💡 核心結論速覽 (TL;DR)
- 個資外洩很普遍:Gogolook 聯手 Constella 的調查顯示,台灣手機號外洩率高達 65%,全台估計約 1,040 萬人受影響;Have I Been Pwned 截至 2025 年初已收錄 845+ 起資料外洩、超過 145 億組外洩帳號。
- 5 分鐘自我體檢:免費就能查的工具有 HIBP、Mozilla Monitor、趨勢科技 ID 防護、Norton Dark Web Scan、Surfshark Alert,輸入 Email 或手機號就能 30 秒看結果。
- 中了也別慌:5 步驟自救——立刻換密碼 + 開兩步驟驗證 + 設信用卡即時通知 + 申請聯徵註記 + 評估報警,30 分鐘做完比後續處理盜刷便宜 100 倍。
- 今晚先做這件事:把主信箱丟進 HIBP 查 30 秒,再用 1Password 或 Bitwarden 鎖住「密碼重用」這個真正的滅頂風險。
說真的,個資外洩檢查這件事,多數人都是「收到詐騙電話被叫出全名 + 地址」才驚醒,對吧?老實說我自己也是這樣——直到去年某天連續接到三通假中華電信的釣魚電話,對方連我的銀行帳號末四碼都背得出來,那種「我的資料到底是從哪漏的」毛骨悚然到現在還記得。
後來認真查才發現,原來 Have I Been Pwned 上面,我有 4 個 Email 都在過去十年的資料外洩名單裡,其中還包括早年註冊的某家論壇——明明十年前就倒了,密碼還在暗網上流轉。
這篇我會帶你跑一輪台灣讀者最該做的個資外洩檢查體檢:5 個免費工具的實際差異、Have I Been Pwned 的 3 分鐘教學、我跟朋友踩過的兩個真實坑,還有最重要的——查完發現中了該怎麼自救。
個資外洩檢查 30 秒短答:誰要查、查什麼、查完做什麼?
短答:所有有 Email、手機號、信用卡的人都該定期查,至少每半年一次。台灣手機號外洩率 65% 不是嚇你,是 Gogolook 與 Constella Intelligence 共同調查的數字,全台推估約 1,040 萬人的號碼已經在暗網或詐騙集團名單上。
下面這張表是我整理的核心風險數據,先看大局再讀細節:
風險面向 | 真實數據 | 資料來源 |
|---|---|---|
台灣手機號外洩率 | 65%(亞洲第二高,僅次於馬來西亞 73%) | Gogolook + Constella 報告 |
HIBP 收錄外洩帳號 | 845+ 起資料外洩 / 145+ 億組帳號 | Have I Been Pwned(2025/01) |
2025 新增大型索引 | 單次加入 19.5 億組 Email 地址 | |
台灣首宗特種資料外洩 | 2025/02 起 CrazyHunter 攻擊多家醫學中心 | |
PDPA 2025 修法 | 個資會(PDPC)成立 + 72 小時強制通報義務 | 椽智法律事務所、有澤法律事務所 |
這張表的核心訊息:個資外洩不是「會不會」的問題,是「漏了多少、什麼時候會被拿來詐騙」的問題。我之前在兩步驟驗證教學那篇就提過,密碼是第一層門鎖、2FA 是保險箱密碼鎖,但前提是你得先知道密碼漏沒漏,這就是個資外洩檢查工具的價值所在。
查什麼?主要查三類:① Email(最關鍵,因為是所有帳號的重設密碼通道)② 手機號(容易被冒辦門號 + SIM swap)③ 密碼本身(看你常用的那組是否已經在暗網明碼流通)。
5 個免費個資外洩檢查工具實測比較:一張表看懂該用哪個
核心結論:沒有單一工具最強,建議至少跑 HIBP + Mozilla Monitor 兩家交叉比對,因為各家收錄的資料庫不完全重疊,少跑一家可能就漏掉某次外洩。下面這張表是我實際每家都跑過一輪後的對比:
工具 | 免費版能做什麼 | 查詢範圍 | 適合誰 |
|---|---|---|---|
無限次查 Email + 手機號 + 密碼,免註冊 | 全球外洩資料庫龍頭,145+ 億組 | 所有人的第一站,必查 | |
免費註冊可監控最多 20 個 Email,新外洩自動 Email 通知 | 用 HIBP 資料庫 + 自家追蹤 | 有多個信箱、想被動接收警報的人 | |
免費版可查 Email/手機/信用卡末四碼/SSN;Pro 版 7 天試用含社群監控 | 含暗網爬取 + 台灣本地適配 | 想要中文介面 + 台灣品牌可信度 | |
免費掃 Email(不需信用卡),付費版含持續監控 | Norton LifeLock 資料庫 | 已是 Norton 用戶、想快速體檢一次 | |
免費頁面查 Email;持續監控含在 Surfshark One 訂閱裡 | 含暗網爬取 + VPN 整合 | 已訂或考慮訂 Surfshark VPN 的人 |
我自己的建議優先順序是:HIBP 必查 → Mozilla Monitor 設定被動監控 → 趨勢科技或 Norton 跑一次做交叉驗證。Surfshark Alert 適合「反正都要訂 VPN」的人,當作附加價值;如果只是為了個資掃描才訂 Surfshark One 就有點殺雞用牛刀。
📌 一個容易忽略的點:免費掃描不等於沒有代價。Norton 跟趨勢科技都會在你輸入 Email 後寄行銷信,這是合理的商業模式但要有心理準備。HIBP 跟 Mozilla Monitor 是少數真正的「純免費 + 不行銷」工具,因為 Mozilla 是非營利、HIBP 由 Troy Hunt 個人營運(順帶一提,他自己 2025 年 3 月也被釣魚信騙過——資安專家也會中招,更何況我們)。
Have I Been Pwned 怎麼用?3 分鐘完成第一次個資體檢
HIBP 是這場個資外洩戰役的最低門檻起點。我會直接拿它示範,因為它免註冊、無限次查、英文介面但操作極簡,3 分鐘以內就能完成。網址記起來:haveibeenpwned.com。
❶ 查 Email:直接貼進首頁搜尋框
進首頁後最大的那個輸入框,貼上你的常用 Email,按「pwned?」。3 秒後出兩種結果:綠色「Good news — no pwnage found!」表示沒事;紅色「Oh no — pwned!」就是中了,下面會列出在哪幾次外洩中出現過——可能包括你早就忘了的論壇、購物網站、論文平台。
❷ 查手機號:切到 Phone Numbers 分頁
點上方「Phone Numbers」分頁,輸入完整國際碼格式(例如台灣門號 +886912345678,不要空格不要橫線)。這個分頁是 2022 年才加的,主要收 LinkedIn 跟 Facebook 那幾次大型外洩,台灣手機號其實也在裡面。
❸ 查密碼:用 Pwned Passwords 看你常用密碼是否已外洩
點上方「Passwords」分頁,輸入你常用的某組密碼。HIBP 用 k-anonymity 技術(只送密碼的雜湊前綴給伺服器,全密碼不會離開你的瀏覽器),所以即使你查的是現在還在用的密碼也安全。結果會告訴你「這組密碼在已知外洩資料庫中出現過 N 次」,N 只要大於 0,立刻換掉。
❹ 設定 Notify Me:將來新外洩自動通知
右上角「Notify me」可以註冊 Email 訂閱,將來如果你的 Email 出現在新的外洩名單,HIBP 會主動寄信通知。這個免費功能我覺得是 HIBP 最有用的服務——比每半年自己手動跑一次有效。
重點整理:3 分鐘跑完這 4 步,你會拿到一份「過去十年我漏了什麼」的完整清單。我自己第一次查的時候是「4 個 Email 中 3 個、其中有兩次是 LinkedIn 大型外洩」,看起來很慘但其實大多數人狀況都差不多——所以才需要後面的 5 步驟自救。
我自己跟朋友踩過的 2 個真實個資外洩坑
這段不是搬研究,是我自己的踩坑紀錄。寫出來是想讓還在「以為個資外洩不會發生在我身上」的人別重蹈覆轍。
坑 1:詐騙電話對方背出銀行帳號末四碼,那一刻才意識到漏了什麼
去年某個禮拜二中午,我接到一通自稱「中華電信客服」的電話,對方語氣很官方:「您好,我們系統偵測到您的門號被異常申辦了三組分期付款⋯⋯」——前面那段我每天都會接到 5 通,本來想直接掛,但對方接著說:「請問您是否在某銀行帳號末四碼 〇〇〇〇 的這張卡有過異常消費?」
那個帳號末四碼確實是我的。當下整個冷下來,因為一般詐騙集團就算知道你的身分證、地址,銀行帳號末四碼不算完全公開的資訊。我深呼吸後請對方說全名,對方一個字不差念出我的全名 + 戶籍地址——這時候我已經知道是詐騙了,但「資料是從哪漏的」這個問題追了我整整一週。
後來去 HIBP 查才發現,2020 年某個我早就忘記的台灣電商有過大型外洩,那個帳號當年我綁了銀行扣款,資料是從那邊一路滾雪球。學到的判斷:你以為已經倒掉的網站不會影響你?錯。資料一旦進暗網就會永遠流轉,每次新的詐騙集團買名單就會被重新利用一次。
坑 2:朋友身分證被冒辦門號,4 個月才發現
這是我朋友小婕的故事。她去年某次接到電信業務員推銷電話,業務員一直叫她「莊小姐」——但她姓陳。問清楚才知道,某家門市紀錄上她的身分證字號開了三支門號,全部是預付卡、全部已停用,但帳單地址都不是她家。
她去派出所報案、去 NCC 申訴、去三家電信跑了完整流程,總共花了 4 個月才把三支冒辦門號全部撤銷。最幹的是其中一支已經被當成詐騙集團的人頭門號用過,警察筆錄做了三次。「我都不知道我那段時間怎麼活的,」她說,「最後是去申請聯徵中心的『身分證警示註記』才終於能睡。」
學到的判斷:身分證被外洩比 Email 嚴重 10 倍。如果你在 HIBP 查到「Email + 完整姓名 + 出生年」的組合外洩過,強烈建議直接去聯徵中心申請身分證冒用註記,目前是免費服務、有效期 1 年可續。這比事後處理冒辦的時間成本便宜太多了。
查完發現「中了」?5 步驟個資外洩自救完整流程
核心結論:看到紅色「Pwned」別慌,30 分鐘走完下面 5 步就能擋掉 9 成後續風險。順序很重要,不要跳。
❶ 改密碼,從主信箱開始
第一步永遠是主信箱。Gmail / Outlook / iCloud 是所有帳號的重設密碼通道,主信箱失守等於全部失守。如果你還在用「同一組密碼走天下」,停下來把這篇收藏先去裝密碼管理器——1Password(個人方案 $3.99/月起)或 Bitwarden(免費版夠用)都行。
❷ 開兩步驟驗證(2FA),優先順序 = 主信箱 → 金流 → 社群
就算密碼被攔,2FA 還能擋下絕大多數的盜用。詳細教學見兩步驟驗證教學:5 分鐘搞定 2FA那篇,這裡只強調一個重點:SMS 不要當主力,NIST SP 800-63B Rev 4 已經把簡訊 OTP 列為 restricted authenticator,建議改用 Authenticator App。
❸ 設信用卡即時通知 + 上聯徵中心查信用報告
打電話給每家發卡銀行,請他們把「任何金額消費都即時推播 / 簡訊」打開(多數銀行 App 也能自己設)。然後上聯徵中心免費查一次信用報告(每人每年 1 次免費),看有沒有被冒辦信用卡、貸款。發現異常立刻申請身分證警示註記——這是聯徵的免費服務,1 年有效可續,新申辦任何信用業務都會被擋下來人工驗證。
❹ 把所有用同密碼的帳號全部換掉
這步最痛但最重要。打開 HIBP 給你的外洩清單,把每個用過那組密碼的帳號全部改密碼——這就是為什麼第 ❶ 步要先裝密碼管理器,因為它能告訴你「這組密碼還在哪幾個帳號重複用」。我自己第一次跑這步花了快 2 小時換 30 多個帳號,痛但只有一次。
❺ 評估報警與通報義務
如果是被冒辦門號 / 被盜刷 / 被開戶這類具體犯罪事實,去派出所報案三聯單一定要拿,後續銀行 / 電信 / 聯徵的處理都會用到。2025 PDPA 修法後,企業如果外洩你的個資有 72 小時通報「個資會(PDPC)」的義務,如果你知道是哪家企業漏的,可以同時去個資會投訴,這在 2025 年以前是沒有的選項。
重點整理:5 步驟裡,❶ 改密碼 + ❷ 開 2FA + ❸ 設信用卡通知這三件事一個晚上就能搞定,能擋掉 9 成後續被盜用的風險。剩下兩步是把長尾風險清乾淨。
想再升級?1Password + NordVPN 怎麼搭配最有效
如果你已經做完前面 5 步驟,想再多花一點錢把個資防護拉到下一層,我會建議從這兩個工具入手。理由很簡單:它們覆蓋了個資外洩風險最大的兩個破口——密碼重用、未加密網路。
1Password 解決的是「我怎麼可能記得 200 組不同密碼」這個現實問題。我自己用了好幾年,最大的好處是密碼管理 + 2FA TOTP 驗證碼 + 安全筆記(存備用碼)整合在同一個 App。2026 年 3 月調漲後個人方案 $3.99/月(年付)、家庭方案 5 人共用 $6.95/月,按家庭版攤下來每人不到 NT$50/月。
NordVPN 解決的是「我的網路流量會被誰看到」。出國連飯店 Wi-Fi 那種高風險場景就不用說了(詳見公共 Wi-Fi 安全 7 個實戰方法),台灣家用網路其實也需要——尤其是 Threat Protection Pro 內建的暗網監控與惡意網址封鎖,等於把個資外洩檢查做成 24 小時被動防護。
工具 | 月攤價 | 適合誰 | 下一步 |
|---|---|---|---|
個人 $3.99 / 家庭每人 $1.39 | 有 50+ 個帳號要管、多裝置使用、想一次解決密碼 + 2FA | 查看個人方案 | |
免費 / Premium 每年 $10 | 預算敏感、喜歡開源、單裝置用為主 | 下載免費版 | |
2 年方案月攤 NT$93-117 | 出國頻繁、想要 VPN + 暗網監控一次到位 | 查看完整方案 | |
2 年方案月攤 NT$60-75 | 全家共用(無限裝置)、要 Alert 持續監控 | 查看 Surfshark One |
我自己的固定組合是 1Password 個人方案 + NordVPN 2 年方案,月成本攤下來不到 NT$250,但換來的是真正的「不用煩惱密碼跟暗網」這件事。比起被詐騙一次處理盜刷的時間成本(前面提到我朋友花了 3 週),這 NT$250 真的不算什麼。
FAQ 常見問題
個資外洩可以報警嗎?需要報才有後續法律保障?
可以,但要分清楚「能報警」與「能立案」是兩回事。如果只是 HIBP 查出來「我的 Email 在某次外洩中」,警察通常不會立案,因為沒有具體犯罪事實。但如果你被冒辦門號 / 被盜刷 / 被開戶 / 被冒名借錢,這些是具體犯罪,必須拿三聯單去報案,後續銀行、電信、聯徵的損害處理都會要這份報案紀錄。
2025 PDPA 修法後,企業漏我個資真的會被罰嗎?
會。2025 個資法修法後,企業外洩你的個資有 72 小時內向「個資會(PDPC)」通報的義務,違反最重可罰 1,500 萬元(公務機關 200 萬元)。對個人讀者來說,你可以主動去個資會投訴外洩你資料的企業,這是 2025 年以前沒有的選項。但實務上罰款給政府不會回到你身上,要求個別賠償還是要走民事訴訟。
Have I Been Pwned 跟 Mozilla Monitor 結果不一樣,相信哪個?
兩個都相信,因為它們爬的不是完全相同的資料庫。Mozilla Monitor 用 HIBP 的資料庫加上自家追蹤,理論上應該是 HIBP 的超集,但實務上有時序差 + 整合延遲。我的建議是兩個都跑,發現任何一邊紅了就直接走第 ❶ 步改密碼,不用糾結哪邊更權威。
免費的個資外洩檢查工具會不會其實是釣魚?
名單上這 5 個都是真的,HIBP 跟 Mozilla Monitor 是業界公認最安全的非營利選項,趨勢科技 / Norton / Surfshark 都是上市公司的正版服務。真正要小心的是 Google 搜尋廣告位置那些「免費身份盜竊掃描」——很多其實是釣魚頁面,輸入 Email 後會把你的資料賣到另一份名單上。一個快速判斷:網址不是品牌主域名(例如 norton.com 而不是 norton-scan.xyz)就直接關掉。
結論:個資外洩不是會不會,是漏了多少 + 你補不補
寫到這裡,答案應該很清楚——個資外洩是現代生活的預設狀態,台灣 65% 手機號外洩率不是恐嚇,是已經發生的事。但這也不代表你只能等被詐騙,真誠的建議是這樣分情境:
第一次體檢(30 分鐘):HIBP 查 Email + 手機號 + 密碼,順便註冊 Notify Me;Mozilla Monitor 註冊監控 5-20 個 Email。
發現中了的當天晚上(30 分鐘):主信箱改密碼 → 開 2FA → 設信用卡即時通知。這三件事擋掉 9 成風險。
長期防護(每月 NT$200 預算):1Password 解密碼重用 + NordVPN Threat Protection Pro 解網路流量與暗網監控。月成本比一杯手搖飲還便宜,但能省下被詐騙處理的時間成本(最少 1-2 週)。
我自己跑完這套之後的最大感覺是——不是「我再也不會被外洩」,是「就算外洩了我也有預備動作」。資安這件事從來不是一次到位,而是把該補的洞慢慢補起來的過程。
如果你想看到更多個人資安類的實測文章,歡迎訂閱我的部落格,會不定期收到信。下一篇我會接著寫「2026 密碼管理器完整評測」——是這篇的進階版,把 1Password / Bitwarden / Proton Pass 的真實使用差異一次說清楚,記得回來看看。
參考資料
- Have I Been Pwned 官方網站
- Troy Hunt — 2 Billion Email Addresses Indexed in HIBP(2025)
- Mozilla Monitor 官方
- 報導者:首宗特種資料外洩 — CrazyHunter 攻擊台灣醫院
- 有澤法律事務所:PDPA 72 小時通報義務
- 椽智法律:2025 個資法修正重點
- NIST SP 800-63B Rev 4:Digital Identity Guidelines
- 財團法人金融聯合徵信中心
- 夜羽凌的部落格:兩步驟驗證教學 5 分鐘搞定 2FA
- 夜羽凌的部落格:公共 Wi-Fi 安全 7 個實戰方法
- 關於夜羽凌