記者 張家嘯 報導
銀行又發生重大違失,遭罰千萬元案例再添一樁!金管會今(28)日宣布,針對上海銀行裁處1,000萬元罰鍰,主因是上海銀客戶資料外洩,涉及內部管理缺失。根據調查,約有1.4萬名上海銀行客戶的個資外流,包括姓名及身分證資料,而這起案件也是金管會對銀行個資外洩,祭出史上最重的罰鍰紀錄。
據瞭解,此案發生在2022年9月、2023年5~7月,金管會陸續接到民眾匿名檢舉銀行客戶個資外洩。進一步查核發現,確實是上海銀行的客戶資料外流,而資料竟是被人攜出,至於究竟是由誰攜出,目前未有結論。
金管會指出,2023年5~7月上海銀行有65家分行,在短時間內密集遭大量檢舉,指稱客戶資料外洩,而這65家分行,平均每一分行都有大約100位客戶個資流出的證據,包括客戶姓名和身分證字號,所幸這些客戶資料至今尚未遭人不法利用。
金管會表示,此案合計約有1.4萬名客戶受影響,顯示上海銀對於客戶資料保密、資訊安全,皆未完善建立內控制度,也未確實執行。進一步查核發現,業者沒有訂定妥適的個人電腦管理者權限規範,一直到案發前才開始規定每半年變更個人電腦管理者權限密碼;且未訂定完善可攜式設備管理規範,讓有權使用可攜式設備人員將行內資料攜出,沒有妥適的讀取控管措施,不利於資訊安全保護。
金管會要求上海銀行,後續必須完成4大監理要求事項,包括全面檢討該案所涉及的當責人員及主管責任;全面盤點涉及個資的各類電腦系統,是否均建置留存個資運用稽核軌跡;建立各類應用系統測試稽核機制,以及權限範圍內不正常查詢、下載情形監控分析機制;必須充實稽核人員資訊系統稽核能力等。
原文出處
相關文章