上海商銀1.4萬客戶資料外洩，金管會列4大缺失，依銀行法重罰千萬

上海商業儲蓄銀行（簡稱上海商銀）發生1.4萬客戶資料外洩情形，且事件相當不尋常，今年5月有人將其外洩的客戶資料，以紙本方式送交該銀行的60多家分行，今日（28日）金管會在例行記者會上公布此事，同時宣布了他們對於上海商銀客戶資料外洩一案的查核結果，指出該銀行所涉及的4大缺失，並祭出違反銀行法第129條第七款的法令裁罰，處以1千萬元罰鍰。（新法已從最高罰鍰1千萬元，提升至5千萬元。）

對於這起事件，金管會銀行局長副局長童政彰表示，自2022年9月及今年5月至7月間，他們陸續接獲匿名民眾反映該行資訊安全問題，而後續查核結果顯示，上海商銀有未完善建立及未確實執行內部控制制度的情形，尤其是未能保有相關軌跡，使得外洩來源至今仍不清楚。顯然，事件發生之後，竟缺乏相關資訊可追查，這應該就是這次金管會祭出重罰的主要原因。

對於這些客戶資料是如何外流，童政彰表示，到目前還沒有定論，初步檢討方向有兩個可能性，一個是資訊廠商，一個是行員，由於這方面牽扯到更多後續查核才能得知，因此銀行局並不提出定論。

面對這起事件的發生，我們認為，有兩個層面的議題需要重視。首先，是資料外洩事件查核後的發現，揭露上海商銀內稽內控有4大缺失；其次是，主管機關因為接到民眾匿名檢舉，而開始調查資料外洩，最終導致事件曝光。

金管會開罰重點在於，事件發生後竟缺乏相關資訊可追查

根據金管會的說明，上海商銀的重大缺失有四大項，包括未明訂定期變更電腦密碼、未訂定可攜式設備管控規範，以及未留存個人資料使用軌跡，未測試出資安軟體漏洞並確認其執行情形。

具體而言，在未完善建立內部控制制度方面，有兩項：（一）未訂定妥善的個人電腦管理者權限規範，金管會發現該行是在案發後，才開始明定每半年變更個人電腦管理者權限密碼，（二）未訂定完善可攜式設備管理規範，有權使用可攜式設備的人員可以使用可攜式設備將行內資料攜出，且無妥適的讀取控管措施。

其次，在未確實執行內部控制制度方面，這裡也有兩項：（一）未留存使用者軌跡：在該行的案關報表系統上，並未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證據。這也使得個人資料外洩，無法追蹤個人資料使用狀況，並且影響查核時程；（二）未測試出資安軟體漏洞並確認其執行情形：同樣是未落實執行內部規範，在作業系統上線前及更新時，未能測試出資安監控軟體漏洞，並確認其於工作站的執行情形，導致並未發現該資安軟體未能正常啟動的情形，這也造成了無法控管及記錄可攜式設備資料的存取，影響查核時效，且無法判斷實際損害情形，並不利後續調查程序。

簡單來說，後兩項更為關鍵，是關於內部規範落實，也就是未確實執行內部控制制度，而且這樣的缺失，造成的後果極為嚴重，導致事後發生後，出現無法追查出根因的狀況。

因此，究竟是外洩事件是發生在總行端還是分行端？是否為內部員工所為？透過何種管道導致大量客戶資料被攜出？在缺乏軌跡記錄的情況下，不論是主管機關、當事者、客戶，以及社會大眾，都有如瞎子摸象，各種可能情形都存在，完全無法找出事件根因。

由於落實記錄保存強調已久，受到政府高度監管的大型金融業者，卻出現這樣嚴重的缺失，令外界感到震驚。

通報方式特別，多達60多家分行收到含客戶資料的匿名信

另一方面，這起事件之所以曝光，童政彰提到，他們從兩個投訴管道接獲這樣的消息，一是匿名者向主管機關投訴，一是將資料外洩名單以紙本方式送至銀行分行端，以佐證有資料外洩。

不過，令人感到好奇的是，檢舉人如何拿到這些資料？如何知道這些客戶資料都是上海商銀的客戶？對此，童政彰表示，匿名檢舉人提供到分行端的紙本資料中，包含了100位該分行的客戶姓名與身分證證號，而且上海商銀60家分行都各自收到屬於自家分行的客戶資料，累計有6千名客戶資料，再加上直接寄到金管會的資料，最終比對統計之後，總共外流1.4萬客戶資料。

後續我們在網路上也查到這方面的資訊，發現今年5月，有疑似該行行員投書至匿名臉書社群「靠北銀行員」，該粉專轉載網友投書內容的貼文顯示：「汪洋（意指上海商銀）很多艘船（應該意指分行）都收到匿名信，滿滿的個資，挑釁意味十足針對性很強，主管機關應該很快也會收到檢舉函。」

此次資料外洩是行員所為嗎？背後有其他目的？金管會在例行記者會上表示無法臆測，銀行端也沒有接到有人打算對其勒索的消息，這次他們主要針對客戶資料外流案查核到的缺失做行政處置。

因此，除了金管會公告的事項之外，仍有許多問題尚未得到答案，像是：為何該行遲遲沒有對外發布資料外洩公告？

至於這起資料外洩事件的事後因應，童政彰表示，金管會將督促該銀行採取行動，像是聯繫受資料外洩影響的客戶，慎防詐騙之類防範措施，以及針對受影響客戶提供甚麼樣的補償方案，還有銀行需設想外洩資料可能被如何運用，並想辦法保護客戶的資料。

此外，根據金管會發布資料顯示，除了對上海商銀罰錢，也提出其他4項監理要求，包括：該行需全面檢討本案所涉當責人員及主管責任，懲處程度應與所負責任相當；該行需盤點全行涉及個人資料之各類電腦系統，是否均建置留存個人資料使用稽核軌跡，以及清查全行行員查詢個人資料相關權限，是否符合最小化權限原則，並應定期辦理檢視權限作業；該行需建置各類應用系統測試稽核機制，以及權限範圍內不正常查詢及下載情形的監控分析機制；該行需充實稽核人員資訊系統稽核能力，並委託會計師辦理全行個人資料保護專案查核。

同時，金管會也向各金融機構呼籲，應遵循「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」，對於個資保護與記錄保存，需落實執行及定期檢視。

因個資外洩、資安缺失開罰，歷年少見

最後值得關注的是，這次金管會依據銀行法開罰1千萬元，現場媒體都很訝異，因為這幾年很少聽聞有針對金融業個資外洩、資安缺失的開罰。童政彰表示，過去其實也有類似開罰案件，例如，在2013年與2014年有兩次個資外洩事件，規模都達上萬筆，與這次相當。前者是因為USB下載客戶資料並攜出的案件，開罰300萬元，後者是將個資上傳到外部網站的案件，開罰400萬元。而這次金管會公布這樣的處份案件，目的同樣是以此要求每一家銀行保持警惕，檢視自身是否也存在類似問題。

而從這次開罰金額來看，確實是歷年類似案件最高。但我們也注意到，銀行法最高罰鍰已從1千萬提升至5千萬元。此外，若以同一法令、不同類型事件來看，今年6月，中國信託就曾因為客戶臨櫃申請調高網路銀行轉帳，以及ATM提領日限額作業，所涉及的缺失問題，同樣依違反銀行法第129條第7款，由金管會核處2千萬元罰鍰，高於這次事件。

較可惜的是，對於個資法方面的問題並無相關說明，金管會在他們發布的資料，以及這場記者會，都未提及這部分的狀況。

在11月28日，金管會於例行記者會上，揭露上海商銀發生客戶資料外洩，並針對查核後的資安管控缺失，對該行祭出裁罰，同時也發布新聞稿說明。

上海商銀在今日傍晚亦發布重大訊息，說明受金管會裁罰，當中並表示已就相關機制進行改善，強化管理規範，及落實執行，並會再依金管會的意見進行改善。