上海商銀外洩1.4萬客戶個資 遭金管會重罰1000萬

商傳媒｜記者楊金銘／整理報導

針對上海商銀從去年至今年，屢次發生客戶資料外洩狀況，金管會28日祭出1000萬重罰，同時指正缺失。

金管會銀行局副局長童政彰表示，本案先是去年9月及今年5月至7月間，陸續接獲民眾反映該行資訊安全問題。金管會清查結果，約1萬4000筆個資遭外洩，而今年遭外洩的個資，更是資料被攜出行外，並被寄到分行。

至於銀行客戶資料為何遭到外洩？童政彰回應表示，「初步推測可能是資訊系統碰觸到委外單位廠商，或是銀行行員自行攜出兩種可能」。金管會表示，案經查核結果，顯示上海商銀有未完善建立及未確實執行內部控制制度情事，致客戶資料外洩，且未能保有相關軌跡，因此依銀行法第129條第7款規定，對上海商銀核處1000萬元罰鍰，本案共四大缺失如下。

(一)未完善建立內部控制制度：

1、未訂定妥適個人電腦管理者權限規範：該行遲至案發後始明定每半年變更個人電腦管理者權限密碼，長期未辦理密碼變更作業，致客戶資料有外洩風險。

2、未訂定完善可攜式設備管理規範：有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出，且無妥適之讀取控管措施，不利資訊安全保護。

(二)未確實執行內部控制制度：

1、該.行案關報表系統未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證據，不利個人資料外洩時，追蹤個人資料使用狀況，並影響查核期程。

2、該行未落實執行內部規範，作業系統上線前及更新時，未能測試出資安監控軟體漏洞，並確認其於工作站之執行情形，致未發現該軟體有未能正常啟動之情形，造成無法控管及記錄可攜式設備資料之存取，影響查核時效，且無法判斷實際損害情形，並不利後續調查程序。

金管會也表示，已要求上海商銀進行後續的追查及究責，包括：

1、全面檢討本案所涉當責人員及主管責任，懲處程度應與所負責任相當。

2、要該行盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡，以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則，並應定期辦理檢視權限作業。

3、請該行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。

4、請該行充實稽核人員資訊系統稽核能力，並委託會計師辦理全行個人資料保護專案查核。