作者jackloutter (Clarkson)
看板Bank_Service
標題[新聞] 上海商銀1.4萬戶客戶個資外洩 遭重罰千萬
時間Tue Nov 28 21:50:18 2023
上海商銀1.4萬戶客戶個資外洩 遭重罰千萬
https://ec.ltn.com.tw/article/breakingnews/4504160
2023/11/28 16:36
https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg
上海商銀1.4萬戶的客戶個資遭到外洩,金管會重罰1千萬元。(記者王孟倫攝)
〔記者王孟倫/台北報導〕金管會今天公開最新裁罰案,上海商銀因為客戶個人資料遭到
外洩共1萬4千戶(已歸戶),顯示該行有未完善建立及執行內部控制制度,致客戶資料外
洩,因此,予以開罰1千萬元。
金管會銀行局副局長童政彰表示,本案先是去年九月向金管會匿名檢舉,我們請銀行馬上
查,但未能查出結果;後來,在今年五月到七月間,上海商銀的分行端也有接獲匿名檢舉
,並查出該行客戶的紙本名單,遭到外洩攜出。童政彰說明,客戶被外洩的資料內容為姓
名與身分證。
為何銀行客戶資料會遭到外洩?童政彰說,我們已經請銀行進行調查,初步推測,有可能
是資訊系統碰觸到委外單位廠商,或是銀行行員自行攜出兩種可能。
至於客戶被外洩的資料是否被使用?童政彰指出,目前還不瞭解,已經請銀行要調查清楚
,而且,主管機關也基於未能建立及落實內稽內控,進而開罰上海商銀。
金管會表示,上海商銀本案共四大缺失,第1、未訂定妥適個人電腦管理者權限規範:該
行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致
客戶資料有外洩風險。
第2、未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員得使用可攜式設備將
行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。
第3、該行案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證
據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。
第4、該行未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏
洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控
管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續
調查程序。
針對本案,金管會依銀行法第129條第7款規定,核處1000萬元罰鍰。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.14.213 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1701179420.A.778.html
推 ayen0422: 平均一筆個資罰714元 11/28 22:26
推 bryanwang: 客戶遭殃,金管會賺到罰金? 11/29 00:51
推 coke: 這種data breach開罰之外,不用另外賠償客戶嗎? 11/29 09:38
→ great5566: 客戶因為有損失才會去告 但要舉證走民事 11/29 09:42
→ bnn: 你沒法舉證別人在野外買到的資料是這次漏的就不會理你 11/29 09:50
推 Kroner: 搞笑吧!關節痛,你能嚴重點嗎?我要讓你知道什麼叫真正的痛! 11/29 09:50 推 nakts0123: 扯爆 什麼爛銀行 11/29 10:49
→ prussian: 每個分行各自收到自己的100名客戶名單,明顯是有人故意 11/29 12:46
→ prussian: 要把事情搞大 11/29 12:46
推 Chricey: 我有在用UC2,感覺效果還不錯欸! 11/29 12:46 → prussian: 不過這和內控不嚴謹本身不衝突就是 11/29 12:46
→ dantes1013: 重罰?是該條款最低額耶~~ 11/29 18:20
→ pippen2002: 才一千萬? 牠今年賺幾百億了??? 11/29 18:51
推 wz70403: 用中國的銀行本來就沒個資可言了 11/29 21:33
推 Chricey: 5樓關節跟X一樣 11/29 21:33 推 svcc: 台灣個資不是早就賣光光了 11/30 13:21
→ jackychen501: 重罰 好喔 11/30 21:37
推 a386036: 頂新事件。無法證明吃了會死會得病,無罪 12/02 12:06