上海商银发生1.4万客户资料外泄情形,今日(28日)金管会在例行记者会上,公布对上海商业储蓄银行(简称上海商银)客户资料外泄一案查核结果,并针对此案下该行所涉及的缺失,祭出违反银行法第129条第七款的法令裁罚,处以1千万元罚锾。而该法令的最高罚锾是5千万元。
对于这起事件,金管会银行局长副局长童政彰表示,自2022年9月及今年5月至7月间,他们陆续接获匿名民众反映该行资讯安全问题,而后续查核结果显示,上海商银有未完善建立及未确实执行内部控制制度的情形,导致客户资料外泄,而且未能保有相关轨迹。因此,目前外泄来源至今仍不清楚。
对于这些客户资料是如何外流,童政彰表示,目前还没有定论,初步检讨方向有两个可能性,一个是资讯厂商,一个是行员,由于这方面牵扯到后续查核,因此银行局这边并不会下订论。
值得我们注意的是,在这起事件下有两个层面的议题需要重视,首先,是资料外泄事件查核后的发现,上海商银在内稽内控有4大缺失,其次是,主管机关因为接到民众匿名检举而开始调查资料外泄而导致事件曝光。
根据金管会的说明,上海商银的重大缺失有四大项,包括未明订定期变更电脑密码、未订定可携式设备管控规范,以及未留存个人资料使用轨迹,未测试出资安软体漏洞并确认其执行情形。
具体而言,在未完善建立内部控制制度方面,有两项:(一)未订定妥善的个人电脑管理者权限规范,金管会发现该行是在案发后,才开始明定每半年变更个人电脑管理者权限密码,(二)未订定完善可携式设备管理规范,有权使用可携式设备的人员可以使用可携式设备将行内资料携出,且无妥适的读取控管措施。
其次,在未确实执行内部控制制度方面,也有两项:(一)未留存使用者轨迹:在该行的案关报表系统上,并未依内部规范,记录个人资料使用情况,留存轨迹资料或相关证据。这也使得个人资料外泄,无法追踪个人资料使用状况,并且影响查核时程;(二)未测试出资安软体漏洞并确认其执行情形:同样是未落实执行内部规范,在作业系统上线前及更新时,未能测试出资安监控软体漏洞,并确认其于工作站的执行情形,导致并未发现该资安软体未能正常启动的情形,这也造成了无法控管及记录可携式设备资料的存取,影响查核时效,且无法判断实际损害情形,并不利后续调查程序。
另一方面,这起事件之所以曝光,童政彰提到,他们从两个投诉管道接获这样的消息,一是向主管机关投诉,一是检举人将资料外泄名单以纸本方式送至银行分行端,以佐证资料外泄。
不过,令人感到好奇的是,检举人如何拿到这些资料?如何知道这些客户资料都是上海商银的客户?对此,童政彰表示,匿名检举人提供到分行端的纸本资料中,包含了100位该分行的客户姓名与身分证证号,而且上海商银60家分行都各自收到源于自家分行外流的客户资料,累计有6千名客户资料,再加上直接寄到金管会的资料,最终比对统计之后,总共外流1.4万客户资料。
对于是否可能是行员所为?背后可能目的?金管会无法臆测,银行端也没有进一步接到勒索的消息,这次他们主要针对客户资料外流案查核到的缺失做行政处置。
至于这起资料外泄事件的后续因应,童政彰表示,将督促该银行采取一些行动,像是联系受资料外泄影响的客户,慎防诈骗之类防范措施,以及针对受影响客户提供甚么样的补偿方案,还有银行需设想外泄资料可能被如何运用,并想办法保护客户的资料。
此外,金管会也对上海商银提出其他4项监理要求,包括:请该行全面检讨本案所涉当责人员及主管责任,惩处程度应与所负责任相当;请该行盘点全行涉及个人资料之各类电脑系统是否均建置留存个人资料使用稽核轨迹,以及清查全行行员查询个人资料相关权限是否符合最小化权限原则,并应定期办理检视权限作业;请该行建置各类应用系统测试稽核机制及权限范围内不正常查询及下载情形监控分析机制;请该行充实稽核人员资讯系统稽核能力,并委托会计师办理全行个人资料保护专案查核。不过,对于个资法方面问题,金管会在这场记者会上并无多做说明。
同时,金管会也向各金融机构呼吁,应依「金融监督管理委员会指定非公务机关个人资料档案安全维护办法」,完善建立个人资料保护管理程序及措施,需落实执行及定期检视妥适性。