向駭客購買台灣2300萬筆戶政資料　科技工程師繳50萬獲緩起訴

在科技業任職的鄭姓工程師，得知有國外駭客在網路上兜售台灣2357萬2055筆戶籍資料，為了印證這是資料是否真實，他花了4999.2顆泰達幣(台幣約15萬元)購買，雖然印證這些戶籍資料沒錯，但自己也因此遭到法辦，台北地檢署調查後，認為鄭男涉犯《個人資料保護法》違法蒐集個人資料罪，但考量他坦承犯行，給予緩起訴，期限1年，條件是在緩起訴處分確定後4個月內，繳交50萬元給公庫。

去年10月21日，自稱「OKE」的網友在國外論壇「BreachForums」宣稱擁有台灣2357萬2055筆個人資料，內容包括統號、姓名、出生日期、婚姻狀況代碼、與戶長關係、 戶長統號、戶號、原住民身分、與戶長關係代碼、縣市及鄉 鎮市(區)、行政區域代碼、縣市、鄉鎮市區、村里、鄰、街 路門牌地址、遷入日期、性別、出生地、役別、配偶姓名、 父姓名、母姓名、養父姓名、養母姓名、配偶統號、父統 號、母統號、養父統號、養母統號、教育程度、戶別、原住 民族別、戶長姓名。

「OKE」為了取信於眾，還公開20萬筆設籍在宜蘭的個資供驗證資料真實性，同時公開出售這2357萬2055個資，要價美金5000元，並以虛擬貨幣作為付款方式，還留下Telegram作為交易聯絡方式。在第一時間，內政部出面澄清，經查證該論壇提供的個資資料，內容格式與內政部戶役政資料差異甚大；相關資料並非從內政部戶政司全球資訊網（www.ris.gov.tw）洩漏。

1名科技業的鄭姓工程師，在網站上看到「BreachForums」論壇的訊息後，覺得好奇，想要印證這些資料的真偽，就利用Telegram與對方以英文交談，並與對方約定，透過我國ACE王牌虛擬貨幣交易所，支付4999.2顆泰達幣(USDT)，購買2357萬2055個資，對方則指定收款錢包地址，收款人則是中國籍的童姓男子。

鄭男在花錢購得這些個資後，立即將這些資料與自己的親友個資進行比對，發現可能因為轉檔，有些中文字不正確，但是只要是數字的部分，像是身分證字號，出生年月日，全都正確無誤。

為追查到底是誰？如何取得全國人民的個資，調查局立案後由資安工作站及台北市調查處組成專案小組展開調查，並透過管道取得OKE販售的完整資料進行研析，證實外洩資料為我國2018年4月以前的戶役政資料，再比對資料欄位、資料編碼與格式，部分與戶役政系統原始資料有所出入。

專案小組再利用其他使用戶役政資料或介接機關，但因資訊系統、網通及資安設備，限於稽核紀錄距2018年間已逾最大留存限制，以致無法追查數位跡證路線。

不過，專案小組在追查不法金流，從販售個資不法人士所使用的虛擬通貨錢包地址，發現該錢包地址為中國籍童姓男子所有，分析錢包地址交易紀錄，確認已完成多筆交易，交易的資金透過中國大陸銀行帳戶辦理出金提現，同時也鎖定台灣的鄭姓男子與童男完成交易。

今年6月間，檢調專案小組發動搜索約談，時將鄭男傳喚到案，鄭男坦承犯行，供稱為了確認這些個資的真偽，才想要花錢買來進行驗證，他並沒有將這些個資做為他用。

檢察官在勘驗鄭男的手機隨身碟等扣押物品，確認鄭男真的沒有將這些購得的個資作為他用，認為鄭男涉犯《個人資料保護法》違法蒐集個人資料罪，但考量他坦承犯行，給予緩起訴，期限1年，條件是在緩起訴處分確定後4個月內，繳交50萬元給公庫。

至於提供收款錢包地址的中國籍童姓男子，檢察官已對他發布通緝，然而全國人民的個資到底是怎麼洩露出去，真正盜取者又是誰，檢調專案小組仍在偵辦中。