摩根史坦利廢棄硬碟與伺服器未妥善處理，洩露客戶資料，遭罰3,500萬美元

摩根史坦利旗下部門因報銷公司的舊資料系統不當，致高達近1,500萬名客戶資料曝險，被主管機關美國證券交易委員會（Security and Exchange Commission，SEC）罰款3,500萬美元。

SEC指出摩根史坦利（Morgan Stanley）旗下財富管理機構Smith Barney（MSSB）在保護客戶可辨識身分資料（personal identifying information，PII）上，在5年期間出現多項失誤，影響公司近1,500萬客戶資料。MSSB已經同意支付罰金和SEC達成和解。

本案起於2015年MSSB關閉財富管理部門時，未能妥善處理包含客戶重要個資的系統，而且不只一次。MSSB聘請了一家不具資料銷毁專業的倉儲及清運公司報費數千臺硬碟和伺服器，而且又未能監督這家清運業者的行為。這些機器中，部分包含未加密的客戶PII。

在SEC命令下，MSSB調查發現，這批伺服器和硬碟之後被這家業者賣給了第三方廠商，最後輾轉賣到了拍賣網站。MSSB最後尋回部分裝置，並在其中發現了數千筆未加密客戶資料，但是大部分機器都未能尋獲。

MSSB另外還發現一些地區分公司在換新伺服器、報銷舊機器時，也曝露了客戶資料。經過資料比對，他們發現有42臺存有未加密客戶PII及消費者報告資訊的伺服器不知去向。此外，調查也顯示，這些伺服器並非沒有加密功能，而是使用單位多年來都未啟用。

SEC執法部門主任Gurbir Grewal指出，MSSB本案的失誤令人震驚，客戶將個資交託給這些金融專業人員，期待這些這資料能獲得保護，但MSSB卻嚴重失職，這些敏感個資若未善加保護，可能流入不肖人士之手，為投資人帶來災難性後果。

MSSB並未承認或否認這些調查結果，但同意支付SEC罰款。

事實上，2016年1,500萬名客戶已對摩根史坦利提起集體控訴。雙方今年1月初達成初步和解協議，並請求紐約法院同意。根據報導，受影響的客戶可獲得至少2年的詐欺保險賠償，並可申請最高10,000美元的現金補貼。