image
20231129魏喬怡、戴瑞瑤/台北報導

洩個資四疏失上海商銀遭罰1,000萬

image
上海商銀四大疏失

 時隔十年又出現銀行客戶資料外洩被重罰案,銀行局副局長童政彰28日公布,上海商銀遭人檢舉,外洩共1萬4,000筆客戶資料,是繼2013年、2014年以來的首案,顯示銀行對客戶資料保密及資訊安全,沒有完善建立及確實執行內控制度,對上海商銀重罰1,000萬元。

 銀行局匯整上海商銀此案四大疏失,並公開要求所有國銀警惕並自我檢查,一是上海商銀未訂定妥適個人電腦管理者權限,案發後才明定每半年變更個人電腦管理者權限密碼;二是未訂定完善可攜式設備管理規範,有權人員可用可攜設備將銀行內資料攜出,且無妥適讀取控管措施,不利資安保護。

 三是未留存個人資料使用軌跡,報表系統未依內部規範,記錄個人資料使用情況及軌跡,不利資料外洩時追蹤,並影響查核期程;四是未測試出資安軟體漏洞並確認執行情形。

 童政彰表示,金管會去年9月收到匿名檢舉,反映銀行資安問題,並提供金管會6,500多名上海商銀客戶的帳號、身份證字號等個資,當時上海銀查不出外洩原因,今年5月至7月間上海商銀有65家分行收到百名客戶名單,「提醒」這些分行其客戶個資已被攜出。經金管會清查共1萬4,000筆個資外洩。

 2013年、2014年,也發生銀行客戶個資外洩案,童政彰說,其一是行員用USB下載客戶資料帶到行外被罰300萬元,另一家則是將客戶個資上傳到外部網站,被懲處400萬元,外洩的筆數都上萬件,銀行局表示,在事件後,各銀行分行端的電腦現在都沒有可插USB的插槽,就是防止客戶資料再被攜出銀行。

 上海商銀應沒有事先控管個人電腦使用,又沒有留存個人使用軌跡,因此在金管會及分行收到個資外洩舉報時,銀行查不出漏洞在哪,目前懷疑是資訊系統供應商或自家行員攜出資料,但目的不明。