上海商银1.4万户客户个资外泄 遭重罚千万 https://ec.ltn.com.tw/article/breakingnews/4504160 2023/11/28 16:36 https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg 上海商银1.4万户的客户个资遭到外泄，金管会重罚1千万元。（记者王孟伦摄） 〔记者王孟伦／台北报导〕金管会今天公开最新裁罚案，上海商银因为客户个人资料遭到 外泄共1万4千户（已归户），显示该行有未完善建立及执行内部控制制度，致客户资料外 泄，因此，予以开罚1千万元。 金管会银行局副局长童政彰表示，本案先是去年九月向金管会匿名检举，我们请银行马上 查，但未能查出结果；後来，在今年五月到七月间，上海商银的分行端也有接获匿名检举 ，并查出该行客户的纸本名单，遭到外泄携出。童政彰说明，客户被外泄的资料内容为姓 名与身分证。 为何银行客户资料会遭到外泄？童政彰说，我们已经请银行进行调查，初步推测，有可能 是资讯系统碰触到委外单位厂商，或是银行行员自行携出两种可能。 至於客户被外泄的资料是否被使用？童政彰指出，目前还不了解，已经请银行要调查清楚 ，而且，主管机关也基於未能建立及落实内稽内控，进而开罚上海商银。 金管会表示，上海商银本案共四大缺失，第1、未订定妥适个人电脑管理者权限规范：该 行迟至案发後始明定每半年变更个人电脑管理者权限密码，长期未办理密码变更作业，致 客户资料有外泄风险。 第2、未订定完善可携式设备管理规范：有权使用可携式设备之人员得使用可携式设备将 行内资料携出，且无妥适之读取控管措施，不利资讯安全保护。 第3、该行案关报表系统未依内部规范，记录个人资料使用情况，留存轨迹资料或相关证 据，不利个人资料外泄时，追踪个人资料使用状况，并影响查核期程。 第4、该行未落实执行内部规范，作业系统上线前及更新时，未能测试出资安监控软体漏 洞，并确认其於工作站之执行情形，致未发现该软体有未能正常启动之情形，造成无法控 管及记录可携式设备资料之存取，影响查核时效，且无法判断实际损害情形，并不利後续 调查程序。 针对本案，金管会依银行法第129条第7款规定，核处1000万元罚锾。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.27.14.213 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1701179420.A.778.html