上海銀行涉1.4萬名客戶資料外洩,據該行審核結果,內部確實有內部管控缺失。金管會今(28)日宣布開罰1000萬新台幣,並提出包含全面檢討懲處涉案當責人員及主管、盤點全行電腦系統清查查詢個資權限、建置監控分析機制、充實稽查人員能力等4大要求。
金管會及上海銀行2022年9月及今年5月至7月期間,陸續接獲民眾反映上海銀行資安問題。該行啟動查核後證實,有1.4萬名客戶個資遭外洩。
金管會今日發布新聞稿指出,該案經該行查核結果,顯示該行有未完善建立及未確實執行內部控制制度之情事,致客戶資料外洩,且未能保有相關軌跡,依銀行法第129條第7款規定,核處新台幣1000萬元罰鍰。
金管會指出,該行未完善建立內部控制制度,包括未訂定妥適個人電腦管理者權限規範,以及未訂定完善可攜式設備管理規範。此外,該行也未確實執行內部控制制度,未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形。
金管會也提出4大要求,包括 (一) 請該行全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當;(二) 請該行盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。
(三)請該行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制;(四) 請該行充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。
金管會表示,金融機構應依「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」完善建立個人資料保護管理程序及措施,並定期檢視其妥適性及落實執行。金管會也將持續督促金融機構強化資訊安全與個人資料保護作業,以維客戶權益與個人資料安全。