跳轉到

倡議組織的匿名捐款管道

公民團體與倡議組織常常需要兩件看似衝突的事:一邊保護支持者、捐款人不被識別,一邊維持對外的財務透明與合規。這兩件事不是非此即彼。一份可運作的匿名捐款設計,會讓組織能對主管機關交代金流、對社群交代收支總量,同時讓個別捐款人可以選擇不被列名。

這篇文章從兩個角色切入。組織方怎麼建立可選的匿名收款管道(現金、加密貨幣、預付卡的取捨與內部風險管理),捐款人怎麼選擇合適的工具與通道(避免讓自己暴露身分)。中間穿插 Tornado Cash 制裁案例的提醒,最後是台灣的法規脈絡(公益勸募條例、政治獻金法、洗錢防制、稅務)。

要先理解為什麼要做到這個程度,可以回頭看 為什麼匿名支付重要威脅模型怎麼想。工具細節對應到 加密貨幣的隱私光譜,台灣法規對應到 台灣 VASP 法 2026

為什麼這個議題要單獨寫

「捐款不就是給個帳號然後填收據嗎」是最常見的反應。對中性議題(救災、教育、寵物醫療)來說大致是這樣,但下面這幾個情境就完全不是:

  • 議題本身敏感:人權、性別、勞權、原住民土地、跨海峽議題,捐款人擔心立場被雇主、家人、長輩看到
  • 小群體支持小議題:少數族群、性少數、未成年子女的家長社群,捐款人名單一旦外洩,識別風險比一般組織高得多
  • 跨境支持境外受迫害群體:捐到香港的記者基金、聲援緬甸或新疆受害者的組織,捐款人的金流紀錄可能被外國司法管轄調閱
  • 內部支持但不願曝光:公務員、教師、企業中高階主管,職務上不適合公開支持特定倡議,但個人立場想用金錢表達
  • 個資法下名冊外洩的反向風險:組織方即便完整保護捐款人名冊,一次資安事件就足以讓所有支持者連帶曝光

換個角度說,捐款人的識別資訊跟政治立場、性向、家庭結構、社群關係綁在一起,這份資訊比一般消費紀錄敏感得多。組織方願意提供「可選的匿名通道」,本身就是對支持者基本的尊重。

組織方:建立可選的匿名收款管道

「可選的匿名」這四個字是設計的核心。意思是讓想匿名的人有路可走,同時想列名的人也能正常列名,兩條路並存。實務上多數捐款人會走列名管道(為了取得收據、為了加入會員),少數人會走匿名管道(為了上述各種敏感原因)。組織方準備好兩條路,比強迫所有人走同一條更尊重支持者的處境。

三種收款管道的取捨

管道 匿名度 合規負擔 規模化 跨境
現金(公開信箱、活動現場) 中(公益勸募條例適用情境多) 不行
加密貨幣 中至高 高(VASP、AML、稅務)
預付禮物卡、超商代碼 限境內

每一個管道都有取捨,沒有「最匿名」的單一選項。實務上多數組織會混搭:日常用現金與預付卡、跨境用加密貨幣、列名捐款人走銀行轉帳。

內部風險管理三件事

決定提供匿名管道前,組織內部要先把這三件事談清楚:

  • 收款政策公開:什麼來源會收、什麼來源會退、誰有最終決定權。常見的拒收條件包括金額異常巨大但來源不明、明顯違反組織價值的對象、政治獻金法或勸募條例不允許的對象
  • 帳簿與錢包權責分離:誰看得到金額、誰能動私鑰、誰負責對外揭露。加密貨幣捐款建議至少 2-of-3 多重簽署,私鑰持有人要包含至少一位非執行單位成員(例如理事或外部會計師)
  • 對外透明報告:年度收支總量公開、不揭露個別捐款人。透明報告做得越紮實,匿名管道的正當性越強,主管機關與媒體質疑時也有依據

把這三件事寫成內部章程的一部分,不要等收到第一筆匿名捐款才討論。

組織方:接受加密貨幣捐款的具體做法

加密貨幣是匿名捐款裡技術門檻最高的選項,但也是跨境與規模化做得最徹底的選項。下面以一個小型倡議組織做為範例。

自管錢包與託管平台的選擇

兩種主要架構:

  • 自管錢包(self-custody):組織自己持有私鑰,常見實作是 Bitcoin Core、Electrum、Sparrow(BTC),MetaMask、Frame、Rabby(ETH 與穩定幣),Cake Wallet、Feather(Monero)。優點是不依賴第三方、不需要 KYC,缺點是私鑰管理是組織責任,遺失即失去資金
  • 託管平台(custodial):透過合規交易所(CEX)開機構戶接收捐款,再轉自管。優點是有客服與保險,缺點是接收即被 KYC、捐款人資訊可能被交易所留存

實務建議是「以自管為主、託管為輔」。日常小額走自管錢包,大額或需要快速換匯走機構戶。

多重簽署(multisig)是這個段落的關鍵字。2-of-3 設計把私鑰分給三個角色(例如執行長、會計、外部理事),任何單一人遺失或離開都不會讓資金鎖死,也避免單一人挪用。Bitcoin 用 PSBT、Ethereum 用 Gnosis Safe 是最普遍的兩種實作。

顯示「收款地址」的網頁設計

組織官網上要怎麼把捐款地址公開出來,本身是一個會被忽略的設計題:

  • HTTPS 是基本款,onion mirror 是進階款:捐款人從境外、或在被監控的網路環境連到組織官網時,HTTPS 只能保護內容,不能保護「他連了你」這個事實。提供 onion 鏡像可以讓捐款人連線本身就匿名(anoni.net 自己的官網就有 onion 入口設計)
  • 地址不要 hardcode 在圖片裡:QR Code 圖片產一次過幾年發現地址要換時很麻煩。建議放純文字 + 動態產生的 QR Code,前端讀資料庫渲染
  • 每次給新地址(HD wallet):BTC、ETH 都支援階層式錢包,每個捐款人給不同地址可以避免地址被重複使用導致的關聯性分析。但這對組織方對帳壓力會升高,要先評估帳務工具能不能跟上
  • 對帳工具要先想好:block explorer 自動 webhook(Mempool.space、Etherscan API)可以即時通知收款,但每個地址都要單獨訂閱。組織內部至少要有一份每月對帳清單

換匯與會計

收到加密貨幣後的會計處理,是合規面的真正難點:

  • 何時換匯:價格波動性高,不換可能升值也可能跌一半。多數小型組織選擇「收到後 7 天內換成法幣」當預設政策,再依個案調整
  • 入帳時點與市值認定:依台灣稅務實務,收受加密貨幣的入帳時點是「實際取得」當下的台幣公允市值。這需要保留交易截圖、區塊鏈瀏覽器連結、當時的匯率來源
  • 開立收據與否:捐款人選擇匿名時,組織通常無法開立可供綜所稅列舉扣除的收據。建議在公開捐款頁明確寫出:「選擇匿名捐款代表無法取得抬頭收據,欲列舉扣除請走銀行匯款管道」

組織方:現金與預付卡的搭配

不是所有組織都需要、也不是所有組織都適合接受加密貨幣。對國內小型團體來說,現金加上預付卡的搭配往往更務實。

  • 公開信箱、活動現場匿名箱:擺一個物理上的捐款箱,活動結束後由兩人以上開箱、現場點數、立刻入帳。這個做法在勸募條例下可能落入「不特定人勸募」的範疇,要確認是否需要事前申請(見後面的台灣脈絡章節)
  • 超商繳費代碼:透過第三方支付服務商(綠界、藍新、ECPay)開放繳費代碼,捐款人到超商付現繳費,組織端只看到代碼沒有姓名。這個方式的限制是平台層面仍可能有紀錄、單筆金額有上限(多數平台是 2 萬元)
  • 預付禮物卡的匿名捐贈:跨境支持境外組織時,預付禮物卡(如 Apple Gift Card、Steam Wallet)有時是少數可行選項。捐款人現金購卡,把序號透過加密通道(Signal、OnionShare)傳給對方。但這個方式有強烈的詐騙連結,組織方公告時要特別說明使用情境

組織方:常見的第一次錯誤

第一次提供匿名捐款管道的組織,下面這幾個錯誤很常出現:

  • 公開頁面只列加密貨幣地址,沒寫使用情境:捐款人看到一串地址不知道組織能不能正常使用、會不會立刻換匯、有沒有對帳機制。建議在地址旁邊放一段說明(用途、對帳節奏、是否提供收據)
  • 多重簽署的私鑰全集中在執行單位手上:2-of-3 設計變成 2-of-3 都是同一辦公室的同事,等於沒有分散風險。至少一支私鑰要交給非執行單位的成員(理事、外部會計師、信任的志工)
  • 沒有事前跟主管機關溝通就開放匿名管道:勸募條例與政治獻金法的灰色地帶,事後解釋的成本遠高於事前諮詢。半小時的電話可以省下幾個月的行政往返
  • 以為「匿名」等於「沒留紀錄」:組織方的對外財報、內部對帳、區塊鏈本身的公開可查,三者都會留下紀錄。匿名是不識別「個別捐款人是誰」,不是「這筆錢從沒存在過」
  • 跨境捐款沒有考慮到對方收款限制:把錢送到境外組織前,要確認對方在當地的法規環境下能不能合法接收。台灣很自由不代表對方所在地也一樣

這些錯誤共通的根源是「先把技術做出來,再來想政策與流程」。順序倒過來會更穩:先想清楚要服務誰、要面對哪些主管機關、內部怎麼分權,再決定要不要、用哪一種技術做出可選的匿名管道。

捐款人:怎麼選擇通道不暴露身分

切換到捐款人視角。同樣一個組織提供同樣的管道,不同捐款人選擇的最佳通道是不同的。

先評估自己的威脅模型

問自己兩個問題:

  1. 你要躲的是誰?家人、雇主、特定政府單位、組織方自己、或多重對象?
  2. 對方能拿到什麼資料?銀行流水、社交媒體、共用裝置、共用網路?

把這兩題的答案寫下來,再去選通道。沒有先做這一步,多數人會直接選「看起來最匿名」的工具,但通常不對應到自己的威脅。

通道對應表

主要威脅 推薦通道 不推薦
想躲家人或雇主看到金流 現金、預付卡、隱私幣 信用卡、共用銀行帳戶
想躲組織方留下身分紀錄 不留 email 的現金捐贈、隱私幣到自管錢包 銀行匯款(戶名會留)
想躲跨境監控 Monero、Zcash 遮蔽交易 比特幣到中心化交易所
純粹個人偏好不留紀錄 任意現金管道 任何電子支付

操作流程:以小額隱私幣為例

捐款人要小額(例如折合台幣 500 至 5000 元)支持境外倡議組織,又想最大化匿名:

  1. 取得隱私幣:從你已有的法幣或主流幣(BTC、ETH)兌換成 Monero(XMR)。可選去中心化交易所(Bisq、Haveno)、本地 P2P 對換(LocalMonero 已停止服務,2026 年的替代方案見社群討論)、或請對方接受 Bitcoin 後自行轉換
  2. 自管錢包初始化:下載 Cake Wallet 或 Feather(兩款都是 Monero 社群推薦的客戶端),離線寫下 25 字種子片,存放在不會被翻到的地方。種子片不要存在雲端、不要存在跟主要帳號連動的密碼管理器
  3. 發送:取得組織提供的 Monero 收款地址。如果組織同時提供 onion 入口,建議透過 Tor Browser 連到 onion 版本確認地址,避免中間人風險。發送時記下交易 hash 與時間,但不必告知組織

整個流程裡,最容易被忽略的環節是「取得隱私幣」這一步。多數捐款人到這一步發現摩擦太高就放棄,這也說明為什麼預付卡、現金等低門檻通道不能被加密貨幣完全取代。

警示:Tornado Cash 制裁案例

加密貨幣匿名工具的法律風險,過去幾年最重要的指標案例是 Tornado Cash。對倡議組織來說這個案子不是技術八卦,是判斷「我做的事情有沒有越界」的具體參考。

時序

  • 2022 年 8 月:美國財政部 OFAC 把 Tornado Cash 智能合約地址列入 SDN(Specially Designated Nationals)制裁名單,理由是該服務被用於洗錢、資助北韓駭客集團 Lazarus
  • 2022 年 8 月:Tornado Cash 開發者之一 Alexey Pertsev 在荷蘭被捕
  • 2023 年 8 月:另一位開發者 Roman Storm 在美國被起訴,罪名包括共謀洗錢、違反制裁
  • 2024 年 5 月:Pertsev 在荷蘭被判刑 64 個月
  • 2024 年 11 月:美國第五巡迴上訴法院在 Van Loon v. Treasury 一案中裁定 OFAC 對「不可變的智能合約」進行制裁逾越權限
  • 2025 年 3 月:OFAC 從 SDN list 移除 Tornado Cash 智能合約地址,但對個別開發者的訴訟仍在進行
  • 2025 年 8 月:Roman Storm 案在紐約南區地方法院開審,部分罪名陪審團無法達成一致裁決,整案後續仍在程序中

對倡議組織的三個提醒

從這個案例可以拉出三條判準,組織方在設計加密貨幣捐款管道前要對照思考:

  • 「混幣器」與「隱私幣」是兩個不同的法律光譜。Tornado Cash 是事後混淆來源(mixer),Monero 是協議層預設隱私(privacy by design)。前者更容易被認定為「協助掩飾資金來源」,後者目前在多數司法管轄裡更接近「使用一種具備隱私特性的工具」。但這條界線不是法律明文,是判例與行政實踐累積的判斷
  • 接收方對資金來源的盡職調查(DD)義務。組織收到大額加密貨幣捐款時,即使技術上無法識別捐款人,仍可能被要求對資金來源做合理判斷。設計一個「異常金額觸發內部審查」的政策,比假裝沒看到要安全得多
  • 工具中立不等於使用者中立。隱私工具本身在多數司法管轄下合法,但用這個工具做特定事情可能違法。組織用 Monero 接收一般支持者的小額捐款是工具中立的使用,用同樣的工具大規模收受洗錢資金就不是。法律風險來自「事情本身」而非工具

延伸閱讀建議追蹤 Coin CenterEFF 對相關案件的法律分析。社群也把 Tornado Cash 案例的完整時序整理列為待翻譯的候選資源(見 匿名支付研究專題)。

跨情境的共通取捨

合法、可稽核、保護弱勢這三件事要同時成立:

  • 合法:該揭露的對主管機關揭露。AML、稅務、勸募條例、政治獻金法都有對應的申報義務,不要為了匿名而違反這些
  • 可稽核:對社群與捐款人的對外透明報告。年度收支總量公開、用途分類清楚,不揭露個別捐款人。這份報告做得越好,匿名管道的正當性越穩
  • 保護弱勢:個別捐款人不被識別。這是匿名管道存在的目的,所有設計選擇都要回到這一點

這三者不是 trade-off。一個良好設計的匿名捐款管道可以同時滿足,反之,缺一個都會讓另外兩個的價值打折。

台灣的脈絡

台灣的法規環境對匿名捐款相對友善(特別是相對於部分歐盟國家),但有幾個專門法要先看清楚。本節為一般性整理,不是法律意見,個案請諮詢律師。

公益勸募條例

主管機關是衛福部(中央層級)與各地方政府社會局(地方層級)。適用對象是「公立學校、行政法人、公益性社團法人及財團法人」,以及經主管機關同意之公益團體。

幾個對組織方來說的關鍵點:

  • 「不特定人」與「特定人」的差別:對外公開徵募(線上募款頁、街頭募款、超商募款箱)通常落入「向不特定人勸募」,需要事前申請許可。組織內部成員、特定指名對象的捐贈通常不算
  • 勸募執行報告與徵信揭露:完成許可的勸募活動必須在期限內提交執行報告與經費使用明細,主管機關會公開於官網,這是社群對組織透明度的重要參考來源
  • 線上募款頁是否屬於勸募活動:這是近年實務上的灰色地帶。常設性的「我要捐款」頁面、有期限的特定專案募款、社群媒體上臨時呼籲,三者落入勸募條例的可能性不同。組織提供線上加密貨幣捐款入口前,建議先諮詢主管機關
  • 政治團體不適用本條例:政黨與政治團體適用的是政治獻金法,不是公益勸募條例

政治獻金法

主管機關是監察院。適用對象是政黨、政治團體、擬參選人。

幾個對組織方與捐款人都重要的點:

  • 匿名捐贈的法定上限:依政治獻金法第 17 條,匿名捐贈的單筆上限為新台幣一萬元,且匿名捐贈總額不得超過該年度所收捐贈總額的 30%(或 20%,依對象不同),超過部分必須繳交國庫
  • 不得收受的對象:外國人、外國團體、大陸地區人民與團體、香港或澳門居民與團體、公營事業、捐贈時所得依虧損未獲改善之營利事業,這幾類都不得收受。組織端在處理跨境加密貨幣捐款時要特別留意
  • 申報與不申報的紅線:擬參選人與政治團體有定期申報義務,不誠實申報會有刑事責任。匿名捐款並不能規避申報,組織方仍須申報「收到匿名捐款的總額」

公益團體不受政治獻金法管轄,但如果一個組織的活動內容主要在「支持或反對特定候選人或政黨」,可能會被認定為政治團體而非公益團體,這個邊界要小心。

洗錢防制與 VASP

對個人捐款人來說:使用自管錢包、自有資金的小額轉移,多數情境不落入「業務經營」的範圍,個人不會因此被視為虛擬資產服務商。

對組織方來說,問題更微妙:

  • 代為換匯:如果組織收到加密貨幣後,提供「我們可以幫您換成法幣再轉給其他組織」的服務,這個行為可能落入服務商的定義
  • 保管捐款人資產:組織單純收受捐款不算保管,但若提供「我們幫您保管這些幣,您隨時可指定用途」的服務,性質就變了
  • 大額捐款的盡職調查:依現行洗錢防制法,金融機構與指定的非金融事業(DNFBPs)對特定金額以上的交易有 KYC 義務。倡議組織目前不一定列入 DNFBPs,但實務上對大額捐款做基本的盡職調查仍是合理的內部風險控制

詳細的法律框架見 台灣 VASP 法 2026,那篇追蹤草案進度與條文修訂。

稅務

幾個常見問題:

  • 收據開立與綜所稅扣除:捐款人向公益團體捐款,憑收據可在綜所稅列舉扣除(金額限制依個案)。匿名捐款通常無法開立可供扣除的收據,這是匿名選擇的代價之一
  • 加密貨幣的入帳時點:依稅務實務,組織收受加密貨幣的入帳時點是「實際取得」當下的台幣公允市值。建議保留交易截圖、區塊鏈瀏覽器連結、當時的匯率來源(CoinGecko、CoinMarketCap 截圖即可)
  • 組織換匯後的差額:收到加密貨幣後再賣出換法幣,過程中產生的價差屬於組織收益,須按一般會計原則處理

具體的稅務問題請諮詢會計師。本節不取代專業建議。

求助管道

接下來