【獨家】中資繞道來台承接信用卡核心系統　數百萬用戶個資隱私恐大開後門

中國生成式AI「DeepSeek」（深度求索）橫空出世竄紅，卻也因涉資安疑慮，遭美澳韓等多國政府下達禁令，台灣方面同樣高度警戒，行政院日前大動作宣布公務機關全面禁用DeepSeek AI服務，以確保國家資通安全。不過，《上報》近日接獲爆料投訴，直指近期竟有中國政府背景的中資企業，透過第三地繞道來台承接國泰世華銀行的信用卡核心資訊系統升級專案，擔憂此舉恐讓數百萬用戶的隱私等敏感性個資，暴露在大開後門的外洩危機風險中。

在美中競爭的國際政治局勢下，加劇兩岸對峙關係。面對中國頻發動資訊戰、統戰滲透等手段，民進黨政府如臨大敵，舉凡數位身分證、個人電腦、無人機等有危害國家資安的中國資通訊產品及廠牌，包括軟硬體及服務，均嚴格管制，尤其涉及高度敏感性的金融產業是否也有「關緊水龍頭」，發生類似先前淘寶等中資繞道第三地來台的監理漏洞，更是受到放大鏡檢視。

新加坡商來台招攬　與國泰世華合作

針對近年來興起的金融科技（FinTech）議題，《上報》日前接獲來自資訊業界知情人士爆料投訴，點名在台設立分公司的新加坡商認和科技（AnyTech）自去年初開始，積極遊說國內外各大信用卡發卡商，包括中信、富邦、上海商銀及國泰世華等，爭取導入其開發的「信用卡核心系統」，並以在中國的上線銀行案例來遊說其擁有許多上線實績，但這些案例不僅皆來自於另一家設立在中國北京的江融信科技公司，認和科技實則更是江融信的海外子公司，其所推的產品也是江融信的產品「ANYTXN」（信用卡及信貸核心管理系統）。

不僅如此，爆料者透露，去年9月間，新加坡商認和科技的台灣分公司，與國泰世華銀行資訊部門正式成立信用卡核心系統「升級專案小組」，而該信用卡核心現代化專案啟動會議當天的團體合照，更赫見專程來台灣參與會議的江融信公司董事長花建和，被排在正中間「C位」，花的左手邊即是江融信所屬新加坡認和科技的創辦人劉丹彤、右側則為國泰世華銀行資深副總經理王志峰，照片拍攝地點就在國泰世華銀行。

江融信公司董事長花建和（上），新加坡認和科技的創辦人劉丹彤（下）。（取自江融信公司官網）

新加坡商背靠中資企業　驚見中國財政部控股

爆料者並提供事證，指除了從上述合照足見江融信與認和科技的關係外，若進一步逐層追溯江融信幕後「金主」，可以發現江融信不僅是一家中資企業，其與中國財政部更有密切關聯。首先，從北京江融信股權結構中可看到「深圳國中中小企業發展私募股權投資基金合夥企業」，持股10.18％投資江融信、出資金額為人民幣336.7萬元。

上述該家深圳國有控股公司，背後則有「國家中小企業發展基金有限公司」持2成5股權；而「國家中小企業發展基金有限公司」實則為中國財政部實際控制、持股比例逾4成2的國家級股權投資基金。

經層層追溯，江融信背後控股源頭來自中國財政部。（取自網路）

爆料者另舉證，根據江融信公司官網先前曾發布的新聞稿《江融信海外市場新突破，新一代信用卡核心系統新加坡順利投產》一文（現已刪文下架）中曾披露：「2021年，江融信海外子公司－－新加坡認和科技（Any Technology Private Limited）與新加坡某金融客戶簽訂合作協議，⋯⋯」「該項目基於江融信最新信用卡系統解決方案－－AnyTXN 4.0進行實施交付，⋯⋯」等，明顯可知江融信科技與新加坡認和科技之間的從屬關係。

江融信科技公司設立於中國北京。（取自網路）

系統若遭埋後門程式　國家資安與民眾個資不保

對此，有業界人士表示，信用卡核心資訊系統主要包含「發卡」及「收單」2大項目，其中各自有前端的授權與後端的帳務模組。若讓具中資色彩的公司有機會介入台灣發卡銀行的「信用卡核心系統」更新、營運，由於信用卡系統包含消費者機敏資訊及交易資訊，開發過程若埋藏惡意程式或後門程式，將嚴重影響資安；雖然不管是哪一家廠商都有可能發生，但以現在兩岸關係而言，使用中資廠商有更高機率發生計畫性或策略性的資安事件。

該人士指出，認和科技在台灣開發員工極少，大多仰賴江融信的員工做系統開發，光是這一點就隱藏極大資安風險。國內銀行一旦使用智財權不明或建置期間系統建置被埋入後門程式，將來若有黑客趁機摸羊，肯定會發生重大資安事故與鉅額損失，因為信用卡系統包含了信用卡客戶所有機敏資訊，包括：卡號、到期日期、客戶姓名、住址、生日等，若資訊被洩漏，便可能發生未授權交易（盜刷）、身分被盜用，或不肖人士拿這些資訊進一步做詐騙等。

銀行建置系統一旦被埋入後門程式，可能發生重大資安事故，民眾個資也會外洩遭盜用。示意圖。（取自freepik）

即便國內銀行業者要求中國軟體廠商交付「原始碼軟體」，以此自我保證資訊安全，但業界人士強調，若交付原始碼的廠商內控稽核不佳，或致使第三方取得原始碼，將使得受交付方增加遭受「零日攻擊」的機率。交付原始碼對資安的保障，僅在受交付方具備檢核原始碼的技術與能量，原始碼的交付才具備資安管控意義，因此交付原始碼並無法代表資訊安全。

中資繞道金管會難查證　國泰世華聲明廠商非陸資公司

針對認和科技是否為中資或有資安疑慮，金管會則向《上報》表示，國泰世華銀行今天上午有向金管會說明，該行已經就信用卡系統供應商認和科技進行調查、評估，確認並沒有中資持股，該公司也未被列入經濟部投審司所公告的陸資資訊清冊中，而在合約存續期間也有保留條款，即如果證明認和科技有中資，該行將有權行使合約終止。

金管會表示，國泰世華銀行說明，認和科技經調查評估，並沒有中資持股。（資料照片／蔣銀珊攝）

至於是否有損及信用卡客戶個資隱私等權利之疑慮？金管會指出，國泰世華銀行將委請第三方單位進行資訊安全評估，檢測及確保資安強化措施。不過，官員也坦言，認和科技是否有中資繞道第三地來台，「背後很難去佐證！」

對此，國泰世華聲明表示，簽約過程均符合主管機關相關規範，且該簽約廠商並非經濟部投資審議司網頁公告陸資投資資訊產業事業清冊所列載之廠商。

國泰世華強調一向重視客戶資料安全，本案規劃於系統上線前會內部執行安全檢測作業，並委請第三方專業資安機構嚴格檢查該系統之資訊安全，以確切落實本行保障維護客戶資料安全的系統升級政策。

國泰世華聲明，簽約廠商並非經濟部投資審議司網頁公告陸資投資資訊產業事業清冊所列載之廠商。（擷自Google Maps）