作者 jackloutter (Clarkson)
標題 [新聞] 上海商銀1.4萬戶客戶個資外洩 遭重罰千萬
時間 Tue Nov 28 21:50:18 2023



上海商銀1.4萬戶客戶個資外洩 遭重罰千萬
https://ec.ltn.com.tw/article/breakingnews/4504160
上海商銀1.4萬戶客戶個資外洩 遭重罰千萬 - 自由財經
[圖]
〔記者王孟倫/台北報導〕金管會今天公開最新裁罰案,上海商銀因為客戶個人資料遭到外洩共1萬4千戶(已歸戶),顯示該行有未完善建立及執行內部控制制度,致客戶資料外洩,因此,予以開罰1千萬元。
金 ...

 
2023/11/28 16:36

https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg
[圖]
上海商銀1.4萬戶的客戶個資遭到外洩,金管會重罰1千萬元。(記者王孟倫攝)

〔記者王孟倫/台北報導〕金管會今天公開最新裁罰案,上海商銀因為客戶個人資料遭到
外洩共1萬4千戶(已歸戶),顯示該行有未完善建立及執行內部控制制度,致客戶資料外
洩,因此,予以開罰1千萬元。


金管會銀行局副局長童政彰表示,本案先是去年九月向金管會匿名檢舉,我們請銀行馬上
查,但未能查出結果;後來,在今年五月到七月間,上海商銀的分行端也有接獲匿名檢舉
,並查出該行客戶的紙本名單,遭到外洩攜出。童政彰說明,客戶被外洩的資料內容為姓
名與身分證。


為何銀行客戶資料會遭到外洩?童政彰說,我們已經請銀行進行調查,初步推測,有可能
是資訊系統碰觸到委外單位廠商,或是銀行行員自行攜出兩種可能。

至於客戶被外洩的資料是否被使用?童政彰指出,目前還不瞭解,已經請銀行要調查清楚
,而且,主管機關也基於未能建立及落實內稽內控,進而開罰上海商銀。

金管會表示,上海商銀本案共四大缺失,第1、未訂定妥適個人電腦管理者權限規範:該
行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致
客戶資料有外洩風險。


第2、未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員得使用可攜式設備將
行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。

第3、該行案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證
據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。

第4、該行未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏
洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控
管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續
調查程序。


針對本案,金管會依銀行法第129條第7款規定,核處1000萬元罰鍰。

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.14.213 (臺灣)
※ 作者: jackloutter 2023-11-28 21:50:18
※ 文章代碼(AID): #1bPV0STu (Bank_Service)
※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1701179420.A.778.html
ayen0422: 平均一筆個資罰714元1F 11/28 22:26
bryanwang: 客戶遭殃,金管會賺到罰金?2F 11/29 00:51
coke: 這種data breach開罰之外,不用另外賠償客戶嗎?3F 11/29 09:38
great5566: 客戶因為有損失才會去告 但要舉證走民事4F 11/29 09:42
bnn: 你沒法舉證別人在野外買到的資料是這次漏的就不會理你5F 11/29 09:50
nakts0123: 扯爆 什麼爛銀行6F 11/29 10:49
prussian: https://www.ithome.com.tw/news/160048
每個分行各自收到自己的100名客戶名單,明顯是有人故意要把事情搞大
不過這和內控不嚴謹本身不衝突就是7F 11/29 12:46
上海商銀1.4萬客戶資料外洩,金管會列4大缺失,依銀行法重罰千萬 | iThome
[圖]
上海商銀發生資料外洩情事,有檢舉人將其外洩資料以紙本方式,寄送至金管會與該銀行的60多家分行,金管會在11月28日的例行記者會上公布此事,針對該銀行客戶資料外洩所涉缺失開罰1千萬,並要求4大監理事項 ...

 

--
作者 jackloutter 的最新發文:
點此顯示更多發文記錄