上海商銀外洩1.4萬名客戶資料 遭重罰1000萬元

上海商業儲蓄銀行(5876)行內有1.4萬名客戶資料遭外洩,自2022年9月及今年5月至7月間陸續接獲匿名民眾反映該行資訊安全問題,金管會今(28)日核處其新台幣1,000萬元罰鍰。銀行局長副局長童政彰說,外洩來源可能一是行員,一是資訊廠商,還在查核中,銀行局不作定論,外資洩料是姓名跟身份證證號。

延伸閱讀:【上海商銀法說會】前三季每股盈餘逾3元 總經理郭進一:國內外擬設新分行

上海商銀外洩客戶資料 遭重罰1000萬元。上海商銀新大樓。圖/上海商銀提供
上海商銀外洩客戶資料 遭重罰1000萬元。上海商銀新大樓。圖/上海商銀提供

童政彰證實,上一次有銀行外洩資料,是民國102年、103年用USB下載銀行客戶資料攜出銀行外部,當時懲處是300萬元,當時《銀行法》還沒修法,因此罰金較輕,另有一件是上傳到外部網站時外洩,當時懲處了400萬元,二筆都是影響上萬名客戶,後來銀行資訊端已都改成沒有可以下載USB的地方。

金管會表示,查核結果顯示,該行對客戶資料保密及資訊安全有未完善建立及未確實執行內部控制制度情事,案關缺失,依銀行法第129條第7款規定,核處新台幣1,000萬元罰鍰。金管會表示,裁罰主要有以下理由:

(一) 未完善建立內部控制制度:

1. 未訂定妥適個人電腦管理者權限規範:該行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險。

2. 未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。

(二) 未確實執行內部控制制度:

1、 該行案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。

2、 該行未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序。

金管會針對上海商銀外洩資料還有其他監理四大要求事項:

1、 請該行全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當。

2、 請該行盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。

3、 請該行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。

4、請該行充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。

金管會表示,金融機構應依「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」完善建立個人資料保護管理程序及措施,並定期檢視其妥適性及落實執行。金管會也將持續督促金融機構強化資訊安全與個人資料保護作業,以維客戶權益與個人資料安全。

上海商銀外洩客戶資料四大缺失,遭金管會重罰1000萬元。
上海商銀外洩客戶資料四大缺失,遭金管會重罰1000萬元。
  • Yahoo財經特派記者 葉憶如:22年財經主流媒體資歷,從2000年Web1.0泡沫化到Meta元宇宙Web3.0,見證台灣大小企業集團興衰史,歷經國際5次金融危機。認為金融即生活,無所不在,再難的理財知識要淺白的說。無論老小都該理財,你不理財,財不理你。