《金融》外泄1.4万名客户个资 上海商银遭重罚千万

银行局副局长童振彰表示,金管会去年9月接获自称上海商银员工的匿名检举,指称上海商银资安出包、外泄客户个资,并附上多笔客户个资佐证。金管会对此立即要求上海商银启动调查,但当时未能查出明确结果。

而今年5~7月期间,上海商银有65家分行短期间密集接获外部信件,明列各分行遭外泄的客户个资,经上海商银比对证实为该行客户个资,对此向金管会通报重大偶发事件并启动全行清查,合计多达1.4万名上海商银客户个资遭外泄。

金管会指出,上海商银未订定妥适电脑管理者权限及可携式设备管理规范,事发后才明定每半年变更密码。报表系统未依内规纪录个资使用情况、留存轨迹资料或相关证据,系统更新前亦未发现资安监控软体漏洞及执行状况,导致无法控管或纪录可携式设备资料存取。

据此,金管会认为上海商银未完善建立及确实执行内控制度,依违反银行法重罚上海商银1000万元,并提出4点监理要求,包括全面检讨所设当责人员及主管责任、盘查涉及个资的各类系统是否建置留存使用稽核轨迹、是否符合最小化权限原则,并应定期办理检视作业。

同时,金管会要求上海商银建置各类应用系统测试稽核机制、权限范围内不正常查询及下载情形监控分析机制,并应充实稽核人员资讯系统稽核能力,并委托会计师办理全行个资保护专案查核。

童振彰指出,因上海商银系统未留下轨迹纪录,增加后续追查难度,目前无法确定外泄个资者身分、遭外泄客户个资是否遭不当利用。初步检讨可能是资讯系统委外厂商或行员所为,此次仅针对外泄个资事实进行行政裁罚,并要求上海商银提醒个资遭外泄客户提高警觉。