《金融》外泄1.4萬名客戶個資 上海商銀遭重罰千萬

銀行局副局長童振彰表示，金管會去年9月接獲自稱上海商銀員工的匿名檢舉，指稱上海商銀資安出包、外泄客戶個資，並附上多筆客戶個資佐證。金管會對此立即要求上海商銀啓動調查，但當時未能查出明確結果。

而今年5～7月期間，上海商銀有65家分行短期間密集接獲外部信件，明列各分行遭外泄的客戶個資，經上海商銀比對證實爲該行客戶個資，對此向金管會通報重大偶發事件並啓動全行清查，合計多達1.4萬名上海商銀客戶個資遭外泄。

金管會指出，上海商銀未訂定妥適電腦管理者權限及可攜式設備管理規範，事發後才明定每半年變更密碼。報表系統未依內規紀錄個資使用情況、留存軌跡資料或相關證據，系統更新前亦未發現資安監控軟體漏洞及執行狀況，導致無法控管或紀錄可攜式設備資料存取。

據此，金管會認爲上海商銀未完善建立及確實執行內控制度，依違反銀行法重罰上海商銀1000萬元，並提出4點監理要求，包括全面檢討所設當責人員及主管責任、盤查涉及個資的各類系統是否建置留存使用稽覈軌跡、是否符合最小化權限原則，並應定期辦理檢視作業。

同時，金管會要求上海商銀建置各類應用系統測試稽覈機制、權限範圍內不正常查詢及下載情形監控分析機制，並應充實稽覈人員資訊系統稽覈能力，並委託會計師辦理全行個資保護專案查覈。

童振彰指出，因上海商銀系統未留下軌跡紀錄，增加後續追查難度，目前無法確定外泄個資者身分、遭外泄客戶個資是否遭不當利用。初步檢討可能是資訊系統委外廠商或行員所爲，此次僅針對外泄個資事實進行行政裁罰，並要求上海商銀提醒個資遭外泄客戶提高警覺。