信任實踐委員會政策

一、目的

建立本協會推動企業與組織落實個人資料保護之制度化機制，導入並運行 PDCA 循環，透過獨立評鑑與公開查驗，頒授「個資信任標章」，提升市場對個資保護之信任與合規品質。

二、適用範圍

適用於本協會所成立之信任實踐委員會（以下稱本委員會）及受評鑑之企業/組織（包含公私部門、法人、事業單位與非營利機構）。涵蓋資料處理活動、委外與跨境傳輸、特種(敏感)個資處理、事件管理及持續改進等。

三、治理原則

公正獨立：評鑑人員獨立於被評單位，迴避利害衝突，全程保密。
風險導向：依被評單位之資料處理風險與規模決定審查深度與權重。
可證明性：重視制度運行證據、紀錄與稽核結果，而非僅文件齊備。
透明查驗：標章核定結果、效期與撤銷情形公開；提供查驗機制。
持續改進：按年度回饋與統計資料，滾動修正評鑑基準與教材。

四、職責：主委來決策調整至「五、組織架構」中

制定並維護「個資信任標章」之評鑑基準、分級與門檻項目。
受理申請、執行書面審查與現地稽核、出具矯正要求與追蹤。
核定標章等級與效期，辦理頒授、年度維持審查與抽查。
建置公開名錄與查驗機制；受理申訴、檢舉與爭議處理。
辦理評審之招募、培訓與名冊管理。

五、組織架構

主任委員：一人，綜理委員會事務與制度公信維護。
制定並維護「個資信任標章」之評鑑基準、分級與門檻項目。
副主任委員：一至二人，協助推動評鑑、輔導與年度計畫。
核定標章等級與效期，辦理頒授、年度維持審查與抽查。
建置公開名錄與查驗機制；受理申訴、檢舉與爭議處理。
辦理評審之招募、培訓與名冊管理。
委員：由法律（個資／隱私）、資安技術、稽核、風險管理與產業實務等背景者組成。
評鑑小組：成立跨領域評審名冊，每案至少二名以上獨立評審交叉審查。
受理申請、執行書面審查與現地稽核、出具矯正要求與追蹤。
利益衝突迴避：所有人員須簽署保密與迴避聲明，揭露利害關係並迴避。

六、標章制度

名稱：個資信任標章（Trusted Personal-Data Mark, TPM）
效期：一年；須通過年度評鑑審查（書審＋抽查）。
分級：Bronze／Silver／Gold／Diamond（依總分及門檻項目達成）。
滿分100分，通過60分銅牌，滿70分銀牌，滿80分金牌，滿90分鑽石。
評鑑內容分為十大區塊，合計共50題，若有一區塊為0分(不符合)，將無法通過評鑑審查與取得標章。
查驗：於協會網站公開名錄與標章編號；提供失效、撤銷與降級資訊。
費用：首次申請126,000元，隔年起續約105,000元。

服務內容包含：

1、完整個資評鑑審查一次

包含文件審查、現地訪談、實務建議
由專家評鑑兩人天進行

2、個資評鑑審查報告一式

含問題發現、建議與改善方向

3、教育訓練一次

4、個資事故支援機制

若遭遇個資事故，協會可提供建議、應變決策協助

七、評鑑基準（摘要）

治理與責任：個資治理架構、角色職責、資源與監督機制。
風險評估與處置：PIA／DPIA、風險矩陣、控制選擇與追蹤。
資料生命週期：蒐集、處理、利用、保存、刪除與去識別化管理。
當事人權利：告知、同意管理、行使權利（查詢、更正、刪除、撤回同意等）與回應紀錄。
資安控制：存取控制、加密與日誌、漏洞與修補、備援與異地備份。
事件與通報：偵測、分級、通報、救濟與補救、事後改善。
委外管理：契約條款、監督機制、第三方風險與合規證據。
教育訓練與文化：年度訓練計畫、測驗與演練、宣導活動。
稽核與文件化：內部稽核、矯正預防措施（CAPA）、紀錄保存。
持續改進：PDCA 週期運行證據、指標與成效衡量。

八、申請與審查流程

線上申請與資格審：確認規模、風險類型與基本要件。
書面審查：政策、程序與紀錄檢視；必要時技術抽測。
現地稽核：訪談、抽樣查核、現場測試與證據收集。
核定與頒授：達成分級標準後頒發標章。
年度維持審查：效期內書，個資事故即時通報。
申訴與爭議：受理申訴與檢舉，並揭露摘要。

九、資訊公開與查驗

於協會網站設立標章查驗頁，公開核定等級、效期、標章編號、撤銷與降級紀錄。
定期發布統計與年度回顧報告（匿名化呈現產業別、常見不符合項目、改進建議）。

十、資料保護與保密

本委員會及其受委外之評審、講師與顧問，於進入甲方或受評單位執行服務或評鑑業務前，均應與甲方簽訂保密協議，並遵守相關保密義務與資料保護要求；僅得於執行業務所必要之範圍內，蒐集、處理及利用受評單位之資料。

十一、違規與處置

受評單位造假、阻撓稽核或重大事件隱匿者，得撤銷或降級標章並公開。
評審或講師違反保密或迴避者，得移除名冊與停止合作，必要時移送法律程序。

十二、版本管理與修訂

本政策由本委員會擬訂，報理監事會審議通過後施行；每年至少檢視一次，必要時隨法規與市場變動修訂。