DAY 29 第二十六件裁罚案 金管会证期局裁罚对象：街口证券投资信托股份有限公司 裁罚日期：109/9/30

《有关资讯安全之违法事项：》
略。

《笔者分析》：

这个裁罚案是最新的裁罚，笔者在DAY 16 第十四件裁罚案就是写街口投信，当时是银行局的裁罚案，主要针对电子支付的部分，这次裁罚案确是由证期局出手裁罚，以去年到今年的案子来看，一家公司被两个局处裁罚的，就只有这一件，这则裁罚案，证期局一出手，就写了好几页，理由也交代得很清楚，大家就仔细看为什麽他们被裁处，而且胡董事长被证期局直接解除职务，前总经理也被停职一个月，这可是继南山之後，因为系统问题，又一个被停职的案件，之後，胡董事在脸书又不当发文，结果就是同时杠上证期局与银行局，各大新闻可是有非常详尽的报导，这麽精彩的案例，大家一定要拨冗读一读。

这次证期局的裁罚案件，跟资安关联，其实还蛮多的，笔者就针对资安部分，做个说明：

(1)有关内控的部分：

二、办理重大营运案，有未提董事会通过，亦无内部签核程序，且未建立相关内部控制制度，即与他人合作提供类似快速买回之基金垫款服务之违失情事，核有违反证券投资信托事业管理规则第2条第2项及证券暨期货市场各服务事业建立内部控制制度处理准则第6条规定：
(一)经查街口投信资讯部於109年5月14日就「该公司与电子支付机构之操作介面验收流程」案，法遵室表示因内容涉及保证收益，不宜验收上线，由前董事长高○○核定。又内部稽核单位109年7月20日针对托付宝服务出具专案查核报告中亦发现「托付宝易使投资人难以分辨电子支付平台与基金交易平台之区别」、「托付宝使人误信能保证获利」等多项缺失。

以上这段，写得很清楚，笔者用简单一句话说，公司法遵、稽核单位，你们玩你们的，董事长玩董事长的，你们的建议、警告的缺失，看了也当没看到。

千万别以为只有法遵、稽核单位，大家还可以看下一条：

五、未建置系统开发测试作业之内控，致委外开发之系统未经验收即迳予上线，核有违反证券暨期货市场各服务事业建立内部控制制度处理准则第6条规定：经查街口投信於108年12月20办理采购「NEW EC」应用软件，系统厂商为街口金科，惟未於内部控制制度建立系统测试作业及於委外契约明确订定公司与委外管理公司业务责任区分，致资讯部於109年5月14日就「公司与电子支付机构之操作介面验收流程」案，经批核不宜验收上线，却於109年5月30日签请持续与系统厂商进行白名单进行测试，致使委外开发之系统未经验收及未有测试结果报告，街口托付宝服务於109年7月20日上线仍得迳予连结公司之开户介面。

接着连资讯部也挨了一记闷棍，由此可知，街口内部没有所谓的『分工牵制原则』，基本上就是一人决策系统，所以在防错误的机制上，就显得相当薄弱，内控就更不用说了。

(2) 有关监理沙盒(Regulatory Sandbox)的部分：
沙盒(Sandbox)这个名词是源自电脑安全的用语，定义如下：

沙盒（英语：sandbox，又译为沙箱）是一种安全机制，为执行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。

後来，英国金融业务监理局(Financial Conduct Authority,FCA)在2015年11月提出「监理沙盒」(Regulatory Sandbox)的观念，主要是为了金融新创事业，不要因为原有的金融法令的规范，而影响创意发展，所以提出了监理沙盒，简单说，就是例外管理。

根据新闻报导，金管会原来有向街口提出这个方式，但街口认为，自己的资本额不大，不想纳入监理沙盒，而且监管时间又长，根本不合乎他们要的快速创新的理念，可是，如果把街口再放回一般金管会监理制度底下，那麽严格的金融法令根本让街口变得更动弹不得，大家也知道，目前在做电子支付的公司，不只有一家，因为街口认为的创新而开大门，那麽其他遵守法令在做业的电子支付公司，是否也可以打着创新的口号，进行各种金融交易呢？

那麽这跟资安有甚麽关系呢？ 监理沙盒里面，其实，每一项新的想法，执行上都要经金管会审视，当然也包含资安监控，不说远的，个人资料保护是否能做的确实，街口就让主管机管很不放心了，更别说，街口还有金融相关的其他业务，如果造成重大资安缺失或金融损失，那牵连的单位可能都会跟着一起受罚，在相对保守的金融业，根本不愿意为了新创而承担这类的风险。

以上是笔者针对这个案件的看法，该案一共被开罚300万，董事长被解职，主要原因是托付宝的问题，笔者针对该案就大概介绍与资安相关的部分。