台北地檢署接獲檢舉,指東元集團涉嫌以不實的證書投標,其中最關鍵的證據是一段錄音檔,為負責防偽安全國際認證的艾爾柏(Alberk)公司負責人與廠商的對話,內容指東元未通過國際認證機構Intergraf的ISO 14298認證及輔導,卻以不實的證書取得標案,將ISO 14298證書用在投標上,以獲取更好的積分,明顯先上車後補票,把國人數位身分證資安當兒戲。
被錄下對話的是發證給東元集團的的艾爾柏(Alberk)公司負責人塗能源(Simon),他在接受客戶電話詢問ISO 14298(Governmental Level)「政府等級」防偽安全國際認證業務時,提到自己的公司曾發證給東元,電話對談中,塗能源提及「東元捷德也是做一個權宜之計」「東元他是這樣,他是上車以後,是馬上補票,馬上輔導喔」,對此,檢調正解讀釐清中。
此外,台北律師公會也認為數位晶片身分證案法律規範不足,有資安及隱私風險疑慮,呼籲暫緩推動;本刊則接獲投訴,指稱得標的東元集團涉嫌用不實的認證文件投標並以32億餘元得標,涉及貪汙圖利等弊端。
相關檢舉中提到數位身分證涉及全國民眾個資,依我國資通安全管理法及資通安全責任等級分級辦法,資通安全責任等級為A級,投標廠商應具備資訊安全管理ISO 27001認證,檢舉提及,東元未取得ISO 27001認證,根本不具投標資格。
對於遭檢舉涉嫌以不實證書投標一事,東元捷德表示,從未宣稱取得Intergraf的ISO 14298認證,東元的ISO 14298是由台灣機構認證,且未用於投標上,東元集團投標數位晶片身分證是以EMV及ISO 27001二項認證投標,因招標規定有二項符合政府標案資格的要求即屬合格,東元完全符合規定,未涉任何不法。
東元集團強調,東元團隊成員有ISO 27001證書,是由團隊中的東元捷德公司取得ISO 27001證書,東元強調,依據招標規範,團隊成員於國內外生產PC晶片卡卡體的場地,至少應具備 EMV、ISO 14298 (Governmental Level)或PCI-DSS其中一項,以及ISO 27001安全規範,並須於生產前提供相關資料供查驗。而EMV、ISO 14298及PCI-DSS等項目的目的是規範卡廠於實際生產卡片前,實體安全須達一定標準,且僅需三者擇一符合即可,東元投標及得標一切合法。
東元指出,若將ISO 14298無限上綱,解釋為不可或缺的必要條件,明顯違反這個採購條款規定。東元強調,所有防偽功能都是由中央印製廠設計,中央印製廠本身即為業內防偽專家,有足夠能力為數位身分證進行防偽設計,得標廠商必須依中央印製廠的規範去執行。