上海商銀1.4萬戶客戶個資外洩 遭重罰千萬
https://ec.ltn.com.tw/article/breakingnews/4504160
2023/11/28 16:36
https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg
上海商銀1.4萬戶的客戶個資遭到外洩,金管會重罰1千萬元。(記者王孟倫攝)
〔記者王孟倫/台北報導〕金管會今天公開最新裁罰案,上海商銀因為客戶個人資料遭到
外洩共1萬4千戶(已歸戶),顯示該行有未完善建立及執行內部控制制度,致客戶資料外
洩,因此,予以開罰1千萬元。
金管會銀行局副局長童政彰表示,本案先是去年九月向金管會匿名檢舉,我們請銀行馬上
查,但未能查出結果;後來,在今年五月到七月間,上海商銀的分行端也有接獲匿名檢舉
,並查出該行客戶的紙本名單,遭到外洩攜出。童政彰說明,客戶被外洩的資料內容為姓
名與身分證。
為何銀行客戶資料會遭到外洩?童政彰說,我們已經請銀行進行調查,初步推測,有可能
是資訊系統碰觸到委外單位廠商,或是銀行行員自行攜出兩種可能。
至於客戶被外洩的資料是否被使用?童政彰指出,目前還不瞭解,已經請銀行要調查清楚
,而且,主管機關也基於未能建立及落實內稽內控,進而開罰上海商銀。
金管會表示,上海商銀本案共四大缺失,第1、未訂定妥適個人電腦管理者權限規範:該
行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致
客戶資料有外洩風險。
第2、未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員得使用可攜式設備將
行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。
第3、該行案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證
據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。
第4、該行未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏
洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控
管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續
調查程序。
針對本案,金管會依銀行法第129條第7款規定,核處1000萬元罰鍰。