資安研究團隊 Cybernews 與 SecurityDiscovery 於近期揭露了一起發生於 2025 年 5 月的重大資安事件 —— 可能是人類史上規模最大的個資外洩:一個總容量高達 631GB、含超過 40 億筆紀錄的資料庫,在中國境內毫無防護地對外公開,任人存取,直至被發現才匆促下架。
當極權國家無意間揭露了自己的監控地圖,我們得以一窺其權力如何深植人心與資料的結構。
資安研究團隊 Cybernews 與 SecurityDiscovery 於近期揭露了一起發生於 2025 年 5 月的重大資安事件 —— 可能是人類史上規模最大的個資外洩:一個總容量高達 631GB、含超過 40 億筆紀錄的資料庫,在中國境內毫無防護地對外公開,任人存取,直至被發現才匆促下架。
這次的資料洩漏規模龐大,且其被描述為「精心收集和維護,用於建立幾乎任何中國公民的全面行為、經濟和社會檔案」,這暗示了資料的收集方可能具備強大的資源和動機,其目的不單純是商業利益,更可能與監控、情報收集或社會控制等更高層次的目標相關。
因此,這個事件並不是像是典型的「駭客入侵」,而極可能是中國政府內部資料集中體系的一次自爆 ─── 這些資料目前看起來似乎是由中國內部維穩機構主動蒐集、整合、命名與歸檔,並且極可能就是中國政府長年實施「社會信用」評等、經濟行為監控與身份驗證制度下的產物。從支付寶的帳戶金鑰、微信的用戶紀錄,到身分證號、地址、保險資料與地理資訊,甚至包含了一份命名為「tw_db」的資料集 ─── 中國對自己人民的控管,竟也已悄悄延伸至台灣社會的邊界。
何以這非常可能與「社會信用」評等有關?我們必須先理解這個獨特的反烏托邦制度。
中國「社會信用」體系:行為評分制度
當我們談論「信用」,腦海中浮現的通常是個人在金融機構的借貸記錄、是否按時繳費等財務誠信指標。然而,中國的「社會信用體系」制度卻遠遠超出了傳統金融領域,也超越了正常民主國家國民的想像,深入到公民日常生活的每一處。這套系統旨在透過對個人、企業乃至政府部門的行為進行數據收集、評估與獎懲,最終目標是建立一個「誠實守信」的社會,並透過「守信激勵」和「失信懲戒」的機制,來規範與引導社會行為。這不單單是一個評估你是否會按時還款的工具,更像是一張無形的分數表,悄悄記錄著你在體制眼中的服從度與可用性。
這套系統雖然目前看來仍以地方政府施行為主(如蘇州的「桂花分」、威海的「海貝分」),但基本上統一的運作方式是透過整合海量數據,從金融往來、司法記錄、交通違規,甚至是「不文明行為」(如在高鐵佔據座位、隨地吐痰)等,都可能被納入評估範疇。這些數據會被用來形成一個綜合性的信用評分或等級。
一旦你的信用分數較高,可能享受到生活上的便利與優惠,例如在辦理行政事務時享有綠色通道、租賃服務免押金,甚至可能在就業和招考上獲得優先權。反之,如果被判定為「失信」,懲罰也超越金融範疇,而包括限制搭乘高鐵或飛機、子女入學受限,甚至某些失信資訊會被公開揭露。這套系統的廣度和深度,使得它成為理解中國社會治理模式與台灣截然不同的一個關鍵切入點。
這場洩漏與一般資安事件本質迥異,更像是數位極權體制過度集中後,被一支番仔火點燃而引爆的控管幻覺 —— 它暴露的不只是人民的資訊安全,更撕開了統治本身的脆弱與失控。
tw_db 與台灣個資的邊界消失
本次外洩的資料中出現「tw_db」這個資料集名稱,儘管研究團隊未能進一步下載與分析內容,但這個名稱仍在台灣社會立刻掀起憂慮跟疑問 —— 這是否代表,中國的資料建模系統已經將台灣也納入其預設監控範圍?
根據目前媒體與專家掌握的線索,「tw_db」很可能是內部命名邏輯的一部分,代表資料的來源地、使用對象或歸檔分類為「台灣相關」。然而,究竟是哪些人、哪些資訊被收錄其中?是長期旅居中國的台灣人?曾登記或認證過中國平台帳號的使用者?還是僅僅在資料上有台灣註記的境外對象?目前無從得知。
值得注意的是,台灣政府雖已針對現職軍公教明文禁止持有中國「居住證」,並於 2024 年開始強化對中國身分證、護照等文件的法律排除效力,強調不得同時擁有台灣國籍與中國國籍身分。但對於廣大台灣民眾(尤其是經常往來兩岸、在中國工作、經商、求學者),只要持有「台胞證」並開通微信支付、註冊淘寶帳號、進行線上金流,往往就須進行「三要素實名認證」,即上傳身分證、臉部照片與手機號碼驗證,成為資料庫中一筆被標註為「tw」的資料點。
更確切來說,凡是在中國辦理手機號碼、銀行卡,使用中國境內網路服務、支付平台,去中國旅遊、住宿、交通記錄,都可能讓台灣公民在中國留下實名資訊。有一種意想不到方式也是可能原因:當某些台灣企業與中國企業有合作關係,或台灣企業被中國企業併購。在商業往來或併購過程中,若未對數據共享和保護有嚴格規範,台灣用戶的資料可能在未經充分告知下,被傳輸或共享到中國。
所以,tw_db 並非單純來自間諜行為或非法蒐集,而可能是來自台灣人自願或被動交付的資訊,而這類資料一旦進入中國資料治理邏輯中,就可能被長期保存、交叉分析、甚至應用於精準監控與統戰場景。這對民主社會而言是一種警訊,你以為只是「買個東西」、「轉點錢」、「念個學位」、「觀光遊歷」,在極權體系中卻可能成為被預測與掌控的開端。
更確切來說,凡是在中國辦理手機號碼、銀行卡,使用中國境內網路服務、支付平台,去中國旅遊、住宿、交通記錄,都可能讓台灣公民在中國留下實名資訊。有一種意想不到方式也是可能原因:當某些台灣企業與中國企業有合作關係,或台灣企業被中國企業併購。在商業往來或併購過程中,若未對數據共享和保護有嚴格規範,台灣用戶的資料可能在未經充分告知下,被傳輸或共享到中國。
所以,tw_db 並非單純來自間諜行為或非法蒐集,而可能是來自台灣人自願或被動交付的資訊,而這類資料一旦進入中國資料治理邏輯中,就可能被長期保存、交叉分析、甚至應用於精準監控與統戰場景。這對民主社會而言是一種警訊,你以為只是「買個東西」、「轉點錢」、「念個學位」、「觀光遊歷」,在極權體系中卻可能成為被預測與掌控的開端。
tw_db 到底是什麼?我們或許仍無法斷言。但正因如此,這個模糊的資料夾名稱,才更像是一記擊打在台灣資訊主權上的沉默警鐘。
以為不關你的事?但你可能也在資料庫裡
許多台灣人或許會直覺認為,這場資料外洩事件距離自己很遠 —— 畢竟自己沒有在中國生活,沒有參加社會信用體系,也不是中國公民。然而,只要你曾經註冊過淘寶帳號、用過支付寶或微信購物、開過抖音商店,甚至只是為了買一件外套、訂一張車票,而提交過身分證、自拍照、手機號碼,你就很可能早已在這個龐大資料體系之中,成為一筆資料、一個向量、一張可分析的行為圖譜。
中國的許多數位平台在實施「實名制」時,要求用戶上傳身份證件、完成臉部識別、綁定手機號,這些「三要素」加總形成的是一個可貫通社交、金融、地理與通訊的資料模型。這不只是一個帳號 —— 這是一個數位版本的你。而在這次資料外洩事件中,這個數位版本的你,很可能被整批複製,流入黑市、成為地下網絡的「個資原料」。
資安專家指出,一旦這種資料進入黑市交易市場,極可能被用來進行精準詐騙、身分盜用、或金融詐欺。不只是釣魚簡訊那麼簡單,而是結合消費紀錄與地理定位的「情境詐騙劇本」,能在幾分鐘內騙過一個經驗老道的使用者。
過去我們曾震驚於美國 Equifax 公司外洩了 1.43 億筆信用資料,也曾在英國 Cambridge Analytica(劍橋分析)案中看見社群資料如何被操控成為政治武器。但這次中國資料外洩的不同之處在於:這次並不是商業濫用,也不是個人疏忽,而是國家級的資料集中維穩體系,在過度治理中自行潰堤的產物。
如果說數據是新時代的黑金石油,那麼這場外洩就是一場規模浩大的漏油事件,所污染的,將不只是中國自己的國土,也可能涵蓋了所有與其有資料往來的地區與人群,包括我們。
當我們連資料都無權主張時
或許我們終將無法得知,「tw_db」究竟是來自哪一位台灣人交出的身分證掃描檔、臉部照片、或是僅僅一筆支付寶付款記錄。但它的存在卻已經成為事實,一個隱晦又清晰的符號,提醒著我們早已置身其中 —— 即使我們從未被通知、也未曾同意。
我們習慣談論「主權」,談論制度、疆域、認同與防衛。但在資訊時代,主權不只是地圖上的紅線,而是我們能否拒絕被建模,能否主張自己的資料不屬於任何帝國。而這正是我們現在最缺乏的事物。
中國的數據帝國,透過科技平台與政治體系相互勾連,形成一個無形的全球滲透網絡。我們的政府,也許能在護照與國籍上畫清界線,但在使用者與資料之間,卻始終遲遲未能提出足夠嚴謹的制度與想像。
當一個政權能夠以「建設誠信社會」之名,掌握一個人的行為分數、消費傾向與對話紀錄時,這不再只是某種文化上的差異,也不只是資安問題 —— 而是我們對何謂人的尊嚴、自由與未來社會的定義,已經宛如打翻的墨水瓶那樣被浸染。
而現在,我們已經錯過了資料洩漏的第一時間。不要再錯過第二次機會,那就是:在民主社會中,開始認真談一場屬於我們自己的資訊主權改革。
作者:蕭良嶼,報呱專欄評論作家。出身於法律訓練,興趣為社會學、政治學研究。 為堅定支持台獨的生理女性。
參考資料:
2025/06/09 Cybernews Largest ever data leak exposes over 4 billion user records
