金管會開罰上海銀千萬元 創銀行個資外洩最重罰鍰
（中央社記者謝方娪台北28日電）金管會2022年9月接獲匿名檢舉信指出上海商業儲蓄銀行
資安出包、外洩客戶個資，經過清查，上海銀行共外洩1.4萬名客戶姓名及身分證資料，金
管會今天開罰上海銀行新台幣1000萬元，為金管會針對銀行個資外洩祭出史上最重罰紀錄。
2022年9月，有自稱上海銀行員工的匿名信件寄到金管會，信件內容指上海銀行資安出包、
外洩客戶個資，並附上多筆上海銀行客戶個資佐證。金管會隨即要求上海銀行啟動調查，但
上海銀行未能查出明確結果。
今年5至7月期間，上海銀行有65家分行短時間密集接到外部信，各封信載明各分行遭外洩的
客戶個資，經過比對，確實為上海銀行客戶資料。上海銀行向金管會通報重大偶發事件並啟
動全行清查，總計寄到金管會及上海銀行的信件，可確定有1.4萬名上海銀行客戶個資遭外
洩。
金管會銀行局副局長童政彰今天在例行記者會說明，金管會2022年9月接獲匿名檢舉信後，
即要求上海銀行啟動調查，但上海銀行未能查出明確結果，今年5至7月期間，上海銀行65家
分行接到匿名提醒信，信中附上分行客戶個資，佐證銀行客戶資料確實遭人攜出而外洩，但
上海銀行並無遭到勒索。
童政彰表示，目前仍無法確定攜出上海銀行客戶個資者身分，上海銀行初步檢討有2個可能
，一是資訊系統委外廠商，二為行員，因還涉及後續查核程序，金管會無法就此下定論，現
階段僅就上海銀行外洩客戶個資的事實進行行政罰上的評價。
外界關注，遭外洩個資的1.4萬名上海銀行客戶資料是否有遭不當利用，童政彰坦言無法確
定，但金管會已要求上海銀行須避免客戶資料遭進一步不當使用，包括詐騙在內，上海銀行
將會聯繫資料遭外洩的客戶，提醒若接到疑似詐騙案件必須提高警覺、加強防範。
媒體關切上海銀行是否提出客戶補償方案，童政彰說，「上海銀行目前沒有進一步說明」。
童政彰指出，即便到了現在，上海銀行還無法確認此事是誰所為，這也是金管會此次課責重
點，當銀行相關資料被人擷取攜出，銀行系統卻沒有留下相關軌跡供稽核人員稽查，顯示銀
行控管不當，造成後續追查很大難點，影響查核期程。
盤點金管會裁罰史，在2013及2014年曾有銀行發生個資外洩事件遭裁罰，其中一起是某家銀
行行員使用USB下載銀行客戶資料攜出行外，當時銀行遭罰300萬元，另一起是有銀行行員將
客戶個資上傳至外部網站，當時該家銀行遭罰400萬元。
2013及2014年的銀行個資外洩案，涉及筆數同樣達上萬筆。若相比較，此次上海銀行外洩客
戶個資遭罰千萬元，為金管會針對銀行個資外洩祭出的史上最重罰，但童政彰也指出，2013
及2014年時銀行法罰度較低，比較基礎不一致。
（編輯：潘羿菁）1121128
https://www.cna.com.tw/news/afe/202311280303.aspx