https://www.ithome.com.tw/news/153206
摩根史坦利废弃硬盘与服务器未妥善处理,泄露客户资料,遭罚3,500万美元
摩根史坦利(Morgan Stanley)旗下财富管理机构未妥善报销服务器和硬盘,导致设备遭
清运业者转售,近1,500万名客户可辨识身分资料外泄
文/林妍溱 | 2022-09-23发表
摩根史坦利旗下部门因报销公司的旧资料系统不当,致高达近1,500万名客户资料曝险,
被主管机关美国证券交易委员会(Security and Exchange Commission,SEC)罚款3,500
万美元。
SEC指出摩根史坦利(Morgan Stanley)旗下财富管理机构Smith Barney(MSSB)在保护
客户可辨识身分资料(personal identifying information,PII)上,在5年期间出现多
项失误,影响公司近1,500万客户资料。MSSB已经同意支付罚金和SEC达成和解。
本案起于2015年MSSB关闭财富管理部门时,未能妥善处理包含客户重要个资的系统,而且
不只一次。MSSB聘请了一家不具资料销毁专业的仓储及清运公司报费数千台硬盘和服务器
,而且又未能监督这家清运业者的行为。这些机器中,部分包含未加密的客户PII。
在SEC命令下,MSSB调查发现,这批服务器和硬盘之后被这家业者卖给了第三方厂商,最
后辗转卖到了拍卖网站。MSSB最后寻回部分装置,并在其中发现了数千笔未加密客户资料
,但是大部分机器都未能寻获。
MSSB另外还发现一些地区分公司在换新服务器、报销旧机器时,也曝露了客户资料。经过
资料比对,他们发现有42台存有未加密客户PII及消费者报告资讯的服务器不知去向。此
外,调查也显示,这些服务器并非没有加密功能,而是使用单位多年来都未启用。
SEC执法部门主任Gurbir Grewal指出,MSSB本案的失误令人震惊,客户将个资交托给这些
金融专业人员,期待这些这资料能获得保护,但MSSB却严重失职,这些敏感个资若未善加
保护,可能流入不肖人士之手,为投资人带来灾难性后果。
MSSB并未承认或否认这些调查结果,但同意支付SEC罚款。
事实上,2016年1,500万名客户已对摩根史坦利提起集体控诉。双方今年1月初达成初步和
解协议,并请求纽约法院同意。根据报导,受影响的客户可获得至少2年的诈欺保险赔偿
,并可申请最高10,000美元的现金补贴。
=================================
台湾法律重罚200万
呵呵~