台灣史上第一次，全民戶役政資料被上網兜售，從身分證字號、地址、配偶父母等親屬資料全洩漏。事發關鍵120天，內政部卻矢口否認個資外洩，對外噤聲，直到2月底，法務部證實被賤賣的就是戶役政資料。資安即國安，卻上演荒唐實錄，讓人擔心是否還有更多未爆彈?

文/鄭閔聲、史書華　攝影/王建棟　編輯/吳廷勻　設計/陳則緯

這場交易，原來是一樁見不了光的買賣。但背後，是充滿了憤慨的公民。

二○二二年十月二十一日，以「OKE」為代號的匿名使用者，在駭客論壇Breach-Forums兜售號稱全台兩千三百萬筆戶役政資料。為了吸引顧客買單，OKE更直接公開二十萬筆設籍在宜蘭的個資當作商品樣本。

「幾個朋友查證，宜蘭那份資料看起來是真的，但政府卻不出聲。整包只賣五千美元，不貴，朋友一起湊錢，就把資料買下來了，」長期活躍在台灣公民社群的小羅（化名）回憶。

史上首見全台個資公開販售 只賣台幣十五萬，每人資安不值一毛錢

見不了光，是因為依個資法，持有個資是違法行為。

小羅不是唯一購買這筆外洩資料的民眾。化名為Benjamin的白帽駭客，也是這次外洩個資的另一個買家。而且駭客圈普遍認為，這筆資料會被丟到論壇上低價販賣，表示想買的「應該」都有了。

「賣家特別強調不是上次舊的那筆（資料），很奇怪，」第二次取得台灣官方外洩資料的Benjamin，比較的是兩年多前的另一筆戶役政資料外洩事件。二○二○年，曾有駭客聲稱取得兩千萬筆台灣戶役政資料，並放上網路公開販售。當時的行政院資通安全處第一時間聲明，該份是由多方資料庫整併而成。

按照購買指示，Benjamin加了OKE的Telegram帳號，並透過虛擬貨幣，付款到指定的錢包地址。

「我換了比特幣、USDT付錢，一包檔案大小為一．九G、格式為CSV的檔案，隨即出現在我們Telegram的對話框，」Benjamin回憶。

從聯繫到交貨，不用見面，也沒有討價還價，全靠一個免費的社群應用程式，幾分鐘內，一次搞定。而這，不過是近幾年，台灣政府資料外洩的現場之一。

但是，了解這包資料內涵或熟知政府資料外洩情況的專家，都對《天下》表示，這次不一樣。

「這是史上第一次，全台所有戶役政外洩資料被公開販售，」Benjamin搖頭。 資料拼圖為詐騙添柴火 戶役政是精準「母庫」，拼湊個資更完整

「這是重大國安事件，」跟國際資安通報組織交往頻繁的台灣網路資訊中心（TWNIC）董事暨執行長黃勝雄直言，目前，沒聽過任何一個國家，像台灣出現這樣大規模的民眾資料外洩。

「戶役政是政府最核心的資料，」政大公共行政系主任蕭乃沂說明其嚴重性。

過去幾年，藉竊取個資作為工具的詐騙行為，已重創台灣社會的信任基礎。

曾是專辦網路犯罪的知名檢察官、現為達文西個資暨高科技法律事務所所長葉奇鑫回憶，多年前有次他經手駭客建立的資料庫，只要輸入「居住地：台北」、「職業：大學教授」等指令，就會自動跑出一串名單。「現在，駭客透過更多資料比對（俗稱撞庫），更能建立周圍親屬的關聯性資料庫；資料愈完整，愈容易取信於人，進行解除分期付款這類金錢詐騙，」他分析。

刑事局科技研發科股長黃翰文解釋，「資料拼圖」（Data Puzzle）是詐騙產業鏈上的關鍵節點，有專人負責拼湊不同來源資料，拼圖愈完整，價值愈高。

高檢察署查緝資通犯罪督導中心檢察官吳慧蘭則觀察，詐騙集團竊取民眾身分證字號等個資後，在網路上冒名成立社群網路帳號、網拍商城，以騙取民眾金錢的「身分小偷」，是過去幾年間日益普遍的新犯罪型態。

如今，全國最精準、最全面的戶役政資料流落在外，讓有心人士可以更容易拼湊其他外洩個資、取信於人，形同替詐騙犯罪添柴加火。

對比白帽駭客們與專家們的焦慮，政府的回應卻是避重就輕。

全世界沒聽過任何一個國家，出現像台灣這樣大規模的民眾資料外洩，如果沒有積極作為，會讓民眾對政府的治理能力更不信任。

【荒唐1】不承認資料外洩
內政部稱非真實資料，遭專家打臉

資料被兜售當天，內政部就「嚴正澄清」，「資料格式與內政部戶役政資料差異甚大，並非從內政部戶政司全球資訊網洩漏。」

數位發展部資通安全署隨後也表示，「論壇有疑似販售國人個資，並稱為內政部戶政資料外流一事，並非事實。」

直到去年十二月底，內政部說法開始出現變化。

雖仍堅稱資料格式差異、戶役政系統及政府骨幹網路並未遭駭，但也不排除「是否經由其他管道洩漏」，只是強調一切正由檢調偵辦中，基於偵查不公開，不對外發布相關訊息。

在小羅看來，過去四個月，政府是在大玩文字遊戲，他因此找上《天下》，揭露這份外洩資料的真實模樣。

打開這份CSV檔，洋洋灑灑三十九個欄位，從個人生日、性別、身分證號等資訊外，戶號、戶長，甚至是生父生母、養父養母都有單獨欄位和對應的身分證號，「檔案格式可能被賣家整理過，但除了戶政，還有哪個政府機關或民間單位會有戶號、戶長這些資料？」他問。(見72頁表1)

《天下》就小羅提供的欄位，詢問地方戶政、地政及法官等有權限使用戶役政系統的公職人員，他們對比真實系統後表示，這份資料的欄位都屬於戶役政資料，只是少了記事欄位、身分證卡片編號等資訊。

此外，經小羅比對，姓名約有兩成錯字，「看起來錯字沒有邏輯，不像是轉碼錯誤，而是駭客故意改字，」他分析。

但更出乎意料之外的資訊，是「遷入日期」一欄。從原始資料來看，最新一筆的遷入日期停在二○一八年四月。再去比對當年四月的全台人口統計，兩者規模都落在二三五七萬，也就是說，這是一份近乎完整的全台戶役政外洩。

《天下》記者也請小羅下指令，叫出我們和家人的個資，除了名字出現單一錯字，其他資訊全都正確。

我們更同步把去識別且不涉隱私的外洩資料，請求立法院各黨團幹部協助查證真偽，願意回應的立委皆確認資料正確。

二月二十四日，法務部調查局也對外證實，「外洩資料為我國二○一八年四月以前之戶役政資料，」並發現虛擬錢包地址，為中國籍人士所有。

除了戶政，還有哪個政府機關或民間單位會有戶號、戶長這些資料?戶役政是政府最核心資料，透過「資料拼圖」，愈容易取信於人，進行金錢詐騙。 【荒唐2】未通報重大資安事件
個資網上兜售四個月，政府坐視不管

「如果政府對此沒有積極作為，會讓民眾對政府的治理更不信任，」黃勝雄直言。

但從政府的反應看來，政府似乎並不在意人民的信任。

根據「資通安全管理法」，資通安全的定義是，「防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。」戶役政資料外洩，顯然已危及資安。

而且「資通安全事件通報及應變辦法」也白紙黑字寫著，只要一般公務機密、敏感資訊遭洩漏，就屬於重大資安事件，公務機關知悉後應限時通報主管機關、完成復原及損害控制作業，並且在一個月內提出調查、處理及改善報告。

「這套機制的用意是積極找出資安漏洞在哪裡，趕快把它補起來，後續再討論可能的改善方向，」黃勝雄解釋。

記者一路追查，全民個資在網上被兜售逾四個月來，內政部與戶政司並未通報重大資安事件。 閱讀完整內容