《金融》外泄1.4万名客户个资 上海商银遭重罚千万

银行局副局长童振彰表示，金管会去年9月接获自称上海商银员工的匿名检举，指称上海商银资安出包、外泄客户个资，并附上多笔客户个资佐证。金管会对此立即要求上海商银启动调查，但当时未能查出明确结果。

而今年5～7月期间，上海商银有65家分行短期间密集接获外部信件，明列各分行遭外泄的客户个资，经上海商银比对证实为该行客户个资，对此向金管会通报重大偶发事件并启动全行清查，合计多达1.4万名上海商银客户个资遭外泄。

金管会指出，上海商银未订定妥适电脑管理者权限及可携式设备管理规范，事发后才明定每半年变更密码。报表系统未依内规纪录个资使用情况、留存轨迹资料或相关证据，系统更新前亦未发现资安监控软体漏洞及执行状况，导致无法控管或纪录可携式设备资料存取。

据此，金管会认为上海商银未完善建立及确实执行内控制度，依违反银行法重罚上海商银1000万元，并提出4点监理要求，包括全面检讨所设当责人员及主管责任、盘查涉及个资的各类系统是否建置留存使用稽核轨迹、是否符合最小化权限原则，并应定期办理检视作业。

同时，金管会要求上海商银建置各类应用系统测试稽核机制、权限范围内不正常查询及下载情形监控分析机制，并应充实稽核人员资讯系统稽核能力，并委托会计师办理全行个资保护专案查核。

童振彰指出，因上海商银系统未留下轨迹纪录，增加后续追查难度，目前无法确定外泄个资者身分、遭外泄客户个资是否遭不当利用。初步检讨可能是资讯系统委外厂商或行员所为，此次仅针对外泄个资事实进行行政裁罚，并要求上海商银提醒个资遭外泄客户提高警觉。