本刊調查,研勤科技所生產的「PAPAGO FACE8台灣臉霸」人臉辨識設備,標榜專業AI影像辨識技術,完全台灣自主研發,曾榮獲台灣精品獎,被中央、地方政府及民營企業廣泛採用,宣稱是台灣市占率最高的人臉辨識引擎,有超過1千家客戶、每天50萬次辨識量,除了移民署外,內政部、經濟部也使用同款系統,甚至外銷卡達、馬來西亞等國。
為了確認投訴人的說法,本刊透過管道取得一台移民署使用中的打卡機,並請3位電子工程師檢視相關構造,全程錄影存證。工程師指出,該設備外觀雖印有PAPAGO字樣,但內部線路排列混亂,不像是正統電子產品應有的裝配方式;此外,以主機板上的代碼ZYSJ-MT8788A上網搜尋,確實與眾雲世紀科技官網放的主機板照片相同。
工程師進一步檢視打卡機的上百個元件,結果發現一顆編號S16116G的網路變壓器,製造商為Mianyang Jingweida Science And Technology Co.Ltd綿陽精微達科技公司,生產時間為2023年第26週。本刊調查,綿陽精微達科技是中國四川「經緯達集團」旗下公司,其產品曾被美國政府查出有資安疑慮,列入禁用清單。
工程師告訴本刊,研勤科技聲稱採用聯發科的解決方案,照理主機板不會打印ZYSJ字樣,印上ZYSJ就代表是眾雲世紀科技的設計產權。「很有可能是直接買中國生產的主機板!」3位工程師說,研勤應該是為節省成本,所以採購中國主機板,再套裝台灣品牌外盒,這種借屍還魂的手法相當常見。
工程師指出,業者若是真的在台灣加工或採購,可以出示台灣SMT(表面黏著技術)廠的加工單、網路變壓器的台灣採購發票證明,如果拿不出來,或發票顯示「電子零件一批」(進口報關單),即可確定就是進口成品,移民署如果真的要查,其實並不難。
本刊調查,目前移民署使用該打卡系統的人員超過2千人;內政部轄下各科室、北中南辦公室、建築研究所、替代役訓練及管理中心等單位,則共建置21台,也約有2千人使用。此外,經濟部商業發展署建置4台,共近千人使用;另新竹縣政府採購14台、新竹市政府16台,換句話說,全台各級政府已有上萬名公務員的臉部特徵陷入外洩風險中。
對於投訴人的指控,研勤科技公司移民署標案負責人陳柏任嚴正否認,他強調此案是購買聯發科設計的公版方案,空白的電路板在中國洗板(泛指電路板製作過程、PCB making)後送回台灣,主機板有上百顆元件,主晶片處理器是聯發科的,記憶體是韓國製,通訊晶片是瑞昱生產,產品在台灣打件、組裝、測試,最後輸入自行研發的軟體,不會有後門或資安的疑慮。
移民署則表示,此標案的招標文件明定不允許中國廠商、第三地含中資成分廠商、在台灣的中資廠商參與,且分包廠商、硬體設備零組件標示來源,均不得為中國製造。至於此案的採購作業流程,從一開始的廠商資格審查,到履約後驗收,移民署均依招標文件及《政府採購法》辦理,廠商也依契約及相關規定提供證明文件,若提供不實證明,將依契約及相關法規追究廠商責任。
資安專家告訴本刊,要防止電子設備遭有心人植入後門程式、竊取臉部特徵等個資,可以先從硬體部分著手,對主機板元件進行FAILURE ANALYSIS(失效模式分析),也就是用鐳射光掃瞄主機板、電路圖、元件。專家指出,如果提前送出檢測清單,透過FA公司檢測,就可得知原始的電路圖、元件,與實際設備的差異,以確認廠商是否按電路圖施工,或有沒有多出不明的線路。
對於人臉辨識設備遭爆使用中國製主機板一事,研勤科技董事長簡良益回應表示,這是敵對業者挾怨報復的抹黑指控,PAPAGO的「FACE8台灣臉霸」人臉辨識設備使用的主機板全在台灣加工,零件也全部使用國產貨或韓國貨,絕對合乎政府法令規定。簡良益解釋,本刊所拆解的打卡機應是幾年前從中國購入測試用的舊機,後來不慎流出才造成誤解。但當本刊要求其提供關於台灣SMT(表面黏著技術)廠的加工單、完稅證明,與各元件的台灣採購發票證明後,至截稿前仍未獲回應。
