泄個資四疏失上海商銀遭罰1,000萬

上海商銀四大疏失

時隔十年又出現銀行客戶資料外泄被重罰案，銀行局副局長童政彰28日公佈，上海商銀遭人檢舉，外泄共1萬4,000筆客戶資料，是繼2013年、2014年以來的首案，顯示銀行對客戶資料保密及資訊安全，沒有完善建立及確實執行內控制度，對上海商銀重罰1,000萬元。

銀行局彙整上海商銀此案四大疏失，並公開要求所有國銀警惕並自我檢查，一是上海商銀未訂定妥適個人電腦管理者權限，案發後才明定每半年變更個人電腦管理者權限密碼；二是未訂定完善可攜式設備管理規範，有權人員可用可攜設備將銀行內資料攜出，且無妥適讀取控管措施，不利資安保護。

三是未留存個人資料使用軌跡，報表系統未依內部規範，記錄個人資料使用情況及軌跡，不利資料外泄時追蹤，並影響查覈期程；四是未測試出資安軟體漏洞並確認執行情形。

童政彰表示，金管會去年9月收到匿名檢舉，反映銀行資安問題，並提供金管會6,500多名上海商銀客戶的帳號、身份證字號等個資，當時上海銀查不出外泄原因，今年5月至7月間上海商銀有65家分行收到百名客戶名單，「提醒」這些分行其客戶個資已被攜出。經金管會清查共1萬4,000筆個資外泄。

2013年、2014年，也發生銀行客戶個資外泄案，童政彰說，其一是行員用USB下載客戶資料帶到行外被罰300萬元，另一家則是將客戶個資上傳到外部網站，被懲處400萬元，外泄的筆數都上萬件，銀行局表示，在事件後，各銀行分行端的電腦現在都沒有可插USB的插槽，就是防止客戶資料再被攜出銀行。

上海商銀應沒有事先控管個人電腦使用，又沒有留存個人使用軌跡，因此在金管會及分行收到個資外泄舉報時，銀行查不出漏洞在哪，目前懷疑是資訊系統供應商或自家行員攜出資料，但目的不明。