兩次匿名檢舉！上海商銀遭爆外洩逾1萬名客戶個資 挨罰

金管會和上海商銀（5876）分別在去年9月、及今年5~7月接獲民眾匿名檢舉該行有外洩客戶資料，經上海商銀清查後，確認共有1萬4000名客戶個資遭外洩，金管會今宣布懲處上海商銀1000萬罰鍰，並要上海商銀究責相關人員，也要求上海商銀需聯繫客戶做提醒、提出客戶保護措施。

銀行局副局長童政彰說，金管會是在2022年9月先接獲民眾匿名檢舉上海商銀有外洩客戶資料，金管會旋即要上海商銀清查；2023年5~7月上海商銀有65家分行端，短時間密集接獲大量檢舉信，指稱客戶資料遭外洩。

這65家上海商銀分行、平均每一分行都接獲該分行約有100位客戶個資外洩的證據，包括客戶姓名和身分證字號，至今這些客戶資料尚未遭到不法利用。

童政彰說，經上海商銀初步研判，有可能是資訊廠商或行員外洩，但至今的確無法確認是誰所為，金管會要求上海商銀需聯繫並提醒客戶防詐騙、也需提出客戶保護措施。

他說，上海商銀主要有四大缺失，一、未留存個人資料使用軌跡，二、未測試出資安軟體漏洞並確認其執行情況，三、未訂定妥適個人電腦管理者權限規定，四、未訂定完善可攜式設備管理規範。

其中又以第一大缺失最影響查核期程，因報表系統沒有依內規去紀錄個人資料使用情況，留存軌跡資料或相關證據，使客戶個資外洩時無法追蹤。

金管會除開罰1000萬元，也對上海商銀做四項監理要求，一、要求上海商銀全面檢討本案所涉當責人員及主管責任，懲處程度應與所負責任相當。

二、需盤點全行涉及個人資料的各類電腦系統，是否均建置留存個人資料使用稽核軌跡，以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則，並應定期辦理檢視權限作業。

三、需建置各類應用系統測試稽核機制，及權限範圍內不正常查詢及下載情形監控分析機制。四、上海商銀需充實稽核人員資訊系統稽核能力，並委託會計師辦理全行個人資料保護專案查核。