中國大規模個資網路外洩 KPMG教4招應對

近期國外資安團隊意外發現網上一個高達631GB、且未設任何安全防護的資料庫，內含近40億筆中國民眾的個人資料，其中還有名為tw資料庫，疑似與台灣個資相關。針對民眾如何自保？KPMG安侯建業表示，應以4大重點技巧來提升數位防護力。

這個資料庫內含近40億筆中國民眾個人資料，包括超過8億筆WeChat用戶ID、6億筆銀行及住址等高敏感資訊，堪稱中國最大規模資料外洩事件。其中一個名為「tw」的資料庫，疑似涉及台灣民眾個資，引發關注。

KPMG安侯企業管理公司董事總經理謝昀澤指出，中國資料盜竊技術與詐騙行銷話術非常成熟，甚至形成一條龍的「詐資鏈」，多透過網路攻擊、資料分析、行銷、洗錢、客服、法務等專業分工，從網購平台、求職網站、醫院、學校、電子支付及電信公司撈取巨量資料，透過暗網、Telegram或線下頻繁交易個資。

謝昀澤認為，此次外洩事件的資料架構使用「資料拼圖」等加值技術，整合社群媒體帳號、搭配住址與銀行資訊，比起單一平台外洩個資，更能精準用於詐騙、行銷、社交工程攻擊或洗錢等用途。

民眾數位防護四要訣

謝昀澤建議民眾採取以下四項技巧提升數位防護力：第一、多元高強度密碼，各平台應使用不同且高強度的密碼；第二、啟用多因素驗證（MFA），例如：開啟生物辨識、USB Token等來強化驗證機制，即便密碼外洩也能防止登入。

第三、警覺可疑簡訊、電話與郵件，避免點擊連結或輸入授權碼；第四、即時更新設備與程式，民眾應該即時更新手機、電腦作業系統，以修補安全漏洞。

生成式AI的隱私風險

台灣民眾面對的個資外洩威脅，不僅來自網路購物及社群平台。謝昀澤指出，中國生成式AI軟體DeepSeek就有資安疑慮，該軟體隱私政策顯示，用戶資料將收集在中國境內的伺服器，包括用戶文本、語音輸入、上傳文件、聊天紀錄等內容。

不但如此，謝昀澤說，DeepSeek的聊天內容可能受到特定國家政府（中共）或有心人士利用，進行思想捕捉或資訊誘導，將對台灣產生更深的侵害。

企業個資管理需謹慎

針對企業防護，KPMG隱私保護專家協理趙慶宏表示，台灣主管機關近期對業者進行個資行政檢查時，特別關注業者就消費者或會員個人資料是否有明確告知當事人跨境傳輸資料的責任。例如，近期有業者，將會員資料上傳到香港的雲端資料庫，但未依法告知會員，而遭糾正。企業應確保遵守法規，避免類似風險。◇