圖片來源: 

金管會銀行局

上海商業儲蓄銀行(簡稱上海商銀)發生1.4萬客戶資料外洩情形,且事件相當不尋常,今年5月有人將其外洩的客戶資料,以紙本方式送交該銀行的60多家分行,今日(28日)金管會在例行記者會上公布此事,同時宣布了他們對於上海商銀客戶資料外洩一案的查核結果,指出該銀行所涉及的4大缺失,並祭出違反銀行法第129條第七款的法令裁罰,處以1千萬元罰鍰。(新法已從最高罰鍰1千萬元,提升至5千萬元。)

對於這起事件,金管會銀行局長副局長童政彰表示,自2022年9月及今年5月至7月間,他們陸續接獲匿名民眾反映該行資訊安全問題,而後續查核結果顯示,上海商銀有未完善建立及未確實執行內部控制制度的情形,尤其是未能保有相關軌跡,使得外洩來源至今仍不清楚。顯然,事件發生之後,竟缺乏相關資訊可追查,這應該就是這次金管會祭出重罰的主要原因。

對於這些客戶資料是如何外流,童政彰表示,到目前還沒有定論,初步檢討方向有兩個可能性,一個是資訊廠商,一個是行員,由於這方面牽扯到更多後續查核才能得知,因此銀行局並不提出定論。

面對這起事件的發生,我們認為,有兩個層面的議題需要重視。首先,是資料外洩事件查核後的發現,揭露上海商銀內稽內控有4大缺失;其次是,主管機關因為接到民眾匿名檢舉,而開始調查資料外洩,最終導致事件曝光。

金管會開罰重點在於,事件發生後竟缺乏相關資訊可追查

根據金管會的說明,上海商銀的重大缺失有四大項,包括未明訂定期變更電腦密碼、未訂定可攜式設備管控規範,以及未留存個人資料使用軌跡,未測試出資安軟體漏洞並確認其執行情形。

具體而言,在未完善建立內部控制制度方面,有兩項:(一)未訂定妥善的個人電腦管理者權限規範,金管會發現該行是在案發後,才開始明定每半年變更個人電腦管理者權限密碼,(二)未訂定完善可攜式設備管理規範,有權使用可攜式設備的人員可以使用可攜式設備將行內資料攜出,且無妥適的讀取控管措施。

其次,在未確實執行內部控制制度方面,這裡也有兩項:(一)未留存使用者軌跡:在該行的案關報表系統上,並未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據。這也使得個人資料外洩,無法追蹤個人資料使用狀況,並且影響查核時程;(二)未測試出資安軟體漏洞並確認其執行情形:同樣是未落實執行內部規範,在作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站的執行情形,導致並未發現該資安軟體未能正常啟動的情形,這也造成了無法控管及記錄可攜式設備資料的存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序。

簡單來說,後兩項更為關鍵,是關於內部規範落實,也就是未確實執行內部控制制度,而且這樣的缺失,造成的後果極為嚴重,導致事後發生後,出現無法追查出根因的狀況。

因此,究竟是外洩事件是發生在總行端還是分行端?是否為內部員工所為?透過何種管道導致大量客戶資料被攜出?在缺乏軌跡記錄的情況下,不論是主管機關、當事者、客戶,以及社會大眾,都有如瞎子摸象,各種可能情形都存在,完全無法找出事件根因。

由於落實記錄保存強調已久,受到政府高度監管的大型金融業者,卻出現這樣嚴重的缺失,令外界感到震驚。

通報方式特別,多達60多家分行收到含客戶資料的匿名信

另一方面,這起事件之所以曝光,童政彰提到,他們從兩個投訴管道接獲這樣的消息,一是匿名者向主管機關投訴,一是將資料外洩名單以紙本方式送至銀行分行端,以佐證有資料外洩。

不過,令人感到好奇的是,檢舉人如何拿到這些資料?如何知道這些客戶資料都是上海商銀的客戶?對此,童政彰表示,匿名檢舉人提供到分行端的紙本資料中,包含了100位該分行的客戶姓名與身分證證號,而且上海商銀60家分行都各自收到屬於自家分行的客戶資料,累計有6千名客戶資料,再加上直接寄到金管會的資料,最終比對統計之後,總共外流1.4萬客戶資料。

後續我們在網路上也查到這方面的資訊,發現今年5月,有疑似該行行員投書至匿名臉書社群「靠北銀行員」,該粉專轉載網友投書內容的貼文顯示:「汪洋(意指上海商銀)很多艘船(應該意指分行)都收到匿名信,滿滿的個資,挑釁意味十足針對性很強,主管機關應該很快也會收到檢舉函。」

此次資料外洩是行員所為嗎?背後有其他目的?金管會在例行記者會上表示無法臆測,銀行端也沒有接到有人打算對其勒索的消息,這次他們主要針對客戶資料外流案查核到的缺失做行政處置。

因此,除了金管會公告的事項之外,仍有許多問題尚未得到答案,像是:為何該行遲遲沒有對外發布資料外洩公告?

至於這起資料外洩事件的事後因應,童政彰表示,金管會將督促該銀行採取行動,像是聯繫受資料外洩影響的客戶,慎防詐騙之類防範措施,以及針對受影響客戶提供甚麼樣的補償方案,還有銀行需設想外洩資料可能被如何運用,並想辦法保護客戶的資料。

此外,根據金管會發布資料顯示,除了對上海商銀罰錢,也提出其他4項監理要求,包括:該行需全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當;該行需盤點全行涉及個人資料之各類電腦系統,是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限,是否符合最小化權限原則,並應定期辦理檢視權限作業;該行需建置各類應用系統測試稽核機制,以及權限範圍內不正常查詢及下載情形的監控分析機制;該行需充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。

同時,金管會也向各金融機構呼籲,應遵循「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」,對於個資保護與記錄保存,需落實執行及定期檢視。

因個資外洩、資安缺失開罰,歷年少見

最後值得關注的是,這次金管會依據銀行法開罰1千萬元,現場媒體都很訝異,因為這幾年很少聽聞有針對金融業個資外洩、資安缺失的開罰。童政彰表示,過去其實也有類似開罰案件,例如,在2013年與2014年有兩次個資外洩事件,規模都達上萬筆,與這次相當。前者是因為USB下載客戶資料並攜出的案件,開罰300萬元,後者是將個資上傳到外部網站的案件,開罰400萬元。而這次金管會公布這樣的處份案件,目的同樣是以此要求每一家銀行保持警惕,檢視自身是否也存在類似問題。

而從這次開罰金額來看,確實是歷年類似案件最高。但我們也注意到,銀行法最高罰鍰已從1千萬提升至5千萬元。此外,若以同一法令、不同類型事件來看,今年6月,中國信託就曾因為客戶臨櫃申請調高網路銀行轉帳,以及ATM提領日限額作業,所涉及的缺失問題,同樣依違反銀行法第129條第7款,由金管會核處2千萬元罰鍰,高於這次事件。

較可惜的是,對於個資法方面的問題並無相關說明,金管會在他們發布的資料,以及這場記者會,都未提及這部分的狀況。

在11月28日,金管會於例行記者會上,揭露上海商銀發生客戶資料外洩,並針對查核後的資安管控缺失,對該行祭出裁罰,同時也發布新聞稿說明。

上海商銀在今日傍晚亦發布重大訊息,說明受金管會裁罰,當中並表示已就相關機制進行改善,強化管理規範,及落實執行,並會再依金管會的意見進行改善。

熱門新聞

Advertisement