Travel Rule (FATF R.16)

旅行規則的起源和邏輯：傳統銀行的電匯（Wire Transfer）早在 1990 年代就受到 FATF 的 R.16 規範——金額超過 3,000 美元的電匯，發送銀行必須把匯款人的身份信息傳給收款銀行，確保資金流向可追溯，防止洗錢和恐怖融資。2019 年，FATF 把這個規定擴展到加密資產——所有超過門檻的加密轉帳，發送方 VASP 必須收集並傳遞：發送方的姓名（或公司名稱）、帳戶地址（鏈上地址）、以及在可行的情況下，發送方的實際地址和身份證號碼；同樣需要收集並驗證接收方的對應信息。對 RWA 代幣，旅行規則的執行更嚴格——因為代幣化有價證券已經有 KYC 白名單機制，旅行規則數據的傳遞可以和白名單系統整合。Securitize 等轉讓代理人在執行代幣轉移時，同時驗證旅行規則的合規性。

旅行規則的「最後一哩問題」是加密資產合規最大的技術挑戰之一。問題的本質：傳統金融機構之間傳遞旅行規則數據有標準協議（如 SWIFT 的 MT103 格式），但加密資產的 VASP 之間目前缺少統一的數據傳輸標準。一個加密轉帳可能涉及：發送方在台灣的 BitoEX（台灣 VASP）→ 接收方在新加坡的 DBS（新加坡持牌 VASP）。BitoEX 需要把旅行規則數據傳給 DBS，但兩者使用的系統可能完全不同，數據格式也不兼容。目前市場上的解決方案：TRUST（由美國主要交易所組成的合規網絡，採用加密的點對點數據傳輸）；Notabene（加密資產旅行規則合規 SaaS 服務，幫助 VASP 之間傳遞合規數據）；VerifyVASP（亞洲市場的旅行規則解決方案，在新加坡、韓國、日本的主要交易所採用）。對 RWA 代幣，Securitize 的轉讓代理人功能可以整合旅行規則合規，讓代幣轉移時自動完成身份數據的安全傳遞。

旅行規則對 DeFi 的影響是整個合規框架中最有爭議的問題之一。問題的核心：旅行規則要求「發送方 VASP 傳遞身份信息給接收方 VASP」，但 DeFi 協議（Uniswap、Aave）通常沒有「VASP」的法律主體——它們是自治的智能合約，沒有公司實體。如果一個用戶把 OUSG 從自己的 MetaMask 地址（非 VASP）存入 Flux Finance（智能合約，非 VASP），是否觸發旅行規則？目前大多數監管機構的立場：如果雙方都不是 VASP（如從個人錢包到 DeFi 協議），旅行規則不適用；如果一方或雙方是 VASP，則適用。這讓「ERC-3643 白名單 + 旅行規則」的組合成為 RWA 代幣進入 DeFi 的核心合規挑戰：ERC-3643 確保代幣只在 KYC 用戶之間流轉，但傳統旅行規則框架對 DeFi 協議（沒有 VASP 主體）的適用性仍然不清晰。

台灣在旅行規則的合規進程：台灣金管會在 2024-2025 年的 VASP 管理辦法中，對旅行規則有初步的相關規定，要求台灣持牌 VASP（BitoEX、MAX Exchange 等）在超過門檻的加密轉帳中遵守旅行規則。具體門檻和實施細節預計在 2026-2027 年進一步明確。對台灣的 RWA 投資者，旅行規則的實際影響：如果你通過台灣的持牌交易所（BitoEX）提幣到 Securitize 的白名單地址，BitoEX 可能需要把你的身份信息傳遞給 Securitize，確認符合旅行規則；如果你直接用個人 MetaMask 地址操作（不通過 VASP），旅行規則在技術上不適用，但這個「灰色地帶」可能隨著台灣監管框架成熟而收窄。長期預測：隨著 OECD 的 CARF（加密資產申報框架）和旅行規則的全球協調推進，代幣化資產的大額轉移將越來越難以在全球主要司法管轄區的監管雷達下匿名進行。