客戶個資外洩達1.4萬人！　金管會開罰上海商銀1000萬元創歷來最高

上海商銀對客戶資料外洩案金管會開罰！金管會表示，上海商銀對客戶資料保密及資訊安全有未完善建立、未確實執行內部控制制度，導致有多達1.4萬筆客戶姓名等個資外洩，依銀行法規定，核處1,000萬元罰鍰。金管會也要求上海商銀後續保護措施。

金管會接到檢舉投訴，指出上海商銀個資外洩，相關投訴者也將今年5到7月相關個資寄到上海商銀各分行，顯示資料確實遭攜出。過去銀行客戶資料外洩是USB資料攜出的案例，當時金管會懲處銀行為300~400萬元，外洩個資也是1萬多筆。

金管會說明，此次上海商銀未完善建立內部控制制度，遲至案發後始明定每半年變更個人電腦管理者權限密碼，長期未辦理密碼變更作業，致客戶資料有外洩風險。有權使用可攜式設備人員得藉此將行內資料攜出，且無妥適讀取控管措施，不利資訊安全保護。

上海商銀未確實執行內部控制制度，該行案關報表系統未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證據，不利個人資料外洩時，追蹤個人資料使用狀況，並影響查核期程。

金管會也指出，上海商銀未落實執行內部規範，作業系統上線前及更新時，未能測試出資安監控軟體漏洞，並確認其於工作站執行情形，致未發現該軟體未能正常啟動，造成無法控管及記錄可攜式設備資料之存取，影響查核時效，且無法判斷實際損害情形，並不利後續調查程序。

金管會也要求上海商銀後續保護措施，上海商銀應全面檢討本案所涉當責人員及主管責任，懲處程度應與所負責任相當，並盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡，建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。

金管會表示，上海商銀也需充實稽核人員資訊系統稽核能力，並委託會計師辦理全行個人資料保護專案查核。