羅正漢 | 2023-11-28
上海商業儲蓄銀行(簡稱上海商銀)發生1.4萬客戶資料外洩情形,且事件相當不尋常,今年5月有人將其外洩的客戶資料,以紙本方式送交該銀行的60多家分行,今日(28日)金管會在例行記者會上公布此事,同時宣布了他們對於上海商銀客戶資料外洩一案的查核結果,指出該銀行所涉及的4大缺失,並祭出違反銀行法第129條第七款的法令裁罰,處以1千萬元罰鍰。(新法已從最高罰鍰1千萬元,提升至5千萬元。)
對於這起事件,金管會銀行局長副局長童政彰表示,自2022年9月及今年5月至7月間,他們陸續接獲匿名民眾反映該行資訊安全問題,而後續查核結果顯示,上海商銀有未完善建立及未確實執行內部控制制度的情形,導致客戶資料外洩,而且未能保有相關軌跡。因此,目前外洩來源至今仍不清楚。顯然,缺乏相關資訊可追查,就是這次金管會依據銀行法內稽內控條例開罰的主要原因。
對於這些客戶資料是如何外流,童政彰表示,到目前還沒有定論,初步檢討方向有兩個可能性,一個是資訊廠商,一個是行員,由於這方面牽扯到後續查核,因此銀行局這邊並不會下訂論。
值得我們注意的是,這次事件有兩個層面的議題需要重視。首先,是資料外洩事件查核後的發現,揭露了上海商銀在內稽內控有4大缺失;其次是,主管機關因為接到民眾匿名檢舉而開始調查資料外洩而導致事件曝光。
金管會開罰重點在於,事件發生後竟缺乏相關資訊可追查
根據金管會的說明,上海商銀的重大缺失有四大項,包括未明訂定期變更電腦密碼、未訂定可攜式設備管控規範,以及未留存個人資料使用軌跡,未測試出資安軟體漏洞並確認其執行情形。
具體而言,在未完善建立內部控制制度方面,有兩項:(一)未訂定妥善的個人電腦管理者權限規範,金管會發現該行是在案發後,才開始明定每半年變更個人電腦管理者權限密碼,(二)未訂定完善可攜式設備管理規範,有權使用可攜式設備的人員可以使用可攜式設備將行內資料攜出,且無妥適的讀取控管措施。
其次,在未確實執行內部控制制度方面,這裡也有兩項:(一)未留存使用者軌跡:在該行的案關報表系統上,並未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據。這也使得個人資料外洩,無法追蹤個人資料使用狀況,並且影響查核時程;(二)未測試出資安軟體漏洞並確認其執行情形:同樣是未落實執行內部規範,在作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站的執行情形,導致並未發現該資安軟體未能正常啟動的情形,這也造成了無法控管及記錄可攜式設備資料的存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序。
簡單來說,後兩項更為關鍵,是關於內部規範落實,也就是未確實執行內部控制制度,而且這樣的缺失,造成的後果極為嚴重,導致事後發生後,出現無法追查出根因的狀況。
因此,究竟是外洩事件是發生在總行端還是分行端,是否為內鬼所為,是透過何種管道導致大量客戶資料被攜出,在缺乏軌跡記錄的情況下,有如瞎子摸象,變成所有可能情形都是可能,完全無法找出事件根因。
由於落實記錄保存強調已久,受高度監管的大型金融業者卻有這樣的缺失,令大家都感到震驚。
60多家分行收到含客戶資料的匿名信
另一方面,這起事件之所以曝光,童政彰提到,他們從兩個投訴管道接獲這樣的消息,一是匿名者向主管機關投訴,一是將資料外洩名單以紙本方式送至銀行分行端,以佐證有資料外洩。
不過,令人感到好奇的是,檢舉人如何拿到這些資料?如何知道這些客戶資料都是上海商銀的客戶?對此,童政彰表示,匿名檢舉人提供到分行端的紙本資料中,包含了100位該分行的客戶姓名與身分證證號,而且上海商銀60家分行都各自收到屬於自家分行的客戶資料,累計有6千名客戶資料,再加上直接寄到金管會的資料,最終比對統計之後,總共外流1.4萬客戶資料。
後續我們在網路上也查到這方面的資訊,發現今年5月,有疑似該行行員至匿名臉書社群「靠北銀行員」留言,該粉專轉載內容的貼文顯示,很多分行收到這些個資資料,挑釁意味十足針對性很強,主管機關應該很快也會收到檢舉函。
對於是否可能是行員所為?背後是否有其他可能目的?在記者會上,金管會表示無法臆測,銀行端也沒有進一步接到勒索的消息,這次他們主要針對客戶資料外流案查核到的缺失做行政處置。
還有一些問題尚未得到答案,像是為何該行遲遲沒有對外發布資料外洩公告,以及金管會在收到檢舉之外,是否收到該行通報此事。
至於這起資料外洩事件的事後因應,童政彰表示,將督促該銀行採取一些行動,像是聯繫受資料外洩影響的客戶,慎防詐騙之類防範措施,以及針對受影響客戶提供甚麼樣的補償方案,還有銀行需設想外洩資料可能被如何運用,並想辦法保護客戶的資料。
此外,根據金管會發布資料顯示,除了祭出罰鍰,還有對上海商銀提出其他4項監理要求,包括:該行需全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當;該行需盤點全行涉及個人資料之各類電腦系統,是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限,是否符合最小化權限原則,並應定期辦理檢視權限作業;該行需建置各類應用系統測試稽核機制,以及權限範圍內不正常查詢及下載情形的監控分析機制;該行需充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。
同時,金管會也向各金融機構呼籲,應遵循「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」,對於個資保護與記錄保存,需落實執行及定期檢視。
因個資外洩、資安缺失開罰,歷年少見
最後值得關注的是,這次依據銀行法開罰1千萬元,也引發現場媒體的訝異與關注,因為這幾年,很少聽聞有針對金融業個資外洩、資安缺失的開罰。童政彰在記者會上表示,過去其實也有類似開罰案件,例如,在2013年與2014年有兩起個資外洩事件,筆數都達上萬筆,與這次相當。前者是因為USB下載客戶資料並攜出的案件,開罰300萬元,後者是將個資上傳到外部網站的案件,開罰400萬元。而這次金管會公布這樣的處份案件,也是希望每個銀行都能警惕,檢視自身是否也存在類似問題。
而從這次開罰金額來看,已是歷年來類似案件最高。不過,我們也注意到,新法最高罰鍰已從最高1千萬,提升最高至5千萬元。此外,若以同一法令、不同類型事件來看,像是今年6月,中國信託就曾因為客戶臨櫃申請調高網路銀行轉帳,以及ATM提領日限額作業,所涉及的缺失問題,被金管會同樣依違反銀行法第129條第7款,核處2千萬元罰鍰,比這次事件罰的更高。另外較可惜的是,對於個資法方面的問題,金管會在這場記者會與對外發布資料當中,並無相關說明。
