# 上海銀行個資外洩裁罰案 ## 緣由:金管會2023/11/28[裁罰案件](https://www.fsc.gov.tw/ch/home.jsp?id=131&parentpath=0,2&mcustomize=multimessages_view.jsp&dataserno=202311290001&dtable=Penalty)  ## 事實經過 > 自2022年9月及今年5月至7月間，他們陸續接獲匿名民眾反映該行資訊安全問題，而後續查核結果顯示，上海商銀有未完善建立及未確實執行內部控制制度的情形，導致客戶資料外洩，而且未能保有相關軌跡。因此，目前外洩來源至今仍不清楚。 > 匿名檢舉人提供到分行端的紙本資料中，包含了100位該分行的客戶姓名與身分證證號，而且上海商銀60家分行都各自收到屬於自家分行的客戶資料，累計有6千名客戶資料，再加上直接寄到金管會的資料，最終比對統計之後，總共外流1.4萬客戶資料。 * 由此判斷外洩個資數可能更多，檢舉人提供的為1.4萬份。 * 判斷檢舉人資料來源應為Insider或具有連接內網權限廠商。 ## 裁罰理由 * 違反銀行法第45條之1第1項規定(內控及稽核)  * 金融控股公司及銀行業內部控制及稽核制度實施辦法 * 內控制度(第3條)  * 客戶資料保密(第8條第1項第2款第2目規定)  * 裁罰依據銀行法第129條第7款  ## 違反事實 ### (一)未完善建立內部控制制度： 1. <font color=#800000>未訂定妥適個人電腦管理者權限規範</font>：遲至案發後111年12月15日始明定每半年變更個人電腦管理者權限密碼，長期未辦理密碼變更作業，致客戶資料有外洩風險。 2. <font color=#800000>未訂定完善可攜式設備管理規範</font>：有權使用可攜式設備之人員仍得使用可攜式設備將行內資料攜出，且無妥適之讀取控管措施，不利資訊安全保護。 ### (二)未確實執行內部控制制度： 1. 個人資料檔案安全維護準則已訂定應記錄個人資料使用情況，留存軌跡資料或相關證據；惟案關報表系統<font color=#800000>未依內部規範留存個人資料使用軌跡</font>，不利個人資料外洩時，追蹤個人資料使用狀況，並影響查核期程。 2. 資訊設備授權及保護管理辦法、個人電腦使用管理辦法規定，<font color=#800000>變更作業環境應經適當測試</font>，派送至工作站之系統安全性更新安裝應確認執行情形。惟貴行<font color=#800000>作業系統上線前及更新時，未能測試出資安監控軟體漏洞，並確認其於工作站之執行情形</font>，致未發現該軟體有未能正常啟動之情形，造成無法控管及記錄可攜式設備資料之存取，影響查核時效，亦無法判斷實際損害情形，不利於後續調查程序。 ## Review ### 事前: 身分與存取控制 * 人員身分確認 * 設備控制確認 ### 事中: 資料保護機制與記錄 * 注意變更管理: DLP等設備變更或升級後可能失效，可能導致無法正常運作，應進行測試。 * 異常報表覆核 ### 事後: 稽核追查 * 稽核紀錄供事後追查 ## Reference iTHome報導 > https://www.ithome.com.tw/news/160048