陽信商業銀行於建置資訊系統過程,有客戶資料安全管理及法令遵循等缺失,違反銀行法第45條之1第1項規定,依同法第129條第7款規定,核處新臺幣200萬元罰鍰。
2024-04-03
一、裁罰時間:113年4月3日
二、受裁罰之對象:陽信商業銀行
三、裁罰之法令依據:銀行法第129條第7款
四、違反事實理由:
(一)該行於「陽信生態圈點數回饋專案」資訊系統建置期間,有下列客戶資料安全管理及法令遵循缺失:
1、未完善建立客戶資料檔案傳輸及存取之安全控管規範,未有效保護客戶資料安全:未依執行業務必要性設定相關人員接觸客戶資料之權限及控管接觸情形,未針對含有客戶資料之電子郵件之傳遞、存取權限及稽核軌跡建立作業程序及管理規範,及未建立資訊系統存取客戶資料稽核軌跡之內部控制措施。
2、未確實執行提供客戶資料之申請、核可、存取使用及傳輸等內部控制制度:調取客戶資料未依該行內部作業規範辦理申請、核可等作業程序,且以未去識別化或未經隱碼遮蔽之資料做為測試使用,與該行內部規範未合。
3、未完善建立個人資料法令遵循之內部控制制度等情事:該行辦理資訊系統開發作業,提供含有客戶之個人資料作為資訊系統驗證測試,未就所涉個人資料利用之特定目的必要範圍及取得當事人同意等問題,評估或釐清其適法性,致逾越蒐集個人資料之特定目的必要範圍。
(二)上開缺失核有違反銀行法第45條之1第1項及其授權訂定之金融控股公司及銀行業內部控制及稽核制度實施辦法第3條第1項、第8條第1項第2款第2目,同時違反個人資料保護法第20條第1項、第27條第1項規定,爰依行政罰法第24條第1項規定,依銀行法第129條第7款規定予以核處。
五、裁罰結果:核處新臺幣200萬元罰鍰。
二、受裁罰之對象:陽信商業銀行
三、裁罰之法令依據:銀行法第129條第7款
四、違反事實理由:
(一)該行於「陽信生態圈點數回饋專案」資訊系統建置期間,有下列客戶資料安全管理及法令遵循缺失:
1、未完善建立客戶資料檔案傳輸及存取之安全控管規範,未有效保護客戶資料安全:未依執行業務必要性設定相關人員接觸客戶資料之權限及控管接觸情形,未針對含有客戶資料之電子郵件之傳遞、存取權限及稽核軌跡建立作業程序及管理規範,及未建立資訊系統存取客戶資料稽核軌跡之內部控制措施。
2、未確實執行提供客戶資料之申請、核可、存取使用及傳輸等內部控制制度:調取客戶資料未依該行內部作業規範辦理申請、核可等作業程序,且以未去識別化或未經隱碼遮蔽之資料做為測試使用,與該行內部規範未合。
3、未完善建立個人資料法令遵循之內部控制制度等情事:該行辦理資訊系統開發作業,提供含有客戶之個人資料作為資訊系統驗證測試,未就所涉個人資料利用之特定目的必要範圍及取得當事人同意等問題,評估或釐清其適法性,致逾越蒐集個人資料之特定目的必要範圍。
(二)上開缺失核有違反銀行法第45條之1第1項及其授權訂定之金融控股公司及銀行業內部控制及稽核制度實施辦法第3條第1項、第8條第1項第2款第2目,同時違反個人資料保護法第20條第1項、第27條第1項規定,爰依行政罰法第24條第1項規定,依銀行法第129條第7款規定予以核處。
五、裁罰結果:核處新臺幣200萬元罰鍰。
瀏覽人次:
1307
更新日期:
2024-04-08