近年民眾對「個資外洩」這四個字已經不陌生,從電商平台、訂房網站、旅行社、金融帳戶到社群平台,幾乎只要生活中需要註冊會員、填寫地址、留下電話或上傳證件,就可能牽涉個人資料的保存與利用。過去很多人以為個資外洩只是接到幾通推銷電話、收到幾封垃圾簡訊,但現在情況已經不同。詐騙集團取得姓名、手機、住址、訂單資料、旅遊紀錄甚至身分證字號後,可以把詐騙話術做得非常逼真,例如假冒客服說訂單出錯、假冒銀行要求帳戶驗證、假冒旅遊平台通知退費,或假冒檢警說個人資料涉及刑案。當詐騙電話能準確說出你的姓名、購物內容、收件地址與付款紀錄時,民眾自然容易降低警覺,這也正是個資外洩最危險的地方。
近期國內外接連出現個資外洩事件,也讓資料保護再次成為社會關注焦點。2026年初,電商平台酷澎曾傳出個資外洩,數位發展部說明,酷澎台灣經第三方資安公司鑑識後確認,約20萬名國內會員資料遭非法讀取,內容包括姓名、電話、電子郵件、收件地址及近5筆訂單紀錄。數產署也提醒,個資外洩後容易遭詐騙集團利用,常見話術包括「解除分期付款」、「貨運包裹異常」或「客戶售後服務」,民眾若接到可疑電話或訊息,應避免點擊不明網址,也不要提供密碼、驗證碼或身分證字號。
旅遊與訂房資料同樣是高風險個資。2026年4月,媒體報導五福旅遊因1月遭駭客攻擊,導致約20萬名旅客個人資料外洩,主管機關經調查後認定業者未善盡個資安全維護義務,依個人資料保護法裁處罰鍰。另一件受到關注的是Booking.com訂房資料外洩事件,中央社報導指出,Booking.com證實有未經授權第三方可能取得部分旅客預訂資訊,外洩資料可能包含預訂內容、地址、電話、姓名、電子郵件及與住宿分享的資訊,業者也表示已採取行動更新訂單PIN碼並通知相關消費者。這些事件顯示,個資保護不只是電商問題,旅遊、住宿、物流、金融與會員系統都可能成為資安攻擊目標。
從法律角度來看,個人資料不是企業可以任意保存、使用或轉交的資料,而是受到個人資料保護法規範的權利客體。依個資法架構,公務機關與非公務機關在蒐集、處理、利用個人資料時,都必須符合特定目的與法律要件,並負有安全維護義務。法律百科整理指出,保有個人資料的業者應採取適當安全維護措施,防止個資被竊取、竄改、毀損、滅失或洩漏;若業者未能善盡義務,導致個資遭不法蒐集、處理、利用或侵害當事人權利,就可能負擔民事損害賠償責任。換句話說,個資外洩並不只是「公司道歉就結束」,若有管理不當、資安不足或未依法維護資料安全,被害人仍有機會主張權利。
民眾最常問的問題是:「我的個資外洩了,可以求償嗎?」答案要看外洩原因、業者是否有過失、民眾是否因此受到損害,以及能否證明外洩與損害之間的關聯。不過個資法對被害人並非毫無保護。法律百科說明,個資法在民事求償上設有對被害人較有利的制度,例如舉證責任倒置,也就是業者若要免責,必須證明自己沒有故意或過失;此外,如果被害人不容易證明實際損害金額,個資法也設有法定損害賠償機制,可由法院依侵害情節,以每人每一事件500元以上、2萬元以下計算賠償。若同一事件受害人眾多,也可能由符合資格的團體協助提起團體訴訟。
除了民事賠償,若有人故意販賣、外流、利用他人個資進行詐騙,也可能涉及刑事責任。例如詐騙集團取得個資後,假冒客服、銀行、檢警、親友或商家,使民眾陷於錯誤而交付款項,就可能構成刑法詐欺罪;若內部人員非法查詢、提供或出售個資,則可能另涉違反個資法、洩密或其他相關刑責。2026年1月,中央社曾報導,內政部針對有員警非因公使用警政資訊系統導致民眾個資外洩,警政署將規劃於系統增設涉及個資查詢警示。這也提醒社會,個資外洩不一定只來自駭客攻擊,內部人員濫查、外流、管理鬆散,同樣可能造成嚴重風險。
面對個資外洩,民眾第一時間應該做的不是恐慌,而是「阻斷風險」。如果知道自己的電商、訂房、金融或會員資料可能外洩,應立即更改該平台密碼,若其他網站使用同一組密碼,也要同步更換。若外洩資料涉及信用卡,應通知發卡銀行留意異常交易,必要時申請換卡。若接到自稱客服、銀行、檢警或平台人員來電,對方要求操作ATM、提供驗證碼、輸入信用卡資料、下載遠端控制軟體或點擊連結,都應立即停止,不要照指示操作。尤其OTP驗證碼、網銀密碼、信用卡背面末三碼、身分證字號與健保卡資料,都不應在陌生電話或不明網站中提供。
如果已經因個資外洩遭到詐騙,證據保存非常重要。民眾應保留來電號碼、簡訊內容、LINE對話、網址截圖、匯款紀錄、交易明細、對方帳戶、假客服話術、平台通知信件,以及能證明自己資料遭濫用的相關畫面。若不確定是否遇到詐騙,可撥打165反詐騙專線查證;若已發生財產損失,則應盡快報案,並向銀行申請警示或止付相關款項。很多人受害後因為覺得丟臉而刪除對話紀錄,反而讓後續追查變得困難。法律程序最需要的是可回溯、可驗證的資料,越早保留,越有機會釐清責任。
對企業與平台而言,個資保護也不再只是資訊部門的工作,而是公司治理與法律風險管理的一部分。行政院個人資料保護委員會籌備處曾說明,未來將成立個人資料保護委員會,並推動個資事故通報、應變與紀錄留存義務,強化公私部門個資法遵與安全控管。中央社也報導,相關草案方向包括公私機關知悉個資遭竊取、竄改、毀損、滅失或洩漏時,原則上應於72小時內通報並通知當事人。這代表未來企業面對個資事件,不能再用「還在調查」拖延告知,也不能把個資外洩視為單純公關危機,而是必須依法啟動事故應變。
在數位生活裡,個資就像另一種身分證明。你的姓名、電話、地址、訂單紀錄、旅遊行程、付款資訊,看似只是零散資料,但落入詐騙集團手中,就可能被拼成完整的人物輪廓,再用來設計精準話術。民眾要自保,最重要的是養成查證習慣,不隨便點擊陌生連結,不在不明網站填寫資料,不把驗證碼交給任何人,也不要因為對方說得出自己的個人資訊就相信對方。個資外洩事件頻傳的時代,法律可以追究責任,但真正的第一道防線,仍然是每一次輸入資料前多想一下、每一次接到可疑電話時多查一下。當個資成為詐騙犯罪的燃料,保護個資,就是保護自己的財產、安全與生活秩序。
上一則
