金管會今天（28日）宣布，上海商業儲蓄銀行對客戶資料保密及資訊安全，有未完善建立以及未確實執行內部控制制度的情況，導致有1.4萬筆客戶姓名等個資外洩，目前初步調查可能是資訊廠商或行內人員外洩，依《銀行法》第129條第7款規定，對上海銀行核處新台幣1000萬元罰鍰。

金管會指出，在去年9月及今年5月至7月間，陸續接到民眾反應上海銀行有資安的問題，經過調查後發現，該行有未完善建立及未確實執行內部控制制度的情況，導致客戶資料外洩，且未能保有相關軌跡，因此進行懲處。

金管會說明，在未完善建立內部控制制度部分，上海銀行並沒有訂定個人電腦管理者權限規範，該行一直到案發後才明定每半年變更個人電腦管理者權限密碼，長期沒有辦理密碼變更作業，導致客戶資料有外洩風險。

同時，上海銀行也沒有訂定完善可攜式設備管理規範，讓有權使用可攜式設備的人員，可以使用可攜式設備將行內資料帶出，並且沒有妥適的讀取控管措施，不利於資訊安全保護。

在未確實執行內部控制制度部分，金管會表示，上海銀行報表系統未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證據，不利於個人資料外洩時，追蹤個人資料使用狀況，並且影響查核期程。此外，也未落實執行內部規範，在作業系統上線前及更新時，沒有測試出資安監控軟體漏洞。

對此，金管會要求上海銀行全面檢討本案所涉當責人員及主管責任，懲處程度應和所負責任相當，並且盤點全行涉及個人資料的各類電腦系統是否均建置留存個人資料使用稽核軌跡，以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則，並應定期辦理檢視權限作業。

最後，金管會也要求上海銀行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制，並請上海銀行充實稽核人員資訊系統稽核能力，並委託會計師辦理全行個人資料保護專案查核。