被罚 2.47 亿：未加密未擦除数据的硬盘被出售、泄露了 1500 万客户数据

“令人震惊的过错”，时间跨度长达五年。

摩根士丹利周二同意就数据安全失误向美国证券交易委员会（SEC）支付3500万美元（2.47 亿人民币）的罚款，数据安全失误包括没有擦除内容，就将已弃用数据中心的未加密硬盘放到拍卖网站上转售。

SEC采取的行动表示，从2016年开始，对数千个硬盘驱动器处置不当是五年间“重大过错”的一部分，没有按照联邦法规的要求来保护客户的数据。该政府机构表示，重大过错还包括在当地分支机构弃用服务器时对硬盘驱动器和备份磁带处置不当。

SEC表示，总共有1500万客户的数据被泄露。

“令人震惊的过错”

SEC执法部门主管Gurbir S. Grewal说：“摩根士丹利银行在这起案件中所犯的过错令人震惊。客户们将自己的个人信息委托给金融专业人士保管，他们以为并期望这些信息会受到保护，而摩根士丹利在这方面其实做得差强人意。”

过错主要源于2016年聘请了一家在数据销毁服务方面毫毛经验或专业知识的数据迁移公司，弃用含有数百万客户数据的数千个硬盘驱动器和服务器。这家数据迁移公司收到了53个RAID阵列，这些阵列共包括大约1000个硬盘驱动器，它还从摩根士丹利的其中一个数据中心拆下了大约8000个备份磁带。

这家未透露姓名的数据迁移公司最初与一名IT专家签订了合同，以擦除或销毁存储在硬盘驱动器上的任何敏感数据。最后，这家数据迁移公司停止了与这位专家的合作，开始将存储设备出售给一家公司，而这家公司后来却将这些设备拿去拍卖。这家新公司从未经过摩根士丹利的审查，也从未被批准成为数据中心弃用项目的承包商或分包商。

2017年，在数据中心弃用一年多后，摩根士丹利的工作人员收到了俄克拉荷马州一名IT顾问发来的电子邮件，这才得知他从在线拍卖网站买来的硬盘含有摩根士丹利的数据。

SEC的工作人员在一份诉状中写道：“该顾问在那封电子邮件中告知摩根士丹利‘你们是一家大牌金融机构，应当遵循一些非常严格的指导方针来处理硬件弃用。或者起码要求向你收购设备的供应商具有某种数据销毁验证。’摩根士丹利最终回购了这名顾问拥有的硬盘驱动器。”

SEC采取的行动还表示，许多存储设备并没有开启加密功能，尽管确实有这个选项。即使在这家投资公司于2018年开始使用加密选项之后，也只有写入到磁盘的新数据受到了保护。在一些情况下，由于一家身份不明的供应商的产品存在缺陷，数据仍没有适当加密。

对于SEC的诉讼主张，摩根士丹利既没有承认也没有否认，而是同意周二的裁决：即它违反了S-P条例（Regulation S-P）的保障和处置规定，已同意支付3500万美元的罚款。

摩根士丹利的工作人员在一份声明中写道：“我们很高兴解决这个问题。我们之前已就几年前发生的这些事情通知了相应的客户，并没有发现任何未经授权就访问或滥用个人客户信息的情况。”