泄个资四疏失上海商银遭罚1,000万

上海商银四大疏失

时隔十年又出现银行客户资料外泄被重罚案，银行局副局长童政彰28日公布，上海商银遭人检举，外泄共1万4,000笔客户资料，是继2013年、2014年以来的首案，显示银行对客户资料保密及资讯安全，没有完善建立及确实执行内控制度，对上海商银重罚1,000万元。

银行局汇整上海商银此案四大疏失，并公开要求所有国银警惕并自我检查，一是上海商银未订定妥适个人电脑管理者权限，案发后才明定每半年变更个人电脑管理者权限密码；二是未订定完善可携式设备管理规范，有权人员可用可携设备将银行内资料携出，且无妥适读取控管措施，不利资安保护。

三是未留存个人资料使用轨迹，报表系统未依内部规范，记录个人资料使用情况及轨迹，不利资料外泄时追踪，并影响查核期程；四是未测试出资安软体漏洞并确认执行情形。

童政彰表示，金管会去年9月收到匿名检举，反映银行资安问题，并提供金管会6,500多名上海商银客户的帐号、身份证字号等个资，当时上海银查不出外泄原因，今年5月至7月间上海商银有65家分行收到百名客户名单，「提醒」这些分行其客户个资已被携出。经金管会清查共1万4,000笔个资外泄。

2013年、2014年，也发生银行客户个资外泄案，童政彰说，其一是行员用USB下载客户资料带到行外被罚300万元，另一家则是将客户个资上传到外部网站，被惩处400万元，外泄的笔数都上万件，银行局表示，在事件后，各银行分行端的电脑现在都没有可插USB的插槽，就是防止客户资料再被携出银行。

上海商银应没有事先控管个人电脑使用，又没有留存个人使用轨迹，因此在金管会及分行收到个资外泄举报时，银行查不出漏洞在哪，目前怀疑是资讯系统供应商或自家行员携出资料，但目的不明。