個資外洩被罰 上海商銀為十年來第3案、金管會匯整四大問題

金管會統計，因為個資外洩而被罰的銀行，上海商銀是近十年來的第三案，而對於上海商銀此次被罰，金管會也匯整四大問題，向全體國銀示警不要重蹈覆轍。

銀行局副局長童政彰表示，102及103年，曾有類似案件而使銀行遭懲處，行員用USB下載客戶資料帶到行外，當時罰300萬元，另一件則是上傳到外部網站，當時的懲處為400萬元，外洩的筆數都上萬件，而在之後，據銀行局了解，分行端的電腦現在都沒有可插USB的插槽，就是防止客戶資料再被攜出銀行。

至於上海商銀被罰千萬元，並非情節更嚴重，童政彰表示，主要和尚未修法之前，當時的最高罰鍰僅為1000萬元有關。

童政彰表示，由於相關資料已被內部人截走，但卻未有相關資訊留下讓稽核人員作追查，也是金管會開罰的重點。除了上海分行這65家分行之外，其他分行，也已被全面清查。

對於上述四大問題，金管會匯整之後認為上海商銀外洩個資所涉缺失，主要包括了未完善建立內部控制制度和未確實執行內部控制制度兩大面向所產生的四大問題，包括了：

1. 未訂定妥適個人電腦管理者權限規定：上海商銀案發後才明定每半年變更個人電腦管理者權限密碼，長期未辦理密碼變更作業，致客戶資料有外洩風險。

2. 未訂定完善可攜式設備管理規範：有權人員得使用可攜設備將行內資料攜出，且無妥適讀取控管措施，不利資訊安全保護。

3. 未留存個人資料使用軌跡：案關報表系統未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證據，不利個人資料外洩時追蹤，並影響查核期程。

4. 未測試出資安軟體漏洞並確認其執行情形：未落實執行內部規範，作業系統上線前及更新時，未能測試出資安監控軟體漏洞，並確認其於工作站的執行情形，致未發現該軟體有未能正常啟動情形，造成無法控管及記錄可攜式設備資料的存取，影響查核時效，且無法判斷實際損害情況。