跳转至

倡议组织的匿名捐款管道

公民团体与倡议组织常常需要两件看似冲突的事:一边保护支持者、捐款人不被识别,一边维持对外的财务透明与合规。这两件事不是非此即彼。一份可运作的匿名捐款设计,会让组织能对主管机关交代金流、对社群交代收支总量,同时让个别捐款人可以选择不被列名。

这篇文章从两个角色切入。组织方怎么建立可选的匿名收款管道(现金、加密货币、预付卡的取舍与内部风险管理),捐款人怎么选择合适的工具与通道(避免让自己暴露身份)。中间穿插 Tornado Cash 制裁案例的提醒,最后是台湾的法规脉络(公益劝募条例、政治献金法、洗钱防制、税务)。

要先理解为什么要做到这个程度,可以回头看 为什么匿名支付重要威胁模型怎么想。工具细节对应到 加密货币的隐私光谱,台湾法规对应到 台湾 VASP 法 2026

为什么这个议题要单独写

「捐款不就是给个账号然后填收据吗」是最常见的反应。对中性议题(救灾、教育、宠物医疗)来说大致是这样,但下面这几个情境就完全不是:

  • 议题本身敏感:人权、性别、劳权、原住民土地、跨海峡议题,捐款人担心立场被雇主、家人、长辈看到
  • 小群体支持小议题:少数族群、性少数、未成年子女的家长社群,捐款人名单一旦外泄,识别风险比一般组织高得多
  • 跨境支持境外受迫害群体:捐到香港的记者基金、声援缅甸或新疆受害者的组织,捐款人的金流记录可能被外国司法管辖调阅
  • 内部支持但不愿曝光:公务员、教师、企业中高阶主管,职务上不适合公开支持特定倡议,但个人立场想用金钱表达
  • 个资法下名册外泄的反向风险:组织方即便完整保护捐款人名册,一次信息安全事件就足以让所有支持者连带曝光

换个角度说,捐款人的识别信息跟政治立场、性向、家庭结构、社群关系绑在一起,这份信息比一般消费记录敏感得多。组织方愿意提供「可选的匿名通道」,本身就是对支持者基本的尊重。

组织方:建立可选的匿名收款管道

「可选的匿名」这四个字是设计的核心。意思是让想匿名的人有路可走,同时想列名的人也能正常列名,两条路并存。实务上多数捐款人会走列名管道(为了取得收据、为了加入会员),少数人会走匿名管道(为了上述各种敏感原因)。组织方准备好两条路,比强迫所有人走同一条更尊重支持者的处境。

三种收款管道的取舍

管道 匿名度 合规负担 规模化 跨境
现金(公开信箱、活动现场) 中(公益劝募条例适用情境多) 不行
加密货币 中至高 高(VASP、AML、税务)
预付礼物卡、超商代码 限境内

每一个管道都有取舍,没有「最匿名」的单一选项。实务上多数组织会混搭:日常用现金与预付卡、跨境用加密货币、列名捐款人走银行转账。

内部风险管理三件事

决定提供匿名管道前,组织内部要先把这三件事谈清楚:

  • 收款政策公开:什么来源会收、什么来源会退、谁有最终决定权。常见的拒收条件包括金额异常巨大但来源不明、明显违反组织价值的对象、政治献金法或劝募条例不允许的对象
  • 账簿与钱包权责分离:谁看得到金额、谁能动私钥、谁负责对外披露。加密货币捐款建议至少 2-of-3 多重签署,私钥持有人要包含至少一位非执行单位成员(例如理事或外部会计师)
  • 对外透明报告:年度收支总量公开、不揭露个别捐款人。透明报告做得越扎实,匿名管道的正当性越强,主管机关与媒体质疑时也有依据

把这三件事写成内部章程的一部分,不要等收到第一笔匿名捐款才讨论。

组织方:接受加密货币捐款的具体做法

加密货币是匿名捐款里技术门槛最高的选项,但也是跨境与规模化做得最彻底的选项。下面以一个小型倡议组织做为范例。

自管钱包与托管平台的选择

两种主要架构:

  • 自管钱包(self-custody):组织自己持有私钥,常见实作是 Bitcoin Core、Electrum、Sparrow(BTC),MetaMask、Frame、Rabby(ETH 与稳定币),Cake Wallet、Feather(Monero)。优点是不依赖第三方、不需要 KYC,缺点是私钥管理是组织责任,遗失即失去资金
  • 托管平台(custodial):透过合规交易所(CEX)开机构户接收捐款,再转自管。优点是有客服与保险,缺点是接收即被 KYC、捐款人信息可能被交易所留存

实务建议是「以自管为主、托管为辅」。日常小额走自管钱包,大额或需要快速换匯走机构户。

多重签署(multisig)是这个段落的关键字。2-of-3 设计把私钥分给三个角色(例如执行长、会计、外部理事),任何单一人遗失或离开都不会让资金锁死,也避免单一人挪用。Bitcoin 用 PSBT、Ethereum 用 Gnosis Safe 是最普遍的两种实作。

显示「收款地址」的网页设计

组织官网上要怎么把捐款地址公开出来,本身是一个会被忽略的设计题:

  • HTTPS 是基本款,onion mirror 是进阶款:捐款人从境外、或在被监控的网络环境连到组织官网时,HTTPS 只能保护内容,不能保护「他连了你」这个事实。提供 onion 镜像可以让捐款人连线本身就匿名(anoni.net 自己的官网就有 onion 入口设计)
  • 地址不要 hardcode 在图片里:QR Code 图片产一次过几年发现地址要换时很麻烦。建议放纯文字 + 动态产生的 QR Code,前端读资料库渲染
  • 每次给新地址(HD wallet):BTC、ETH 都支援阶层式钱包,每个捐款人给不同地址可以避免地址被重复使用导致的关联性分析。但这对组织方对账压力会升高,要先评估账务工具能不能跟上
  • 对账工具要先想好:block explorer 自动 webhook(Mempool.space、Etherscan API)可以即时通知收款,但每个地址都要单独订阅。组织内部至少要有一份每月对账清单

换匯与会计

收到加密货币后的会计处理,是合规面的真正难点:

  • 何时换匯:价格波动性高,不换可能升值也可能跌一半。多数小型组织选择「收到后 7 天内换成法币」当预设政策,再依个案调整
  • 入账时点与市值认定:依台湾税务实务,收受加密货币的入账时点是「实际取得」当下的台币公允市值。这需要保留交易截图、区块链浏览器链接、当时的匯率来源
  • 开立收据与否:捐款人选择匿名时,组织通常无法开立可供综所税列举扣除的收据。建议在公开捐款页明确写出:「选择匿名捐款代表无法取得抬头收据,欲列举扣除请走银行匯款管道」

组织方:现金与预付卡的搭配

不是所有组织都需要、也不是所有组织都适合接受加密货币。对国内小型团体来说,现金加上预付卡的搭配往往更务实。

  • 公开信箱、活动现场匿名箱:摆一个物理上的捐款箱,活动结束后由两人以上开箱、现场点数、立刻入账。这个做法在劝募条例下可能落入「不特定人劝募」的范畴,要确认是否需要事前申请(见后面的台湾脉络章节)
  • 超商缴费代码:透过第三方支付服务商(绿界、蓝新、ECPay)开放缴费代码,捐款人到超商付现缴费,组织端只看到代码没有姓名。这个方式的限制是平台层面仍可能有记录、单笔金额有上限(多数平台是 2 万元)
  • 预付礼物卡的匿名捐赠:跨境支持境外组织时,预付礼物卡(如 Apple Gift Card、Steam Wallet)有时是少数可行选项。捐款人现金购卡,把序号透过加密通道(Signal、OnionShare)传给对方。但这个方式有强烈的诈骗连结,组织方公告时要特别说明使用情境

组织方:常见的第一次错误

第一次提供匿名捐款管道的组织,下面这几个错误很常出现:

  • 公开页面只列加密货币地址,没写使用情境:捐款人看到一串地址不知道组织能不能正常使用、会不会立刻换匯、有没有对账机制。建议在地址旁边放一段说明(用途、对账节奏、是否提供收据)
  • 多重签署的私钥全集中在执行单位手上:2-of-3 设计变成 2-of-3 都是同一办公室的同事,等于没有分散风险。至少一支私钥要交给非执行单位的成员(理事、外部会计师、信任的志工)
  • 没有事前跟主管机关沟通就开放匿名管道:劝募条例与政治献金法的灰色地带,事后解释的成本远高于事前咨询。半小时的电话可以省下几个月的行政往返
  • 以为「匿名」等于「没留记录」:组织方的对外财报、内部对账、区块链本身的公开可查,三者都会留下记录。匿名是不识别「个别捐款人是谁」,不是「这笔钱从没存在过」
  • 跨境捐款没有考虑到对方收款限制:把钱送到境外组织前,要确认对方在当地的法规环境下能不能合法接收。台湾很自由不代表对方所在地也一样

这些错误共通的根源是「先把技术做出来,再来想政策与流程」。顺序倒过来会更稳:先想清楚要服务谁、要面对哪些主管机关、内部怎么分权,再决定要不要、用哪一种技术做出可选的匿名管道。

捐款人:怎么选择通道不暴露身份

切换到捐款人视角。同样一个组织提供同样的管道,不同捐款人选择的最佳通道是不同的。

先评估自己的威胁模型

问自己两个问题:

  1. 你要躲的是谁?家人、雇主、特定政府单位、组织方自己、或多重对象?
  2. 对方能拿到什么资料?银行流水、社交媒体、共用装置、共用网络?

把这两题的答案写下来,再去选通道。没有先做这一步,多数人会直接选「看起来最匿名」的工具,但通常不对应到自己的威胁。

通道对应表

主要威胁 推荐通道 不推荐
想躲家人或雇主看到金流 现金、预付卡、隐私币 信用卡、共用银行账户
想躲组织方留下身份记录 不留 email 的现金捐赠、隐私币到自管钱包 银行匯款(户名会留)
想躲跨境监控 Monero、Zcash 屏蔽交易 比特币到中心化交易所
纯粹个人偏好不留记录 任意现金管道 任何电子支付

操作流程:以小额隐私币为例

捐款人要小额(例如折合台币 500 至 5000 元)支持境外倡议组织,又想最大化匿名:

  1. 取得隐私币:从你已有的法币或主流币(BTC、ETH)兑换成 Monero(XMR)。可选去中心化交易所(Bisq、Haveno)、本地 P2P 对换(LocalMonero 已停止服务,2026 年的替代方案见社群讨论)、或请对方接受 Bitcoin 后自行转换
  2. 自管钱包初始化:下载 Cake Wallet 或 Feather(两款都是 Monero 社群推荐的客户端),离线写下 25 字种子片,存放在不会被翻到的地方。种子片不要存在云端、不要存在跟主要账号连动的密码管理器
  3. 发送:取得组织提供的 Monero 收款地址。如果组织同时提供 onion 入口,建议透过 Tor Browser 连到 onion 版本确认地址,避免中间人风险。发送时记下交易 hash 与时间,但不必告知组织

整个流程里,最容易被忽略的环节是「取得隐私币」这一步。多数捐款人到这一步发现摩擦太高就放弃,这也说明为什么预付卡、现金等低门槛通道不能被加密货币完全取代。

警示:Tornado Cash 制裁案例

加密货币匿名工具的法律风险,过去几年最重要的指标案例是 Tornado Cash。对倡议组织来说这个案子不是技术八卦,是判断「我做的事情有没有越界」的具体参考。

时序

  • 2022 年 8 月:美国财政部 OFAC 把 Tornado Cash 智能合约地址列入 SDN(Specially Designated Nationals)制裁名单,理由是该服务被用于洗钱、资助北韩黑客集团 Lazarus
  • 2022 年 8 月:Tornado Cash 开发者之一 Alexey Pertsev 在荷兰被捕
  • 2023 年 8 月:另一位开发者 Roman Storm 在美国被起诉,罪名包括共谋洗钱、违反制裁
  • 2024 年 5 月:Pertsev 在荷兰被判刑 64 个月
  • 2024 年 11 月:美国第五巡迴上诉法院在 Van Loon v. Treasury 一案中裁定 OFAC 对「不可变的智能合约」进行制裁逾越权限
  • 2025 年 3 月:OFAC 从 SDN list 移除 Tornado Cash 智能合约地址,但对个别开发者的诉讼仍在进行
  • 2025 年 8 月:Roman Storm 案在纽约南区地方法院开审,部分罪名陪审团无法达成一致裁决,整案后续仍在程序中

对倡议组织的三个提醒

从这个案例可以拉出三条判准,组织方在设计加密货币捐款管道前要对照思考:

  • 「混币器」与「隐私币」是两个不同的法律光谱。Tornado Cash 是事后混淆来源(mixer),Monero 是协议层预设隐私(privacy by design)。前者更容易被认定为「协助掩饰资金来源」,后者目前在多数司法管辖里更接近「使用一种具备隐私特性的工具」。但这条界线不是法律明文,是判例与行政实践累积的判断
  • 接收方对资金来源的尽职调查(DD)义务。组织收到大额加密货币捐款时,即使技术上无法识别捐款人,仍可能被要求对资金来源做合理判断。设计一个「异常金额触发内部审查」的政策,比假装没看到要安全得多
  • 工具中立不等于使用者中立。隐私工具本身在多数司法管辖下合法,但用这个工具做特定事情可能违法。组织用 Monero 接收一般支持者的小额捐款是工具中立的使用,用同样的工具大规模收受洗钱资金就不是。法律风险来自「事情本身」而非工具

延伸阅读建议追踪 Coin CenterEFF 对相关案件的法律分析。社群也把 Tornado Cash 案例的完整时序整理列为待翻译的候选资源(见 匿名支付研究专题)。

跨情境的共通取舍

合法、可稽核、保护弱势这三件事要同时成立:

  • 合法:该揭露的对主管机关揭露。AML、税务、劝募条例、政治献金法都有对应的申报义务,不要为了匿名而违反这些
  • 可稽核:对社群与捐款人的对外透明报告。年度收支总量公开、用途分类清楚,不揭露个别捐款人。这份报告做得越好,匿名管道的正当性越稳
  • 保护弱势:个别捐款人不被识别。这是匿名管道存在的目的,所有设计选择都要回到这一点

这三者不是 trade-off。一个良好设计的匿名捐款管道可以同时满足,反之,缺一个都会让另外两个的价值打折。

台湾的脉络

台湾的法规环境对匿名捐款相对友善(特别是相对于部分欧盟国家),但有几个专门法要先看清楚。本节为一般性整理,不是法律意见,个案请咨询律师。

公益劝募条例

主管机关是卫福部(中央层级)与各地方政府社会局(地方层级)。适用对象是「公立学校、行政法人、公益性社团法人及财团法人」,以及经主管机关同意之公益团体。

几个对组织方来说的关键点:

  • 「不特定人」与「特定人」的差别:对外公开徵募(线上募款页、街头募款、超商募款箱)通常落入「向不特定人劝募」,需要事前申请许可。组织内部成员、特定指名对象的捐赠通常不算
  • 劝募执行报告与徵信揭露:完成许可的劝募活动必须在期限内提交执行报告与经费使用明细,主管机关会公开于官网,这是社群对组织透明度的重要参考来源
  • 线上募款页是否属于劝募活动:这是近年实务上的灰色地带。常设性的「我要捐款」页面、有期限的特定专案募款、社群媒体上临时呼吁,三者落入劝募条例的可能性不同。组织提供线上加密货币捐款入口前,建议先咨询主管机关
  • 政治团体不适用本条例:政党与政治团体适用的是政治献金法,不是公益劝募条例

政治献金法

主管机关是监察院。适用对象是政党、政治团体、拟参选人。

几个对组织方与捐款人都重要的点:

  • 匿名捐赠的法定上限:依政治献金法第 17 条,匿名捐赠的单笔上限为新台币一万元,且匿名捐赠总额不得超过该年度所收捐赠总额的 30%(或 20%,依对象不同),超过部分必须缴交国库
  • 不得收受的对象:外国人、外国团体、大陆地区人民与团体、香港或澳门居民与团体、公营事业、捐赠时所得依亏损未获改善之营利事业,这几类都不得收受。组织端在处理跨境加密货币捐款时要特别留意
  • 申报与不申报的红线:拟参选人与政治团体有定期申报义务,不诚实申报会有刑事责任。匿名捐款并不能规避申报,组织方仍须申报「收到匿名捐款的总额」

公益团体不受政治献金法管辖,但如果一个组织的活动内容主要在「支持或反对特定候选人或政党」,可能会被认定为政治团体而非公益团体,这个边界要小心。

洗钱防制与 VASP

对个人捐款人来说:使用自管钱包、自有资金的小额转移,多数情境不落入「业务经营」的范围,个人不会因此被视为虚拟资产服务商。

对组织方来说,问题更微妙:

  • 代为换匯:如果组织收到加密货币后,提供「我们可以帮您换成法币再转给其他组织」的服务,这个行为可能落入服务商的定义
  • 保管捐款人资产:组织单纯收受捐款不算保管,但若提供「我们帮您保管这些币,您随时可指定用途」的服务,性质就变了
  • 大额捐款的尽职调查:依现行洗钱防制法,金融机构与指定的非金融事业(DNFBPs)对特定金额以上的交易有 KYC 义务。倡议组织目前不一定列入 DNFBPs,但实务上对大额捐款做基本的尽职调查仍是合理的内部风险控制

详细的法律框架见 台湾 VASP 法 2026,那篇追踪草案进度与条文修订。

税务

几个常见问题:

  • 收据开立与综所税扣除:捐款人向公益团体捐款,凭收据可在综所税列举扣除(金额限制依个案)。匿名捐款通常无法开立可供扣除的收据,这是匿名选择的代价之一
  • 加密货币的入账时点:依税务实务,组织收受加密货币的入账时点是「实际取得」当下的台币公允市值。建议保留交易截图、区块链浏览器链接、当时的匯率来源(CoinGecko、CoinMarketCap 截图即可)
  • 组织换匯后的差额:收到加密货币后再卖出换法币,过程中产生的价差属于组织收益,须按一般会计原则处理

具体的税务问题请咨询会计师。本节不取代专业建议。

求助管道

接下来