上海商银1.4万户客户个资外泄 遭重罚千万
https://ec.ltn.com.tw/article/breakingnews/4504160
2023/11/28 16:36
https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg
上海商银1.4万户的客户个资遭到外泄，金管会重罚1千万元。（记者王孟伦摄）
〔记者王孟伦／台北报导〕金管会今天公开最新裁罚案，上海商银因为客户个人资料遭到
外泄共1万4千户（已归户），显示该行有未完善建立及执行内部控制制度，致客户资料外
泄，因此，予以开罚1千万元。
金管会银行局副局长童政彰表示，本案先是去年九月向金管会匿名检举，我们请银行马上
查，但未能查出结果；后来，在今年五月到七月间，上海商银的分行端也有接获匿名检举
，并查出该行客户的纸本名单，遭到外泄携出。童政彰说明，客户被外泄的资料内容为姓
名与身分证。
为何银行客户资料会遭到外泄？童政彰说，我们已经请银行进行调查，初步推测，有可能
是资讯系统碰触到委外单位厂商，或是银行行员自行携出两种可能。
至于客户被外泄的资料是否被使用？童政彰指出，目前还不了解，已经请银行要调查清楚
，而且，主管机关也基于未能建立及落实内稽内控，进而开罚上海商银。
金管会表示，上海商银本案共四大缺失，第1、未订定妥适个人电脑管理者权限规范：该
行迟至案发后始明定每半年变更个人电脑管理者权限密码，长期未办理密码变更作业，致
客户资料有外泄风险。
第2、未订定完善可携式设备管理规范：有权使用可携式设备之人员得使用可携式设备将
行内资料携出，且无妥适之读取控管措施，不利资讯安全保护。
第3、该行案关报表系统未依内部规范，记录个人资料使用情况，留存轨迹资料或相关证
据，不利个人资料外泄时，追踪个人资料使用状况，并影响查核期程。
第4、该行未落实执行内部规范，作业系统上线前及更新时，未能测试出资安监控软件漏
洞，并确认其于工作站之执行情形，致未发现该软件有未能正常启动之情形，造成无法控
管及记录可携式设备资料之存取，影响查核时效，且无法判断实际损害情形，并不利后续
调查程序。
针对本案，金管会依银行法第129条第7款规定，核处1000万元罚锾。

平均一笔个资罚714元

客户遭殃，金管会赚到罚金？

这种data breach开罚之外，不用另外赔偿客户吗？

客户因为有损失才会去告 但要举证走民事

你没法举证别人在野外买到的资料是这次漏的就不会理你

扯爆 什么烂银行

https://www.ithome.com.tw/news/160048每个分行各自收到自己的100名客户名单，明显是有人故意要把事情搞大不过这和内控不严谨本身不冲突就是

重罚?是该条款最低额耶~~

才一千万? 牠今年赚几百亿了???

用中国的银行本来就没个资可言了

台湾个资不是早就卖光光了

重罚 好喔

顶新事件。无法证明吃了会死会得病，无罪