保險法

臺北高等行政法院判決 高等行政訴訟庭第六庭 113年度訴更一字第10號 114年1月16日辯論終結 原 告 宏泰人壽保險股份有限公司 代 表 人 李啓賢(董事長) 訴訟代理人 陳姵君 律師 被 告 金融監督管理委員會 代 表 人 彭金隆(主任委員) 訴訟代理人 談虎 律師 楊智全 律師 上列當事人間保險法事件，原告不服行政院中華民國108年8月21 院臺訴字第1080185654號訴願決定，提起行政訴訟，本院108年 度訴字第1696號判決後，原告提起上訴，最高行政法院111年度 上字第505號判決部分廢棄發回本院更為審理，本院判決如下： 　　主 文 一、訴願決定及原處分關於事實第十六項罰鍰新臺幣60萬元部分 均撤銷。 二、原告其餘之訴駁回。 三、第一審及發回前上訴審訴訟費用，除確定部分外，由被告負 擔三分之一，餘由原告負擔。 　　事實及理由 一、原告代表人原為魯奐毅，於訴訟進行中變更為李啓賢(本院 卷第65、66頁)；被告代表人原為黃天牧，於訴訟進行中變更為彭金隆，業經新任代表人具狀聲明承受訴訟(本院卷第93、94頁)，經核並無違誤，應予准許。 二、爭訟概要： 　　被告於民國106年10月11日至25日對原告106年度之業務及交 易辦理一般業務進行檢查(檢查基準日：106年8月31日，下稱系爭檢查)，並作成檢查報告(編號：106F125)。檢查結果認原告有違規情事，依行為時保險法(下稱保險法)第168條第5項、第171條之1第4項規定，以107年12月27日金管保壽字第10704549652號裁處書(下稱原處分)處以罰鍰及糾正(違規事實、依據及裁罰詳附表所示)。原告對原處分如附表編號第2項至4項、第9項、第16項至20項所示部分不服，提起訴願，經訴願決定駁回，提起行政訴訟，聲明：訴願決定及原處分關於事實第2項至4項、第9項、第16項至20項罰鍰新臺幣(下同)600萬元部分均撤銷。經本院以108年度訴字第1696號判決(下稱前審判決)駁回，原告提起上訴，經最高行政法院111年度上字第505號判決廢棄「前審判決關於駁回原告請求撤銷訴願決定及原處分事實第16項罰鍰60萬元、事實第17項罰鍰60萬元、事實第18項罰鍰60萬元(下各稱事實16、事實17、事實18)」部分，發回本院更為審理(其餘原處分事實已確定，不在本件審理範圍)。 三、原告主張及聲明： 　㈠主張要旨： 　⒈關於原處分事實16，被告以原告之內部規範於系爭檢查時， 尚未配合被告106年6月28日修正之金融機構防制洗錢辦法(下稱106年6月28日防洗辦法)及保險業防制洗錢及打擊資恐內部控制要點(下稱106年6月28日被告資恐內控要點)完成修訂，系爭檢查基準日時客戶風險評估模型亦尚未依被告資恐內控要點更新，核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法(下稱內控實施辦法)第32條第3項第2款規定不符為理由，惟： 　⑴原告參照中華民國人壽保險商業同業公會(下稱壽險公會)105 年12月15日經被告備查之「人壽保險業(下稱壽險業)防制洗錢及打擊資助恐怖主義注意事項範本」(下稱注意事項範本)，於106年2月21日修訂原告「防制洗錢及打擊資助恐怖主義注意事項」(下稱106年2月21日原告注意事項)作為內部規範，並於106年2月22日向被告函報。被告以106年4月10日金管保壽字第10600909770號函(下稱106年4月10日函)請原告按106年2月2日新修訂之「保險業防制洗錢及打擊資恐注意事項」(下稱106年2月2日被告資恐注意事項)，配合辦理修訂，而未准予原告備查。原告即詢問注意事項範本修正時程，因依業界慣例及歷年習慣，均係等範本公告後始更新內部規範，期間得知將於近期公告，且多次參與範本修正之相關會議，並皆於每月董事會召開前詢問範本修訂進度。被告嗣於106年6月28日發布106年6月28日防洗辦法及106年6月28日被告資恐內控要點，嗣壽險公會修正注意事項範本(新名稱：壽險業防制洗錢及打擊資恐注意事項範本，下稱系爭範本)，被告於106年11月13日同意備查，並發函要求壽險公會將系爭範本及「保險業評估洗錢及資助恐怖主義風險及訂定相關防制計畫指引」，轉知會員機構參照辦理及舉辦相關說明廣為宣導，顯見被告已明白要求保險業者依系爭範本進行修正。準此，於106年11月系爭範本經備查實施前，尚無修訂原告注意事項之義務。 　⑵系爭範本於106年11月經備查實施後，原告立即遵循範本於10 6年12月28日訂定「防制洗錢及打擊資恐注意事項」(下稱原告資恐注意事項)、洗錢及資恐風險評估及防制計畫政策，經106年12月董事會通過，並於107年1月11日公告實施，故原告已定期追蹤範本之修正進度，並適時更新完成內部規範修訂。原告並依106年6月28日資恐內控要點第5點規定，更新客戶風險評估模型，該風險評估模型中並已涵括客戶、地域、產品及服務、交易及通路，符合內控實施辦法第32條第3項第2款所定「適時更新」義務。 　⑶系爭檢查就原告相關業務及交易主要抽核期間為104年7月31 日(上次檢查基準日)至106年8月31日(本次檢查基準日)期間，被告於106年10月11日至25日實際進行本次檢查，檢查範圍應限於104年7月31日至106年8月31日期間。倘若原告於前開期間之業務或交易有違規行為，被告始可裁罰。惟於106年8月31日基準日時，系爭範本尚未經公告實施，原告縱未依被告106年6月28日防洗辦法及106年6月28日被告資恐內控要點修訂106年2月21日原告注意事項，亦無違內控實施辦法第32條第3項第2款及保險法第148條之3第1項規定。 　⑷另參酌被告就訴外人南山產物保險股份有限公司(下稱南山產 險)108年11月29日裁處書記載，該公司經被告稽核單位多次發現未配合被告法規適時更新內部規範，核有礙健全經營之虞，違規事項明確，應依保險法第149條第1項規定，予以糾正等語，僅係予以糾正，並未核處罰鍰，可見事實16之情形，無核處罰鍰之必要。 　⒉關於原處分事實17，被告係以原告於系爭檢查基準日尚未將 放款客戶納入洗錢防制及打擊資恐作業，並辦理姓名、名稱檢核及風險評級、基準日尚未將人壽保險契約之受益人納為是否執行強化確認客戶身分措施之考量因素，及客戶風險評級作業程式(ps077，下稱系爭程式)，未將是否曾通報疑似洗錢列為風險評估項目，與原告所訂「洗錢及資助恐怖主義風險管理機制」(下稱風管機制)規範不符，核與內控實施辦法第5條第1項第13款規定不符，嗣被告於前審追補理由以原告亦違反同條項第12款及同辦法第32條第3項第2款規定；關於原處分事實18，被告係以原告對經由系統辦理姓名及名稱檢核之案件，未留存檢核紀錄，辦理客戶姓名及名稱檢核，對疑似洗錢資料庫名單之客戶，經核保人判斷非屬資料庫名單者，未註記查證過程及認定原因，例如保單號碼(詳卷)之被保險人(下稱系爭被保險人)，核與內控實施辦法第5條第1項第13款規定不符為理由；被告再於本院追補理由以原告前開事實17、18除違反106年10月19日修正發布內控實施辦法第5條第1項第13款規定，亦屬違反106年10月19日修正發布前(下稱修正前)內控實施辦法第8條第3項第4款規定，惟： 　⑴系爭檢查範圍為原告104年7月31日至106年8月31日間之業務 及交易，自應適用上開期間內已生效之法令。然內控實施辦法第5條第1項第13款規定，係於106年10月19日經修正發布，被告據該規定為原告於系爭檢查期間業務違失之依據，違反處罰法定原則及法律不溯及既往原則。 　⑵原處分事實17： 　①系爭檢查時，原告前於105年7月29日已訂有風管機制，符合 內控實施辦法第5條第1項第13款、第32條第3項第2款及修正前同辦法第5條第1項第12款規定。且原告放款客戶僅有10戶，自得推知該類客戶發生洗錢與資恐之機率與風險較低，為落實「壽險業風險基礎方法指引」之「資源應按照優先順序原則分配，確保最大的風險得到最多的關注」意旨，遂將主要業務往來對象之保戶優先納入防制洗錢、打擊資恐作業範圍，辦理姓名、名稱檢核及風險評級等流程。原告待資源逐漸到位，隨即於107年2月納入放款客戶為「防制洗錢及打擊資恐姓名檢核作業辦法」之姓名、名稱檢核對象，並規劃放款作業應行辦理之風險評級，無違內控實施辦法第5條第1項第13款、第32條第3項第2款、修正前同辦法第5條第1項第12款、被告資恐注意事項第8點及防洗辦法第6條第3項規定。 　②被告於前審始追補修正前內控實施辦法第5條第1項第12款、( 修正後)內控實施辦法第32條第3項第2款規定，已重大變更裁罰處分本質，欠缺行政處分之同一性，不應准許追補。況原告於系爭檢查時，所訂105年7月29日版本之風管機制，亦已符合內控實施辦法第5條第1項第13款規定，自難謂有違反修正前同辦法第5條第1項第12款、同辦法第32條第3項第2款規定等情。 　⑶原處分事實18： 　　原告辦理「姓名及名稱檢核」案件程序，係由所屬核保人員 將系爭被保險人資料，輸入原告公司之洗錢防制系統，再由該系統進行內部資料庫、外部資料庫比對，所得姓名檢核結果為疑似洗錢資料庫名單之人員，洗錢防制系統遂顯示警報，然此業經核保人員以國籍不同為由，確認為誤判而排除警示，僅未於系統上註記誤判原因。又系爭被保險人之核保簽辦單勾選後經完成檢核，原告始得承保，該簽辦單自得作為檢核紀錄及排除疑似洗錢交易之依據，應認原告已訂定相關管理機制，難謂違反內控實施辦法第5條第1項第13款規定。 　⑷內控實施辦法第5條第1項第13款於106年10月19日始修正發布 ，被告作為處罰依據，違反處罰法定原則及法律不溯及既往原則，已如前述，雖修正前同辦法第8條定有「風險管理政策」，然因與修正後同辦法第5條第1項本文所定「控制作業之處理程序」不同，遂有移列修正前內控實施辦法第8條第3項第4款至修正後第5條第1項第13款之必要。復觀同辦法第4條規定可知，風險評估與控制作業為不同之內控制度組成要素，且被告公布之「建立內控制度核心原則」，亦就風險評估與控制作業為區分，更可見二者在公司治理架構、內控制度之功能及目的均不同。又防制洗錢及打擊資恐內控作業項目及程序之主要法令依據，係107年11月9日制定發布之「保險公司與辦理簡易人壽保險業務之郵政機構及其他經金融監督管理委員會指定之金融機構防制洗錢及打擊資恐內部控制與稽核制度實施辦法」，自不得據以回溯填充修正前內控實施辦法第8條第3項第4款所指「防制洗錢相關法令規章之標準作業程序」之意旨。 　㈡聲明：訴願決定及原處分關於事實16罰鍰60萬元；事實17罰 鍰60萬元、事實18罰鍰60萬元部分均撤銷。 四、被告答辯及聲明： 　㈠答辯要旨： 　⒈原處分事實16，原告於系爭檢查基準日時，仍未配合被告資 恐注意事項等法規修正其內部規範，違反內控實施辦法第32條第3項第2款所定適時更新義務： 　⑴原告前依據106年2月2日被告資恐注意事項，於106年2月21日 修正原告注意事項，並於106年2月22日函報被告，惟106年2月21日原告注意事項未修正法規名稱、納入確認客戶身分措施、客戶持續審查、交易持續監控及紀錄保存等項，被告復以106年4月10日函請原告補正上開事項。惟原告於收受上開函文至系爭檢查基準日有4個月以上的準備期間，且有被告106年6月28日防洗辦法及資恐內控要點修正發布，得作為參照，另至系爭檢查期間，更有6個月準備期間，惟原告均未完成修正。 　⑵內控實施辦法第32條第3項第2款所稱「適時更新」，係指保 險法令修正公布後，保險業應儘速配合補充及修正其內部規範，無違法律明確性原則。系爭範本係由壽險公會依洗錢防制法、資恐防制法、防洗辦法、資恐內控要點等規定制定，報經被告於106年11月13日備查，以提供保險業修訂內部規範之參考。惟該範本是否經備查實施，無從卸免原告依保險法令適時檢討修正其洗錢防制相關內部規範之義務。被告於106年4月10日函已要求原告應為補正，亦無「原告得待系爭範本經修訂完成，再予檢討、修正其內部規範」之意思。再參酌原告於106年2月2日被告資恐注意事項修正公布1個月內，即於106年2月22日函報經修正之106年2月21日原告注意事項，可見原告有於1個月內依最新法令更新內部規範之能力。原告逾4個多月仍未修正，顯屬怠忽，違反內控實施辦法第32條第3項第2款「適時更新」義務。又按保險法第171條之1第4項所定「未建立」，應包含完全未建立或未完整建立之情形。原處分事實16原告之違規行為，違反內控實施辦法第32條第3項第2款所定義務，即違反保險法第148條之3第1項規定，被告自得依同法第171之1第4項規定進行裁罰。 　⑶至原告所舉南山產險案例，因其違規基礎事實與本件不相同 ，違法情狀、程度亦有不同，自難比附援引。又被告考量原告近3年未因犯相同之缺失並經被告裁處，爰處以最低額度之罰鍰60萬元，無裁量怠惰之情形。 　⒉關於原處分事實17、18，各違反106年2月2日被告資恐注意事 項第8點、防洗辦法第6條第3項、第8條第3款規定，該當保險法第171條之1第4項規定之要件；及內控實施辦法第5條第1項第13款(就事實17於前審追補違反修正前同條項第12款及同辦法第32條第3項第2款；就事實17、18於本院更正違反修正前內控實施辦法第8條第3項第4款規定)，屬違反保險法第148條之3第1項，該當同法第171條之1第4項之要件，原處分所為裁罰，應為適法： 　⑴原處分事實17： 　①保險法第146條第1項第3款規定，「放款」為保險業資金運用 之範疇，故其放款交易之對象，當然屬保險業之客戶。原告於系爭檢查基準日時，未於106年2月21日原告注意事項納入放款客戶為其防制洗錢及打擊資恐作業的適用對象，並辦理姓名、名稱檢核及風險評級，系爭檢查範圍期間仍違反被告資恐注意事項第8點規定，屬內控機制未完整建立，亦違反內控實施辦法第5條第1項第13款規定。 　②106年2月21日原告注意事項於系爭檢查基準日時，仍未於「 是否執行強化確認客戶身分措施」之考量因素，納入人壽保險契約之受益人的部分，違反防洗辦法第6條第3項規定，屬內控機制未完整建立，亦違反內控實施辦法第5條第1項第13款規定。 　③原告風管機制之「衡量風險因素」，雖列有「是否曾通報疑 似洗錢」等風險因素，惟原告所有系爭程式於系爭檢查時之模組，未將「是否曾通報疑似洗錢」列為風險評估項目，與原告之風管機制不符。而系爭程式係原告就風管機制所制定之控制作業處理程序，自應配合內部規範之修訂，適時檢討修正。原告於行政調查時亦自承107年完成之新版系爭程式，始納入前揭風險評估項目，再證系爭程式未遵循原告所訂風管機制，有訂定作業程序未適時修正之違失情形，屬內控機制未確實執行，違反內控實施辦法第5條第1項第13款規定。 　④原告援引之「壽險業風險基礎方法指引」，係國際打擊洗錢 組織(FATF，應為防制洗錢金融行動組織)提出之建議，並非法規，無從卸免原告應依內控實施辦法所定「適時檢討修正內部規範」之義務。 　⑵原處分事實18： 　①被告於系爭檢查期間，發現原告有未依防洗辦法第8條第3款 規定，紀錄辦理系爭被保險人姓名及名稱檢核之過程，逕由所屬核保人員判斷非屬疑似洗錢資料庫名單，未註記查證過程及認定原因之情形，違反防洗辦法第8條第3款規定，屬未依規定確實執行內控或稽核制度之違法，亦違反內控實施辦法第5條第1項第13款規定，該當保險法第171條之1第4項規定，與原告是否訂定管理機制與否無涉。 　②原告以防洗辦法未就放款客戶為規定，及放款客戶非屬高風 險客戶，而未納入防制洗錢及打擊資恐作業、辦理姓名、名稱檢核及風險評級為據，係原告誤解法令所致。原告「風險高低、資源分配考量」之主張，屬臨訟卸責之詞，應不足採。 　⑶原告事實17、18之行為，有未完整建立或未確實執行內控及 內部稽核制度之情形，即未訂定控制作業之處理程序、未適時檢討，或配合相關法令修正，所生違規狀態持續至系爭檢查期間，並存續至修正內控實施辦法於106年10月19日施行後，跨越內控實施辦法新、舊法規施行時期，適用修正內控實施辦法第5條第1項第13款，並無違反法律不溯及既往原則。 　⑷被告就事實17所為理由追補未改變原處分所適用之法規，或 其性質及結果，符合同一性要件，且於訴願程序即經提出，而於裁判基準時已存在，無礙原告之攻擊防禦，並基於客觀事實之發現、法律適用之目的，應屬合法。 　⑸事實17、18之原告行為違反修正前內控實施辦法第8條第3項 第4款規定： 　①參106年10月19日修正發布內控實施辦法之立法總說明第5點 、第5條條文對照表說明第4點可知，修正內控實施辦法第5條第1項第13款規定，係自修正前內控實施辦法第8條第3項第4款規定移列，並酌修文字，且修正前該辦法第8條第3項第4款已明定保險業之內控制度，應就洗錢及資助恐怖主義風險事項建立管理機制。從而，修正內控實施辦法第5條第1項第13款規定，係於修正前已存在。 　②被告更正原告於事實17、18所違反法令，自修正內控實施辦 法第5條第1項第13款為修正前同辦法第8條第3項第4款規定，未改變原處分之性質、理由已載明於原處分，且於訴願程序已說明原告內控制度就洗錢及資助恐怖主義風險事項，未建立完整之管理機制及未確實執行內控制度之情形，並有助於法院發現客觀事實與法律適用之訴訟經濟。被告爰將原告事實17、18所違反之法令，由內控實施辦法第5條第1項第13款更正為修正前同辦法第8條第3項第4款規定。 　㈡聲明：駁回原告之訴。 五、本件如爭訟概要欄所載之事實，業經兩造分別陳明在卷，並 有原處分(前審卷一第141頁至155頁)、訴願決定(前審卷一第157頁至195頁)、系爭檢查報告(前審卷二第457頁至490頁)在卷可稽，堪信屬實。本件之爭點為：關於原處分事實16部分，原告就其洗錢防制相關內部規範之修訂，是否違反內控實施辦法第32條第3項第2款所定「適時更新」之規定？關於原處分事實17、18部分，原告是否違反內控實施辦法第5條第1項第13款或修正前同辦法第8條第3項第4款規定？被告就原處分事實16、17、18各裁處原告罰鍰60萬元，是否適法有據？ 六、本院之判斷如下： ㈠107年6月6日修正公布前即行為時保險法第171條之1第4項規定：「保險業違反第148條之3第1項規定，未建立或未執行內部控制或稽核制度，處60萬元以上600萬元以下罰鍰。」(修正後將法定最高罰鍰金額提高至1,200萬元)參酌該條立法理由可知，保險業收取大眾資金經營運用，應建立完整之內控制度，以妥善控管營運風險，為提升保險業對內控及稽核制度之重視，確實落實各項內部處理制度或程序，因此對未建立或未執行內控或稽核制度及各項內部處理制度或程序之保險業課處罰鍰，以督促保險業落實強化內控制度。㈡關於原處分事實16部分，原告就其洗錢防制相關內部規範之修訂，並未違反內控實施辦法第32條第3項第2款所定「適時更新」之規定： 　⒈保險法第148條之3第1項授權訂定內控實施辦法第32條第3項 第2款規定：「法令遵循單位應辦理下列事項：確認各項作業及管理規章均配合相關法規『適時更新』，使各項營運活動符合法令規章規定。」(106年10月19日增訂第32條第3項第6款，但不影響前開同項第2款之文字)。公司(本件係指保險業)從事各項營運活動，應隨時符合現行有效之法令，對於已經公告發布但尚未施行之法令，則應於法令施行前之準備期間進行相關內部規範的修訂作業、員工訓練及組織宣導，要言之，公司之法令遵循業務，有確認公司之各項作業及管理規章均配合相關法規適時更新，使各項營運活動符合法令規章規定，並應督導各單位法令遵循主管落實執行相關內部規範之導入、建置與實施之義務(內控實施辦法第32條第3項規定參照)。而公司透過所定內部控制制度之建立及實踐，以達成遵守法令之目的，以避免法律風險與罰則。但公司有時組織龐大，業務繁多，內控相關規範之修正需要相當時間及一定程序，然縱使相關內控規範尚未訂定完成，公司如發生違反現行有效法令，仍不得以其內控規範尚未完成修正解免其遵循法令之責任，並以內控規範尚未公告實施為藉詞，應先敘明。所謂「適時」，為一常見法律用語，雖屬不確定的法律概念，但觀其文義可知並無一特定的時間，而應指客觀上可以期待一定作為的合理期間。又公司所屬法令遵循單位，雖應確認各項作業及管理規章均配合相關法規，並「適時更新」，惟立法意旨非要求負有法令遵循義務之保險業者必須注意相關法令修正內容，並於一經修正時，即無縫接軌提出相應之內控及稽核制度的內部規範版本；亦非要求保險業者對於主管機關之監督命令，必須一個口令一個動作地遵從辦理，蓋若作此解釋，無疑過苛，且不符合「適時更新」之文義內涵。是故被告如認該保險業者有違反前開內控實施辦法第32條第3項第2款所謂「適時更新」之情事，自應舉證並敘明該保險業者確有於客觀上可以合理期待進行內控及稽核規範更新竟怠忽為之的事實。 　⒉經查，壽險公會為防制洗錢，特別是防範利用保單洗錢，特 修正其自律規範即105年12月15日注意事項範本，透過該範本進行自主管理，經被告以105年12月15日金管保綜字第10502914660號函准予備查修正第3點條文。嗣被告以106年2月2日金管保綜字第10602560561號令(下稱106年2月2日令)發布將「保險業防制洗錢及打擊資助恐怖主義注意事項」修正為「保險業防制洗錢及打擊資恐注意事項」(即106年2月2日被告資恐注意事項)。原告以106年2月22日宏壽法字第1060000153號函(下稱106年2月22日函)報被告修正後「防制洗錢及打擊資助恐怖主義注意事項」(即106年2月21日原告注意事項)時，仍未將法規名稱、確認客戶身分措施、客戶持續審查、交易持續監控及紀錄保存等內部制度納入修正，被告遂以106年4月10日函，請原告就上開事項予以補正，被告復於106年6月28日公告訂定施行之防洗辦法及修正生效之資恐內控要點，原告於系爭檢查時尚未依被告106年4月10日函補正或106年6月28日資恐內控要點修訂其注意事項，嗣以107年2月8日宏壽法字第1070000162號函(下稱107年2月8日函)始陳報訂定之原告資恐注意事項、洗錢及資恐風險評估及防制計畫政策等情，有106年2月2日令(原處分卷第207頁至246頁)、原告106年2月22日函(原處分卷第249頁)、被告106年4月10日函(原處分卷第247頁)、原告107年2月8日函及其陳報之原告資恐注意事項、洗錢及資恐風險評估及防制計畫政策(原處分卷第287頁、前審卷一第253頁至277頁、第279頁至284頁)可參。 　⒊被告作成原處分以：原告於106年10月間被告進行系爭檢查時 ，仍未依被告106年4月10日函請求補正事項及發布施行之106年6月28日防洗辦法、發布生效之資恐內控要點，就其洗錢防制相關之內部規範完成修正，遲至107年2月8日始完成制訂並報被告備查，而認違反內控實施辦法第32條第3項第2款應適時更新法令之規定。被告並辯稱，其於106年4月10日即函知原告應就防制洗錢之相關內部規範進行修正。繼於106年6月28日發布之防洗辦法及資恐內控要點，可供原告作為修正內部規範之依據，然原告於同年10月系爭檢查時仍未完成內部規範之修正，距被告106年4月10日函通知原告補正時，至原告107年2月8日新訂報被告備查之內部規範，已近10個月；距被告106年6月28日發布防洗辦法及資恐內控要點，亦已逾7個月。縱如原告所稱，其於106年12月即經董事會通過施行相關內部規範，亦距106年6月28日防洗辦法及資恐內控要點經修正發布施行之日達5個月。原告曾有於1個月內進行適時更新之案例，顯見原告確未適時修正防制洗錢之相關內部規範，有違反內控實施辦法第32條第3項第2款規定之情事。 　⒋惟查： 　⑴壽險公會為防制透過保單洗錢之犯罪行為，先行修正注意事 項範本，透過該範本進行自主管理，嗣被告於105年12月15日准予備查，再以106年2月2日令發布106年2月2日被告資恐注意事項，原告復於106年2月21日修訂其注意事項，並於106年2月22日函報被告備查，惟被告以106年4月10日函，未准予原告備查，請原告配合106年2月2日被告資恐注意事項修訂內部規範。經核，原告向被告陳報之106年2月21日原告注意事項，原告未及將被告106年2月2日修正之被告資恐注意事項納入，應係時間過於緊迫之故，難認原告有違反內控實施辦法第32條第3項第2款規定所指之適時更新義務。 　⑵又被告於106年2月2日修正資恐注意事項後，於同日發函指示 壽險公會應於「106年4月底前」將相關修正規定之內容，納入壽險公會所定範本，並函報被告備查。壽險公會乃於106年2月21日、3月30日分別召開「法令遵循研究小組會議」、「法令遵循承保研究小組會議」，討論範本修正事宜，原告並指派專責單位人員出席會議，有106年2月21日、3月30日壽險公會研究小組會議紀錄可參(本院卷第301頁至309頁)。準此可知，原告於107年5月18日檢陳被告系爭檢查報告所列缺失事項之陳述書第46頁所述(本院卷第299頁)，其於收受被告106年4月10日函後，即向被告承辦人員詢問，經承辦人員告知範本將於4月底前公告，並請原告於範本備查後修訂，再報被告備查等情，並非全然無據。原告因此積極參與壽險公會研究小組等會議，追蹤壽險公會範本修訂進度，並期待壽險公會制定範本經被告公告備查後再修訂相關內部規範，尚稱合理。 　⑶嗣壽險公會以106年6月6日壽會貴字第1060607715號函陳報範 本建議修正案予被告，並建請廢除「保險業評估洗錢及資助恐怖主義風險及訂定相關防制計畫指引」，惟經被告表示該案並未進行實質討論，其立場傾向不同意廢止該指引，故未決定是否准予備查。其後被告於106年6月28日訂定發布防洗辦法，並將被告資恐注意事項修正為資恐內控要點，另指示壽險公會將前開防洗辦法及資恐內控要點相關內容納入注意事項範本，並函報被告備查。壽險公會乃於106年7月18日、7月27日分別召開會議，討論範本修正事宜，原告亦指派專責單位人員出席會議，有106年7月18日、7月27日壽險公會法令遵循研究小組會議紀錄可參(本院卷第311、312、314、315頁)。嗣壽險公會以106年8月18日壽會貴字第1060811761號函陳報範本建議修正案予被告所屬保險局，惟保險局並未准予備查，而以106年10月2日保局(綜)字第10600943480號函指示壽險公會再予補正(本院卷第319頁)。壽險公會乃於106年10月13日召開「防制洗錢及打擊資恐聯合工作小組第二次會議」，再行討論保險局指示相關修正事宜，原告亦指派專責單位人員出席會議，有106年10月13日防制洗錢及打擊資恐聯合工作小組第二次會議紀錄可稽(本院卷第317、319頁)。壽險公會嗣再以106年11月3日壽會貴字第1061115612號函報請被告備查，經被告以106年11月13日金管保綜字第10610958830號函同意備查，並於說明四載明：「請將修正後注意事項範本及防制計畫指引轉知會員機構參照辦理，及將修正後注意事項函報本會；另為強化所屬會員對旨揭新修正之注意事項範本等內容之瞭解，請舉辦相關說明會廣為宣導。」(前審卷三第463頁)。據上可知，被告為防範洗錢犯罪日益猖獗，自106年2月2日修正資恐注意事項起，即開始複雜之法令修正過程，亦多次指示壽險公會配合修正範本、召集保險業檢討及調整內控制度及稽核程序，而原告皆有指派專責單位人員參與壽險公會相關會議。且106年2月2日被告資恐注意事項雖於該日公告，但至106年6月1日修正規定始全部生效。被告雖於106年4月10日發函通知原告依106年2月2日被告資恐注意事項補正106年2月21日原告注意事項，惟被告又於106年6月28日訂定發布防洗辦法及修正發布106年2月2日被告資恐注意事項，並將法規名稱修正為：資恐內控要點，另指示壽險公會將前開防洗辦法及資恐內控要點規定之相關內容納入範本，並函報被告備查，可見原告又須依最新之法令內容修訂內規。而包括原告在內之保險業者、壽險公會與被告間，自106年2月2日公告被告資恐注意事項起，持續就範本配合洗錢防制相關規範修正之事宜為討論，直至106年11月13日被告方同意備查系爭範本。原告嗣於106年12月28日訂定原告資恐注意事項、洗錢及資恐風險評估及防制計畫政策，經106年12月董事會通過，於107年1月11日公告實施，有原告資恐注意事項及該防制計畫政策可參。綜觀上開歷程，原告均有參與壽險公會依修正後法令修訂範本之討論過程，被告未於原訂時間備查範本，並再度修正法令，致使範本續行修訂，難認原告有客觀上可以合理期待進行內控及稽核規範之更新，竟怠忽為之的事實。 　⑷被告雖辯稱系爭範本係由壽險公會提供保險業修訂內部規範 之參考，惟該範本是否經備查、公告，無從卸免原告依保險法令適時檢討修正其洗錢防制相關內部規範之義務，固非無見。原告雖不得僅以公會制作範本供會員參考係業界慣例、歷年習慣，並以等候範本為由怠忽適時更新其內部規範，然被告就原告就前開義務之履行是否確有怠忽為之的情事，負舉證責任以明其說，始能認原告有違反內控實施辦法第32條第3項第2款規定之適時更新義務，並得據以裁罰。經核，壽險公會提供予保險業者之範本，係經主管機關即被告備查、公告，亦即為被告所認可之內容。而被告自106年2月2日修正資恐注意事項起，即經過複雜之法令修正過程，亦多次指示壽險公會配合修正範本、召集保險業檢討及調整內控制度及稽核程序，原告既已派員參與壽險公會相關會議討論，則原告為免修正之內部規範未獲被告認可備查，稍待壽險公會與被告間就範本內容獲致共識，並無不合理之處。 　⑸從而，關於原處分事實16部分，原告就其洗錢防制相關內部 規範之修訂，並未違反保險法第148條之3第1項授權訂定之內控實施辦法第32條第3項第2款「適時更新」之規定，即未構成保險法第171條之1第4項規定之要件。原告主張原處分關於事實16被告裁處原告罰鍰60萬元部分違法，堪認有據，原告請求撤銷訴願決定及原處分關於前開部分，為有理由。 　㈢關於原處分事實17部分，原告就其於基準日有尚未：⑴將放款 客戶納入防制洗錢及打擊資恐作業並辦理姓名、名稱檢核及風險評級、⑵將人壽保險契約之受益人納為是否執行強化確認客戶身分措施之考量因素及系爭程式、⑶未將是否曾通報疑似洗錢列為風險評估項目等情事；事實18部分，原告於被告查核時，有：⑴對經由系統辦理姓名及名稱檢核之案件，未留存檢核紀錄、辦理客戶及名稱檢核。⑵對疑似洗錢資料庫名單者，未註記查證過程及認定原因等情事，違反修正前內控實施辦法第8條第3項第4款規定，而並未建立或未執行內部控制或稽核制度： 　⒈106年10月19日修正公布前(103年8月8日修正公布)內控實施 辦法第8條第3項第4款規定：「保險業之風險控管機制應包括下列原則：應建立辨識、衡量與監控洗錢及資助恐怖主義風險之管理機制，及遵循防制洗錢相關法令規章之標準作業程序，以降低其洗錢及資助恐怖主義發生之風險。」；106年10月19日修正之內控實施辦法第5條第1項第13款則規定：「保險業應分別業務性質及規模，依內部牽制原理訂定至少應包括下列控制作業之處理程序，且應適時檢討修訂：防制洗錢及打擊資恐機制及相關法令之遵循管理，包括辨識、衡量、監控洗錢及資恐風險之管理機制。」觀諸前後修正條文用語大致相同，均係為「防制洗錢及打擊資恐」之目的，要求保險業之內控制度應就前開目的事項建立「具有辨識、衡量與監控功能之管理機制」，行為義務內涵並無變更，足認內控實施辦法於106年10月19日修正前即已明定，保險業之內控制度應就洗錢及資助恐怖主義風險事項建立相關管理機制。前開規定於106年10月19日修正之立法總說明第5點更明白指出：「配合第5條增訂有關『防制洗錢及打擊資恐相關法令之遵循管理』規定，爰將現行條文第8條第3項第4款有關保險業應建立辨識、衡量與監控洗錢及資恐風險之管理機制等規定移列至第5條規定。(修正條文第5條、第8條)。」；又修正條文對照表第5條說明欄第4點亦說明：「為強化防制洗錢及打擊資恐機制，爰參考金融控股公司及銀行業內部控制及稽核制度實施辦法第8條第1項第11款規定，明定控制作業之處理程序應包括防制洗錢及打擊資恐相關法令之遵循管理，增訂第1項第13款規定，並將現行條文第8條第3項第4款規定移列本款並酌作文字修正。」(本院卷第269、273頁)。益見106年10月19日修正內控實施辦法所增定之第5條第1項第13款規定，係由原103年8月8日修正之內控實施辦法第8條第3項第4款規定移列，並酌修文字，106年10月19日內控實施辦法第5條第1項第13款規定內容，於修正當時即已存在，原告主張兩者之規範意旨不同，尚不足採。 　⒉行政處分作成後，行政機關得否於行政訴訟中追加、變更或 補充行政處分理由及其法律依據，我國目前實務上多係採取「有條件肯定說」之見解，亦即行政法院基於職權調查原則及訴訟(程序)經濟原則，於「未改變行政處分之本質與結果(同一性)」、「須屬於裁判基準時已存在之理由」、「無礙當事人之攻擊防禦(程序保障權利)」及「須由行政機關自行追補理由」之前提下，得允許行政機關於行政訴訟中追補行政處分之理由及其法律依據(最高行政法院110年度上字第 654號判決意旨參照)。本件原處分事實17、18部分，於法令依據雖記載為109年10月19日修正發布內控實施辦法第5條第1項第13款規定，惟被告於本件訴訟中變更其原處分之法律依據為修正前同辦法第8條第3項第4款規定，因二者於文義內容，僅係文字修正及條號移列；規範意旨則相同，已如前述，堪認符合行政處分同一性，且為裁判基準時即原處分作成時即已存在之情形，尚足以使原告知悉其受原處分論罰所依據法令之內容，復經被告於言詞辯論意旨狀及本院言詞辯論期日據以變更，無礙當事人之攻擊防禦，應屬合法之處分理由追補，原告主張二者規範不同，不得追補，尚無足取。又原處分事實17、18之法令依據既經合法追補，即無發回判決所指此部分是否違反禁止法律溯及既往及處罰法定原則的問題，應予敘明。 　⒊經查： 　⑴關於事實17前述⑴、⑵部分，原告並未否認於系爭檢查基準日 尚未有前述⑴、⑵之作為。另就前述⑴部分主張：原告放款客戶僅有10戶，發生洗錢與資恐之機率與風險較低，原告待資源逐漸到位，即於107年2月將放款客戶納入姓名及名稱檢核對象，並規劃放款作業應行辦理之風險評級云云。惟106年2月2日被告資恐注意事項第8點規定：「客戶及交易有關對象之姓名及名稱檢核政策及程序：㈠保險業應依據風險基礎方法，建立客戶及交易有關對象之姓名及名稱檢核政策及程序，以偵測、比對、篩檢客戶或交易有關對象是否為資恐防制法指定制裁之個人、法人或團體，以及外國政府或國際洗錢防制組織認定或追查之恐怖分子或團體者，並依資恐防制法第7條等規定辦理。㈡保險業之客戶及交易有關對象之姓名及名稱檢核政策及程序，至少應包括比對與篩檢邏輯、檢核作業之執行程序，以及檢視標準，並將其書面化。㈢保險業執行姓名及名稱檢核情形應予記錄，並依第10點規定之期限進行保存。」已有保險業應就客戶及交易相關對象之姓名及名稱建立檢核政策及程序之相關規範。其後106年2月2日被告資恐注意事項，修正為106年6月28日防洗辦法(第8條規定參照)及資恐內控要點(第5點內控制度規定參照)，規定更為詳盡。遍覽106年2月21日注意事項之內容，並無關於將放款客戶納入姓名、名稱檢核對象，並規劃放款作業應行辦理之風險評級之記載，足見原告確未於其105年7月29日風管機制及106年2月21日注意事項，將放款客戶納入防制洗錢及打擊資恐作業的適用對象，並辦理姓名、名稱檢核及風險評級，此外，縱原告放款客戶僅有10戶，亦不能解免此部分之義務；就前述⑵部分，原告於系爭檢查基準日其106年2月21日注意事項確未將人壽保險契約之受益人納為是否執行強化確認客戶身分措施之考量因素，違反106年6月28日防洗辦法第6條第3項：「保險業應將人壽保險契約之受益人納為是否執行強化確認客戶身分措施之考量因素。人壽保險契約之保險受益人為法人或信託之受託人，經評估屬較高風險者，應採取強化確認客戶身分措施，包括於給付保險金前，採取合理措施辨識及驗證實質受益人身分。」之規定，核有未建立完整內部控制或稽核制度之情形。原告就前述⑴、⑵雖另主張系爭檢查時，原告前於105年7月29日已訂有風管機制為據。惟參諸原告所提出之風管機制(前審卷一第523頁以下)，其主要是針對保戶透過原告進行洗錢及資恐的風險之防制及管理規範，惟對於前述⑴之放款客戶及⑵之保險受益人未予明文作業程序。原告遲至107年2月始公告「防制洗錢及打擊資恐身分確認及風險評估作業辦法」、「防制洗錢及打擊資恐客戶審查與交易監控作業辦法」、「防制洗錢及打擊資恐姓名檢核作業辦法」等內規，將前述⑴、⑵部分納入前開內控及稽核制度規範中，難謂合於修正前內控實施辦法第8條第3項第4款規定，從而，原告提出其於105年7月29日修訂之風管機制，主張於系爭檢查時，已符合前開內控實施辦法、106年6月28日防洗辦法規定云云，委無足採。至原告所引據之「壽險業風險基礎方法指引」，經核非屬法令，無從卸免其應遵守相關內控法令之法規範義務，不足為有利於原告之認定。 　⑵關於事實17前述⑶部分，觀諸原告所訂風管機制「衡量風險」 表格第12欄，明定「是否曾通報『疑似洗錢』」(前審卷二第249、250頁)，是原告應以系爭程式進行保戶之風險評估(系爭程式見前審卷二第239頁至248頁)，然原告並未為之，原告亦自承是迨至107年新版系爭程式始包括該部分之風險評估項目，可見原告確有未落實其所訂之風管機制。原告主張系爭程式並非涉及「辨識、衡量、監控洗錢及資恐風險之管理機制或相關法令之遵循管理」云云，然系爭程式乃屬原告依洗錢及資恐風險之管理機制，所制定之控制作業處理程序，該作業程式之建置依修正前內控實施辦法第8條第3項第4款規定，應遵循原告依照防制洗錢及打擊資恐相關法令所制定之內部規範，而原告所訂之風管機制即屬內部規範之一，系爭程式未適時檢討、配合更新，即有缺漏之處，違反保險法第148條之3第1項授權訂定之修正前內控實施辦法第8條第3項第4款，核有未建立完整內控或稽核制度之情形。 　⑶關於事實18部分，原告對經由系統辦理姓名及名稱檢核之案 件，未留存紀錄、辦理客戶姓名及名稱檢核，對疑似洗錢資料庫名單之客戶，經核保人員判斷非屬資料庫名單者，未註記查證過程及認定原因，例如系爭被保險人等情，並未爭執。按106年6月28日防洗辦法第8條第3款規定，金融機構對客戶及交易有關對象之姓名及名稱檢核，應予記錄，並依該辦法第12條規定之期限進行保存。查原告辦理系爭被保險人姓名及名稱檢核時，核保人員判斷該客戶非屬疑似洗錢資料庫名單，但未註記其查證過程及認定原因，即有違反上開規定。原告雖主張其辦理姓名及名稱檢核案件，係由所屬核保人員將系爭被保險人資料，輸入原告公司之洗錢防制系統，再由該系統進行內部資料庫、外部資料庫比對，系爭被保險人姓名檢核結果為疑似洗錢資料庫名單之人員，洗錢防制系統遂顯示警報，惟是系統誤判後排除警示云云，然系爭被保險人既經原告系統判斷疑似洗錢資料庫名稱，原告所屬核保人員未於系統上註記查證過程及認定原因，即違反前開條款之記錄義務。防洗辦法屬修正前內控實施辦法第8條第3項第4款所指保險業應遵循之相關法令，原告違反該辦法第8條第3款規定，亦同時違反修正前內控實施辦法第8條第3項第4款規定。依發回判決意旨，保險法第171條之1第4項規定之未執行內部控制或稽核制度，當然含括未依規定執行(未確實執行)之情形(發回判決第13頁第19至27行參照)。按建立並確實執行完善之內部控制及稽核制度，係為達到健全保險業經營及其財務狀況之目的，未確實執行內部控制或稽核制度，形同未執行該制度。是原處分事實18認原告違反保險法第148條之3第1項授權訂定之修正前內控實施辦法第8條第3項第4款規定，該當保險法第171條之1第4項之未執行內部控制或稽核制度之要件，於法有據。 　⑸另原處分事實17係未建立內部控制或稽核制度，事實18則是 未依規定確實執行內部控制或稽核制度，其具體情節及行為態樣明顯不同，原處分予以分別處罰，並無違反一行為不二罰原則。㈣據上，原處分關於事實17、18被告各裁處原告罰鍰60萬元部分，於法並無違誤，原告訴請撤銷訴願決定及原處分關於前開部分，為無理由。 七、綜上所述，原告訴請訴願決定及原處分關於事實16部分，為 有理由，應予准許；至原告其餘訴請撤銷訴願決定及原處分關於事實17、18部分，則無理由，應予駁回。 八、本件判決基礎已經明確，兩造其餘攻擊防禦方法及訴訟資料 經本院斟酌後，均與判決結果不生影響，而無一一論述之必要，併予說明。 九、結論：本件原告之訴為一部有理由，一部無理由，判決如主 文。 中　　華　　民　　國　　114 　年　　2 　　月　　6 　　日 審判長法 官　侯志融 法 官　傅伊君 法 官　郭淑珍 一、上為正本係照原本作成。 二、如不服本判決，應於送達後20日內，向本院高等行政訴訟庭 提出上訴狀，其未表明上訴理由者，應於提出上訴後20日內補提理由書；如於本判決宣示或公告後送達前提起上訴者，應於判決送達後20日內補提上訴理由書（均須按他造人數附繕本）。 三、上訴未表明上訴理由且未於前述20日內補提上訴理由書者， 逕以裁定駁回。 四、上訴時應委任律師為訴訟代理人，並提出委任書（行政訴訟 法第49條之1第1項第3款）。但符合下列情形者，得例外不委任律師為訴訟代理人（同條第3項、第4項）。 得不委任律師為訴訟代理人之情形 所 需 要 件 ㈠符合右列情形之一者，得不委任律師為訴訟代理人　 1.上訴人或其代表人、管理人、法定代 理人具備法官、檢察官、律師資格或 為教育部審定合格之大學或獨立學院 公法學教授、副教授者。 2.稅務行政事件，上訴人或其代表人、 管理人、法定代理人具備會計師資格 者。 3.專利行政事件，上訴人或其代表人、管理人、法定代理人具備專利師資格或依法得為專利代理人者。 ㈡非律師具有右列情形之一，經最高行政法院認為適當者，亦得為上訴審訴訟代理人 1.上訴人之配偶、三親等內之血親、二親等內之姻親具備律師資格者。 2.稅務行政事件，具備會計師資格者。 3.專利行政事件，具備專利師資格或依法得為專利代理人者。 4.上訴人為公法人、中央或地方機關、公法上之非法人團體時，其所屬專任人員辦理法制、法務、訴願業務或與訴訟事件相關業務者。 是否符合㈠、㈡之情形，而得為強制律師代理之例外，上訴人應於提起上訴或委任時釋明之，並提出㈡所示關係之釋明文書影本及委任書。 中　　華　　民　　國　　114 　年　　2 　　月　　6 　　日 　　　　　　 　　　 書記官 劉聿菲