洩個資四疏失上海商銀遭罰1,000萬

　時隔十年又出現銀行客戶資料外洩被重罰案，銀行局副局長童政彰28日公布，上海商銀遭人檢舉，外洩共1萬4,000筆客戶資料，是繼2013年、2014年以來的首案，顯示銀行對客戶資料保密及資訊安全，沒有完善建立及確實執行內控制度，對上海商銀重罰1,000萬元。

　銀行局匯整上海商銀此案四大疏失，並公開要求所有國銀警惕並自我檢查，一是上海商銀未訂定妥適個人電腦管理者權限，案發後才明定每半年變更個人電腦管理者權限密碼；二是未訂定完善可攜式設備管理規範，有權人員可用可攜設備將銀行內資料攜出，且無妥適讀取控管措施，不利資安保護。

　三是未留存個人資料使用軌跡，報表系統未依內部規範，記錄個人資料使用情況及軌跡，不利資料外洩時追蹤，並影響查核期程；四是未測試出資安軟體漏洞並確認執行情形。

　童政彰表示，金管會去年9月收到匿名檢舉，反映銀行資安問題，並提供金管會6,500多名上海商銀客戶的帳號、身份證字號等個資，當時上海銀查不出外洩原因，今年5月至7月間上海商銀有65家分行收到百名客戶名單，「提醒」這些分行其客戶個資已被攜出。經金管會清查共1萬4,000筆個資外洩。

　2013年、2014年，也發生銀行客戶個資外洩案，童政彰說，其一是行員用USB下載客戶資料帶到行外被罰300萬元，另一家則是將客戶個資上傳到外部網站，被懲處400萬元，外洩的筆數都上萬件，銀行局表示，在事件後，各銀行分行端的電腦現在都沒有可插USB的插槽，就是防止客戶資料再被攜出銀行。

　上海商銀應沒有事先控管個人電腦使用，又沒有留存個人使用軌跡，因此在金管會及分行收到個資外洩舉報時，銀行查不出漏洞在哪，目前懷疑是資訊系統供應商或自家行員攜出資料，但目的不明。