泄個資四疏失上海商銀遭罰1,000萬
上海商銀四大疏失
時隔十年又出現銀行客戶資料外泄被重罰案,銀行局副局長童政彰28日公佈,上海商銀遭人檢舉,外泄共1萬4,000筆客戶資料,是繼2013年、2014年以來的首案,顯示銀行對客戶資料保密及資訊安全,沒有完善建立及確實執行內控制度,對上海商銀重罰1,000萬元。
銀行局彙整上海商銀此案四大疏失,並公開要求所有國銀警惕並自我檢查,一是上海商銀未訂定妥適個人電腦管理者權限,案發後才明定每半年變更個人電腦管理者權限密碼;二是未訂定完善可攜式設備管理規範,有權人員可用可攜設備將銀行內資料攜出,且無妥適讀取控管措施,不利資安保護。
三是未留存個人資料使用軌跡,報表系統未依內部規範,記錄個人資料使用情況及軌跡,不利資料外泄時追蹤,並影響查覈期程;四是未測試出資安軟體漏洞並確認執行情形。
童政彰表示,金管會去年9月收到匿名檢舉,反映銀行資安問題,並提供金管會6,500多名上海商銀客戶的帳號、身份證字號等個資,當時上海銀查不出外泄原因,今年5月至7月間上海商銀有65家分行收到百名客戶名單,「提醒」這些分行其客戶個資已被攜出。經金管會清查共1萬4,000筆個資外泄。
2013年、2014年,也發生銀行客戶個資外泄案,童政彰說,其一是行員用USB下載客戶資料帶到行外被罰300萬元,另一家則是將客戶個資上傳到外部網站,被懲處400萬元,外泄的筆數都上萬件,銀行局表示,在事件後,各銀行分行端的電腦現在都沒有可插USB的插槽,就是防止客戶資料再被攜出銀行。
上海商銀應沒有事先控管個人電腦使用,又沒有留存個人使用軌跡,因此在金管會及分行收到個資外泄舉報時,銀行查不出漏洞在哪,目前懷疑是資訊系統供應商或自家行員攜出資料,但目的不明。