又有銀行遭到金管會裁罰!金管會今(28)日宣布開罰上海商銀新台幣1000萬元罰鍰,理由是上海商銀客戶資料外洩涉及缺失,根據金管會統計,約有1.4萬名客戶的個資遭到外洩,包括客戶的姓名及身分證資料。
1.4萬名客戶個資遭到外洩,上海商銀沒有完善建立及執行內控
金管會銀行局副局長童政彰指出,該案主要是發生在2022年9月、2023年5月至7月間陸續接到民眾匿名檢舉,進一步查核結果顯示,發現確實是上海商銀的客戶資料,而這些資料被「某人」攜出,但究竟是由誰攜出,目前尚未有定論;初步方向,可能是委外的資訊廠商或是行員,但目前可知,銀行並未進一步被勒索。
金管會指出,經上海銀行對客戶資料外洩案啟動查核後,根據查核結果顯示,有1.4萬名客戶個資遭到外洩。
童政彰指出,該案顯示上海商銀對於客戶資料保密及資訊安全並未完善建立及未確實執行內控制度情事,進一步查核結果,上海商銀沒有訂定妥適個人電腦管理者權限規範,一直到案發前才開始明定每半年變更個人電腦管理者權限密碼;另外,也沒有訂定完善可攜式設備管理規範,讓有權使用可攜式設備人員可使用可攜式設備將行內資料攜出,且沒有妥適的讀取控管措施,不利於資訊安全保護。
另外,上海商銀也沒有確實執行內控制度,包括未依內部規範,如未記錄個人資料使用情況、留存軌跡資料或相關證據,不利個人資料外洩時,追蹤個人資料使用狀況;且該行在作業系統上線前及更新時,未能測試出資安監控軟體漏洞,導致沒有發現該軟體未能正常啟動情形,造成無法控管及記錄可攜式設備資料的存取,影響查核時效,且無法判斷實際損害情形,不利於後續調查程序。
金管會開罰上海商銀1千萬罰鍰,要求4大監理事項
至於上海商銀是否針對客戶提出賠償方案,據了解,目前並未有進一步說明。
不過,金管會也要求,後續上海商銀必須完成4大監理要求事項,包括必須全面檢討該案所涉及的當責人員及主管責任、須全面盤點涉及個資的各類電腦系統是否皆建置留存個資使用稽核軌跡、也必須建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制、須充實稽核人員資訊系統稽核能力等要求。
