康和綜合證券股份有限公司違反證券管理法令處分案。(金管證券罰字第1120380532號)
2023-02-13
金融監督管理委員會 裁處書
受文者:如正副本
發文日期:中華民國112年2月13日
發文字號:金管證券罰字第1120380532號
受處分人:康和綜合證券股份有限公司
營利事業統一編號:23824511
地址:臺北市信義區基隆路一段176號地下1樓、9樓部分、10樓部分、14樓部分、15樓
代表人或管理人姓名:鄭○○
地址:臺北市信義區基隆路一段176號地下1樓、9樓部分、10樓部分、14樓部分、15樓
主旨:受處分人違反證券商管理規則第2條第2項等相關規定,爰依證券交易法第178條之1第1項第4款規定核處新臺幣72萬元罰鍰。
事實:受處分人遭駭客攻擊發生客戶個資外洩,臺灣證券交易所股份有限公司(下稱證交所)於111年8月17日至19日對受處分人進行查核,發現受處分人未於知悉事件30分鐘內至證券期貨市場資通安全通報系統通報;未對系統及APP進行原始碼檢測;未定期對系統及資料儲存媒體進行病毒掃描;系統密碼未設定至少每三個月變更一次,以及未使用優質密碼;未定期辦理帳號盤點等情事,顯示受處分人未採行適當之安全措施,防止個資被竊取及未落實內部控制制度,核已違反證券商管理規則第2條第2項等相關規定。
理由及法令依據:
一、依個人資料保護法第27條第1項規定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。又依證券商管理規則第2條第2項規定,證券商業務之經營,應依法令、章程及所建立內部控制制度為之。復依證券交易法第178條之1第1項第4款規定,證券商未確實執行內部控制制度者,處新臺幣24萬元以上480萬元以下罰鍰。
二、受處分人遭駭客攻擊發生客戶個資外洩,證交所於111年8月17日至19日對受處分人進行查核,發現受處分人有下列缺失事項:
(一)111年8月16日凌晨1時15分起受處分人遭駭客竊取個資,E○○系統出現警示訊息,受處分人卻未能即時知悉,當日下午1時13分E○○監控管理系統發現○○○○出現連續異常訊息,受處分人直至當日下午3時18分始於證券期貨市場資通安全通報系統完成通報,違反證券商內部控制制度標準規範CC-20000營運持續管理(九)及證券期貨市場資通安全事件通報應變作業注意事項(肆、一)之規定。
(二)受處分人未對自行開發維護C○○系統、C○○ App及○○○○系統進行原始碼檢測,僅由人工方式覆核原始碼,致未能發現程式漏洞;另C○○系統係提供公司內部人員使用,受處分人卻將與其連線之C○○ App置於Google Play平台供大眾下載,致駭客利用程式漏洞取得客戶個人資料,違反證券商內部控制制度標準規範CC-19000系統開發及維護(十五)1、2、4及個人資料保護法第27條第1項之規定。
(三)C○○系統之防毒軟體未設定排程掃描,且有未定期對電腦系統及資料儲存媒體進行病毒掃瞄情事,違反證券商內部控制制度標準規範CC-17010網路安全管理(五)2之規定。
(四)C○○系統使用者密碼變更期限未設定至少每三個月變更一次,且密碼長度僅為5碼,未使用優質密碼設定,違反證券商內部控制制度標準規範CC-18000存取控制(三)5之規定。
(五)C○○系統有未能定期辦理帳號盤點作業情事,違反證券商內部控制制度標準規範CC-18000存取控制(二)7之規定。
三、上開缺失顯示受處分人有違反個人資料保護法及未落實內部控制制度之情事,核已違反證券商管理規則第2條第2項規定,爰依證券交易法第178條之1第1項第4款規定處分如主旨。
繳款方式:
一、繳款期限:自本處分送達之次日起10日內繳納。
二、請依(機關)檢附之繳款單注意事項辦理繳納。
注意事項:
一、受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
正本:康和綜合證券股份有限公司(應受送達人:鄭○○先生)
副本:臺灣證券交易所股份有限公司(代表人林○○先生)、財團法人中華民國證券櫃檯買賣中心(代表人陳○○先生)、中華民國證券商業同業公會(代表人陳○○先生)、本會證券期貨局主計室、證券期貨局秘書室、證券期貨局證券商管理組
受文者:如正副本
發文日期:中華民國112年2月13日
發文字號:金管證券罰字第1120380532號
受處分人:康和綜合證券股份有限公司
營利事業統一編號:23824511
地址:臺北市信義區基隆路一段176號地下1樓、9樓部分、10樓部分、14樓部分、15樓
代表人或管理人姓名:鄭○○
地址:臺北市信義區基隆路一段176號地下1樓、9樓部分、10樓部分、14樓部分、15樓
主旨:受處分人違反證券商管理規則第2條第2項等相關規定,爰依證券交易法第178條之1第1項第4款規定核處新臺幣72萬元罰鍰。
事實:受處分人遭駭客攻擊發生客戶個資外洩,臺灣證券交易所股份有限公司(下稱證交所)於111年8月17日至19日對受處分人進行查核,發現受處分人未於知悉事件30分鐘內至證券期貨市場資通安全通報系統通報;未對系統及APP進行原始碼檢測;未定期對系統及資料儲存媒體進行病毒掃描;系統密碼未設定至少每三個月變更一次,以及未使用優質密碼;未定期辦理帳號盤點等情事,顯示受處分人未採行適當之安全措施,防止個資被竊取及未落實內部控制制度,核已違反證券商管理規則第2條第2項等相關規定。
理由及法令依據:
一、依個人資料保護法第27條第1項規定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。又依證券商管理規則第2條第2項規定,證券商業務之經營,應依法令、章程及所建立內部控制制度為之。復依證券交易法第178條之1第1項第4款規定,證券商未確實執行內部控制制度者,處新臺幣24萬元以上480萬元以下罰鍰。
二、受處分人遭駭客攻擊發生客戶個資外洩,證交所於111年8月17日至19日對受處分人進行查核,發現受處分人有下列缺失事項:
(一)111年8月16日凌晨1時15分起受處分人遭駭客竊取個資,E○○系統出現警示訊息,受處分人卻未能即時知悉,當日下午1時13分E○○監控管理系統發現○○○○出現連續異常訊息,受處分人直至當日下午3時18分始於證券期貨市場資通安全通報系統完成通報,違反證券商內部控制制度標準規範CC-20000營運持續管理(九)及證券期貨市場資通安全事件通報應變作業注意事項(肆、一)之規定。
(二)受處分人未對自行開發維護C○○系統、C○○ App及○○○○系統進行原始碼檢測,僅由人工方式覆核原始碼,致未能發現程式漏洞;另C○○系統係提供公司內部人員使用,受處分人卻將與其連線之C○○ App置於Google Play平台供大眾下載,致駭客利用程式漏洞取得客戶個人資料,違反證券商內部控制制度標準規範CC-19000系統開發及維護(十五)1、2、4及個人資料保護法第27條第1項之規定。
(三)C○○系統之防毒軟體未設定排程掃描,且有未定期對電腦系統及資料儲存媒體進行病毒掃瞄情事,違反證券商內部控制制度標準規範CC-17010網路安全管理(五)2之規定。
(四)C○○系統使用者密碼變更期限未設定至少每三個月變更一次,且密碼長度僅為5碼,未使用優質密碼設定,違反證券商內部控制制度標準規範CC-18000存取控制(三)5之規定。
(五)C○○系統有未能定期辦理帳號盤點作業情事,違反證券商內部控制制度標準規範CC-18000存取控制(二)7之規定。
三、上開缺失顯示受處分人有違反個人資料保護法及未落實內部控制制度之情事,核已違反證券商管理規則第2條第2項規定,爰依證券交易法第178條之1第1項第4款規定處分如主旨。
繳款方式:
一、繳款期限:自本處分送達之次日起10日內繳納。
二、請依(機關)檢附之繳款單注意事項辦理繳納。
注意事項:
一、受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
正本:康和綜合證券股份有限公司(應受送達人:鄭○○先生)
副本:臺灣證券交易所股份有限公司(代表人林○○先生)、財團法人中華民國證券櫃檯買賣中心(代表人陳○○先生)、中華民國證券商業同業公會(代表人陳○○先生)、本會證券期貨局主計室、證券期貨局秘書室、證券期貨局證券商管理組
瀏覽人次:
6909
更新日期:
2023-02-13