合規證書背後：自動化是捷徑還是陷阱？

一張合規證書，能買來多少安全感？

本週，一篇匿名Substack文章在全球合規與資安圈引發強烈震動。署名「DeepDelver」的作者自稱是 Delve 前客戶的員工，指控這家獲 Y Combinator 支持的合規新創，「虛假地讓數百家客戶相信自己已符合隱私與安全法規」，並可能使這些客戶面臨「HIPAA刑事責任及GDPR高額罰款」的風險。

事件全貌：一場從試算表外洩開始的調查

Delve 去年完成由 Insight Partners 領投的 3200萬美元 A輪融資，估值達 3億美元。公司的核心賣點是「最快速」的合規自動化平台，幫助企業取得SOC 2、GDPR、HIPAA等框架的認證，是近年「合規即服務（Compliance-as-a-Service）」賽道中備受矚目的玩家。

事件的導火線是2024年12月的一封內部郵件——Delve 通知客戶，公司「外洩了一份含有機密客戶報告的試算表」。執行長 Karun Kaushik 隨後向客戶保證，合規狀態完好，沒有外部人士取得敏感資料。但DeepDelver與其他客戶對此說法並不買單。

「我們共同感受到對Delve體驗的失望，以及某些地方不對勁的直覺，於是決定集結資源，共同展開調查。」DeepDelver在文中寫道。

調查結論相當嚴峻。DeepDelver指控 Delve 透過以下方式維持「最快」的形象：偽造從未發生過的董事會議、測試與流程的證據；與被稱為「橡皮圖章」的認證機構合作，在任何獨立審查進行之前，便預先生成審計師結論與最終報告；同時跳過主要框架要求，卻告知客戶已達成「100%合規」。

在審計機構方面，DeepDelver指出 Delve 的客戶幾乎清一色使用 Accorp 與 Gradient 兩家審計公司，而這兩家公司「屬於同一運營體系」，主要根植於印度，在美國僅有名義上的存在。其運作模式，不過是對 Delve 預先生成的報告蓋章背書。

「在任何獨立審查進行之前便生成審計師結論、測試程序與最終報告，Delve讓自己同時扮演實施者與審查者的角色。這不是技術細節的問題，而是一種使整個認證失效的結構性詐欺。」DeepDelver如此定性。

此外，DeepDelver還指控 Delve 協助客戶在信任頁面（Trust Page）上展示從未實際落實的安全措施，藉此「誤導公眾」。

Delve的回應：「我們只是自動化平台」

面對指控，Delve 在官方部落格上將這篇Substack文章定性為「誤導性」，並表示「包含多項不實聲明」。

廣告

廣告合作

[email protected]

廣告

公司的核心辯護邏輯是：Delve 本身不發行合規報告，而是作為「自動化平台」整理合規相關資訊，再提供給獨立審計師使用。「最終報告與意見，完全由獨立的持牌審計師發出，而非Delve。」公司聲明指出。

針對「偽造證據」的指控，Delve 反駁稱，公司提供的只是「幫助團隊依照合規要求記錄流程的模板」，「草稿模板與『預填證據』並不相同」。

然而就在同一週，事態進一步擴大。X平台用戶 James Zhou 表示成功取得 Delve 的機密資訊，包括員工背景調查報告與股權歸屬時間表。資安研究員 Jamieson O'Reilly 也分享了與Zhou的對話細節，指出「Delve外部攻擊面存在多個嚴重安全漏洞」。

TechCrunch 嘗試透過 Delve 官網聯絡媒體窗口，郵件遭退信，卻隨後收到一封「Delve產品演示」的行事曆邀請。

核心爭議對照

為什麼這件事對亞洲企業也至關重要

這場風波的影響範圍，遠不止於一家美國新創的聲譽危機。

對於台灣、香港、新加坡及東南亞的企業而言，採用海外SaaS工具並以其取得的SOC 2或ISO 27001認證作為合規依據，已是普遍做法。然而 Delve 事件揭示的，是一個更深層的結構性問題：當合規認證本身的生產過程可以被「自動化」乃至「外包」時，認證的公信力從何而來？

對於在歐美市場開展業務的亞洲企業，GDPR合規不僅是法律義務，更是進入市場的門票。若其所依賴的合規工具本身存在系統性缺陷，潛在的法律風險將直接影響業務拓展。

從更宏觀的視角看，這一事件也折射出「合規即服務」賽道的競爭邏輯困境。Drata、Vanta、Secureframe 等競爭對手同樣以速度與自動化為賣點。當市場以「最快取得認證」作為差異化競爭點時，「合規的實質內涵」是否必然被稀釋，是整個產業需要正視的問題。

值得關注的是，中國大陸的合規科技生態系統發展路徑相對獨立，受GDPR與HIPAA的直接約束有限，但在數據安全法、個人信息保護法（PIPL）框架下，類似的「合規形式化」風險同樣存在。如何確保合規不淪為「蓋章遊戲」，是跨地區共同面臨的挑戰。

三個值得思考的問題

對投資人：Insight Partners 等頂級機構在投資合規新創時，是否對其自身的合規實踐進行了足夠深入的盡職調查？投資一家「幫助別人合規」的公司，是否需要更嚴格的審查標準？

對監管機構：GDPR與HIPAA的執法體系，是否已足夠應對「認證流程本身被系統性操弄」的情境？當審計師的獨立性受到質疑時，現有的監管框架有何補救機制？

對採購企業：在評估供應商的合規認證時，「持有證書」與「實質合規」之間的差距，是否已被納入風險評估框架？