新上线14天前0 投票
合规初创公司Delve被指控用“虚假合规”误导客户
匿名指控引发合规科技行业震动
本周,一篇匿名Substack文章对Y Combinator支持的合规初创公司Delve提出了严重指控,称其通过“伪造证据”和“虚假合规”误导了数百名客户,使他们误以为自己已满足隐私和安全法规要求。这一指控若属实,可能使客户面临HIPAA下的刑事责任和GDPR下的巨额罚款。
指控的核心内容
匿名作者“DeepDelver”自称曾在一家(现已终止合作的)Delve客户公司工作,他们与多名客户合作调查后得出结论:
- 伪造证据:Delve被指控为客户提供“从未发生过的董事会会议、测试和流程的伪造证据”。
- “认证工厂”合作:据称,Delve代表那些“橡皮图章式”的认证机构生成审计结论,以快速获得合规报告。
- 跳过关键要求:指控称Delve在告知客户已实现“100%合规”的同时,跳过了主要框架的关键要求。
- 客户的两难选择:DeepDelver描述,客户被迫在“采用虚假证据”和“进行大量手动工作(几乎没有真正的自动化或AI)”之间做出选择。
DeepDelver表示,他们选择匿名是出于对Delve报复的恐惧。调查的起因是去年12月收到一封关于Delve“泄露包含机密客户报告的电子表格”的邮件,尽管CEO Karun Kaushik随后邮件保证合规且无外部访问,但引发了客户群体的普遍怀疑。
Delve的回应与行业背景
面对指控,Delve迅速在其官方博客上做出回应,称该Substack帖子“具有误导性”并“包含许多不准确的说法”,试图驳斥这些指控。
Delve是一家备受瞩目的初创公司,去年宣布完成了由Insight Partners领投的3200万美元A轮融资,估值达到3亿美元。其业务模式是利用自动化平台帮助公司(尤其是涉及敏感数据的行业)快速满足GDPR、HIPAA等复杂法规的合规要求。“速度”是其市场宣传的关键卖点之一。
潜在影响与行业反思
这起事件暴露了快速增长的“合规科技”(RegTech)赛道中可能存在的风险:
- 信任危机:合规服务的核心是信任。如果平台被证实系统性造假,不仅会摧毁客户信任,还可能引发连锁的监管审查和诉讼。
- AI与自动化的真实性:许多合规科技公司标榜使用AI自动化流程。此事件引发了对这些技术实际应用深度和真实性的质疑——是真正的智能解决方案,还是掩盖手动或欺诈流程的幌子?
- 客户风险转移:合规的最终责任在于企业自身。依赖第三方平台并不能免除企业的法律责任。如果平台提供的是虚假证明,企业将直接承担所有法律和财务后果。
- 初创公司增长压力:在高估值和增长压力下,初创公司可能面临在“交付速度”与“交付质量/真实性”之间走捷径的诱惑。
目前,这仍是一起“罗生门”事件,真相有待进一步调查或法律程序厘清。但它无疑为整个科技行业,尤其是依赖第三方服务处理敏感合规事务的企业,敲响了一记警钟:在选择合规伙伴时,尽职调查和持续验证可能比宣传的“速度”和“便捷性”更为关键。