《金融》外泄1.4萬名客戶個資 上海商銀遭重罰千萬
銀行局副局長童振彰表示,金管會去年9月接獲自稱上海商銀員工的匿名檢舉,指稱上海商銀資安出包、外泄客戶個資,並附上多筆客戶個資佐證。金管會對此立即要求上海商銀啓動調查,但當時未能查出明確結果。
而今年5~7月期間,上海商銀有65家分行短期間密集接獲外部信件,明列各分行遭外泄的客戶個資,經上海商銀比對證實爲該行客戶個資,對此向金管會通報重大偶發事件並啓動全行清查,合計多達1.4萬名上海商銀客戶個資遭外泄。
金管會指出,上海商銀未訂定妥適電腦管理者權限及可攜式設備管理規範,事發後才明定每半年變更密碼。報表系統未依內規紀錄個資使用情況、留存軌跡資料或相關證據,系統更新前亦未發現資安監控軟體漏洞及執行狀況,導致無法控管或紀錄可攜式設備資料存取。
據此,金管會認爲上海商銀未完善建立及確實執行內控制度,依違反銀行法重罰上海商銀1000萬元,並提出4點監理要求,包括全面檢討所設當責人員及主管責任、盤查涉及個資的各類系統是否建置留存使用稽覈軌跡、是否符合最小化權限原則,並應定期辦理檢視作業。
同時,金管會要求上海商銀建置各類應用系統測試稽覈機制、權限範圍內不正常查詢及下載情形監控分析機制,並應充實稽覈人員資訊系統稽覈能力,並委託會計師辦理全行個資保護專案查覈。
童振彰指出,因上海商銀系統未留下軌跡紀錄,增加後續追查難度,目前無法確定外泄個資者身分、遭外泄客戶個資是否遭不當利用。初步檢討可能是資訊系統委外廠商或行員所爲,此次僅針對外泄個資事實進行行政裁罰,並要求上海商銀提醒個資遭外泄客戶提高警覺。