上海商銀客戶資料外洩,是近10年來第二起銀行外洩資料情況。銀行局指出,上次資料外洩分別是9、10年前,分別是USB下載銀行客戶資料攜出銀行外部;另外一次則是上傳到外部網站導致外洩,由於當時《銀行法》尚未修法,因此罰則較輕,分別開罰300萬元和400萬元。
銀行局指出,會對上海商銀開罰,主要是因為該行對客戶資料保密及資訊安全有未完善建立及未確實執行內控制度。
銀行局並要求上海商銀全面檢討所涉當責人員及主管責任,懲處程度應與所負責任相當;盤點個人資料使用軌跡、權限原則以及定期檢視;建置稽核機制及權限範圍內不正常查詢及下載情形監控分析機制;充實稽核能力,並委託會計師辦理全行個人資料保護專案查核。
