受文者： 如正、副本
發文日期：中華民國103年1月29日
發文字號：金管銀控字第10360000011號
受處分人姓名或名稱：國泰世華商業銀行
統一編號：04231910
地址：臺北市信義區松仁路7號1樓
代表人：陳祖培
身分證統一號碼：略
地址：臺北市信義區松仁路7號1樓
主旨：貴行離職員工將客戶個人資料下載至私人外接儲存裝置，核未妥適建立資訊作業管理之內部控制制度，違反銀行法第45條之1第1項規定，依同法第129條第7款規定，核處新臺幣300萬元罰鍰。
事實及理由：
一、貴行信託部○姓員工於離職前，將客戶資料下載至私人外接儲存裝置(USB)並攜走，核有以下缺失：
(一)未能妥適建立公用資料夾之檔案存取權限及授權控管：貴行資訊系統之公用資料夾管理，未能依行員行使職權範圍建立妥適之存取權限及授權控管，致行員得存取非與其職務相關且含客戶個人資料之檔案。依貴行清查結果，遭下載檔案數為○○○個，其中含有客戶個人資料之檔案數計○○○個，歸戶客戶數達○○○人，另有內部稽核檔案等機密資料。
(二)未能針對行員使用USB存取資料建立每日監視控管機制：○姓行員以USB存取非授權資料，惟因貴行未能建立每日監控機制，致○姓員工於101年12月14日至公用資料夾下載非授權檔案，貴行遲至102年1月7日始發現，顯示貴行之資訊作業管理內部控制制度未臻完備。
二、貴行對於公用資料夾之檔案存取權限控管未明確區分授權，致無法防杜行員存取非授權資料；另未能就行員存取資料建立每日監控機制，即時採行資訊保全措施。上該缺失顯示貴行未妥適建立資訊作業管理之內部控制制度，核違反銀行法第45條之1第1項規定。
三、另本案因遭下載之檔案數量大且內容涉及機密資訊，應提高處分級距。惟考量該違規之情事係貴行自行發現，並已為適當之處理，故予酌減。經綜覈相關事實後，爰核處旨揭罰鍰之金額。
法令依據：銀行法第129條第7款規定。
繳款方式：
一、繳款期限：自本處分送達之次日起10日內繳納。
二、請依本會銀行局檢附之繳款單注意事項辦理繳納。
注意事項：
一、受處分人如不服本處分，應於本處分送達之次日起30日內，依訴願法第58條第1項規定，繕具訴願書經由本會（新北市板橋區縣民大道2段7號18樓）向行政院提起訴願。惟依訴願法第93條第1項規定，除法律另有規定外，訴願之提起並不停止本處分之執行，受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者，即依行政執行法第4條第1項但書規定，移送法務部行政執行署所屬行政執行處辦理行政執行。
正本：國泰世華商業銀行股份有限公司（代表人陳祖培）
副本：金融監督管理委員會檢查局、本會銀行局(金融控股公司組、會計室、秘書室)