新加坡商认和科技台湾分公司,与国泰世华银行合作信用卡核心系统。图为江融信公司董事长花建和、认和科技创办人刘丹彤、国泰世华副总王志峰开会时合影。(图片来源:民众提供/上报)
【看中国2025年2月11日讯】中国生成式AI“Deep Seek”(深度求索)横空出世窜红,却也因涉资安疑虑,遭美澳韩等多国政府下达禁令,台湾方面也高度警戒,行政院日前大动作宣布公务机关全面禁用Deep Seek AI服务,以确保国家资通安全。不过,《上报》近日接获爆料投诉,直指近期竟有中国政府背景的中资企业,透过第三地绕道来台承接国泰世华银行的信用卡核心资讯系统升级专案,担忧此举恐让数百万用户的隐私等敏感性个资,暴露在大开后门的外泄危机风险中。
在美中竞争的国际政治局势下,加剧两岸对峙关系。面对中国频发动资讯战、统战渗透等手段,民进党政府如临大敌,举凡数位身分证、个人电脑、无人机等有危害国家资安的中国资通讯产品及厂牌,包括软硬件及服务,均严格管制,尤其涉及高度敏感性的金融产业是否也有“关紧水龙头”,发生类似先前淘宝、虾皮等中资绕道第三地来台的监理漏洞,更是受到放大镜检视。
新加坡商来台招揽 与国泰世华合作
针对近年来兴起的金融科技(FinTech)议题,《上报》日前接获来自资讯业界知情人士爆料投诉,点名在台设立分公司的新加坡商认和科技(AnyTech)自去年初开始,积极游说国内外各大信用卡发卡商,包括中信、富邦、上海商银及国泰世华等,争取导入其开发的“信用卡核心系统”,并以在中国的上线银行案例来游说其拥有许多上线实绩,但这些案例不仅皆来自于另一家设立在中国北京的江融信科技公司,认和科技实则更是江融信的海外子公司,其所推的产品也是江融信的产品“ANYTXN”(信用卡及信贷核心管理系统)。
不仅如此,爆料者透露,去年9月间,新加坡商认和科技的台湾分公司,与国泰世华银行资讯部门正式成立信用卡核心系统“升级专案小组”,而该信用卡核心现代化专案启动会议当天的团体合照,更赫见专程来台湾参与会议的江融信公司董事长花建和,被排在正中间“C位”,花的左手边即是江融信所属新加坡认和科技的创办人刘丹彤、右侧则为国泰世华银行资深副总经理王志峰,照片拍摄地点就在国泰世华银行。
新加坡商背靠中资企业 惊见中国财政部控股
爆料者并提供事证,指除了从上述合照足见江融信与认和科技的关系外,若进一步逐层追溯江融信幕后“金主”,可以发现江融信不仅是一家中资企业,其与中国财政部更有密切关联。首先,从北京江融信股权结构中可看到“深圳国中中小企业发展私募股权投资基金合伙企业”,持股10.18%投资江融信、出资金额为人民币336.7万元。
上述该家深圳国有控股公司,背后则有“国家中小企业发展基金有限公司”持2成5股权;而“国家中小企业发展基金有限公司”实则为中国财政部实际控制、持股比例逾4成2的国家级股权投资基金。
爆料者另举证,根据江融信公司官网先前曾发布的新闻稿《江融信海外市场新突破,新一代信用卡核心系统新加坡顺利投产》一文(现已删文下架)中曾披露:“2021年,江融信海外子公司--新加坡认和科技(Any Technology Private Limited)与新加坡某金融客户签订合作协议,⋯⋯”“该项目基于江融信最新信用卡系统解决方案--AnyTXN 4.0进行实施交付,⋯⋯”等,明显可知江融信科技与新加坡认和科技之间的从属关系。
系统若遭埋后门程式 国家资安与民众个资不保
对此,有业界人士表示,信用卡核心资讯系统主要包含“发卡”及“收单”2大项目,其中各自有前端的授权与后端的帐务模组。若让具中资色彩的公司有机会介入台湾发卡银行的“信用卡核心系统”更新、营运,由于信用卡系统包含消费者机敏资讯及交易资讯,开发过程若埋藏恶意程式或后门程式,将严重影响资安;虽然不管是哪一家厂商都有可能发生,但以现在两岸关系而言,使用中资厂商有更高机率发生计划性或策略性的资安事件。
该人士指出,认和科技在台湾开发员工极少,大多仰赖江融信的员工做系统开发,光是这一点就隐藏极大资安风险。国内银行一旦使用智财权不明或建置期间系统建置被埋入后门程式,将来若有黑客趁机摸羊,肯定会发生重大资安事故与钜额损失,因为信用卡系统包含了信用卡客户所有机敏资讯,包括:卡号、到期日期、客户姓名、住址、生日等,若资讯被泄漏,便可能发生未授权交易(盗刷)、身分被盗用,或不肖人士拿这些资讯进一步做诈骗等。
即便国内银行业者要求中国软件厂商交付“原始码软件”,以此自我保证资讯安全,但业界人士强调,若交付原始码的厂商内控稽核不佳,或致使第三方取得原始码,将使得受交付方增加遭受“零日攻击”的机率。交付原始码对资安的保障,仅在受交付方具备检核原始码的技术与能量,原始码的交付才具备资安管控意义,因此交付原始码并无法代表资讯安全。
中资绕道金管会难查证 国泰世华声明厂商非陆资公司
针对认和科技是否为中资或有资安疑虑,金管会则向《上报》表示,国泰世华银行今天上午有向金管会说明,该行已经就信用卡系统供应商认和科技进行调查、评估,确认并没有中资持股,该公司也未被列入经济部投审司所公告陆资资讯清册中,而在合约存续期间也有保留条款,即如果证明认和科技有中资,该行将有权行使合约终止。
至于是否有损及信用卡客户个资隐私等权利之疑虑?金管会指出,国泰世华银行将委请第三方单位进行资讯安全评估,检测及确保资安强化措施。不过,官员也坦言,认和科技是否有中资绕道第三地来台,“背后很难去佐证!”
对此,国泰世华声明表示,签约过程均符合主管机关相关规范,且该签约厂商并非经济部投资审议司网页公告陆资投资资讯产业事业清册所列载之厂商。
国泰世华强调一向重视客户资料安全,本案规划于系统上线前会内部执行安全检测作业,并委请第三方专业资安机构严格检查该系统之资讯安全,以确切落实本行保障维护客户资料安全的系统升级政策。
(本文为《上报》独家授权《看中国》,请勿任意转载、抄袭。原文连结)
