上海商業儲蓄銀行將近1.4萬名客戶資料外洩,金管會今(28)日宣布核處1000萬元罰鍰。此案情節極為詭異,有人把上海商銀65家分行外洩的客戶資料寄給這些分行,欲證明資料外洩,結果「精準無誤」。上銀卻是迄今都還查不出個所以然來。
金管會銀行局副局長童政彰今日傍晚在金管會例行記者會上,宣布對上海商銀的裁罰。童政彰說明案情時指出,金管會去(2022)年9月接到匿名檢舉,指稱上銀的客戶資料外洩,金管會請銀行馬上查,上銀卻是一直查不出明確的結果。
上海商銀在國內有73家分行(含營業部,不含OBU與國外部),今年5月到7月期間,有人以一家分行大約寄發100位客戶資料的方式,陸續把客戶的姓名與身分證資料寄給上銀的65家分行,一共寄了6500多名客戶資料,另外也把其他上銀的客戶資料寄給金管會,經過歸戶之後,合計外洩人數將近1.4萬名。
外洩者將資料寄給上海商銀65家分行 確為客戶資訊且無勒索
詭異的是,此人寄到上海商銀65家分行的資料,「精確無誤」,就是這些分行的客戶,而且,上銀的65家分行並沒有接到勒索。童政彰說,有心人士透過跟主管機關投訴,以及直接寄資料到分行端,欲證明客戶資料被某人攜出,至於是誰攜出的,目前還沒有定論。
童政彰說,金管會請上海商銀調查,上銀初步回饋給金管會的訊息為,有可能資訊系統碰觸到委外的單位,不過,銀行對這方向態度保留;另方面,則是臆測,可能是上銀的行內人員所為。
換言之,將近1.4萬名客戶資料是誰攜出行外的,目前判斷有兩個方向,一是資訊廠商,另一是上海商銀的行員。
金管會核處1000萬元罰鍰 上銀持續追查無果
童政彰說,金管會已經要求上海商銀要提醒這將近1.4萬名客戶,個資被外洩了,日後可能遭到詐騙,要防範警覺,「上銀要想盡各種方法保護,進一步防範客戶資料受到不當利用。」
童政彰並表示,上海商銀的65家分行接到信件後,有向金管會通報重大偶發。從金管會去年9月接到檢舉,以及上銀65家分行今年接到信件,兩件事情合併來看,連結的程度蠻高的。上銀陸續都有在查,但沒辦法確認是誰所為。
金管會今日宣布核處上海商銀1000萬元罰鍰,「我們對它苛責,相關資料被內部人截取走,整個資訊都沒留下痕跡可以讓稽核人員稽查,顯示銀行有控管不當的地方。」
金管會已經請上海商銀全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當。
童政彰說,國內銀行業上次涉及客戶資料外洩在2013到2014年間,其一為,某銀行行員用USB下載客戶資料攜出行外,當時金管會懲處銀行300萬元;另外一件為,把客戶資料上傳到外部網站,銀行被懲處400萬元。
他說這兩案都過了必須在年報上登載的期間,所以他不在記者會上講是哪兩家銀行,這兩個早年發生的案例,客戶資料外洩人數都是上萬人;也因為發生這樣的事情,國內銀行的分行端,現在已經沒有可以插USB的槽孔了。
