兩千多客戶如受損 花旗願賠償

【記者孫中英／臺北報導】

花旗銀行網路申請信用卡資料外洩震驚各界，花旗銀行消費金融最高負責人管國霖昨天強調，這次事件屬於「單一」事件，影響層面僅限於線上申請信用卡的新申請人，不涉及現有客戶的網路資料庫，也不會影響花旗銀行現有客戶或透過其他網路銀行服務進行的交易。

管國霖表示，事件受影響的客戶資料約兩千兩百多筆，花旗目前提出的補救方案，是全面檢查這兩千多筆客戶資料的「瀏覽紀錄」，查證是否有一次以上及兩個不同網址（IP）的瀏覽紀錄，以確定資料是否有遭申請人以外其他人瀏覽的情形。

如果經檢查發現確有此狀況，管國霖說，花旗會立即交由防偽調查小組調查，並與客戶聯繫確認；如經證實確有異常的瀏覽紀錄，花旗會採取必要的預防及偵測措施，以確保客戶的之資料不會被非法使用。但如果有客戶資料因外洩遭偽冒而造成損失，花旗將會依法負起賠償責任。

花旗銀行昨天上午已經關閉花旗網路銀行「所有」線上申請網頁及其他後續查詢服務，下午，花旗在金融局要求下，關閉「即時查、即時繳」的新申請功能。

花旗指出，經過查證後，已確定此次資料外洩事件，是因為今年八月四日，花旗在網路銀行主系統上加掛「新白金卡」申請活動子系統，而這個子系統的「行銷活動網頁」，是委外由一家臺灣的程式設計公司承做。

花旗銀行電子商務處副總裁李芃君表示，問題出在這個程式設計缺乏檢核功能，並沒有限制持卡人本人才能查覈資料；另外程式設計還要求申請人在線上申請，消費者在網站上輸入基本資料後，需要「另行下載」申請資料，簽名寄回花旗銀行才能拿到信用卡。

在持卡人列印過程中，就洩漏了程式參數的「序號」，所以持卡人才會記錄下自己的序號，改變序號後，甚至可以看到他人的資料。

李芃君說，花旗網路銀行主系統符合國際安全標準及駭客測試，但是加掛的子系統，卻未經國際安全標準及駭客測試。管國霖說，整個事件雖然是委外公司程式設計有誤，但花旗內部管理疏失也要檢討，他承認這次事件嚴重影響花旗商譽。 

【2003/11/12 聯合報】 

網路銀行 財部要求做好安全控管

記者邱金蘭／臺北報導

財政部昨（11）日發函所有金融機構，要求做好網路銀行控管，並將進一步瞭解，與花旗銀行委外資訊公司有往來的金融機構，有無類似程式設計上問題，財金主管機關也將加強網路銀行的金融檢查。

財政部金融局副局長黃天牧表示，其他金融機構須從花旗銀行此事件中得到教訓。財政部金融局昨天已要求所有金融機構，均應確實作好網路銀行安全控管措施，並注意保護客戶資料及相關權益。

黃天牧指出，為維護網路銀行交易安全，財政部早在89年、88年訂有「金融機構辦理電子銀行業務安全控管作業基準」「個人電腦銀行業務及網路銀行業務服務契約範本」，花旗銀行法令遵循未做好。

他說，金融機構必須遵循這些法令規範，而不是要金融監理機構一家家銀行去查覈系統安全，金檢單位檢查時當然也會瞭解，但金融機構本身作好法令要求及內部稽覈，才是最重要的。

財金官員表示，最近幾年網路銀行日趨普遍，金檢單位在檢查上也一定要檢測網路銀行的資訊系統，並再加強，根據過去經驗，最容易出問題的是語音轉帳，內部控管若未注意，可能就會出現弊端。 

【2003/11/12 經濟日報】 

信用卡網路服務 風險知多少？

記者單小懿／報導

隨著網路的普及，這幾年信用卡網路服務老早從資訊提供的角色，一躍成為便民的服務機制；然而每次服務的升級，卻也等於曝露更多個人資料，持卡人除了謹慎留資料外，更該將所有登錄資料存底查證。

目前發卡銀行所提供的信用卡網路服務琳瑯滿目(見下表)，從最基本的下載申請書，到帳務查詢、繳款、查詢信用卡申請進度，甚至最新的網路預借現金、網路修改預借現金密碼、網路自行提高額度，這些以往發卡銀行必須根據消費風險控管審核的部分，都陸續為了「便民」而陸續將過程透明化；中國信託最近甚至慢慢開放該行持卡人網路開戶，只要確認個人和卡片資料後，持卡人不用臨櫃也能開戶。然而隨著持卡人透過網路能得到的資料越多，不但個人資料曝露風險越高，金額損失的機會也越高。

多家提供信用卡網路服務的發卡銀行均表示，網路上個人資料的安全，最大的關鍵便在於防火牆的建置和完整的「使用者接受測試」 (User Acceptance Test)，只要這兩點做得完善，網路安全相對提高許多；就算系統架設之後，銀行仍需不斷地測試和評估，設法發現並彌補程式的漏洞，才算貼心的網路服務。

由於使用者根本無從得知網站是否安全，提供金融業信用卡網路服務的聚碩科技建議，民眾只要透過銀行進行任何網路的動作，最好留存最後執行動作的紀錄，好比轉帳、交易、查詢等等，以便日後有所根據。如果真的發現自己的個人資料在網路上有曝露的可能，聯邦銀行也建議，只要發現非本人信用卡交易紀錄，均可以本人簽名來舉證，或者出示網路紀錄，最後若還覺得沒有安全感，可向銀行申請換發新卡，更新卡號可降低風險。 

【2003/11/12 民生報】 

ｅ交易 密碼別外洩 檢視網路環境

記者劉菁菁／報導

國際性銀行竟在網路客戶資料處理大爆烏龍，讓原本對網路心存忌憚的民眾，又增添幾分畏懼。網路銀行主管人員指出，民眾透過網路與銀行打交道，只要握有「密碼未告知他人」的尚方寶劍，就什麼都不用擔心。

這次在花旗銀行網站上曝光的客戶資料，主要是姓名、性別、電子郵件、英文名、身份證字號、出生年月日、聯絡電話等，也就是申請信用卡的詳細資料，若讓有心人士拿到上述資料，可以賣給其他機構當促銷名單、甚至做為申請金融卡、信用卡的輔助資料，已算是中度危險資料。

客戶資料無論是申請信用卡、現金卡、貸款等，填寫的客戶資料無論是行員直接取得、委外單位取得或是透過各種網站取得，銀行草率處理這類客戶資料的情況，時有耳聞。

所幸上述資料，原則上不涉及實質交易層面，即使被當成人頭，還是有辦法澄清與自己無關。但是像是高度危險的個人資料，如銀行存款帳號、電話語音密碼、網路銀行密碼等，做為網路交易開門鑰匙，若是在公開環境下曝光，問題就大了；例如有機會與他人共用電腦，或是使用網咖的電腦，讓電腦處於自動記憶狀態，就讓別人有機可乘。

另外，國泰世華銀副總經理饒世湛則也提醒客戶，在選擇密碼時，要盡到善良管理人的責任，不可拿出生年月日、身份證字號來當密碼，讓歹徒有機可乘。 

【2003/11/12 民生報】 

重要資訊系統 外包風險高

記者李若松／臺北報導

交通大學計算機中心網路組組長劉大川指出，政府、企業為了降低成本，經常將重要資訊系統外包設計，很容易發生類似花旗資料外洩事件。

劉大川說，企業界許多宣傳性網站可以委託專業公司設計，但類似與顧客資料有關的客戶服務系統，最好能由自己的員工設計。 

【2003/11/12 聯合報】

花旗客戶若受害 消基會幫你爭權益

記者梁欣怡／報導

花旗銀行網站破功，消費者文教基金會開放申訴專線：02-27001234，為可能受害的民眾爭取應有權益。消基會金融委員會委員郭尚義強調，依「電腦處理個人資料保護法」規定，受害民眾不需舉證、無需理由，花旗銀行至少得支付新臺幣2萬元以上、10萬元以下賠償；倘若消費者能證明損害超過10萬，還可另外請求賠償。

網路消費協會理事長林世華指出，消費者若能證明因為資料外洩導致非財產上的損害，例如，電子郵件信箱外流後每天湧進大量垃圾郵件，讓消費者每天耗費大量精神、時間去做刪除的動作，只要能夠證明是花旗的疏失，亦可請求賠償相當金額。

行政院消保官邱惠美也說，依「消費者保護法」，企業沒能確保產品、服務的安全性，必須付起損害賠償責任，若因此導致消費者信用破產等名譽損失，就要依「民法」要求精神賠償。

但林世華坦承，就此案而論，消費者要能證明損害非常困難，因為進入網路時代，消費者有太多機會在各處留下個人資料，很難證明是哪一次的資料外洩造成個人損失。 

【2003/11/12 民生報】 

國際邊緣＞專題討論＞隱私權專題