《金融》外洩1.4萬名客戶個資 上海商銀遭重罰千萬

【時報記者林資傑台北報導】金管會公布最新裁罰案，指出上海商銀2022年及2023年接連遭檢舉指稱資安出包、外洩客戶個資，經清查後確認多達1.4萬名客戶姓名及身分證資料外洩，顯示未完善建立及確實執行內控制度，依違反銀行法重罰上海商銀1000萬元，為歷年針對個資外洩的最重裁罰。

銀行局副局長童振彰表示，金管會去年9月接獲自稱上海商銀員工的匿名檢舉，指稱上海商銀資安出包、外洩客戶個資，並附上多筆客戶個資佐證。金管會對此立即要求上海商銀啟動調查，但當時未能查出明確結果。

而今年5～7月期間，上海商銀有65家分行短期間密集接獲外部信件，明列各分行遭外洩的客戶個資，經上海商銀比對證實為該行客戶個資，對此向金管會通報重大偶發事件並啟動全行清查，合計多達1.4萬名上海商銀客戶個資遭外洩。

金管會指出，上海商銀未訂定妥適電腦管理者權限及可攜式設備管理規範，事發後才明定每半年變更密碼。報表系統未依內規紀錄個資使用情況、留存軌跡資料或相關證據，系統更新前亦未發現資安監控軟體漏洞及執行狀況，導致無法控管或紀錄可攜式設備資料存取。

據此，金管會認為上海商銀未完善建立及確實執行內控制度，依違反銀行法重罰上海商銀1000萬元，並提出4點監理要求，包括全面檢討所設當責人員及主管責任、盤查涉及個資的各類系統是否建置留存使用稽核軌跡、是否符合最小化權限原則，並應定期辦理檢視作業。

同時，金管會要求上海商銀建置各類應用系統測試稽核機制、權限範圍內不正常查詢及下載情形監控分析機制，並應充實稽核人員資訊系統稽核能力，並委託會計師辦理全行個資保護專案查核。

童振彰指出，因上海商銀系統未留下軌跡紀錄，增加後續追查難度，目前無法確定外洩個資者身分、遭外洩客戶個資是否遭不當利用。初步檢討可能是資訊系統委外廠商或行員所為，此次僅針對外洩個資事實進行行政裁罰，並要求上海商銀提醒個資遭外洩客戶提高警覺。