台灣2000萬筆個資暗網流通一案

Posted on by T.H.

這件事:民眾個資疑遭外洩 政院:內容很舊非政府流出

據稱資料筆數達到「兩千萬」等級。撇開政院、調查局和刑事局的說法,身為一個可能被影響到的人,在不接觸資料的前提之下,我們如何找出:

  1. 個人是否為受害:自己的個人資料是否在本次洩漏範圍之內?是哪些資料被洩漏?我所扶養的未成年人呢?
  2. 後續會如何被影響:如果是受害者,那麼這些資料對我會有什麼實質的傷害?會有什麼間接的傷害?這些傷害的手段是什麼?
  3. 救濟管道:例如資料在「暗網」被兜售,我是受害人,那麼這些資料還在暗網被兜售?是不是以後都沒辦法把這些資料從網路移除?

很可惜的是,以目前行政院發言人、行政院資安處、法務部調查局和內政部刑事局的說法來看,你和我一樣,永遠不會知道發生了什麼事。

引用行政院發言人的說法(中央社報導),我們目前知道的是:

丁怡銘指出,有關網路流傳暗網販售數量超過2000萬筆的台灣民眾個資,經相關單位查證,該資料流傳已久,檔案內除原來2006年前的資料,還有29筆2007年之後的資料,包括2007年7筆、2008年11筆、2009年3筆、2010年5筆、2011年2筆、2016年1筆。

上面的三個切身的問題,都不會有答案。換句話說,即使這兩千萬筆的資料是:

  1. 很舊的:例如主要最後更新的日期,絕大多數都是2006年之前
  2. 不完整的:例如有很多「格式」,初步判定是從各種外洩資料合併成一個大檔案
  3. 不是政府機關洩漏的:不同機關也很快鐵口判定不是戶政司或是政府機關洩漏的

…… 但此案實質上對你我而言,可能都有莫大難以彌補的長期傷害。

怎麼說?

(一)資料新舊不是關鍵問題:如果絕大多數資料的最後更新日期是2006年,那麼表示現在15歲以上的國民,都可能有一些關於身份的個人資料已經被包含在暗網兜售的資料集裡。台灣每年平均死亡人口十幾萬,2006年到現在至少過了13年,所以2000萬筆資料裡面,若是資料沒有重複(從個人身分證字號來判定),那麼只要是成年人,基本上你的資料已經被公開「裸露」在暗網。這些資料可以被賤價交易,可以被挪作其他的運用。

這資料新不新舊不舊關係不大,因為目前看來資料的各欄位都具有比較「超低度變動」的屬性,如 (a) 姓名、(b) 地址、(c) 身分證字號、(d) 性別、(e) 生日、(f) 電話。幾乎不會變動的有 a, c, d, e,如果 b 是戶籍地址,那麼變動的次數也通常極低。f 比較特殊,端看是市話還是手機號碼的格式才能進一步判斷。如果這些 a 到 e 的資料如果都不會變更,那麼資料的新舊根本不是問題,因為我還是可以透過這些資料找到你,定位你,描繪你,以及用在很多其他的用途(非本篇討論範圍)。

事實上,15歲以上國民的個人資料搞不好是越來越有價值(當然這不是說未滿15歲不重要)。

(二)政府機關太快下斷言我可以理解政府機關在過去三週內因為各種資安和洩密事件變得「緊張兮兮」,但資料新舊不是這件事的重點。對政府機關可能是,但政府機關裡也是一個一個人,全部都可能在影響的範圍之內。更何況是更多像我們根本不是公務人員的一般民眾,有這等規模的個人資料在暗網兜售,無論如何,政府機關都有密切關注,甚至是應該有所積極作為的義務。

(三)沒有詢問和救濟管道回到我上面最初問的三個問題,到底你我的個人資料是不是被包含在這次的資料集內,怎麼問都問不到。可以報案嗎?當然不可能報的成。那我們有專門負責隱私或是個人資料保護的機關嗎?這些資料的欄位看起來是各種機關都會在業務蒐集的,有些機關保有和蒐集的資料,可能沒有到兩千萬人之譜。能到兩千萬等級的,基本上就是內政部。但我們可以跟內政府警政署刑事警察局「報案」說,可不可以幫我抓到「罪犯」?答案當然是不可能。

那麼國發會個人資料保護專案辦公室呢?我該問他們嗎?

如果兩千萬筆的資料,重複的比例很高,最後發現不重複的個人只有八百萬筆。那麼,這八百萬筆是誰?這些人還活在世上嗎?

因此,我們在此時至少需要:

  1. 完整公開的衝擊評估報告:在某個時間點之後會需要完整的調查和衝擊評估報告,尤其是關於此案資料集的「信度」(authenticity)和「完整度」(integrity) 的說明。刑事局應該不會希望有美國人幫忙買資料集之後,在美國境內拿來做研究,公開發佈的管道在美國(以上美國可以代換成任何一個國家或多個國家,或是…),但到最後受害的卻是幾乎台灣的所有人
  2. 具體和明確的未來作為:如果兩千萬筆資料的重複比例不高,那麼政府相關單位有責任說明過去、現在和未來,在本案或是在其他相關案例,我們的救濟管道是什麼,我們的自保管道是什麼,以及未來如何在個人資料的保護上,政府有具體和明確的作為(例一例二例三)。在保護個人資料的法制上,如何強化?在個人隱私的觀念建立上,如何主動策進?這種規模的事件不能都丟給非政府部門

有些國家在大規模國民資料洩漏上有案例可供研究,他們如何補救,當然也值得盡快研究。(非本篇討論範圍,暫且到此)如果此案最後發現資料集在信度和完整度上都很有疑問,例如九成都是假的(再說一次,不是資料新不新舊不舊的問題),那麼,主動告知國人,也不失為一個好方法。

簡短以上。

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.