裁罰案件
上海商業儲蓄銀行客戶資料外洩所涉缺失一案,核有違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣(下同)1,000萬元罰鍰。
2023-11-28
金融監督管理委員會 裁處書
受文者:如正副本
發文日期:中華民國112年11月28日
發文字號:金管銀國字第11202737042號
受處分人:上海商業儲蓄銀行股份有限公司
營利事業統一編號:03036306
地址:臺北市中山區民生東路2段149號3樓至12樓
代表人或管理人姓名:李OO
地址:同上
主旨:貴行客戶資料外洩所涉缺失一案,核有違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣(下同)1,000萬元罰鍰。
事實:本會及貴行於111年9月及112年5月至7月間陸續接獲民眾反映貴行資訊安全問題。案關所涉貴行客戶個人資料洩漏,影響客戶數計有OOO人。案經貴行查核結果顯示,本案核有未妥適建立個人電腦管理者權限及可攜式設備控管相關規範、未能依內部規範留存使用個人資料軌跡、未落實執行作業系統上線前及更新時,資安監控軟體之測試,以及資安監控軟體派送至工作站後未能確認其執行結果等缺失事項。
理由及法令依據:
一、銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條第1項第2款第2目規定,銀行應建立內部控制制度,包括客戶資料保密之業務規範及作業程序。另依同法第129條第7款規定,銀行未依第45條之1規定建立內部控制制度或未確實執行,處200萬元以上5,000萬元以下罰鍰。
二、經核貴行就客戶資料保密及資訊安全制度面及作業面有下列缺失事項:
(一)未完善建立內部控制制度:
1、未訂定妥適個人電腦管理者權限規範:貴行遲至案發後111年12月15日始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險。
2、未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員仍得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。
(二)未確實執行內部控制制度:
1、貴行個人資料檔案安全維護準則已訂定應記錄個人資料使用情況,留存軌跡資料或相關證據。惟案關報表系統未依內部規範留存個人資料使用軌跡,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。
2、貴行資訊設備授權及保護管理辦法、個人電腦使用管理辦法規定,變更作業環境應經適當測試,派送至工作站之系統安全性更新安裝應確認執行情形。惟貴行作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控管及記錄可攜式設備資料之存取,影響查核時效,亦無法判斷實際損害情形,不利於後續調查程序。
三、上開缺失顯示貴行有未完善建立及未確實執行內部控制制度之情事,違反銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條第1項第2款第2目規定,爰依銀行法第129條第7款規定,核處1,000萬元罰鍰。
繳款方式:
一、繳款期限:自本處分送達之次日起10日內繳納。
二、請依本會銀行局檢附之繳款單注意事項辦理繳納。
注意事項:
一、受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
正本:上海商業儲蓄銀行股份有限公司(代表人李OO先生)
副本:中央銀行、中央存款保險股份有限公司(代表人蘇OO先生)、本會檢查局、銀行局
受文者:如正副本
發文日期:中華民國112年11月28日
發文字號:金管銀國字第11202737042號
受處分人:上海商業儲蓄銀行股份有限公司
營利事業統一編號:03036306
地址:臺北市中山區民生東路2段149號3樓至12樓
代表人或管理人姓名:李OO
地址:同上
主旨:貴行客戶資料外洩所涉缺失一案,核有違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣(下同)1,000萬元罰鍰。
事實:本會及貴行於111年9月及112年5月至7月間陸續接獲民眾反映貴行資訊安全問題。案關所涉貴行客戶個人資料洩漏,影響客戶數計有OOO人。案經貴行查核結果顯示,本案核有未妥適建立個人電腦管理者權限及可攜式設備控管相關規範、未能依內部規範留存使用個人資料軌跡、未落實執行作業系統上線前及更新時,資安監控軟體之測試,以及資安監控軟體派送至工作站後未能確認其執行結果等缺失事項。
理由及法令依據:
一、銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條第1項第2款第2目規定,銀行應建立內部控制制度,包括客戶資料保密之業務規範及作業程序。另依同法第129條第7款規定,銀行未依第45條之1規定建立內部控制制度或未確實執行,處200萬元以上5,000萬元以下罰鍰。
二、經核貴行就客戶資料保密及資訊安全制度面及作業面有下列缺失事項:
(一)未完善建立內部控制制度:
1、未訂定妥適個人電腦管理者權限規範:貴行遲至案發後111年12月15日始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險。
2、未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員仍得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。
(二)未確實執行內部控制制度:
1、貴行個人資料檔案安全維護準則已訂定應記錄個人資料使用情況,留存軌跡資料或相關證據。惟案關報表系統未依內部規範留存個人資料使用軌跡,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。
2、貴行資訊設備授權及保護管理辦法、個人電腦使用管理辦法規定,變更作業環境應經適當測試,派送至工作站之系統安全性更新安裝應確認執行情形。惟貴行作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控管及記錄可攜式設備資料之存取,影響查核時效,亦無法判斷實際損害情形,不利於後續調查程序。
三、上開缺失顯示貴行有未完善建立及未確實執行內部控制制度之情事,違反銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條第1項第2款第2目規定,爰依銀行法第129條第7款規定,核處1,000萬元罰鍰。
繳款方式:
一、繳款期限:自本處分送達之次日起10日內繳納。
二、請依本會銀行局檢附之繳款單注意事項辦理繳納。
注意事項:
一、受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
正本:上海商業儲蓄銀行股份有限公司(代表人李OO先生)
副本:中央銀行、中央存款保險股份有限公司(代表人蘇OO先生)、本會檢查局、銀行局
- 瀏覽人次: 8358
- 更新日期: 2023-11-29
金管會電子地圖
