看板 Bank_Service
上海商銀1.4萬戶客戶個資外洩 遭重罰千萬 https://ec.ltn.com.tw/article/breakingnews/4504160 2023/11/28 16:36 https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg
上海商銀1.4萬戶的客戶個資遭到外洩,金管會重罰1千萬元。(記者王孟倫攝) 〔記者王孟倫/台北報導〕金管會今天公開最新裁罰案,上海商銀因為客戶個人資料遭到 外洩共1萬4千戶(已歸戶),顯示該行有未完善建立及執行內部控制制度,致客戶資料外 洩,因此,予以開罰1千萬元。 金管會銀行局副局長童政彰表示,本案先是去年九月向金管會匿名檢舉,我們請銀行馬上 查,但未能查出結果;後來,在今年五月到七月間,上海商銀的分行端也有接獲匿名檢舉 ,並查出該行客戶的紙本名單,遭到外洩攜出。童政彰說明,客戶被外洩的資料內容為姓 名與身分證。 為何銀行客戶資料會遭到外洩?童政彰說,我們已經請銀行進行調查,初步推測,有可能 是資訊系統碰觸到委外單位廠商,或是銀行行員自行攜出兩種可能。 至於客戶被外洩的資料是否被使用?童政彰指出,目前還不瞭解,已經請銀行要調查清楚 ,而且,主管機關也基於未能建立及落實內稽內控,進而開罰上海商銀。 金管會表示,上海商銀本案共四大缺失,第1、未訂定妥適個人電腦管理者權限規範:該 行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致 客戶資料有外洩風險。 第2、未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員得使用可攜式設備將 行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。 第3、該行案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證 據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。 第4、該行未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏 洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控 管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續 調查程序。 針對本案,金管會依銀行法第129條第7款規定,核處1000萬元罰鍰。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.14.213 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1701179420.A.778.html
ayen0422: 平均一筆個資罰714元 11/28 22:26
bryanwang: 客戶遭殃,金管會賺到罰金? 11/29 00:51
coke: 這種data breach開罰之外,不用另外賠償客戶嗎? 11/29 09:38
great5566: 客戶因為有損失才會去告 但要舉證走民事 11/29 09:42
bnn: 你沒法舉證別人在野外買到的資料是這次漏的就不會理你 11/29 09:50
Chricey: 剛開始吃UC2,期待 11/29 21:33
nakts0123: 扯爆 什麼爛銀行 11/29 10:49
prussian: https://www.ithome.com.tw/news/160048 11/29 12:46
prussian: 每個分行各自收到自己的100名客戶名單,明顯是有人故意 11/29 12:46
prussian: 要把事情搞大 11/29 12:46
Chricey: 關節痛這種東西靠UC2就對了 11/29 12:46
prussian: 不過這和內控不嚴謹本身不衝突就是 11/29 12:46
dantes1013: 重罰?是該條款最低額耶~~ 11/29 18:20
pippen2002: 才一千萬? 牠今年賺幾百億了??? 11/29 18:51
wz70403: 用中國的銀行本來就沒個資可言了 11/29 21:33
Kroner: UC2推薦?有人試過嗎?靠譜嗎? 11/29 21:33
svcc: 台灣個資不是早就賣光光了 11/30 13:21
jackychen501: 重罰 好喔 11/30 21:37
a386036: 頂新事件。無法證明吃了會死會得病,無罪 12/02 12:06