合規證書背後，誰在為你把關？

一張合規證書，值多少錢？如果它是偽造的，值的可能是一場刑事訴訟。

事件始末

2026年3月，一篇匿名Substack文章在科技圈引發震盪。署名「DeepDelver」的作者自稱是合規自動化新創Delve的前客戶員工，以詳盡的技術細節指控該公司「向數百家客戶謊稱已達成合規」，讓這些企業在毫不知情的情況下，暴露於HIPAA（美國醫療資訊保護法）刑事責任與GDPR（歐盟通用資料保護規則）鉅額罰款的風險之中。

Delve是Y Combinator校友企業，去年以3億美元估值完成3200萬美元的A輪融資，由知名創投Insight Partners領投。這家公司的核心賣點是「最快速的合規平台」——幫助企業取得SOC 2、ISO 27001等資安認證。

DeepDelver的指控具體而嚴重：Delve為了兌現「最快」的承諾，偽造了從未發生過的董事會會議、測試流程與內部程序的書面證據，並將這些偽造文件以「範本」之名提供給客戶。更關鍵的是，審計報告在任何獨立審查發生之前，就已由Delve實質完成，兩家合作審計機構——Accorp與Gradient——只是在預先寫好的報告上蓋章。DeepDelver指出，這兩家機構「實為同一運營體系」，主要業務在印度，在美國幾乎沒有實質存在。

此外，DeepDelver還指控Delve協助客戶在對外公開的信任頁面（Trust Page）上展示從未實際部署的安全措施，等同於協助客戶對公眾進行誤導。

企業反駁與「定義之爭」

Delve在其官方部落格發表聲明，否認指控。公司表示，自己僅是「自動化平台」，負責整理合規相關資訊並提供給審計師，「最終報告與意見完全由獨立的持照審計師發出，而非Delve」。對於「偽造證據」的指控，公司回應稱提供的是「協助團隊記錄流程的範本，與其他合規平台的做法一致」，並強調「草稿範本不等於預填證據」。

DeepDelver對此回應不以為然，直指Delve是「用換個說法來逃避責任」——把「預填證據」改稱「範本」，責任就轉嫁給了採用範本的客戶；宣稱自己不「發行」報告，只是因為把最後蓋章的動作排除在「發行」的定義之外。

廣告

廣告合作

[email protected]

廣告

DeepDelver同時指出，Delve的聲明完全迴避了幾項核心指控：印度審計機構的問題、平台實際上缺乏真正AI能力（僅有基礎自動化），以及信任頁面展示未實施控制措施的問題。

事件持續發酵。X平台用戶James Zhou隨後表示，他成功存取了Delve系統中的員工背景調查報告與股權歸屬時程表等敏感資訊。資安研究員Jamieson O'Reilly也分享了Delve外部攻擊面存在「多個嚴重安全漏洞」的技術細節。一家以合規為核心業務的公司，自身卻存在資安漏洞——這個反差本身，就已說明了許多。

為何這件事與你有關

合規認證在全球商業生態中扮演的角色愈來愈像「通行證」。無論是進入美國醫療市場、與歐盟企業合作，還是吸引機構投資人，SOC 2、ISO 27001、HIPAA合規都是重要的信任背書。這也催生了一個龐大的「合規科技」市場，讓像Delve這樣的企業得以在短時間內獲得高估值。

然而，當「取得認證」本身成為目標，認證所代表的實質安全就可能被架空。這不只是一家新創的問題，而是整個合規科技產業面臨的結構性張力：效率化工具若被用於走捷徑，它保護的對象——最終用戶的個人數據——反而成為受害者。

對於在全球佈局的亞洲企業而言，這個案例提出了一個實際問題：你的供應商或合作夥伴持有的合規認證，是否經過你自己的獨立驗證？在台灣，《個人資料保護法》修法討論持續進行；在香港，《個人資料（私隱）條例》的執法力度也在加強；東南亞各國亦陸續建立自身的資料保護框架。在這個背景下，「信任合規證書」與「驗證合規實態」之間的差距，正在成為企業治理的新課題。

從投資角度看，這個案例也是一個警示。3億美元的估值建立在「客戶合規達成率」這個難以外部驗證的指標之上。當核心產品的品質本身無法被有效稽核，高估值的基礎就變得脆弱。這對正在評估合規科技投資的創投與企業投資人，是一個值得深思的結構性問題。

多元視角

從監管機構的角度，這個事件暴露了一個制度盲區：雖然審計機構本身受到認證體系的監督，但「協助審計的自動化工具」卻處於監管灰色地帶。工具本身的品質由誰把關？目前沒有明確答案。

從競爭格局看，Delve的競爭對手如Vanta、Drata等公司，短期內可能因此受益於客戶的轉換需求，但同時也面臨整個行業公信力受損的風險。「我們不一樣」的主張，需要比以往更具體的證明。

從更宏觀的視角，這個事件折射出一個更普遍的現象：當AI與自動化工具被用於「加速」原本需要人工判斷的流程時，速度的提升是否必然伴隨著判斷品質的稀釋？合規領域如此，其他需要專業判斷的領域亦然。