中國信託網路繳費中心個資外洩案,金管會開罰400萬元
文/蘇文彬 (記者) 2013-08-28
中國信託因網站索引檔案程式設計不嚴謹,缺乏嚴密的驗證測試程序,事後也未能察覺用戶資料已外露,金管會依違反銀行法規定開罰400萬元,並要求加強內部控管。
中國信託網站繳費中心今年5月爆發用戶個資外洩案,金管會調查後確定其內部程式設計、驗證,及內控程序上有缺失,導致大量用戶資料外露,因此裁罰400萬元。
今年五月間ptt 上有網友反映中國信託網站的繳費中心可以查詢大筆的用戶連絡資料、甚至信用卡號,透過Google搜尋也能找到這些相關資料。可查詢到的資料包含繳費用戶的姓名、電話號碼、手機號碼、身分證號碼、信用卡卡號、人壽保險號碼、交通違規罰款編號、車主身分證字號、出生年月日等等。中信接獲用戶反映後即關閉網站功能,著手調查發生原因。
中國信託向金管會報告調查結果後,金管會認定中國信託內部業務疏失,網站索引檔案產出程式設計不夠嚴謹,驗證及程序缺乏周延,內部目錄網頁讀取權限未作嚴謹控管,導致網路上可搜尋瀏覽用戶資料,事後業者也未察覺疏失,顯示內部控管制度上的漏洞,依違反銀行法第45條之1第1項與第129條第7款規定裁罰400萬元。
金管會說明,中信是在4月13日將索引檔案上傳到搜尋引擎,而網友則是在5月13日發現中信用戶資料外洩,中間近1個月時間中國信託未曾發現用戶資料對外「公開」,顯示業者確實在內控上不夠嚴謹。
經中信清查統計,這次事件共有33320用戶,共計57297筆資料受到影響,這段期間用戶資訊曝露在外,是否被有心人士取得利用,使用戶人身、財產產生潛在風險不得而知。
雖然新版個資法已經實施,但考量到銀行法裁罰較重,金管會仍依銀行法開罰,同時要求業者依此事件加強內部管理、驗證制度。