上海商银1.4万户客户个资外泄 遭重罚千万
https://ec.ltn.com.tw/article/breakingnews/4504160
2023/11/28 16:36
https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg
上海商银1.4万户的客户个资遭到外泄,金管会重罚1千万元。(记者王孟伦摄)
〔记者王孟伦/台北报导〕金管会今天公开最新裁罚案,上海商银因为客户个人资料遭到
外泄共1万4千户(已归户),显示该行有未完善建立及执行内部控制制度,致客户资料外
泄,因此,予以开罚1千万元。
金管会银行局副局长童政彰表示,本案先是去年九月向金管会匿名检举,我们请银行马上
查,但未能查出结果;后来,在今年五月到七月间,上海商银的分行端也有接获匿名检举
,并查出该行客户的纸本名单,遭到外泄携出。童政彰说明,客户被外泄的资料内容为姓
名与身分证。
为何银行客户资料会遭到外泄?童政彰说,我们已经请银行进行调查,初步推测,有可能
是资讯系统碰触到委外单位厂商,或是银行行员自行携出两种可能。
至于客户被外泄的资料是否被使用?童政彰指出,目前还不了解,已经请银行要调查清楚
,而且,主管机关也基于未能建立及落实内稽内控,进而开罚上海商银。
金管会表示,上海商银本案共四大缺失,第1、未订定妥适个人电脑管理者权限规范:该
行迟至案发后始明定每半年变更个人电脑管理者权限密码,长期未办理密码变更作业,致
客户资料有外泄风险。
第2、未订定完善可携式设备管理规范:有权使用可携式设备之人员得使用可携式设备将
行内资料携出,且无妥适之读取控管措施,不利资讯安全保护。
第3、该行案关报表系统未依内部规范,记录个人资料使用情况,留存轨迹资料或相关证
据,不利个人资料外泄时,追踪个人资料使用状况,并影响查核期程。
第4、该行未落实执行内部规范,作业系统上线前及更新时,未能测试出资安监控软件漏
洞,并确认其于工作站之执行情形,致未发现该软件有未能正常启动之情形,造成无法控
管及记录可携式设备资料之存取,影响查核时效,且无法判断实际损害情形,并不利后续
调查程序。
针对本案,金管会依银行法第129条第7款规定,核处1000万元罚锾。