制度與資料治理標準。雖對資料再利用有正向意義，但在使用者資料主權、平台義務、互操作性等面向著墨甚少，與猶他法案或歐盟法規的結構性平台規範尚有差距。五、建議立法策略：從個資法修法起步，逐步建構資料主權架構建議台灣採「雙軌併行」策略： ✅ 短期內：在《個資法》中增設「資料可攜」、「互操作性」與「刪除權」等條文，並賦予個人更強的控制權。 ✅ 中長期：參考 Data Act、DMA，制定專門針對平台治理與資料流通的《數位資料主權法》，強化平台義務、標準 API 規範、中介機構制度。六、結語：從平台壟斷到資料民主無論是猶他州地方立法的破口，或歐盟全面系統的資料治理體系，都傳達一個共同訊息：「資料主權是數位民主的核心，用戶不應只是資料的提供者，更應是資料的掌控者。」台灣若要真正邁入數位治理先進國家之列，勢必須將資料主權、互操作性與平台責任納入法制藍圖，從「資料驅動的經濟」，邁向「權利驅動的數位社會」。如需進一步了解條文比較、修法建議草案，歡迎聯絡陳建佑律師或留言交流。
Worldcoin：全球法律爭議與隱私強化技術的應用與挑戰
由 OpenAI 執行長 Sam Altman 共同創立的 Worldcoin 專案，核心目標是建立一套全球通用的數位身份系統 World ID，用於區分真人與 AI，並提供 Worldcoin 代幣 (WLD) 作為身份驗證的獎勵。此計畫透過生物識別裝置 Orb 掃描使用者虹膜來生成獨特的虹膜程式碼 (Iris Code)，作為 World ID 的基礎。近期 Worldcoin 在全球多地擴展，包括美國六個城市及台灣，但在推行過程中，其收集敏感生物特徵資料的做法在全球引發顯著的法律爭議與隱私擔憂。一、World Network計畫與其法律爭點 World Network利用名為「Orb」的虹膜掃描裝置，以建立去中心化數位身份系統，透過提供生物辨識資料，用戶可獲取加密貨幣（WLD）。此模式雖具創新性與前瞻性，卻衍生出以下主要法律爭議：（一）知情同意與自願性原則的疑慮 1.爭議點：用戶為取得經濟報酬（加密貨幣）提供生物特徵資料，可能影響同意的「自由性」與「明確性」。 2.涉及法規： GDPR第4條第11款「同意」定義。台灣《個人資料保護法》第7條、第19條知情同意原則。（二）敏感個資的處理與保護措施 1.爭議點：虹膜掃描屬敏感個資，易引起數據外洩或濫用的風險。 2.涉及法規： GDPR第9條針對「生物辨識資料」的處理限制。台灣《個資法》第6條之敏感資料保護規定。（三）資料跨境傳輸合規性 1.爭議點： World Network為全球性平台，涉及跨境資料流動，可能產生資料傳輸至法規保護不充分的國家之疑慮。 2.涉及法規： GDPR第44~50條關於跨境傳輸規範。台灣《個資法》第21條關於國際傳輸規範。（四）資料去識別化與可追蹤性 1.爭議點：雖強調去中心化，但用戶資料是否真正匿名化，存有疑慮。 2.涉及法規： GDPR之「去識別化」（Pseudonymization）要求。台灣《個資法》第3條、第6條相關規定。二、Worldcoin 引發全球法律爭議與挑戰 Worldcoin 的運作模式在全球多國面臨嚴格審視，包括肯亞、巴西、印尼、德國、法國、西班牙、葡萄牙、韓國及香港等地的監管機構已對其展開調查、暫停或禁止其營運。主要的法律爭議點與現行資料保護法規的核心原則緊密相關： 1.個人資料保護與數據安全：虹膜被視為高度敏感的生物特徵資料，其處理受到嚴格規範。歐盟的 GDPR 強調必須對生物識別資料的收集、儲存和處理提供安全保障。德國巴伐利亞資料監管機構 (BayLDA) 曾要求 Worldcoin 確保其數據處理符合 GDPR 標準。香港個人資料私隱專員公署 (PCPD) 裁定 Worldcoin 在香港收集面容及虹膜影像，對核證人類身份而言「並非必需，而且超乎適度」，違反了香港《個人資料（私隱）條例》的保障資料第 1(1) 原則。他們認為在有其他侵犯私隱程度較低的方式下，收集這些敏感資料是不符合比例原則的。德國的監管機構也指出，Worldcoin 的生物識別裝置可能被用於永久性的全球監控，超出其聲稱的身份驗證目的。 2.知情同意原則：資料保護法規要求明確、自願和知情的同意。以加密貨幣獎勵誘使用戶提供虹膜資料的做法，被質疑可能影響用戶的知情同意權，特別是在經濟欠發達地區，用戶可能為了獲取獎勵而忽略風險。香港 PCPD 的調查發現，Worldcoin 相關的同意文件（如《私隱聲明》和《生物辨識資料同意書》）缺乏中文版本。營運點職員未充分解說文件內容、確認參與者理解或告知披露生物特徵資料的風險。這導致參與者未能作出知情的選擇或給予真實確切的同意，違反了香港《個人資料（私隱）條例》的保障資料第 1(2) 原則（公平收集）和保障資料第 1(3) 原則（告知義務）。韓國當局也指出 Worldcoin 未充分告知用戶資料收集及使用目的、保存期限以及將資料轉移至德國等海外的事項，這違反了韓國個人資料保護法關於敏感資訊處理和海外轉移的義務。因此，監管機構要求 Worldcoin 必須針對敏感資訊處理設立單獨的同意程序。 3.透明度與問責制：法規要求資料處理活動應具備透明度。香港 PCPD 發現 Worldcoin 在港的《私隱聲明》在當時缺乏中文版本，使得以中文為母語的參與者無法清楚理解相關政策及行事常規，違反了香港《個人資料（私隱）條例》的保障資料第 5 原則（透明度）。韓國當局也發現 Worldcoin 未告知用戶資料將移轉海外。 4.數據保留與刪除權：法規通常要求個人資料的保留時間不應超過達成收集目的所需的時間，並賦予資料當事人查閱和更正的權利。香港 PCPD 認為 Worldcoin 為訓練 AI 模型而將面容及虹膜影像等高度敏感資料保留長達 10 年，是「過度保留個人資料」，違反香港《個人資料（私隱）條例》的保障資料第 2(2) 原則（保留期限）。同時，香港 PCPD 和韓國當局都指出 Worldcoin 在提供用戶查閱和改正個人資料的權利方面存在不足，甚至同意書中表明 Worldcoin 沒有辦法讓用戶報告可能的註冊錯誤。德國 BayLDA 也要求 Worldcoin 必須啟用符合 GDPR 的數據刪除程序，並刪除未依法收集的數據。韓國個人資訊保護委員會也要求 Worldcoin 基金會提供個資刪除功能。 5.中心化風險： Worldcoin 的 Orb 硬體由 Worldcoin 基金會運營，缺乏完全去中心化，這可能讓基金會「有能力在系統中插入後門，建立任意多個虛假的人類身份」。智能合約中也存在中心化帳戶 (_owner)，一旦私鑰被竊取，可能對整個專案帶來巨大的經濟損失。儘管這些中心化風險不直接對應特定法條，但它關乎整體數據安全和系統的抗濫用性，是監管機構和社群關注的焦點。 6.未成年保護：韓國個人資訊保護委員會發現 Worldcoin 的受託人 TFH 並未導入年齡確認程序，以避免 14 歲以下兒童註冊 World App。許多國家的個資法對未成年人的數據處理有更嚴格的要求。這些案例顯示，Worldcoin 在數據收集的必要性、適度性、公平性、知情同意、透明度、數據保留期限以及用戶對其個人資料的控制權等方面，與各國現行的資料保護法規存在衝突。三、可能的解決之道：隱私強化技術與法規兼容性 Worldcoin 聲稱採用如零知識證明 (ZKPs) 和匿名多方計算 (AMPC/SMPC) 等隱私強化技術 (PETs)，這些技術為解決部分法律爭議提供了潛在途徑。 1.零知識證明 (ZKPs): ZKPs 可以在不透露具體資訊的情況下證明某個陳述為真。在 Worldcoin 中，用戶可以使用 ZKPs 證明自己是獨一無二的真人並擁有 World ID，而無需暴露其原始虹膜數據或 Iris Code。這與 GDPR 和台灣個資法所強調的資料最小化原則高度契合，有助於在使用 World ID 進行驗證時減少敏感資料的暴露。 2.匿名多方計算 (AMPC/SMPC): Worldcoin 提及使用 AMPC 將資料（如 Iris Code）拆分成多份儲存。 SMPC 允許多方共同計算而不洩露各自的私有輸入。理論上，這有助於分散數據處理的風險，降低單點故障或濫用的可能性，這也能支持法規對數據安全保障的要求。四、運用隱私強化技術（PETs）的法規兼容性分析為解決上述爭議，World Network可考量引進隱私強化技術（Privacy-Enhancing Technologies, PETs），如安全多方計算（Secure Multi-party Computation, SMPC）或匿名多方計算（Anonymized Multi-party Computation, AMPC）及零知識證明（Zero-Knowledge Proof, ZKP）等技術。（一）匿名多方計算（AMPC/SMPC） 1.技術特點： SMPC允許多個參與方聯合處理敏感資料，無需直接交換明文資料，即能計算所需結果。 2.法律適用性分析： GDPR適用性：符合「最小化原則」（第5條），減少資料暴露。 MPC可避免明文資料跨境傳輸，降低傳輸合規風險（第44條）。台灣個資法適用性：能避免直接儲存和傳輸敏感資料（第6條），滿足資料安全性原則（第27條）。 3.挑戰與解決之道： MPC的效能損耗需技術優化，需向監管機構證明安全有效性以取得信任。（二）零知識證明（ZKP） 1.技術特點： ZKP允許用戶證明自身擁有特定資料或屬性，而不暴露資料本身。例如，證明自己已經過身份認證，但不洩漏虹膜資訊。 2.法律適用性分析： GDPR適用性： ZKP可完全避免個資傳輸、存儲及再識別風險（第5、32條），充分體現資料保護精神。台灣個資法適用性：可透過證明機制滿足知情同意下的資料處理目的，減少用戶風險（第6、19、27條）。 3.挑戰與解決之道： ZKP之使用需法律上明確認定是否仍涉及「資料處理」，或僅為資訊證明（Proof-of-knowledge）。建議透過主管機關事前協商（例如沙盒監管模式）取得合規確認。四、隱私強化技術在現行法規框架下的兼容性與信任挑戰將 PETs 應用於 Worldcoin 確實能從技術層面提升隱私保護，但要完全解決與現行法規（如歐盟 GDPR 或台灣的個資法原則）的兼容性問題並克服第三方信任挑戰，仍面臨一些問題：（一）法規兼容性並非自動實現：雖然 PETs 技術與法規的某些原則（如資料最小化、數據安全）一致，但技術本身不能取代法規要求的明確法律基礎和程序。例如，GDPR 和台灣個資法要求數據處理必須基於合法基礎（如用戶明確的同意），且必須清晰告知用戶數據的使用方式和權利。德國 BayLDA 的調查就指出，Worldcoin 在 2023 年夏季活動收集的數據「缺乏足夠的法律依據」，這意味著僅僅使用技術保護並不足夠，合法性是首要前提。此外，法規要求提供便捷的資料刪除功能，這需要 Worldcoin 在技術實現上予以支持，並非僅靠技術複雜性來「提升取得個資的難度」。（二）透明度與知情同意的挑戰依然存在：即使技術再先進，法規仍要求向用戶清晰、透明地說明數據處理的細節和潛在風險。香港和韓國的案例顯示 Worldcoin 在告知義務和同意程序上存在嚴重不足（缺乏本地語言文件、未充分解說、未告知風險、未告知海外傳輸）。僅使用 ZKPs 或 SMPC，如果其技術實現細節不夠透明，或向用戶解釋的方式不夠清晰易懂，仍然難以滿足法規對透明度和知情同意的要求。Worldcoin 基金會正在就其匿名化技術是否符合 GDPR 對數據匿名化定義的標準與德國監管機構進行上訴和對話，這也表明技術的合規性需要被獨立驗證和法律釐清。（三）第三方信任挑戰： Worldcoin 提及與「可信任第三方機構」合作處理 AMPC 分散的資料。然而，誰是這些機構，以及如何確保他們不會串謀或洩露數據，這缺乏數位信任的治理流程，且未能充分與在地監管單位及消費者合作。即使技術上可以分散數據，但 Orb 硬體由 Worldcoin 基金會運營，以及可能的中心化治理結構，都使得用戶和監管機構需要額外的信任擔保。雖然 PETs 減少了單點數據暴露，但對整個系統的治理和運營實體的信任仍然是關鍵。綜上所述，Worldcoin 計劃使用 ZKPs 和 SMPC 等隱私強化技術，確實為解決其因 Orb 虹膜掃描引發的法律爭議，特別是在數據最小化和安全處理方面提供技術上的可能性。然而，這些技術必須在符合現有法律框架（如歐盟 GDPR 和台灣個資法所包含的原則）的前提下實施，尤其要滿足明確同意、充分告知、透明度、數據刪除權、數據保留限制、數據合法性以及未成年人保護等法規要求。技術上的先進性不能取代法律上的合規性，Worldcoin 需要在技術實現、治理結構和與監管機構及用戶的溝通方面，都展現更高的透明度和可問責性，才能有效平衡創新與法規上的兩難，並克服全球擴張中的信任挑戰。
Mango Markets 駭客部分定罪遭推翻：司法管轄權與 DeFi 法律灰區的重大啟示
2025年5月，美國紐約南區地方法院法官 Arun Subramanian 推翻對 Mango Markets 駭客 Avraham Eisenberg 的部分欺詐定罪，引發加密貨幣與法律界的廣泛關注。此案不僅涉及去中心化金融（DeFi）平台的漏洞利用，更牽動司法管轄權與詐欺定義的核心法律問題。一、定罪被推翻的關鍵：缺乏司法管轄權法官認為紐約南區地方法院不具審理該案的地域性司法管轄權（territorial jurisdiction），理由如下： • 交易行為非發生於紐約：Eisenberg 的操作行為並非在紐約境內執行。 • 無與紐約居民直接互動：他未與居住在紐約州的人士直接通訊或交易。 • 平台與基礎設施非設於紐約：Mango Markets 為去中心化平台，其基礎區塊鏈 Solana 與紐約州並無實質業務聯繫。這顯示傳統以地理為基礎的司法制度，在面對 DeFi 的跨國與匿名特性時，正面臨前所未有的挑戰。二、DeFi 平台漏洞利用：詐欺還是市場策略？本案另一法律爭點，在於檢方將 Eisenberg 的操作行為界定為電匯詐欺（wire fraud）。然而法院指出： • 平台規則不明確：Mango Markets 並無明文禁止類似操作。 • 缺乏虛假陳述證據：Eisenberg 並未提供虛假資訊誘使他人交易。 • 自動化協議執行：其行為本質上為程式觸發協議內部邏輯。因此，在缺乏明確規範情況下，將協議漏洞利用行為定性為詐欺，缺乏充分法律依據，也加劇對 DeFi 法律地位的模糊性。三、案件對 DeFi 法律適用的啟示這起判決對未來 DeFi 相關法律案件有深遠意義： • 挑戰傳統司法框架：地域性司法權的概念在全球化、無國界的 DeFi 生態系中難以適用。 • 法律定義需更新：現行詐欺法規未明確涵蓋自動化協議漏洞利用行為。 • 監管需創新與精細化：未來需針對智能合約行為界定「合法使用」與「惡意操控」的法律邊界。四、Eisenberg 仍面臨其他法律風險儘管部分刑事定罪被撤銷，Eisenberg 仍牽涉多起法律糾紛： • 涉及兒童性虐待材料案：其因持有非法內容而遭判刑，並與本案無直接關聯。 • SEC 與 CFTC 民事訴訟：他仍面對美國兩大金融監管機構指控，涉及操縱市場與違反證券法。 • 潛在跨國訴訟風險：其他司法管轄區亦可能主張其行為對本國投資人造成損害。五、DeFi 平台未來治理與監管方向未來，監管機構應重新設計法律框架，明確界定協議漏洞利用與詐欺行為的法律分野，並在不抑制創新的前提下，強化投資人保護機制。
「虛擬資產服務法」草案評析：Fintech產業觀點與建言
針對「虛擬資產服務法」草案從Fintech產業立場提出以下法律及區塊鏈產業的意見分析：一、總體評估金管會2025年4月29日公告最新版之草案顯示台灣主管機關已積極回應全球虛擬資產監管趨勢，參考FATF建議、歐盟MiCA規則、日本、韓國及香港等地區法規，制定符合國際標準的虛擬資產監管框架。這是台灣在金融科技創新與監管平衡上的重要里程碑。二、草案優點與進步之處明確定義虛擬資產：第3條清楚界定虛擬資產範圍，並區分NFT的不同處理方式，具有彈性且符合產業實務。創新實驗機制：第4條允許金融科技發展與創新實驗，有助於平衡監管與創新，保留產業發展空間。完整的虛擬資產服務商分類：第6條詳細分類不同類型的虛擬資產服務商，包括交換商、交易平台商、保管商等，精準對應不同業務特性。客戶資產保護機制：第18條要求虛擬資產服務商須將客戶資產與自有財產分別獨立，第19條要求法定貨幣交付信託或取得銀行履約保證，強化客戶資產保護。穩定幣監管：第34-35條建立穩定幣發行許可與監管制度，要求足額準備資產，減少系統性風險。三、法律與相關產業疑慮及建議 1. 定義與適用範圍問題疑慮：第3條第1款對虛擬資產「支付目的」與「投資目的」的界定可能在實務上難以明確劃分。建議：應考慮制定更詳細的判定指引，或參考新加坡採用「數位支付通證」(Digital Payment Token)等更精確的分類法。 2. 跨境監管與協調機制疑慮：第5條雖規定國際合作，但未詳細說明跨境執法與協調機制，可能導致監管真空或重複監管。或許有待相關配套措施或子法去做因應。建議：參考歐盟MiCA護照機制等先進作法，建立明確的跨境監管框架及主權監管權限劃分。 3. 創新彈性與監管負擔疑慮：雖第4條設有創新實驗機制，但整體許可與合規要求仍較嚴格，可能提高市場進入門檻，不利中小型創新企業。建議：考慮導入分層監管或比例原則，針對不同規模、風險的虛擬資產服務商採用不同程度的規範，降低小型創新企業的初始合規成本。 4. DeFi與去中心化服務的監管疑慮：草案主要聚焦於中心化虛擬資產服務商，對於DeFi、去中心化交易所(DEX)等新興商業模式缺乏明確定位。建議：增設對去中心化服務的特定條款，明確何種程度的去中心化可能豁免於某些規範，並為未來發展預留空間。 5. 技術中立原則的堅持疑慮：第6條僅關注特定類型的虛擬資產服務，未來區塊鏈技術發展可能創造新型服務模式。建議：確保規範採「技術中立原則」，避免過度依賴現有技術定義，定期檢視修正法規適應技術演進。 6. 資安規範的強化疑慮：雖第14條第2項涉及資通系統安全，但未詳細規定特定的資安標準與評估機制。就此也有待相關配套措施或子法去做因應。建議：制定專門針對虛擬資產服務商的網路安全與資料保護標準，包括定期第三方安全稽核要求。四、對產業發展的影響評估產業正規化與信任提升：透過正式監管框架，虛擬資產產業將獲得更高社會認可與信任，有助於主流採用。市場整併可能：高合規成本可能導致中小型業者退出或被併購，產業可能趨向集中。機構投資者參與：明確的監管環境將吸引傳統金融機構與機構投資者參與，提升市場深度。金融創新方向轉變：業者將更傾向開發合規性高的創新服務，降低監管灰色地帶的商業模式。五、結論「虛擬資產服務法」草案整體而言是台灣虛擬資產監管的重要進步，提供穩定且可預測的法律環境。然而，在追求監管目標的同時，仍需謹慎平衡創新空間，特別是針對去中心化金融等新興領域的處理。建議主管機關在法規實施前廣泛諮詢產業意見，並保持適度的監管彈性，以避免扼殺金融科技創新潛能。本草案若能適當修正上述疑慮，將有望建立一個既保障投資者權益，又能促進產業創新的良好監管環境，使台灣在全球虛擬資產領域保持競爭力。
網路平台責任與言論自由的兩難
[壹、前言] 原本國際版抖音（TikTok）的禁令在2025年1月19 日、川普就任的前一天即將生效，但TikTok在川普競選總統時發揮十足助選效果，讓川皇甚是滿意，滿意到在公開演說時表示不想封殺它，甚至後來也真的出手延長它在美國的營運。先不論這些政治考量、操作或私心，因為光是相關法律評析或衍生的法律議題就已經夠我們看了，也就是網路平台責任與言論自由的兩難，在2025這一年依舊是沒完沒了。例如Meta改變Facebook、Instagram、Threads內容管理方式，即Meta廢除其身為第三方的平台事實查核機制，改學X（前Twitter）的「社群筆記」功能討好川普，是否違反國際規範或反而有害言論自由呢？（ https://www.blocktempo.com/meta-ending-ffact-checking-program-moving-to-community-notes-model/ ） [貳、美國最高法院的判決—國家安全考量] 美國在2024年4月間通過一個名為「保護美國免受外國敵對勢力控制應用程式法案」（Protecting Americans from Foreign Adversary Controlled Applications Act），即TikTok禁令法案，主要在管制TikTok這類的企業與服務，因其與中國母公司字節跳動（ByteDance）的關係，引發國家安全疑慮，該法案旨在限制TikTok在美國的運作，除非TikTok能切斷與中國的聯繫（包括出售、賣斷給其他美國企業）。由於中國母公司字節跳動已經表示不可能出售TikTok美國業務，故2024年9月間TikTok對禁令向聯邦巡迴法院提起訴訟，主張美國政府在沒有充分證明TikTok對美國國家安全構成可信的威脅下提出禁令，違反《美國憲法第一修正案》限制言論自由。隨後法院駁回TikTok的訴訟。聯邦巡迴法官道格拉斯·金斯伯格（Douglas Ginsburg）在判決上寫道：「第一修正案的存在，是為了保護美國的言論自由。政府採取的行動，只是為了保護這種自由免受外國敵對國家的侵害，並限制該對手收集美國人數據的能力。」。如今美國最高法院再次確認這個結論美國最高法院判決認為，國家安全為理由禁TikTok並不違反憲法上的言論自由，且憲法賦予人的言論自由，並非平台操作自由；更應該考量的是國家安全問題：「易受外國對手控制及該平台收集的大量敏感數據，構成國家安全問題。」，法院認為TikTok與中國的關聯構成國家安全風險，此風險大於限制言論自由的顧慮。此事件突顯美國與中國的地緣政治競爭，及國家安全與言論自由（包括法院裁決對TikTok用戶及其內容創作者的影響）之間的權衡。（ https://apnews.com/article/supreme-court-tiktok-china-security-speech-166f7c794ee587d3385190f893e52777?fbclid=IwZXh0bgNhZW0CMTEAAR2Gz_GqNt0u9i_Mb6KsJ9o7Lkj3amgrenEk96y45FL4V-mPdoqrxswZcoI_aem_7fhO4JgfCTH4cAKWuJohIw#arivqjykrlmqqah3klddlz1bkgq6hf4 ）根據美國最高法院針對TikTok禁令法案的裁決書，其核心爭議在於該法案是否違反美國憲法第一修正案的言論自由權。最高法院多數意見認為，該法案並未直接規範言論內容，而是基於國家安全考量，以TikTok與中國政府的特殊關係為由，採取內容中立的措施，因此適用較寬鬆的審查標準（中間審查）。最高法院認為，政府有權利防止中國收集美國用戶的數據，且該法案的限制措施與此目標相稱，並沒有過度限制言論自由。少數意見法官則認為，該法案明顯對言論自由造成不成比例的負擔，應適用較嚴格的審查標準，但即便如此，他們也認為該法案仍符合憲法要求。裁決書中，法官們也討論相關的法律原則，例如言論自由的範圍、內容中立與內容相關法規的區別、以及政府在國家安全方面的權力。最終，最高法院維持下級法院的判決，駁回TikTok的訴訟。（ https://www.supremecourt.gov/opinions/24pdf/24-656_ca7d.pdf?fbclid=IwZXh0bgNhZW0CMTEAAR24tITrslTZma7uswrnjfQnNkUKBnogLRdiHaEm8D5zJ5DmMHL28pwhCa4_aem_lvTaSliTUGsw9pLdPQymPg）筆者認為，確實如同美國最高法院多數意見所指出的，該法案並非直接規範或涉及言論自由，而主要是從國家安全這面大旗的角度作評估，所以如此高度涉及政治或現實考量，不論從憲法上的嚴格或中間審查標準去看，很容易得出合憲的結論。更遑論網路平台的責任，就直接Get Out！換言之，如同下面這個案例，就是平台的責任應直接適用其他相關法規，而非僅看言論自由或商業言論的規範。在美國加州法院曾裁定電商龍頭亞馬遜（Amazon）對其平台上出售的缺陷商品負有法律責任，理由是為了提高第三方賣家的透明度，避免消費者受害，網路平台業者必須為其商品或服務負責！換言之，美國加州法院是依據加州產品責任法及衡平法則，認為Amazon公司此類平台業者須為其網站上之劣質商品負產品責任；進而認定：凡是從Amazon網站購買到有缺陷產品的消費者都可以向該公司索取傷害責任賠償，故裁定將Amazon與其它零售商一樣對待，須受嚴格責任之法律效果拘束。其主要理由在於：Amazon既然將其商家的產品，放到自家倉庫中，以吸引消費者在網上下單，並在收款後直接用Amazon包裝運送給消費者，無論我們用什麼術語來描述Amazon的角色，，它都是將產品出售給消費者的關鍵，所以應負產品責任。因此，Amazon不受美國1996年《通訊端正法》第230條的保護（即豁免網際網路服務提供商為第三方內容的發言人承擔責任）。但，如果我們往言論自由裡面去探究呢？也就是網路平台的責任，與言論自由的保護，兩者權衡的可能性與難度，尤其是各國政府包括台灣對於今後的網路世界規範，又該何去何從？ [參、美國通訊端正法第230條—平台原則上有幾近絕對的豁免空間] 美國1996年通訊端正法第230條第(C)(1)節：「互動式電腦服務的用戶與供應商，皆不得被視為其他資訊內容提供者提供之資訊的發行人或發言人。」（No providernor user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information contenet provider）這26個英文字母建立起現在網際網路的景象，即平台責任的豁免。只有當互動式電腦服務被視為是「由其他資訊內容提供者提供」的資訊之發行人或發言人時，豁免才適用。第230條將「資訊內容提供者」定義為「須為資訊之產生或開發，負起全部或部分責任」的任何人。且第230條禁止法院將平台視為「發行人或發言人」。雖然這條規定贏得「超級美國憲法第一修正案」的美譽，提供強健、世上絕無僅有的網路言論保護，但通訊端正法第230條第(C)(2)節規定，保護平台在採取「善意」行為阻擋「淫穢、猥褻、好色、骯髒、過度暴力、騷擾或其他引人非議」的素材時，不被究責，也鼓勵線上服務商以他們認為合適的方式規範用戶內容，即線上平台仍會訂定自己的用戶內容政策，並實施創新的程序、技術來執行這些政策。平台必須進行內容管理，就是這個原因—《通訊端正法》第230條的要求。（網路上常常通稱它為「Section 230」。其立法目的是為了促進各種資訊服務的發展，因此規定「互動式電腦服務的提供者」（即提供服務的平台業者），當有平台用戶在其服務發表不當內容時，「不會被視為該不當內容的發布者」；換句話說，網路平台業者可以免責。但平台的免責有一個大前提，就是業者必須善盡「善良管理人」的責任，對其服務內的不當內容進行管理，而其管理的手法也可以因而免責。也就是說，如果業者想要把Section 230當做免死金牌，當用戶發表違法不當內容時，不想跟著一起變成犯罪當事人，業者就得要管理自己服務裡的不當內容；這就是平台必須管理內容的主要原因。首先，Section 230規範的對象是「提供互動電腦服務的業者」，不只 Facebook與Twitter（Ｘ）符合這個描述，幾乎所有網路業者，從ISP、DNS、Hosting、Email、CDN等，也都在其管轄範圍內；所以當客戶涉及不當使用時（例如發布大量的仇恨言論），如果業者不處理，就無法免責。 [肆、美國通訊端正法第230條的去留] 唐鳳等人前陣子有一篇合著，是關於美國「通訊端正法」第230條的評論文章，作者主張應該廢除並重新制定這條法律，以保護人類的言論自由，而不是助長演算法造成的病毒式傳播。該文章主要觀點認為，現行第230條賦予社群媒體平台原則上有幾近絕對的豁免空間，在過度保護下，使得他們免於為有害的言論內容負責，反而助長仇恨言論和錯誤資訊的散播。作者呼籲修法，區分人類言論與演算法的影響，並對造成實際傷害的演算法進行追責。文章還舉例說明，像是維基百科和公共圖書館等傳統資訊平台，並沒有利用演算法來推廣病毒式傳播，反而讓編輯和作者可以直接發聲。作者認為，透過適當的立法，可以在保護言論自由的同時，也避免演算法造成的負面影響。（ https://ash.harvard.edu/articles/sunset-and-renew-section-230-should-protect-human-speech-not-algorithmic-virality/ ）而《網路自由的兩難》書籍的作者傑夫·柯賽夫（Jeff Kosseff）甚至還寫了這部書描述美國「通訊端正法」第230條的傳記—現行第230條的前世、今生與未來，即該條文的誕生、崛起與逐漸被唾棄，說明其如何催生社群網站與自媒體，又如何留下破壞網路安全與隱私的疑慮。該書提到了： 1.法案背景：探討美國《通訊端正法》第230條的立法初衷，旨在保護網路平台免於用戶內容的法律責任。 2.網路平台成長：該條款促進社群網站與自媒體（尤其在美國本土）的發展，成為網路經濟的重要支柱。 3.自由與安全的衝突：書中分析如何在保障言論自由的同時，維護用戶安全與隱私。 4.資訊戰爭影響：該法案也助長假訊息與網路霸凌等問題的蔓延，造成社會不安。 5.法律解釋變化：隨著時間推移，美國法院對第230條的解釋越來越嚴格，影響法案的適用性。 6.修改呼聲：作者提出應針對特定問題進行法律修改，以解決當前網路治理的挑戰。 7.案例分析：書中舉出多個實際案例，顯示第230條如何被利用或誤用。除了本書可為台灣的數位中介服務法草案帶來的一些啟發、令讀者理解現代網路治理及其挑戰外，作者柯賽夫也提供對未來網路治理的建議，強調需建立明確的責任框架。其實柯賽夫也是法律人，他花了整本書的篇幅，解構美國《通訊端正法》第230條關於網路平台的責任與否，並用很多案例來說一個他的看法、心得與結論： 1.原則上網路平台對於用戶的內容都應該免責/豁免，因為這是網際網路的基石，所以不應該刪除/廢除第230條。 2.網路自由的不完美之處，只能盡量靠平台業者自律規範管理，擋下非法或不當的第三方內容，以因應商業模式及用戶期待，或是符合法院的要求；甚至在立法方面，僅增加最小幅度/限度的例外規定，狹義地避免平台豁免於涉及兒童性犯罪/販運等罪責與情況。筆者認為，不論唐鳳主張廢除第230條，或柯賽夫保留第230條，均提供很多豐富的視野與觀點，可以讓我們省思網路治理今後的走向，也讓台灣的數位中介服務法草案有更多可參考的資料。而Section 230發展的這三十年來，國際規範上除了本文後續將提及的歐盟數位服務法外，也進展出「馬尼拉中介原則」與「聖塔克拉拉原則」，以「網路治理原則」去架構網路言論自由世界的規範。 [伍、網路治理兩個知名且重要的原則解說] 以下針對「馬尼拉中介原則」與「聖塔克拉拉原則」分別作扼要解說：一、馬尼拉中介原則：「馬尼拉中介原則」由全球多個網路人權組織於2015年制定，旨在規範網路治理中，網路中介服務提供者（例如網路平台、社群媒體等）的責任與義務，以保障網路人權，特別是言論自由。其主要內容包含以下六項原則： 1.中介者免責：中介者不應為第三方在其平台上發布的內容負責，除非中介者參與內容的修改。 2.司法機關審查：只有在司法機關判定內容違法的情況下，才可要求中介者限制或移除內容。 3.限制內容請求規範：政府或私人機構若提出內容限制請求，必須提供明確的法律依據、違法內容的描述、相關證據等資訊。 4.必要性與比例原則：任何內容限制措施都必須符合必要性與比例原則，以最小限度地限制言論自由。 5.正當程序：在限制內容之前，應賦予中介者和內容發布者陳述意見的機會，並提供申訴機制。 6.透明度與問責機制：政府和中介者應公開相關法律、政策和執行情況，並建立獨立的監督機制。二、聖塔克拉拉原則「聖塔克拉拉原則」由電子前哨基金會（Electronic Frontier Foundation, EFF）於2018年首次提出，後於2021年更新為2.0版本。該原則作為數位平台自律準則，旨在促進平台在進行內容審核時更加透明、負責任，並尊重用戶權益。聖塔克拉拉原則2.0包含以下五項總體性原則： 1.人權與正當程序：平台應將人權和正當程序納入內容審核政策，確保用戶的言論自由和不受歧視的權利。 2.可理解的規則與政策：平台應以清晰易懂的方式公布其內容審核政策，讓用戶了解哪些內容是被禁止的，以及平台會採取哪些措施。 3.文化能力：平台應具備文化敏感度，了解不同國家和地區的文化背景，避免在內容審核過程中產生偏見。 4.國家參與內容審核：平台應公開任何國家參與其內容審核的情況，並說明其如何應對政府的干預。 5.完整性與可解釋性：平台應確保其內容審核系統的準確性和公正性，並定期評估其效果，同時提供用戶申訴機制。此外，聖塔克拉拉原則2.0還提出三個操作原則，分別是「數量」原則、「通知」原則和「申訴」原則，以指導平台在實際操作中如何落實上述總體性原則。總之，馬尼拉中介原則和聖塔克拉拉原則都是為了在網路時代保障言論自由和人權，促進網路治理的透明度和問責制。馬尼拉中介原則側重於規範政府和中介服務者的責任，而聖塔克拉拉原則則更側重於平台自律，鼓勵平台採取更負責任的內容審核措施。 [陸、歐盟數位服務法的簡介] 一、平台自律或注意義務綜觀美國《通訊端正法》第230條、歐盟《數位服務法》（Digital Service Act），都是針對科技巨頭及其平台做出科技監管，在在顯示各國對於這些大型科技公司所握有的權力提出質疑，遂紛紛課予一個「善良管理人注意義務」，以平衡與管制科技巨頭的言論審查權。簡言之，網路平台免責的前提，就是業者必須善盡「善良管理人」的責任，對其服務內的不當內容進行管理，而其管理的手法就因此免責。例如歐盟《數位服務法》（Digital Service Act）第8條規定要求Facebook配合政府命令去處理其社群平台上的違法內容。引入「善良撒瑪利亞人」條款與精神，以鼓勵的方式，促進網路中介服務提供者或平台得自願發展維護網路安全環境的內容審查機制。我們應該注意的是：如何呼應社會需求，又避免政府不當擴權。其實不論政府、平台業者或用戶，三方要有「公開透明」的精神與機制，也就是政府要有意識去管理、業者要去管制用戶的違法內容，而所謂的違法內容，其標準通常是「明顯且立即的危險言論」。至於什麼是「明顯且立即的危險言論」，這也是憲法學上經典的適用原則，更是言論自由及其界限的範例，例如規定不可以在戲院喊火災、不可以在飛機上喊恐攻。這也呼應長期以來推動網路人權與網路言論自由的美國電子前鋒基金會（EFF）所提倡的：我們應該用盡各種力量，要求社群平台除了要讓內容管理的原則與做法更加「公開透明」，讓大家包括用戶都能夠參與改進，更應在管理內容（即言論審查）時採取一致的標準。因為，在科技巨頭壟斷且短期內難以撼動的現實下，要求這些科技巨頭採取更負責任、更能符合社會共識和共同利益的做法，會比較實際且可行。而所謂的「基本權在私法關係中（基本權對第三人/私人間）之效力」，是指基本權利除對抗國家違法權力之侵害外，尚可對抗「社會上」經濟優勢集團，以保護「弱者」。筆者認為像Facebook這類的科技巨獸，可說是「世界上」的超強絕對優勢組織體，而支撐它、餵養他、助紂為虐的正是其「用戶」，也就是「我們」本身。我們不能僅僅消極地靠國家或政府去立法管制或規範科技巨獸，更要從我們用戶本身有自覺，且集體發動促使它們改善平台政策。只有在大多數人或用戶有建立起這種共識，才能促成真正有意義的討論與實際作為，並對包括Meta公司等科技巨頭，以及擁有一些制約力量的國家或組織例如美國、歐盟，形成整體進步的壓力，讓平台業者的運作方式和法律制度的制定與執行，可更符合全體社會或世界的共同利益。二、平台內容違法或有害歐盟《數位服務法》旨在確保對那些未能控制仇恨言論、虛假訊息和兒童性虐待圖像的網路平台公司面對真正的法律懲罰後果。《數位服務法》的主要規範範圍僅限於「非法」內容，不處理「有害」（harmful）內容。且《數位服務法》第6條規定採取「通知及行動」機制（notice and action）；使用者有權對平臺處置提出異議；廣告透明度規範。以Facebook為例，目前大部分通知「違法」的內容，主要涉及智慧財產權，部分涉及妨害名譽、不實言論或個人資料等人格權、假訊息及隱私爭議。其中如「僅處理非法內容」、「通知後下架」、「使用者有權提出異議」等規定，都符合人權團體的期待。數位人權倡議團體Access Now 於2020年10 月提出的分析文件中，就強調平台內容管制義務應僅限於「非法」內容，因為「有害」難以定義，不僅人與人之間的詮釋不一，歐盟各國的法律定義也依國情不同有所差異。另一方面，由使用者負責舉報違法內容的「通知後下架」機制，以及保障使用者內容遭下架後提出異議的權利等，都在賦予平臺使用者更多力量的同時，避免平臺內容審查責任過重，導致過度「自我審查」而衍生侵害言論自由及使用者基本人權的疑慮。以國際管理趨勢來看，歐盟是目前對科技平台最積極監理地區，歐盟的數位服務法目的是要保障使用者權利、要求科技平台應有一定自律機制並提高透明度，我國的數位中介服務法草案基本上就是跟隨歐盟的腳步。 [柒、網路治理對台灣的影響] 台灣通訊傳播委員會（NCC）於2022年間曾提出「數位中介服務法」草案。其中，對於平台業者之責任及免責事由（草案第9至12條）、資訊儲存服務提供應建立「通知及回應機制」、對使用者負有「告知義務」、提供加重透明度報告、揭露廣告資訊等義務（草案第22至31條），皆是參考前述歐盟DSA所制定。至於裁罰手段包含「資訊限制令」以及高額罰鍰等，在草案發布當年即受到台灣部分專家、民間團體、資訊儲存服務業者、線上平台服務業者提出異議，主張涉及言論自由之鉗制等，使前述草案立法停滯，迄仍未有進展。台灣《數位中介服務法》主要規範平台兩部分：第一部分是對平台課責，及要求平台提高透明度，第二部分則著重如何處理違法訊息，法院若核發「資訊限制令」後，平台必須下架相關內容，學者江雅綺教授就認為，過去能處理違法內容的情形，此法算是把相關程序明確化。該草案基於網際網路治理（Internet governance）之內涵，平衡多方利用關係人之利益，並避免政府直接以行政管制手段介入管理。主要之要點則包括網際網路服務提供者應公開揭露營業的相關資訊，另有關網際網路服務提供者的責任及免責事由，草案採取平台中立原則，亦即，網際網路服務提供者對自己提供的資訊應負法律責任，但對他人所傳輸或儲存之資訊不負審查或監督的責任。此外，我國著作權法第90-7條已採納之「通知及取下」（notice and takedown）制度亦納入本草案中，如平台業者於知悉侵權疑慮後即下架，或是有經查證相關資訊，確認沒有問題後重新上架等適當作為，對平台內經營者的侵權行為，亦不必負擔賠償責任。無論法律是否已經明文規定，台灣相關平台業者可考慮透過自律方式先行納入歐盟DSA相關「通知及行動」( notice and action)機制，以適度緩和潛在訴訟風險，亦符合相關法律精神。筆者認為，我國數位中介服務法草案用意主要是希望平台建立自律機制，如果平台本身就有很好的自律機制，其實也不用太擔心此法的影響。我認為此法要求平台要提供透明度報告等資訊，NCC是否有能力評估業者提供資訊的正確性，技術面有難度，未來執行量能上也是考驗。甚至該法草案第19條規定：「法院為前項裁定（資訊限制令）前，應予提供前項內容之使用者陳述意見之機會，斟酌其利益及公益之衡平，必要時得徵詢產業自律組織或第三方認可之我國民間事實查核組織之意見」等方面，到底如何界定「產業自律組織」與「民間事實查核組織」，也是一大問號。在實務執行方面，筆者建議可編列預算設置有「數位法庭」（如同其他像工程法庭、交通法庭、「智商法庭」與家事法庭等專門設置），且具有保全或督促等迅速性質的審查程序，以因應此類案件；再者，在網域扣押越來越可行且需要的時代，法院在資訊限制令的強制執行上，若在法院核發「資訊限制令」後平台不下架相關違法內容的情況，也可應用「網址停止解析」（DNS RPZ）之方式（所謂「網址解析」是指網址重新轉換為IP位址的過程，而「停止網址解析」就是停止該過程，所以就有可能造成無法連線），以達到消彌侵害持續狀態之效果。換言之，透過法院以限制令或其他執行命令方式停止侵權內容網址解析（例如去ICANN或APNIC阻止、擋下網址，或是封鎖網域），才能以最快速度即時停止侵權的傷害與損失。縱使平台使用者或其他既得利益者（例如平台金流提供者）的權益可能受到若干影響或限制，但實際上也能迫使平台業者去改善處理這類的情況，以符合網際網路上多方利害關係人之利益權衡。而對於台灣法院實務上的影響，例如台灣最高法院109年度台上字第1015號民事判決）曾出現對於「網路平台服務提供者責任」的見解，主要依據「明知或有相當理由足認」原則。簡單來說，平台服務提供者只有在「明知」或「有相當理由足認」平台上存在侵權內容或行為時，才負有採取防止措施的義務。例如，當平台收到明確的侵權舉報，或有足夠證據顯示平台上存在侵權行為時，平台就應該採取措施，例如移除侵權內容或封鎖違規帳戶。如果平台未採取任何措施，或採取的措施不足以防止侵權行為，就可能被認定為違反作為義務，需要負擔法律責任。但如果平台並不知道，也沒有足夠理由懷疑平台上存在侵權行為，則平台沒有採取措施的義務。簡言之，網路平台服務提供者應有適當的「審核作為義務」，如有相當理由足認確屬侵害名譽的言論，就有「採取防止措施的作為義務」。如果在經被害人通知後「已知悉」有涉及侵害名譽權的情形，但網路平台服務提供者未為任何審核，或已有相當理由足認屬侵害名譽之言論而未為任何防止措施，仍讓該侵害名譽的言論繼續存在，自屬違反作為義務，就屬於「故意或過失不法侵害他人之名譽權」，而成立「不作為侵權行為」責任。 [捌、馬尼拉中介原則、聖塔克拉拉原則對歐盟DSA和台灣數位中介服務法草案的影響] 馬尼拉中介原則和聖塔克拉拉原則都對歐盟的DSA（數位服務法）和台灣的數位中介服務法草案產生一定的影響，主要體現在以下幾個方面：一、責任豁免和避風港原則：馬尼拉中介原則強調中介者對第三方內容的責任豁免，主張中介者不應為用戶產生的內容負責，除非中介者參與內容的修改。聖塔克拉拉原則也支持網路中介服務提供者享有責任豁免。這些原則呼應美國《通訊端正法》第230條款，該條款賦予網路供應商出於善意撤除平台上惡意內容並免於民事追訴的權力。 DSA在一定程度上也體現避風港原則，但同時也要求平台對非法內容採取更積極的措施。二、司法機關的角色和正當程序：馬尼拉中介原則主張只有司法機關才能判定內容是否違法，並要求內容限制必須遵循正當程序。聖塔克拉拉原則也強調正當程序的重要性，要求平台在限制內容之前，應賦予用戶陳述意見和申訴的機會。 DSA雖然要求平台對非法內容採取措施，但也強調正當程序和司法監督的重要性，例如平台對於頻繁提供明顯違法內容的使用者應予以暫停，並建立相關的申訴保障機制。三、透明度和問責機制：馬尼拉中介原則和聖塔克拉拉原則都強調透明度和問責機制的重要性。馬尼拉原則要求政府和中介者公開相關法律、政策和執行情況，並建立獨立的監督機制。聖塔克拉拉原則要求平台公布其內容審核政策、透明化內容審核的數據，並提供用戶申訴機制。 DSA也要求平台定期提出透明度報告，向主管機關報告非法內容及主動調查的案件。四、多方利害關係人參與：馬尼拉中介原則強調在制定和執行網路治理政策時，應讓政府、中介者、公民社會等多方利害關係人參與。台灣的數位中介服務法草案也強調多方利害關係人參與的重要性，主張在修法和政策執行過程中，應讓主管機關、執行單位、網路業者、民間團體及專家學者等多方參與。然而，台灣與歐盟在數位政策定位和產業結構上存在差異，這也影響數位中介服務法草案的內容。歐盟作為一個擁有單一市場的區域性組織，可以利用其市場力量制定數位經濟的法律標準，引領全球數位治理的發展。台灣則需要考慮自身的實際情況，在借鏡歐盟法規的同時，也要根據自身的產業發展和社會需求進行調整。總體而言，馬尼拉中介原則和聖塔克拉拉原則都對 DSA和數位中介服務法草案產生積極的影響，促進網路治理的透明度、問責制和對用戶權益的保護。然而，不同國家和地區在制定網路治理政策時，也需要考慮自身的特殊情況，才能制定出符合自身需求的法律法規。 [玖、代結論—Meta廢除其身為第三方的平台事實查核機制，反而有害言論自由] Meta（原 Facebook）廢除第三方事實查核機制，改採類似 X（原 Twitter）的「社群筆記」功能，此舉在內容審核上引發諸多討論，可能與歐盟的《數位服務法》（DSA）、聖塔克拉拉原則（Santa Clara Principles）、馬尼拉中介原則（Manila Principles）等關於平台內容審查的規定有所違背。以下針對這些規範與Meta的變動作出分析： 1. 歐盟《數位服務法》（DSA）：主要規範： DSA主要目標在於打擊網路上的非法內容，並對網路服務提供者設定明確義務，包含「主動啟動調查與法遵」程序、針對頻繁提供違法內容的使用者進行暫停處置，並建立申訴機制與定期透明度報告。 Meta的變更： Meta廢除第三方事實查核，改用社群協作的「社群筆記」，可能被視為減少平台主動審查內容的責任，這可能與DSA強調的平台主動監管責任有所衝突。潛在衝突：主動監管責任： DSA要求平台業者主動監管並移除非法內容，Meta的變更可能被認為是減少這種主動性。透明度： DSA要求平台定期提出透明度報告，Meta的社群筆記模式是否能達到相同的透明度，仍待觀察。申訴機制： DSA要求建立有效的申訴保障機制，Meta的社群筆記模式是否能提供用戶足夠的申訴管道，值得關注。（但看Facebook以往的紀錄與表現，可預期很糟糕） 2. 聖塔克拉拉原則（Santa Clara Principles）：主要內容：透明度：平台應公開明確的規則與政策，說明禁止何種內容，以及如何處置。通知：平台應告知用戶被移除、停用或降級的政策，以及平台如何檢測和刪除內容。申訴：平台應提供清楚易用的申訴流程，且由未參與初次審理的人員進行人工審視。國家參與：當有國家參與平台內容審核時，平台應向用戶報告。 Meta 的變更：透明度： Meta 改用社群筆記後，其內容審核的標準與程序是否足夠透明，有待檢視。雖然社群筆記的註解會附加在貼文上，但其決策過程是否公開透明，仍是個問題。通知與申訴： Meta 是否能提供足夠的通知與申訴管道，讓用戶了解為何內容被標記或處理，需要進一步觀察。社群筆記模式雖然有社群參與，但可能缺乏正式的申訴管道。人工審視：聖塔克拉拉原則強調人工審視的重要性，而Meta的社群筆記可能過度依賴社群，忽略人工審視（包括利用AI工具輔助審查）的必要性。潛在衝突： Meta的做法在透明度、通知、申訴等方面，可能與聖塔克拉拉原則的細則有所差距。 3. 馬尼拉中介原則（Manila Principles）：主要內容：免責：中介者（如社群媒體平台）不應對第三方內容承擔責任，除非中介者參與修改內容。司法命令：沒有司法機關命令，不得要求中介者限制內容。正當程序：內容限制請求必須清晰明確，並遵循正當程序。必要性和比例原則：內容限制必須在必要範圍內，並符合比例原則。透明度：政府與平台都應發布透明度報告，說明限制內容的數量與原因。 Meta 的變更：免責： Meta採用社群筆記後，可能將內容審查的責任轉移到社群，某種程度上符合免責原則的精神。但是，Meta仍然對社群筆記的機制以及最終結果負責。司法命令： Meta的社群筆記並非基於司法命令而產生，這可能與馬尼拉原則強調的司法程序有所出入。正當程序： Meta的社群筆記模式是否能確保內容限制過程的公平與正當，值得考量。透明度： Meta需要確保社群筆記的決策過程與結果，能符合透明度的要求。潛在衝突： Meta的社群筆記模式，可能在司法命令、正當程序等方面與馬尼拉原則有所差異。總結： Meta廢除第三方事實查核，改用社群筆記，在某種程度上似乎降低平台的直接內容審查責任，轉而由社群共同參與。然而，這樣的改變可能與歐盟DSA強調的平台主動監管義務、以及聖塔克拉拉與馬尼拉原則所強調的透明度、正當程序等有所衝突。Meta需要確保其社群筆記機制，能夠符合這些原則的要求，在維護言論自由的同時，也能有效遏制假訊息的傳播。目前，Meta的新政策是否會導致假訊息更氾濫，仍有待觀察。國際事實查核網路（IFCN）總監也對此表示擔憂，認為此舉可能讓假消息和仇恨言論更容易在網路上散播。以上本文關於美國Section 230所衍生的法律評析或法律議題，尤其是網路平台責任與言論自由的權衡、法律規範，在2025年今後仍然是法律人所關注的重點。至於看似川皇放過TikTok，其實是中國的數位主權之爭勝利，這跟言論自由沒有直接相關只有國際競爭與私人利益。跟魔戒包括假的一樣，選票與權力太香了，變成戒靈都甘願。當國際政治現實與拳頭當道掛帥，川普也給台灣看到，如果行政或主權硬起來，什麼立法或司法都靠邊閃。
多元宇宙與區塊鏈治理：數位民主新紀元
[摘要] 本文探討多元宇宙、Web3和網路治理等概念如何塑造未來數位世界。筆者指出，唐鳳提出的多元宇宙概念強調運用數位科技支持民主，促進社會協作。而Web3則著重去中心化技術，確保用戶對數據的擁有權。在身分識別方面，區塊鏈技術可建立安全可靠的身分系統，避免網路世界淪為金權政治。本文也討論區塊鏈在所有權控制上的應用，特別是通過代幣和NFT實現數位資產的所有權。本文強調區塊鏈治理需要完善的架構，包括鏈上和鏈下治理，並呼籲政府制定相關法規，以保障數位世界中的人格權和所有權。這對於維護民主和公民基本權利具有重要意義。 [前言] 筆者在參加今年（2024年）8月份的ABS（Asia Blockchain Summit）多元宇宙（Plurality）論壇，及翻閱唐鳳與衛谷倫（Glen Weyl）等人合著《多元宇宙：協作技術與民主的未來》、Chris Dixon所著《Read Write Own：開啟WEB3新局的區塊鏈網路趨勢與潛能》等書籍或文章後，自己腦洞大開，因此想寫一篇小小心得，試圖串連多元宇宙、Web3、網路治理等概念的未來數位世界樣貌，涉及身分識別的人格權及數位資產的所有權，甚至政府或法律能夠在其中扮演什麼樣的角色。 [多元宇宙] 唐鳳在其新書《多元宇宙：協作技術與民主的未來》中，提出「多元宇宙」的概念，旨在透過數位技術支持民主，促進社會的協作與共融。這一理念強調跨越社會差異，利用網際網路建立更開放的數位治理典範，以增進個人權利和結社自由。書中指出，多元宇宙的核心在於發展「分散式身分技術」（例如DID等運用區塊鏈技術），使個人能在不受集中控制的情況下自由參與民主過程。此外，唐鳳提倡新的投票和金融機制，並強調建立可信賴的媒體環境，以反映多樣化的公眾意見。多元宇宙不僅是技術的創新，更是對民主、社會及文化層面的深刻思考，旨在建立一個更加公平、多元的數位社會。唐鳳所提的多元宇宙概念強調科技應配合社會價值，倡導多樣性與互通性，避免集中化的壟斷。這與Web3的去中心化理念相符，兩者皆旨在促進民主參與和數位治理。 [Web3與網路治理] Web3的名詞或概念，主要是建立在去中心化技術上的網路架構，旨在解決傳統網路中的權力集中問題。它強調用戶對數據的擁有權，並促進去中心化金融（DeFi）和非同質化代幣（NFT）的興起，這些都在多元宇宙中發揮關鍵作用。網路治理（Network Governance）是全球網路「多方利害關係人」根據每種角色所制定與實施的共同規則，旨在規範全球網路發展及使用。它強調持續的合作和互動，以保持長期的信任和有效的合作，各參與方之間相互依賴，共同利用各自的資源和能力。網路治理在現今背景下變得更加複雜。隨著Web3的發展，傳統的治理框架面臨挑戰，需重新考量如何管理去中心化平台及其生態系統。有效的治理將確保用戶的安全與隱私，同時促進創新。換言之，網路治理與Web3的關聯主要體現在去中心化和用戶主導的治理模式。Web3旨在賦予用戶對數據和數位資產的控制權，並透過區塊鏈技術實現透明的治理機制。這種模式促進民主化的決策過程，減少中心化機構的影響，並強調公民的數位自主權和參與度。此外，Web3的治理系統也面臨設計獎勵結構和對抗女巫攻擊（Sybil）等挑戰，這些都需要有效的網路治理來解決。台灣數位發展部的多元宇宙科專注於利用開放技術支持民主，鼓勵公民參與和社會創新，並探索分散式身份技術以保護個人隱私。這樣的發展不僅影響網路治理，也可能改變社會結構與權力分配。多元宇宙依賴於Web3的技術支撐，而Web3又改變我們對網路治理的理解，三者相互影響，共同塑造未來的數位世界。 [區塊鏈與身分識別] 對於網路社會而言，建立與保護參與者的身分，是構成最基本的協定；如果不界定何者具有身分資格，也就無法確保任何權利，或課予義務。舉例來說，如果沒有合理安全的身分基礎，任何投票系統都可被提供最多虛假憑證的人所捕獲，而淪為「金權政治」，換句話說，你只要夠有錢就可以買到巨大的影響力，使整個網路由幾個大財主密謀統治。有句英文諺語說：「在網路上沒有人知道你是一條狗。」（On the internet, nobody knows you're a dog.）若果真如此，所謂的線上民主實驗終將走向失敗。類似的悲劇常常發生於「web3」社群，因為它們很大程度上依賴於假名、匿名，因此往往受到擁有物質、金融資源者的利益所俘虜。因此，身份系統是數位生活的核心，也是存取大部分線上活動的通行證，例如社群媒體帳號、政府服務、就業或訂閱平台服務。鑑於現今網路攻擊如此頻繁，只有能夠確定一個人的資訊，才可確保他在網路上的安全存在。來說印度政府主導「Aadhaar身分系統」的例子。該系統是「India Stack」（印度堆疊）計畫的一部分，Aadhaar是一個多因素生物中心資料庫，以照片、指紋與虹膜掃描為基礎，並與其身分識別管理局（Unique Identification Authority of India, UIDAI）簽發的單一身分號碼與身分證相連。即使印度最高法院在很大程度上限制了該系統對於獲取公共服務與權利的強制性，但印度政府已實現讓持有Aadhaar的人能夠方便地獲取各種公共與商務服務，因此取得令人驚訝的99%公民使用率。印度此專案的成功，部分影響OpenAI聯合創始人Sam Altman在內的一群技術專家，於2019年推出Worldcoin專案，目標是成為首個通用生物識別身分系統，確保大AI時代裡身分的安全基礎存在，並向每個人分配平等的「全民基本收入」（UBI）或允許參與投票及其他通用權利。法律是界定不同類型機構存在與否、擁有哪些特權，以及不同實體之間權利劃分的核心。例如分散式自治組織（DAOs）經常受到法律的阻礙，儘管其中一些原因是合理的（如避免金融詐騙等），但要建立支持與維護跨國民主非營利組織形式的法律框架，仍需進一步的努力。如同阿根廷推動智能合約合法化，不僅是對數位資產的重大支持，也是對區塊鏈技術在法律和商業產業應用的積極探索；另外的例子，是阿拉伯聯合大公國（阿聯酋）專注於數位資產的自由經濟區，即 Ras Al Khaimah 數位資產綠洲（RAK DAO）近期發佈公告表示，將推出針對DAO的法律框架，以允許規模較小的 DAO 也能實現合法運作。無獨有偶，美國猶他州立法機構就通過一項《去中心化自治組織修正案》，從法律上將 DAO 認可為獨有的組織形式，並未 DAO 成員的法律和稅務責任做出明確和保護，同時還支持 DAO 以合伙製形式分發資金給成員。「去中心化身份」（Decentralized Identifier, DID）倡議者制定協定與開放標準，賦予個人對身分的「所有權」，將其根植於區塊鏈等公開資料儲存庫，並建立標準化格式，讓各種實體可向這些帳戶發放憑證。這些計畫的細節，有一種是「可驗憑證」（Verifiable Credentials, VC），隱私及用戶可控制在任何時候顯示關於他們的聲明；另一種是「靈魂綁定代幣」（Soulbound Token, SBT）或其他以區塊鏈為中心的身分系統，強調公開憑證的內容，包括權利主張與身分公開之間的綁定。近期有許多圍繞在身分的倡議，從為疫苗接種身分創建的「智慧健康卡」（Smart Health Cards），到歐盟所創建跨越全歐洲、彼此互通的數位身分等，都努力在身分識別與保護的核心議題上。筆者也採納一種說法：數位資產或代幣的所有權是Web3的基礎，為我們的數位存在賦予經濟利益。數位所有權也帶來新的身分識別方法，即運用Web3工具或區塊鏈技術，輔以生物特徵辨識技術或政府的身分證明文件，網路用戶能夠驗證自己的特質。如此一來，人民才可對國家政府或業者平台的服務或措施相對擁有發言權，或相對應的權利義務關係。 [區塊鏈與所有權控制] 社群或使用者是透過「加密錢包」（crypto Wallet）等軟體來持有與控制代幣。區塊鏈的「代幣」（Token）可以代表數位世界中任何東西的所有權，包括金錢、藝術品、照片、文字、音樂、程式碼、遊戲道具、投票權、存取權等東西，甚至是物理世界的事物，例如房地場或美元。而代幣賦予使用者所有權，所有權就代表控制權限。換句話說，代幣是區塊鏈網路的核心，有了代幣，整個網路世界的所有權才能掌握在社群或使用者的手中。代幣有同質化代幣與非同質化代幣（NFT）。NFT不僅可以像網域名稱一樣，用來識別使用者的身分，在NFT技術的應用下，創作者也可確保他們的數位資產得到有效保護，甚至可透過智慧合約來實現版稅分配，獲得長期且可持續的收入來源。除數位藝術之外，NFT還可以應用於會員專屬活動的訪問權限、貸款抵押品、DAO的投票權，甚至是去中心化交易所（DEX）中的流動性抵押品等。NFT已經成為Web3生態系統中不可或缺的一部分，並正在推動數位經濟的進一步發展。 [需要透過區塊鏈建構分散式網路—以達成區塊鏈治理之目的] 雖然Meta公司在2023年推出Threads，宣稱未來將與ActivityPub互通，ActivityPub是一種網路分散式協定，可讓好幾個節點（平台）各自經營自己的伺服器，在伺服器上執行軟體並儲存資料，建立起所謂一個「聯邦宇宙」（Fediverse），使用者不論登入哪一台伺服器，都能看到自己追蹤的所有活動。然而，問題在於一樣會缺乏儲存資料的空間。只要參與者提高連結間的摩擦力，使用者體驗就會被影響。但聯邦宇宙的最大問題，就是完全無法確保伺服器的營運者履行諾言或保障，也就是其架構一開始就可能淪為巨型企業網路集中化資料的隱憂。這時候正需要區塊鏈的特長—既能將資料集中起來，又能讓資料控制權保持分散。換言之，即使是聯邦宇宙這種多中心化的系統，仍需要有區塊鏈網路的解方，以建構分散式網路。區塊鏈提供一種新的治理方式，那就是在軟體內建立不可竄改的規則。軟體內的規則就像是憲法，而憲法確保國家的治理權力從個人移轉至法律，區塊鏈則確保網路的治理權力從公司轉移至程式碼內部，也具有與法律文件一樣的效力。也就是說，區塊鏈治理系統採用通用的程式語言，使用英語撰寫的規則，讓程式透過電腦逐步執行，建立區塊鏈網路的憲法，採取類似憲政民主的體制，將決策權交由社群。這也是智慧合約的實際運作。區塊鏈網路可以支持社群打造的軟體，藉由區塊鏈的機制，任何想要破壞社群共識的人都無法輕易得逞。區塊鏈網路的治理可分為兩種形式，第一種是「鏈下治理」，由開發人員、使用者與其他社群成員共同營運。類似社群治理，可以借鑑開源專案的經驗。缺點也與協定網路類似，大型節點容易把持。第二種是「鏈上治理」，所有網路規則都由持有代幣的人來表決，但設計上要小心，以避免金權政治的形成。即透過代幣投票，不會仰賴網路結構，但是可能會受到大量代幣的寡頭控制。區塊鏈讓設計者可以用程式碼來制定正式的規則，這些規則如同網路的憲法，將區塊鏈網路的控制權力分散到使用者身上；軟體或程式碼的可組合性（像樂高積木那樣可重複使用、組件間可互相組裝）讓開發者能夠各自設計、改良軟體的不同部件，代幣則讓參與者成為整個網路的多方利害關係人。申言之，使儲存在區塊鏈中的資訊，能夠在各個不同的網站上進行處理，根據每人的需要，將各種工具進行組合（Web3的可組合性/Composability），資料的來源始終在區塊鏈上，個人相關資訊依然屬於自己所有，人們成為在數位世界中資產的擁有者。 [結語] 區塊鏈到底對我們有什麼樣的賦權意義呢？在去中心化的價值背後，有著根本的東西，即關係到公民權的基本權利概念，尤其對資訊紀錄的控制。從憲法的角度來看，這個紀錄到底有多重要呢？區塊鏈可代表人類社會第一次能有系統建立一個連續不斷的歷史紀錄，能讓身分自主的個人將資料登錄到可公開驗證的紀錄中，不需要任何人的許可，這件事有深刻的賦權意義，因為資訊紀錄的永久性，正是民主所不可或缺的基本要素。記錄人們經驗的聲音，從核心本質來說，正式區塊鏈為何重要的原因！而採取Web3或區塊鏈網路，必須要有一套設計得宜的治理架構。雖然每一種治理模式都有缺點，但是一旦缺乏明文的治理模式，就容易誕生「無架構的暴政」，也就是出現無法問責的地下治理模式。學法律的人都知道，不論在實體物理世界，或在虛擬數位世界，必須有一套治理規範或方法，能夠以驗證身分，不僅使其有人格權，更應使其有所有權，才有真正的權利或相關保障，否則都是空談。而國家政府或法制方面責無旁貸，應全力引航民間企業、社群與人民協同建構相關環境與法律，最後才能實質有效維護人民之數位基本權利。本文參考資料：唐鳳、衛谷倫（Glen Weyl）等人合著《多元宇宙：協作技術與民主的未來》 Chris Dixon所著《Read Write Own：開啟WEB3新局的區塊鏈網路趨勢與潛能》伊藤穰一（Joichi Ito）所著《WEB3趨勢大解讀》 Alex Tapscott所著《WEB3新商機：人人都能獲利的去中心化經濟》 Michael J. Casey、Paul Vigna合著《真理機器：區塊鏈與數位時代的新憲法》 NFT其實超多人用？真正用途不是投機，而是「數位所有權」 https://web3plus.bnext.com.tw/article/3170?utm_source=line_web3&utm_medium=message 阿聯酋將推出「DAO專用法」：規模小也可開銀行專戶，成本最低3,000鎂 https://www.blocktempo.com/uae-to-launch-legal-framework-for-daos/ 阿聯酋月底上路 DAO 監管框架，將可遠端註冊使 DAO 落實法律主體 https://abmedia.io/rak-dao-dubai-uae 民主國家 Vote to Earn？喬治亞將推出 ZK 數位治理協議，台灣 TAIVote 緊跟其後 https://abmedia.io/georgia-zk-rarimo 阿根廷讓智慧合約合法！國家擁抱區塊鏈技術，解決了什麼問題？ https://web3plus.bnext.com.tw/article/3165 拙著，《靈魂綁定的社群民主》 https://bit.ly/3GtujsJ 拙著，《在元宇宙裡法律如何評價妨害性自主與名譽的行為》上篇連結： https://bit.ly/3xiYApW 下篇連結： https://bit.ly/3OaI16q 拙著，《Web3.0下的「數位人權」即將誕生？》 https://bit.ly/3Dt9iuY 拙著，《參與GG18後晉升為網路公民的心得文》 https://www.infolaw.online/post/%E5%8F%83%E8%88%87gg18%E5%BE%8C%E6%99%89%E5%8D%87%E7%82%BA%E7%B6%B2%E8%B7%AF%E5%85%AC%E6%B0%91%E7%9A%84%E5%BF%83%E5%BE%97%E6%96%87 拙著，《DAO的奧義（貳）》 https://www.infolaw.online/post/dao%E7%9A%84%E5%A5%A7%E7%BE%A9%EF%BC%88%E8%B2%B3%EF%BC%89 拙著，《TW DIW與法源依據》 https://www.infolaw.online/post/tw-diw%E8%88%87%E6%B3%95%E6%BA%90%E4%BE%9D%E6%93%9A
數位轉生？論AI復活與個資法
[前言] 藝人包小柏透過AI讓已故女兒化身成虛擬數位分身、已故明星李玟也被網友通過AI技術「復活」。甚至在中國的廠商有相關付費服務，推出「AI復活」商品，讓消費者的已故親友或其指定的逝者，藉由2項關於逝者的「個人資料」素材或資料，例如「肖像」照片、「聲音」資料，就可能完成「AI復活」商品。無獨有偶，葡萄牙Henrique Jorge公司建立一個名為ETER9的社交網路，將每位用戶與AI進行配對，AI會學習複製該用戶於社交網路之行為，並可代其發表回覆與評論，即使其用戶已往生，AI仍持續運行。不只網友，連許多科技新創公司都正著手研究或推出「數位轉生」服務，使往生者於AI中重生。然而「AI復活」在法律規範層面仍有高度爭議或風險，應審慎評估及修法處理，不僅涉及道德倫理的議題，更涉及重要法律爭議：往生者的個資是否受到個資法保護？ [爭點] 牛津網際網路研究所（Oxford Internet Institute）曾有一項研究顯示，估計約50年後，Facebook內往生者的帳號數量將超過存活者的帳號數量。而FaceBook可視為現今人類物種歷史上最大的人類行為資料庫，曾經創建過個人資料的用戶都不復存在（即死亡），但他們的數位資訊卻永存於網際網路中，但在多數國家，往生者的資料並不是個人資料保護法令所涵蓋的保護客體，往生者個人資料之運用勢必成為法律上的重要課題。 [各國情況] 一、台灣依照現行的個資法施行細則第2條規定：「本法所稱個人，指現生存之自然人。」，所保護的個人資料對象是指「現生存有生命」的自然人，並不包括「往生者」；且人已往生，其人格權不復存在（權利義務關係均隨之消滅），又從個資法第1條立法意旨就可知道該法是保護個人隱私權、人格權而來。所以就不在個資法的保護範圍內，頂多稍微注意有無構成刑法第312條關於妨害名譽死者罪的特殊規定（因有它特殊的立法考量）。因此，如果要規範或禁止AI技術去使用死者個資，就應特別研議評估，從立法或修法方式去處理。而國科會版的人工智慧基本法草案目前就此也無相關規範。二、歐盟GDPR 歐洲部分國家允許繼承人行使被繼承人之個人資料保護相關權利，例如：（一）匈牙利：本人可指定特定人或由直系親屬行使本人往生後之權利。（二）西班牙：繼承人有權行使GDPR第15條資料查詢權或使用權（Right of Access）、第16條更正權、第17條被遺忘權（刪除權）。（三）義大利：親屬代表可基於保護家庭之因素行使往生者於GDPR第15條至第22條之權利。（四）補充說明：歐盟GDPR第18條是限制處理權、第20條是資料可攜權、第21條是拒絕權、第22條是自動化決策。（五）至於歐盟的人工智慧法，就死者個資的使用，僅強調對個人資料的保護應遵循GDPR，故涉及死者個資的AI應用仍須遵循相關具體規範。換言之，雖然歐盟AI Act、GDPR均尚未特別針對死者資料的使用作出規定，但各成員國可以自行制定保護已故人士個資的規定。然而，如果AI系統使用的數據資料涉及死者的個資，仍可能受到相關倫理審查、數據治理規範的約束，尤其是在醫療、保險等敏感領域。三、德國（一）有一名15歲的Ａ女在德國柏林地鐵站被列車撞擊去世，Ａ女父母想知道Ａ女是否有自殺傾向，所以行使請求FB提出檢視或管理Ａ女帳號的權利。雖然FB以「數據保護、對用戶仍有保護其個人隱私」為理由而拒絕Ａ女父母的請求，但柏林地方法院、德國聯邦最高法院均裁決同意Ａ女父母的請求。（二）德國最高法院認為數位財產也應該像信件、書籍、日記相同，得做為遺產留給繼承人。死者的FB帳號及其內容，某程度具有「線上人格」的特性，使得這個判決變得複雜。原因在於數位遺產涉及「線上人格」的問題，故法律尚無明確定論，也不能類推適用在傳統法律的遺產繼承處理，因此存在許多困難的繼承法律爭議。尤其在繼承法中，遺產通常都是看得見、摸得著的實物，但數位遺產並不是實物。鑑於數位遺產和實物遺產在形式上的差別，許多國家開始修訂或制定法律，以適用數位遺產的繼承。四、聯合國教科文組織（UNESCO，全名：聯合國教育、科學及文化組織）按照聯合國教科文組織通過的《保護數位遺產憲章》意旨，一個人死亡後的虛擬財產，都可視為其「數位遺產」（Digital Heritage），包括但不限於網站及其內容、應用軟體、代號、電子文件、圖片內容、媒體內容、電子貨幣、電子郵件帳號及其內容、社交網路帳號及其關係和內容、雲端服務帳號及其數據等。五、美國（一） 2014年德拉瓦州（Delaware）眾議院通過美國真正實質上第一個對數位遺產的法律規定《數位訪問與數位帳號委託訪問法》（Fiduciary Access to Digital Assets and Digital Accounts Act），家庭成員、遺囑執行人以及繼承人在被繼承人死亡後，有權控制被繼承人個人的數位帳號或社交媒體帳號。2018年美國已經有七個州（包括加州等）通過立法，對數位遺產進行保護。（二）美國統一法規委員會（ULC）在2014、2015年間制訂完成的《統一數位資產受託途徑法》（the Uniform Fiduciary Access to Digital Assets Act, UFADAA），另有中文翻譯為「數位資產和帳戶受託使用法案」。即以「帳號託管」（fiduciary）的方式，由法院授權他人管理被繼承人數位遺產，以維護被繼承人最大利益。（三）由於各州間就數位資產立法所涉及之資產類型、受託人種類、權利範圍，以及是否涵蓋使使用人死亡或喪失行為能力皆有所差異，為此，RUFADAA，希望以一個統一的立法為各法院、受託人、使用人與保管人提供可預測之數位資產處理方式，並對各州在受託人存取使用人（包含死者、受監護人、本人及信託委託人）數位資產之爭議提供全面的指導。在適用範圍上，RUFADAA相較德拉瓦州州立法詳細列出數位資產種類之方式，改採定義之方式，將數位資產定義為「使用人具有權利或利益關係之電子紀錄」。（四）有超過40 個州或地區已採用或即將採用RUFADAA，僅加州、德拉瓦州等尚未採用。是以，RUFADAA在美國數位資產立法上仍占有最重要之地位，不失為我國未來立法之參考。五、中國（一）微信在用戶協議中明確聲明，用戶不能把帳號轉讓給任何人，因為「用戶只有帳號的使用權，所有權歸騰訊」。雖然死者親屬無法繼承死者的數位遺產，但2017年中國目前的《民法典》草案在總則第127條規定：「法律對數據、網路虛擬財產的保護，依照其規定。」，開始往網路虛擬財產合法性的方向邁進。（二）《中華人民共和國個人信息保護法（第二稿）》（以下簡稱《二稿》）徵求公眾意見。二稿加強對死者個人資料權益的保護。新增加的二稿第四十九條規定：「自然人死亡的，個人在本章規定的個人信息處理活動中的權利，由其近親屬行使。」該規定有助於維護死者個人資訊的權益。例如，部分自然人希望在其死後註銷其社會帳戶的，死者的近親屬可以按照本規定向有關企業申請註銷。但是，二稿尚未明確如何處理死者有多個近親屬且相互意見不一致的情況。此外，尚未明確此類權益的保護範圍。六、俄羅斯依國家遺產繼承法的規定，網路數位遺產視為可繼承遺產分類中的「其他財產部分」。 [修法建議—代結論] 在數位轉生或AI復活的議題中，台灣應可參酌部分歐洲國家運用GDPR規定從而規範往生者個人資料權利之方式，進而探討我國民法、個資法，甚至人工智慧基本法等領域，對於往生者個人資料運用之相關議題。一、民法（一）AI常常需要獲取個人「肖像」及「聲音」之資料，而在我國學者及國際上之討論，多數認為「肖像」與「聲音」應受民法人格權之保護。立法委員葛如鈞已提案增訂民法第195條關於之肖像權及聲音權規定。（二）關於「肖像權」在我國民法尚未有明文規範，惟經過多年司法實務判決案例的累積（如最高法院104年度台上字第1407號民事判決及最高法院106年度台上字第2677號民事判決），已形成在學理通說上所承認的一種具體人格權態樣。如今利用人工智慧生成人臉或肖像，已是網路上很普遍流行的圖像或影片處理技術，可能對他人的肖像權構成不法侵害。因此，實有加強吾人在數位時代對於肖像權保護之必要。（三）我國法院實務上曾認定「聲紋」涉及人格權的基本權保障，且屬於個人資料，應受個人資料保護法之規範。例如最高法院102年度台抗字第939號民事裁定：「按法庭錄音含有參與法庭活動之人之聲紋及情感活動等內容，交付法庭錄音光碟或數位錄音涉及其人格權等基本權之保障，應以法律明文規定或由法律明確授權。鑑於法庭錄音光碟之內容係當事人及其他在場人員之錄音資料，要屬現行個人資料保護法第二條第一款所稱個人資料」。（四）又隨著自然語言處理之機器學習技術、大型語言模型等進步與成熟應用，已可透過上開技術模仿與呈現任何人的聲音，由此可能產生聲音侵權問題。對此，個人的聲音（聲紋）等資料應考量被納入「聲音權」的保護。參酌美國加州民法典第3344條及加拿大魁北克省民法典第36條等立法例，針對自然人的聲音均有聲音權的保護規定。是以，隨著時代演進、技術發展，及人格權保護之需要，自然人的肖像與聲音，均應成為人格權所保障的類型之一。（五）另關於「數位遺產」，儘管按「人之權利能力，始於出生，終於死亡」，「繼承，因被繼承人死亡而開始」，民法第6條、第1147條分別定有明文。從而，人於死亡時即喪失作為權利義務之主體，但法院同時肯認「遺族對於故人敬愛追慕之情」之一般人格權，屬於民法第195條第1項所欲保障之範圍。（六）關於數位遺產在台灣的法制建構，本文認為應回歸到我國憲法第15條與民法第1148條第1項之立法意旨，即針對被繼承人以及繼承人之財產權保障，應就被繼承人之財產上之一切權利、義務繼承，僅排除具有一身專有性之權利義務。如為無智慧財產權之數位資產，因其仍具有一定之經濟價值，既受憲法上財產權之保障，自應將之納入財產概念下作法律上的定義規範，而得為繼承之標的。至於就帳號內的數位資產方面，參考前揭介紹的立法潮流，應值得吾人肯認得為繼承的數位遺產。主管機關亦可考慮以定型化契約應記載事項之方式，要求網路服務提供者將替代方案載明於服務條款中，以保障繼承人之權利。二、個資法（一）有鑑於「個人資料保護法」第二條第一款關於「個人資料」之定義，已不符現今時代需求且背離國際規範而亟需修正；應參考歐盟GDPR關於保護個人資料處理與資料自由流通之規範目的，調整本法之立法目的，由原本保護人格權，改為保障個人隱私權及資料自主權。（二）因應線上活動及物聯網應用個人資料之情形快速增加，應明確增訂「生物特徵」、「網際網路位址」及「數位足跡」等非實體個人資料納入個人資料範圍，補充說明個因應時代的進步與發展個人資料具有之特性，以提升數位世代個人資料保護之強度；並新增關於「自動化決策拒絕權」、「資料可攜權」等規定。（三）我國準備多年仍未能取得歐盟GDPR的適足性認證，爰參酌歐盟GDPR相關規定，賦予民眾更多的隱私保障及資料享有自主權，期使加快取得認證之時程，故應增訂「資料可攜權」；參考歐盟GDPR關於個人資料「自動化決策」與處理之規範，增訂對當事人資料之蒐集及處理應符合透明性、合法性及公平性之原則並取得明確有效同意，及其相關例外情況。（四）應增訂個人資料當事人得以其「被遺忘權」請求個人資料蒐集者、處理者刪除其個人資料及其限制。是以，關於當事人死亡後其個人資料處理及相關權利之規範，台灣應參考聯合國、美國等立法例，及歐盟部分國家（例如匈牙利、西班牙與義大利）允許繼承人行使被繼承人原於GDPR之相關權利。三、人工智慧基本法歐盟人工智慧法（AI Act）是一項具有里程碑意義的法案，旨在規範人工智慧的發展與應用。對於「把死者個資用在AI的情況」，該法案確實提供一些相關的規範，但並非直接針對死者個資，而是從更廣泛的個人資料保護角度出發。（一）高風險人工智慧系統的規範 1.個人資料保護：如果將AI用於高風險領域（如招聘、執法、信用評分等），則必須確保其處理個人資料的合法性、公平性、透明度，並遵守《一般資料保護規則》（GDPR）等相關法律。這意味著，即使是死者的個人資料，在使用時也必須符合這些要求。 2.風險評估：高風險AI系統必須進行嚴格的風險評估，以確保其不會對個人權利造成不當影響。這包括評估系統是否會產生歧視、不公平或其他有害的結果。（二）透明度要求 1.告知義務：當個人與AI系統互動時，系統必須告知個人其正在與AI互動，並提供有關AI功能和限制的資訊。 2.可解釋性：在某些情況下，系統必須能夠解釋其決策的理由，以確保透明度和可追溯性。 3.對於死者個資而言，雖然法案沒有明確規定，但透明度原則仍然適用。如果AI系統使用死者的個人資料，並對活著的人產生影響，那系統應當能夠解釋其決策的依據。（三）需注意的重點 1.GDPR的適用性： GDPR雖然主要針對活著的個人，但對於死者個人資料的保護也有一定程度的規範。例如，在某些情況下，死者的繼承人可能擁有對死者個人資料的控制權。 2.成員國的具體規定：歐盟成員國可能會有各自的法律或規範，進一步補充或細化AI Act的規定。 3.不斷發展的法律領域： AI技術發展迅速，法律規範也在不斷完善。對於死者個資在AI中的應用，未來可能會有更具體和詳細的規定。（四）雖然AI Act並未直接針對死者個資的使用提出明確的禁令或許可，但其所強調的個人資料保護、風險評估和透明度原則，對於規範死者個資在AI中的應用具有重要的參考價值。在使用死者個資進行AI開發或應用時，企業和研究人員必須仔細評估其行為是否符合相關法律法規，並確保不會侵犯個人權利，甚至應從倫理的角度進行考量與評估，確保對死者個資的利用符合社會公德或道德標準。