前往主要內容
工商時報LOGO

《金融》外洩1.4萬名客戶個資 上海商銀遭重罰千萬

  • 時報資訊

已將目前網頁的網址複製到您的剪貼簿!

【時報記者林資傑台北報導】金管會公布最新裁罰案,指出上海商銀2022年及2023年接連遭檢舉指稱資安出包、外洩客戶個資,經清查後確認多達1.4萬名客戶姓名及身分證資料外洩,顯示未完善建立及確實執行內控制度,依違反銀行法重罰上海商銀1000萬元,為歷年針對個資外洩的最重裁罰。

銀行局副局長童振彰表示,金管會去年9月接獲自稱上海商銀員工的匿名檢舉,指稱上海商銀資安出包、外洩客戶個資,並附上多筆客戶個資佐證。金管會對此立即要求上海商銀啟動調查,但當時未能查出明確結果。

而今年5~7月期間,上海商銀有65家分行短期間密集接獲外部信件,明列各分行遭外洩的客戶個資,經上海商銀比對證實為該行客戶個資,對此向金管會通報重大偶發事件並啟動全行清查,合計多達1.4萬名上海商銀客戶個資遭外洩。

金管會指出,上海商銀未訂定妥適電腦管理者權限及可攜式設備管理規範,事發後才明定每半年變更密碼。報表系統未依內規紀錄個資使用情況、留存軌跡資料或相關證據,系統更新前亦未發現資安監控軟體漏洞及執行狀況,導致無法控管或紀錄可攜式設備資料存取。

據此,金管會認為上海商銀未完善建立及確實執行內控制度,依違反銀行法重罰上海商銀1000萬元,並提出4點監理要求,包括全面檢討所設當責人員及主管責任、盤查涉及個資的各類系統是否建置留存使用稽核軌跡、是否符合最小化權限原則,並應定期辦理檢視作業。

同時,金管會要求上海商銀建置各類應用系統測試稽核機制、權限範圍內不正常查詢及下載情形監控分析機制,並應充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個資保護專案查核。

童振彰指出,因上海商銀系統未留下軌跡紀錄,增加後續追查難度,目前無法確定外洩個資者身分、遭外洩客戶個資是否遭不當利用。初步檢討可能是資訊系統委外廠商或行員所為,此次僅針對外洩個資事實進行行政裁罰,並要求上海商銀提醒個資遭外洩客戶提高警覺。

您可能感興趣的話題

留言討論

返回頁首
LOADING

本網頁已閒置超過3分鐘。請點撃框外背景,或右側關閉按鈕(X),即可回到網頁。