有匿名駭客日前聲稱，手上握有超過10億名中國公民的個資，外洩自上海國家警察數據庫。該駭客或駭客團體以「ChinaDan」為名，6月30日在駭客論壇「Breach Forums」公布此事，稱欲以10比特幣（約20萬美元／近600萬新台幣）出售這批數據，並開放索取其中75萬筆資料為樣本。

該駭客貼文的截圖在Telegram等網站已流傳數日，但在中國的微博和百度，「上海公安數據洩露」等相關關鍵詞，已經遭到屏蔽，WeChat亦移除許多報導和貼文。金融時報指出，有微博用戶因為發布跟此事有關的貼文，被當局「請去」說明。

10億中國人個資外洩？真實性仍有疑慮

根據該駭客原始貼文內容，這批10億人的數據包含姓名、住址、出生地、身分證字號、手機號碼、犯罪和報案紀錄等個人資訊。路透報導指出，檔案大小超過23TB；若證實此事為真，就會成為史上最大規模的資料外洩事件之一。

科技政策專家薛佛（Kendra Schaefer）4日在推特上表示，很難區分出事實和謠言，但「可以證實這批檔案是真的存在」。虛擬貨幣交易所幣安（Binance）的執行長趙長鵬亦推文稱，其公司團隊發現有人在暗網兜售「某個亞洲國家」10億人的個資。

It's hard to parse truth from rumor mill, but can confirm file exists. If the source is indeed MPS, that would be, erm... bad, for a number of reasons. Most obviously, it would be among biggest and worst breaches in history. Alleged screenshots: 2/7 https://t.co/MpLQSiYzGS

— Kendra Schaefer 凯娜 (@kendraschaefer) July 4, 2022

Our threat intelligence detected 1 billion resident records for sell in the dark web, including name, address, national id, mobile, police and medical records from one asian country. Likely due to a bug in an Elastic Search deployment by a gov agency. This has impact on ...

— CZ 🔶 Binance (@cz_binance) July 3, 2022

華爾街日報記者實際下載駭客提供的數據樣本，並撥打裡面列出的民眾電話號碼，有些號碼是空號，或是無人接聽；但最後有9人接聽電話，其中4個人的姓名等基本個資跟外洩的資料相符，另外5個人則向記者證實所有外洩資訊皆為真，包含較難獲取的案件紀錄。外洩資訊顯示，一名姓魏的男子曾被詐騙走3萬人民幣，他接到記者電話後感嘆，「我們都被看光了」。

網路媒體「Vice」的記者亦撥電話給名單上的十幾位民眾，其中有3個人證實外洩檔案上的資料正確。一名男子表示，他確實曾於2010年報案車子被偷，但沒想到這件事也在外洩檔案內；他表示，「如果這麼久遠的事都被挖出來，那我非常擔心自己的隱私不保，怕敏感資訊可能遭到濫用」。

不過，有專家對這批數據的真實性仍然存疑。華爾街日報引述澳洲網路安全顧問韓特（Troy Hunt）的觀點，認為檔案內包含中國14億人口中的10億人，規模大到令人懷疑，而且該駭客也可能是為了金錢報酬而誇大或造假。

美國有線電視新聞網則引述「LeakIX」網站說法，稱這個資料庫早在2021年4月就存在於網路上；網路安全專家特羅亞（Vinny Troia）更指出，任何知道門路的人，很容易就能找到該資料庫並獲取檔案，「只要註冊就好了」。報導進一步指出，據該匿名駭客說法，這批檔案現在是放在「阿里雲」的系統上；阿里巴巴集團聲明表示，正針對此事展開調查。

敏感資訊外洩引爆中國資安疑慮　專家：難以究責政府單位

澳洲戰略政策研究所網路政策專家張羽楊接受VICE新聞訪問時強調，這麼一大批包含敏感資訊的個資外洩，若是落入網路犯罪集團之手，很可能會被用來捏造假身分文件或進行詐騙，甚至進一步導致其他企業或政府單位數據外洩。

美聯社則指出，這次的外洩受害者還包含2020年出生的未成年人。不過，對中國政府而言，政治考量恐怕比人民隱私更為優先。資安顧問維斯紐斯基（Chester Wisniewski）認為，這次事件「對中國政府來說很可能非常丟臉」，因此相較於民眾受到的損害，當局可能更關注其帶來的政治後果。

根據紐約時報6月公開的調查報導，中國政府對人民的資訊監控層面近年來逐步擴張；然而，當局卻未妥善管理數據，甚至直接放在網路上，資安漏洞頻傳。雖然當局加大力道管制網路，但多數法令僅針對科技業者，政府單位卻不受限制也不會被罰。

人權觀察組織（Human Rights Watch）的中國研究員王亞秋接受紐時訪問時指出，針對資料外洩事件，中國的法令中並沒有明確機制可以對政府單位究責；這次上海公安數據外流，也很可能變成上海警察自己調查自己。

專家：中國人口危機超乎想像

除了關注資安疑慮和究責問題，也有專家用這批數據進行研究。威斯康辛大學麥迪遜校區的人口學家易富賢在推特上表示，他下載駭客提供的樣本其中25萬人數據，結果發現「中國人口危機的嚴重程度超乎大家的想像」。

【上海公安泄露人口数据的年龄结构分析】2020年普查高度不可信，2014年单独二孩、2016年全面二孩后在次年都未出现预期的出生高峰，2003年后何种仁政反致出生高峰？卡介苗等都显示出生持续下降。25万人泄露数据虽抽样并不精确，但反映出生趋势。中国的人口危机可能超乎大家的想象。 pic.twitter.com/rBG54Vdcqx

— 易富贤YI Fuxian《大国空巢》 (@fuxianyi) July 4, 2022

易富賢指出，「這25萬人的數據非常隨機」，幾乎覆蓋全中國每個縣，包含黑龍江漠河、雲南騰衝、西藏阿里地區札達縣等地，他甚至還找到自己「隔壁村的鄉親」。

他主張中國政府的「2020年普查高度不可信」，並表示洩露檔案「抽樣雖不精確，但反映出生趨勢」，因此從中發現，中國的年齡結構比他自己過去估算的狀況更差，且總人口可能比他估算的12.8億人還要少。易富賢認為，中國將變成不穩的「倒三角年齡結構」，而且「經濟活力將快速下降」。