金管會今(28)日通過對上海商業儲蓄銀行裁罰處分案,主要因上海銀行對客戶資料保密及資訊安全有未完善建立及未確實執行內部控制制度情事,目前已知1萬4千名客戶個人資料有外洩情況,初步調查可能是資訊廠商或行內人員外洩,並依銀行法第129條第7款規定,對上海銀行核處新台幣1000萬元罰鍰。

我是廣告 請繼續往下閱讀
金管會銀行局指出,去年9月先接到匿名檢舉,金管會馬上請上海銀行進行調查,但一直查不出結果,今年5月至7月相關檢舉又寄到65家分行,提醒分行客戶資料有外洩的情況,目前銀行初步調查可能是資訊廠商或行內人員外洩。

不過,銀行局認為,上海銀行未訂定妥適個人電腦管理者權限規範,遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險,也未訂定完善可攜式設備管理規範,有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。

另外,金管會也發現,上海銀行案關報表系統也未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。同時,上海銀行也未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站的執行情形,致未發現該軟體有未能正常啟動的情形,造成無法控管及記錄可攜式設備資料的存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序。

也因此,金管會依銀行法第129條第7款規定,核處上海銀行1000萬元罰鍰。同時,金管會也要求上海銀行全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當,並盤點全行涉及個人資料的各類電腦系統是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。

此外,金管會也要求上海銀請該行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制,並請上海銀行充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。

不過,銀行局表示,,在2013及2014年也有有類似案例發生,主要是行員用USB下載客戶資料,並帶出行外,另一案例是行員將個資上傳到外部網站,筆數都有上萬筆,因當時還沒修法,各核處300萬元及400萬元罰款。

金管會表示,金融機構應依「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」完善建立個人資料保護管理程序及措施,並定期檢視其妥適性及落實執行。金管會也將持續督促金融機構強化資訊安全與個人資料保護作業,以維客戶權益與個人資料安全。