# 本一科技內部治理與營運文件 - Full LLM Wiki Text Generated: 2026-06-10T09:24:57.994Z Classification: 本一內部文件/必要知悉 Status: 送審版 Company: 本一科技股份有限公司(The One AITech Co., Ltd.,統編 00164581) ## Canonical Source Flow 1. Markdown 文件作為 canonical source。 2. 靜態網站供人閱讀。 3. LLM Wiki index 供內部 AI/RAG 查詢。 4. 正式核准版再輸出 PDF/Word,並依公司程序發布。 ## LLM 問答與權限規則 1. 只能依據本文件庫中標示為送審版或已核准版之文件回答;不得使用未列入文件庫的推測作為公司制度結論。 2. 回答必須標示引用文件之文件編號、文件名稱、版本、狀態與條文 anchor。 3. 文件未載明、版本衝突或外部法規/醫療機構合約/政府採購文件較嚴格時,應回答需由權責部門確認,並從其較嚴格規定。 4. 不得把送審版文件表述為已施行、已核准、已取得 ISO 認證、已取得醫材許可或已完成公開發行公司合規。 5. 本文件庫屬本一內部文件,不得上傳公開 LLM、公開 SaaS wiki 或未經授權之外部服務;RAG/LLM 檢索應落實身分驗證、最小權限、紀錄留存與資料遮蔽。 ## TOAI-GOV-001 公司治理與重大決策管理辦法 - 文件名稱:公司治理與重大決策管理辦法 - 文件編號:TOAI-GOV-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CEO Office - 審閱部門:CEO、COO、CFO/CSO、法務、會計 - 核准人:董事會或代表公司之董事/CEO - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:CEO/CTO/COO/CFO 共同決策、重大事項留痕 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/01_公司治理與重大決策管理辦法.md - HTML:documents/toai-gov-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-GOV-001 第一條 目的](documents/toai-gov-001.html#article-01) 為建立本一科技股份有限公司之治理秩序、重大決策留痕、風險責任邊界及資訊透明紀律,支撐公司在醫療 AI、政府採購、投資人 DD、未來 IPO-ready governance 及多醫療場域交付之要求,特訂定本辦法。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-GOV-001 第二條 適用範圍](documents/toai-gov-001.html#article-02) 本辦法適用於董事、監察人(如有)、經理人、共同創辦人、全職與兼職人員、顧問、受託人,以及代表公司參與合約、投資、資安、資料、AI、財務、採購、智財與客戶交付決策者。 #### 第三條 治理原則 - Anchor: `article-03` - Citation: [TOAI-GOV-001 第三條 治理原則](documents/toai-gov-001.html#article-03) 本公司治理採以下原則: 創辦團隊主導,標竿醫療機構參與,避免被誤解為單一醫院附屬專案。 重大決策需留痕,包含議題、資料來源、風險、責任人、決議與追蹤。 以 RACI、OKR/KPI、CLEAR 決策模型與三道防線管理營運。 以單一會計帳、合約台帳、IP map、DD data room、AI/資安/資料治理紀錄,建立可受查核的管理基礎。 AI 不取代醫療判斷,所有高風險醫療、資料與合約事項須有人類最終確認。 #### 第四條 重大決策範圍 - Anchor: `article-04` - Citation: [TOAI-GOV-001 第四條 重大決策範圍](documents/toai-gov-001.html#article-04) 下列事項列為重大決策,應進入 CEO Office 或共同創辦人決策節點,必要時提董事會或股東會: 股權、董事、經理人任免與章程相關事項。 新增、終止或變更重大醫療機構、政府、公部門、策略夥伴合約。 單案金額、風險或資料權利超過公司核決權限之合約。 涉及個資、醫療資料、跨境資料、AI 代理、自動化判斷或醫療責任邊界之產品決策。 資安事件、個資事件、AI 嚴重錯誤、重大客訴、媒體危機。 策略性募資、投資人條款、排他性合作、IP 或資料控制權讓與。 年度預算、現金跑道低於警戒值、重大採購與雲端算力投入。 專利、商標、營業秘密、核心模型、prompt contract、source map 之揭露。 #### 第五條 決策流程 - Anchor: `article-05` - Citation: [TOAI-GOV-001 第五條 決策流程](documents/toai-gov-001.html#article-05) 重大決策應採 CLEAR 模型: Clarify:釐清問題、合約或技術範圍、責任邊界。 Learn:蒐集臨床回饋、客戶資料、財務數字、法規與外部框架。 Evaluate:評估效益、成本、風險、替代方案與失敗情境。 Act:指定 DRI、核決人、時程、驗收標準與紀錄保存方式。 Refine:依執行數據、稽核結果與現場回饋修正。 每項重大決策須填具「重大決策紀錄表」,至少包含議題、出席者、利益衝突聲明、資料來源、決議、反對意見、風險保留、責任人及下次追蹤日期。 #### 第六條 會議節奏 - Anchor: `article-06` - Citation: [TOAI-GOV-001 第六條 會議節奏](documents/toai-gov-001.html#article-06) 週一高階策略會:檢視策略、產品、現金流、重大客戶、資安與 AI 風險。 每週營運會議:追蹤交付、客戶成功、導入進度、客服與變更事項。 月度財務檢視:檢視收入認列、毛利率、雲端與 AI 成本、應收帳款、現金跑道與合約風險。 季度治理檢視:檢查 RACI、OKR/KPI、合約台帳、IP map、個資與資安紀錄、AI 稽核紀錄。 #### 第七條 三道防線 - Anchor: `article-07` - Citation: [TOAI-GOV-001 第七條 三道防線](documents/toai-gov-001.html#article-07) 第一道為產品與交付團隊,負責資料最小化、角色權限、去識別化、使用者審閱、版本紀錄及低信心提示。 第二道為管理與治理團隊,負責 RBAC、稽核日誌、供應商管理、事件回報、合約與成本監控。 第三道為外部顧問、法務、智財、資安、人資與會計資源,負責獨立校正與重大風險審查。 #### 第八條 紀錄保存 - Anchor: `article-08` - Citation: [TOAI-GOV-001 第八條 紀錄保存](documents/toai-gov-001.html#article-08) 重大決策紀錄、董事會或股東會紀錄、月度財務檢視、合約台帳、RACI、風險清單、事件紀錄與相關附件,依文件分級保存於 DD data room 或授權雲端資料夾。保存期間不得短於五年;涉及會計帳簿與財務報表者,不得短於十年;法令或合約另有規定者,從其規定。 #### 第九條 審閱與修訂 - Anchor: `article-09` - Citation: [TOAI-GOV-001 第九條 審閱與修訂](documents/toai-gov-001.html#article-09) 本辦法至少每年檢討一次;遇法規重大更新、募資、重大資安或個資事件、醫療 AI 指引更新、公司組織或產品風險重大變更時,應即檢討修訂。 ## TOAI-GOV-002 董事經理人權責與 RACI 管理辦法 - 文件名稱:董事經理人權責與 RACI 管理辦法 - 文件編號:TOAI-GOV-002 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CEO Office / COO - 審閱部門:CEO、COO、CFO/CSO、法務、會計 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:董事治理、經理人權責、RACI - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/02_董事經理人權責與RACI管理辦法.md - HTML:documents/toai-gov-002.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-GOV-002 第一條 目的](documents/toai-gov-002.html#article-01) 為明確界定董事、經理人、共同創辦人與各部門於公司治理、營運、財務、技術、資料、資安、AI 與客戶交付事項之權責,避免決策空窗、重複授權或越權,特訂定本辦法。 #### 第二條 職責原則 - Anchor: `article-02` - Citation: [TOAI-GOV-002 第二條 職責原則](documents/toai-gov-002.html#article-02) 董事與公司負責人應忠實執行業務並盡善良管理人注意義務。經理人與受託執行人員應於授權範圍內管理事務,不得逾越董事會、股東會、章程、合約或本公司核決權限。 #### 第三條 核心治理角色 - Anchor: `article-03` - Citation: [TOAI-GOV-002 第三條 核心治理角色](documents/toai-gov-002.html#article-03) CEO:公司整體經營、品牌治理、重大外部溝通、董事會與股東程序。 CTO / Clinical Lead:臨床語境、技術路線、AI 安全、Medical ModelOps、資料與模型責任邊界。 COO:使用者採用、交付品質、客戶成功、營運流程、人資與行政協調。 CFO/CSO:財務紀律、合約風險、資本策略、政府計畫、投資人 DD、現金流與募資條件。 Legal / Compliance:合約、個資、智財、關係人交易、利益衝突、法規更新。 Security / DPO:資安、個資、事件通報、供應商安全與稽核。 #### 第四條 RACI 定義 - Anchor: `article-04` - Citation: [TOAI-GOV-002 第四條 RACI 定義](documents/toai-gov-002.html#article-04) R 為 Responsible,負責執行。A 為 Accountable,對結果最終負責。C 為 Consulted,需事前諮詢。I 為 Informed,需被告知。 每項跨部門工作只能有一個 A;可有多個 R、C、I。若 A 不明確,該事項不得進入執行。 #### 第五條 公司級 RACI - Anchor: `article-05` - Citation: [TOAI-GOV-002 第五條 公司級 RACI](documents/toai-gov-002.html#article-05) 工作 / CEO / CTO / COO / CFO/CSO / Legal / Security/DPO 年度策略與 OKR / A / C / R / R / I / I 重大醫療 AI 產品方向 / C / A / R / C / C / C 客戶導入範圍鎖定 / A / C / R / C / C / I 醫療資料與 AI 責任邊界 / C / A / R / I / C / R 重大合約審查 / A / C / C / R / R / C 關係人交易與利益迴避 / A / I / I / R / R / I 月度財務檢視 / I / I / C / A/R / C / I 資安與個資事件 / I / C / R / C / C / A/R 專利與營業秘密 / C / A/R / C / C / R / I 對外新聞與獎項送件 / A / C / R / R / C / I 募資與投資人 DD / A / C / C / A/R / C / C #### 第六條 核決權限 - Anchor: `article-06` - Citation: [TOAI-GOV-002 第六條 核決權限](documents/toai-gov-002.html#article-06) 核決權限表應另行建立並至少包含採購、費用、雲端算力、顧問合約、專案報價、折讓、授權、資料使用、對外揭露、招募任用與薪酬異動。未列明之事項,依金額、風險與資料敏感度,由 CFO/CSO 與 Legal 判定是否提 CEO 或董事會。 #### 第七條 職務代理與交接 - Anchor: `article-07` - Citation: [TOAI-GOV-002 第七條 職務代理與交接](documents/toai-gov-002.html#article-07) 各部門應指定職務代理人。涉及財務、個資、資安、模型、客戶合約與營業秘密之職務交接,須完成交接清單、權限移轉、帳號停用或調整、文件歸檔與未結事項說明。 #### 第八條 權責衝突處理 - Anchor: `article-08` - Citation: [TOAI-GOV-002 第八條 權責衝突處理](documents/toai-gov-002.html#article-08) 如 RACI 與合約、法令、董事會決議或客戶安全要求衝突,應暫停執行並提 CEO Office。若涉及法遵、個資、資安或醫療安全,Legal、Security/DPO 或 CTO 得要求暫停至風險澄清。 #### 第九條 紀錄保存 - Anchor: `article-09` - Citation: [TOAI-GOV-002 第九條 紀錄保存](documents/toai-gov-002.html#article-09) RACI 表、核決權限表、職務代理清單、重大決策紀錄、會議紀錄與交接紀錄應保存於公司指定資料夾。涉及人事資料者應依個資與人資規範控管。 ## TOAI-LEG-001 法遵、合約、關係人交易與利益衝突管理辦法 - 文件名稱:法遵、合約、關係人交易與利益衝突管理辦法 - 文件編號:TOAI-LEG-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:Legal / CFO-CSO - 審閱部門:CEO、CFO/CSO、法務、業務、資安 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:合約、資料權利、關係人揭露、利益迴避 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/03_法遵合約關係人交易與利益衝突管理辦法.md - HTML:documents/toai-leg-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-LEG-001 第一條 目的](documents/toai-leg-001.html#article-01) 為確保公司合約、採購、合作、投資、政府計畫、資料使用、關係人交易與對外承諾符合法令、商業倫理與公司治理要求,特訂定本辦法。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-LEG-001 第二條 適用範圍](documents/toai-leg-001.html#article-02) 本辦法適用於所有以本一科技名義進行之報價、採購、委外、投標、合約、MOU、NDA、資料處理、技術授權、智財移轉、政府補助、投資與策略合作。 #### 第三條 法遵原則 - Anchor: `article-03` - Citation: [TOAI-LEG-001 第三條 法遵原則](documents/toai-leg-001.html#article-03) 公司經營應遵守法令及商業倫理。 醫療 AI 合約應清楚區分 AI 草稿、醫護確認、正式病歷、責任歸屬與資料權利。 不得以未核准、未驗收、未認列或管理口徑數字對外包裝為正式財務成果。 不得在未取得授權或合法依據下蒐集、處理、利用醫療、病歷、健康檢查、基因等特種個資。 關係人交易須揭露、留痕、必要時利益迴避。 #### 第四條 合約審查分級 - Anchor: `article-04` - Citation: [TOAI-LEG-001 第四條 合約審查分級](documents/toai-leg-001.html#article-04) 等級 / 條件 / 審查要求 L1 例行 / 標準 NDA、標準報價、低風險採購 / 主管核准,留存標準文件 L2 中風險 / 客戶合約、個資、委外、供應商、政府採購 / CFO/CSO、Legal、權責主管審查 L3 高風險 / 醫療資料、AI 代理、自動化判斷、排他條款、IP 授權、跨境資料、重大金額 / CEO、CTO、CFO/CSO、Legal、Security/DPO 共同審查 L4 董事會 / 股權、重大投資、核心 IP 或資料控制權讓與、限制多院服務之排他條款 / 依章程、董事會或股東程序辦理 #### 第五條 合約必審條款 - Anchor: `article-05` - Citation: [TOAI-LEG-001 第五條 合約必審條款](documents/toai-leg-001.html#article-05) 合約審查應至少檢查: 服務範圍、交付物、驗收、保固、SLA、變更程序。 個資、醫療資料、資料留存、刪除、去識別化、委外監督。 AI 輸出定位、human-in-the-loop、不得自動取代醫療判斷。 智財歸屬、既有技術、衍生成果、專利、營業秘密。 費用、稅務、付款條件、押標/履約保證金、收款節點。 違約、損害賠償、責任限制、保險、不可抗力。 資安、稽核、事件通報、資料外洩通知。 關係人交易、利益衝突、轉包或第三方使用限制。 #### 第六條 關係人交易 - Anchor: `article-06` - Citation: [TOAI-LEG-001 第六條 關係人交易](documents/toai-leg-001.html#article-06) 關係人包含董事、經理人、主要股東、共同創辦人、其配偶與二親等內親屬、受其控制或具重大影響力之公司、顧問或合作單位。涉及關係人之交易應: 交易前揭露關係及可能利益。 取得至少一份可比較報價或合理性說明。 由未涉利益衝突之核決人審查。 交易條件不得劣於一般商業條件。 於合約台帳標註關係人交易並保存佐證。 #### 第七條 利益衝突與迴避 - Anchor: `article-07` - Citation: [TOAI-LEG-001 第七條 利益衝突與迴避](documents/toai-leg-001.html#article-07) 董事、經理人、員工或顧問遇下列情形應主動申報並迴避決策: 本人或關係人可能因公司交易取得直接或間接利益。 同時代表客戶、供應商、投資人或競爭者。 可能取得未公開資訊並影響個人投資或交易。 對公司 IP、資料、客戶關係或商業機會有個人利益。 #### 第八條 合約台帳 - Anchor: `article-08` - Citation: [TOAI-LEG-001 第八條 合約台帳](documents/toai-leg-001.html#article-08) 所有合約應登錄合約台帳,包含合約名稱、相對人、金額、收入類型、付款節點、驗收、保固、資料權利、IP、資安、保密、風險等級、關係人標註、負責人及重要日期。 #### 第九條 禁止事項 - Anchor: `article-09` - Citation: [TOAI-LEG-001 第九條 禁止事項](documents/toai-leg-001.html#article-09) 未經授權以公司名義承諾折讓、排他、資料權利或 IP 授權。 未經 Legal 或 Security/DPO 審查簽署含醫療資料或個資委外之合約。 將客戶病歷、院方欄位、API endpoint、prompt、source map 或本一營業秘密提供第三方。 將未核准財務預估、管理報表或募資條件作為對外保證。 #### 第十條 紀錄保存 - Anchor: `article-10` - Citation: [TOAI-LEG-001 第十條 紀錄保存](documents/toai-leg-001.html#article-10) 合約、審查意見、核准紀錄、關係人聲明、利益迴避紀錄與往來附件,應依文件分級保存。涉及會計、稅務、採購、個資或資安者,依較長保存期間管理。 ## TOAI-FIN-001 財務會計內控、月結與管理報表辦法 - 文件名稱:財務會計內控、月結與管理報表辦法 - 文件編號:TOAI-FIN-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:Finance / Accounting - 審閱部門:CFO/CSO、會計、CEO、COO - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:單一會計帳、月度財務檢視、收入成本分類 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/04_財務會計內控月結與管理報表辦法.md - HTML:documents/toai-fin-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-FIN-001 第一條 目的](documents/toai-fin-001.html#article-01) 為建立單一會計帳、月結、收入成本分類、管理報表、現金流預測與 DD-ready 財務紀律,避免正式財報、管理報表與合約台帳混用,特訂定本辦法。 #### 第二條 會計基礎 - Anchor: `article-02` - Citation: [TOAI-FIN-001 第二條 會計基礎](documents/toai-fin-001.html#article-02) 公司正式財務報表應依商業會計法及相關會計準則處理,以權責發生制為原則。若平時使用現金收付管理,決算時應依權責發生制調整。 #### 第三條 財務分類紀律 - Anchor: `article-03` - Citation: [TOAI-FIN-001 第三條 財務分類紀律](documents/toai-fin-001.html#article-03) 財務管理應至少區分: 權責基礎與現金基礎。 營業收入與非營業收入。 一次性導入收入、授權/訂閱、維運治理費、usage fee、硬體、顧問與教育訓練。 補助、競賽獎金、利息及其他非經常性收入。 token fee、技術費、服務費、雲端成本、人事成本、專案成本、維運比例。 已開票、已收款、未收款、尚未驗收、尚未認列。 #### 第四條 月結程序 - Anchor: `article-04` - Citation: [TOAI-FIN-001 第四條 月結程序](documents/toai-fin-001.html#article-04) 每月結帳應於次月第十個工作日前完成初版,必要時得延至第十五個工作日。月結程序包含: 憑證收集與報支核對。 銀行帳戶、現金簿、應收應付與合約台帳核對。 收入認列與成本歸屬確認。 雲端與 AI 成本、token 成本、供應商帳單核對。 人事費用、顧問費、保證金與押標/履約保證金分類。 月度損益、資產負債、現金流與專案損益管理報表。 異常項目、未結事項與下月追蹤清單。 #### 第五條 月度財務檢視 - Anchor: `article-05` - Citation: [TOAI-FIN-001 第五條 月度財務檢視](documents/toai-fin-001.html#article-05) 月度財務檢視由 CFO/CSO 主持,CEO、COO、必要時 CTO 與會。檢視內容至少包括: 當月營收、毛利率、費用率、現金餘額。 應收帳款、收款節點、逾期款與催收措施。 專案毛利、客製化比例、維運比例、雲端與 AI 成本占比。 合約台帳與正式財報口徑差異。 12 個月現金流預測與跑道。 重大支出、募資資金用途、政府補助與保證金。 高風險合約、單一客戶集中度、付款條件與資金壓力。 #### 第六條 現金流跑道警戒 - Anchor: `article-06` - Citation: [TOAI-FIN-001 第六條 現金流跑道警戒](documents/toai-fin-001.html#article-06) 公司建立滾動 12 個月現金流預測。現金跑道目標維持 12 個月以上;低於 9 個月,啟動支出檢討、收款優先與非核心支出凍結;低於 6 個月,啟動募資、付款條件重談、優先收款、預算重排及董事/CEO 決策。 #### 第七條 管理報表標示 - Anchor: `article-07` - Citation: [TOAI-FIN-001 第七條 管理報表標示](documents/toai-fin-001.html#article-07) 管理報表、現金基礎收入、合約台帳、預估營收及正式財報不得混用。對外或送件如引用管理口徑,應明確標示「管理報表」「現金基礎」「尚待會計覆核」「不等同正式財報」。 #### 第八條 內部控制 - Anchor: `article-08` - Citation: [TOAI-FIN-001 第八條 內部控制](documents/toai-fin-001.html#article-08) 財務內控至少包含: 經辦、審核、核准與付款分工。 採購、驗收、報支、付款與入帳一致。 收入認列由合約、驗收、發票與收款節點支持。 大額支付應使用可追蹤支付工具,並載明受款人。 無原始憑證者應有事實、金額、原因與主管核准。 財務系統權限依角色授權並定期檢查。 #### 第九條 會計憑證與保存 - Anchor: `article-09` - Citation: [TOAI-FIN-001 第九條 會計憑證與保存](documents/toai-fin-001.html#article-09) 會計事項應取得或編製足以證明之憑證。會計憑證至少保存五年;會計帳簿與財務報表至少保存十年;未結事項、合約、稅務爭議或法令另有較長保存要求者,從其規定。 #### 第十條 審閱與修訂 - Anchor: `article-10` - Citation: [TOAI-FIN-001 第十條 審閱與修訂](documents/toai-fin-001.html#article-10) 本辦法由 CFO/CSO 與會計顧問每年至少檢討一次;公司進入募資、公開發行準備、重大投資或新收入模式時,應即更新。 ## TOAI-FIN-002 採購、費用報支、資產與雲端成本管理辦法 - 文件名稱:採購、費用報支、資產與雲端成本管理辦法 - 文件編號:TOAI-FIN-002 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:Finance / Operations - 審閱部門:CFO/CSO、會計、CEO、COO - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:採購留痕、報支、BOM、token 成本、雲端治理 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/05_採購費用報支資產與雲端成本管理辦法.md - HTML:documents/toai-fin-002.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-FIN-002 第一條 目的](documents/toai-fin-002.html#article-01) 為控管採購、費用報支、硬體試產、雲端與 AI 用量成本、固定資產及供應商支出,確保支出合理、可追蹤、可歸屬至專案與毛利分析,特訂定本辦法。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-FIN-002 第二條 適用範圍](documents/toai-fin-002.html#article-02) 包含軟硬體採購、雲端與 GPU 算力、模型 API、SaaS 工具、顧問、外包、差旅、行銷、公關、教育訓練、硬體 BOM、BodyCam/BodyCard 試產、辦公設備及其他公司支出。 #### 第三條 採購原則 - Anchor: `article-03` - Citation: [TOAI-FIN-002 第三條 採購原則](documents/toai-fin-002.html#article-03) 必要性:支出須對研發、交付、資安、客戶成功或公司營運有明確目的。 比價性:非標準低額採購應比價或提出不比價理由。 留痕性:需求、報價、核准、驗收、發票與付款須可追蹤。 分類性:採購應標示專案、成本中心、費用科目與是否可轉嫁客戶。 資安性:涉及資料、模型、雲端或委外者須經 Security/DPO 檢查。 #### 第四條 採購分級 - Anchor: `article-04` - Citation: [TOAI-FIN-002 第四條 採購分級](documents/toai-fin-002.html#article-04) 等級 / 條件 / 核准 P1 例行低額 / 低額工具、一般辦公或核准清單項目 / 部門主管 P2 專案採購 / 與客戶案、研發案、硬體試點、雲端資源相關 / 部門主管 + Finance P3 高風險 / 涉個資、醫療資料、模型、長約、關鍵供應商 / Finance + Security/DPO + Legal P4 重大支出 / 超過核決權限、影響現金跑道、資本支出 / CEO 或董事會程序 #### 第五條 費用報支 - Anchor: `article-05` - Citation: [TOAI-FIN-002 第五條 費用報支](documents/toai-fin-002.html#article-05) 費用報支應於費用發生後三十日內提交,並附原始憑證、用途、專案、核准紀錄與付款資訊。逾期、憑證不完整或與公司業務目的不明者,Finance 得退回補件。 不得報支個人消費、與業務無關之娛樂、無核准之禮品、未經核准之高額差旅、違反法令或公司倫理之支出。 #### 第六條 雲端與 AI 成本治理 - Anchor: `article-06` - Citation: [TOAI-FIN-002 第六條 雲端與 AI 成本治理](documents/toai-fin-002.html#article-06) 雲端、模型 API、token fee、GPU、儲存與流量應建立 usage ledger。 每月檢視用量、單次成本、異常尖峰、快取命中率、模型路由與低風險任務小模型化機會。 客戶可轉嫁成本應與報價、合約、usage fee 與技術服務費對齊。 異常用量應於三個工作日內分析原因並提出修正。 涉及醫療資料之雲端服務須遵守病歷不出境、去識別化與合約授權要求。 #### 第七條 硬體與試產管理 - Anchor: `article-07` - Citation: [TOAI-FIN-002 第七條 硬體與試產管理](documents/toai-fin-002.html#article-07) BodyCam、BodyCard 及相關硬體採階段式試點、BOM 成本控管與驗收紀錄。試產前應確認需求、規格、採購數量、測試責任人、報廢風險、資產編號與客戶或研發用途。 #### 第八條 固定資產 - Anchor: `article-08` - Citation: [TOAI-FIN-002 第八條 固定資產](documents/toai-fin-002.html#article-08) 設備、電腦、測試機、攝影設備、硬體模組及高價工具應建立資產台帳,載明名稱、序號、購置日期、金額、保管人、使用地點、專案用途、折舊或攤提、維修、報廢或移轉紀錄。 #### 第九條 驗收與付款 - Anchor: `article-09` - Citation: [TOAI-FIN-002 第九條 驗收與付款](documents/toai-fin-002.html#article-09) 採購付款前應確認交付物、服務期間、發票、驗收與合約條件。預付款、保證金、押標金、履約保證金應另行分類,不得列為費用美化或混同正式營業成本。 #### 第十條 稽核與保存 - Anchor: `article-10` - Citation: [TOAI-FIN-002 第十條 稽核與保存](documents/toai-fin-002.html#article-10) Finance 每季抽查採購、報支、雲端成本與資產台帳。相關憑證至少保存五年;涉及會計帳簿、財務報表或未結合約者,依財務保存規定辦理。 ## TOAI-HR-001 人資任用、薪酬、績效與多元友善管理辦法 - 文件名稱:人資任用、薪酬、績效與多元友善管理辦法 - 文件編號:TOAI-HR-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:HR / COO - 審閱部門:HR、COO、法務、會計 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:招募、薪酬、績效、EVP、多元友善 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/06_人資任用薪酬績效與多元友善管理辦法.md - HTML:documents/toai-hr-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-HR-001 第一條 目的](documents/toai-hr-001.html#article-01) 為建立合法合理之招募、任用、薪酬、考勤、績效、教育訓練與多元友善制度,使公司在快速成長、醫療 AI 高壓交付與跨域協作中維持公平、透明與可持續的人才治理,特訂定本辦法。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-HR-001 第二條 適用範圍](documents/toai-hr-001.html#article-02) 適用於全職員工、兼職人員、專案人員、實習生、顧問及公司指定適用之合作人員。勞動契約、顧問契約或委任契約另有較嚴格規定者,從其規定。 #### 第三條 人資原則 - Anchor: `article-03` - Citation: [TOAI-HR-001 第三條 人資原則](documents/toai-hr-001.html#article-03) 勞動條件不得低於法令最低標準。 招募、任用、薪酬、晉升、教育訓練與工作分派,不得因性別、性傾向、性別認同、年齡、家庭照顧責任、身心狀況、族群背景或其他不合理因素而差別待遇。 公司不要求員工揭露性傾向、性別認同、家庭型態或其他敏感個人資訊。 公司以心理安全感、專業成長、透明溝通與工作生活邊界作為 EVP 核心。 #### 第四條 招募與任用 - Anchor: `article-04` - Citation: [TOAI-HR-001 第四條 招募與任用](documents/toai-hr-001.html#article-04) 招募需求應由用人主管提出職務說明、工作內容、必要能力、薪酬區間、預算來源與任用型態。錄用前應確認職務是否涉及醫療資料、個資、資安、AI 模型、財務或營業秘密;涉及者須完成保密與資安承諾。 新人到職應完成: 勞動契約或委任/顧問契約。 個資告知與同意文件。 保密與營業秘密承諾。 資安與 AI 使用規範教育。 權限申請與職務 RACI。 試用或適任性目標設定。 #### 第五條 薪酬與給付 - Anchor: `article-05` - Citation: [TOAI-HR-001 第五條 薪酬與給付](documents/toai-hr-001.html#article-05) 薪酬應依職務價值、能力、經驗、市場行情、公司財務狀況與內部公平性訂定。薪資應依法定期給付並提供明細。不得預扣工資作為違約金或賠償費用。獎金、補助、津貼、股權或選擇權如有規劃,應另行明定條件與核准程序。 #### 第六條 出勤與工作時間 - Anchor: `article-06` - Citation: [TOAI-HR-001 第六條 出勤與工作時間](documents/toai-hr-001.html#article-06) 工作時間、休息、休假、加班、請假、遠距工作、出差與待命,依勞動法令、勞動契約與公司公告辦理。醫療導入或資安事件需臨時加班者,應事前或事後依程序補登並由主管確認。 #### 第七條 績效與 OKR - Anchor: `article-07` - Citation: [TOAI-HR-001 第七條 績效與 OKR](documents/toai-hr-001.html#article-07) 公司採年度目標、季度 OKR/KPI 與專案交付結果並行管理。績效評估應包含: 專業成果與交付品質。 醫療安全、資安、個資、AI 治理遵循。 團隊協作與知識沉澱。 客戶成功與使用者採用。 成本意識與可複製流程貢獻。 不得以單一加班時數、即時回覆速度或不可持續工時作為主要績效指標。 #### 第八條 教育訓練 - Anchor: `article-08` - Citation: [TOAI-HR-001 第八條 教育訓練](documents/toai-hr-001.html#article-08) 所有人員每年至少完成一次資安、個資、保密、AI 安全、反騷擾與職場倫理訓練。涉及醫療資料、AI 模型、雲端或客戶導入者,另需完成專案安全與資料治理訓練。 #### 第九條 離職與交接 - Anchor: `article-09` - Citation: [TOAI-HR-001 第九條 離職與交接](documents/toai-hr-001.html#article-09) 離職前應完成職務交接、客戶與專案未結事項、文件歸檔、設備返還、帳號停用、權限移轉、保密義務重申與競業/智財事項檢查。離職後公司依法保存人事資料並保障個資。 #### 第十條 紀錄保存 - Anchor: `article-10` - Citation: [TOAI-HR-001 第十條 紀錄保存](documents/toai-hr-001.html#article-10) 人事資料、勞工名卡、薪資清冊、考勤、契約、教育訓練、績效與申訴紀錄應依法令與個資規範保存。勞工名卡及工資清冊至少保存五年,其他資料依目的與法令保存。 ## TOAI-HR-002 職場安全、反騷擾與申訴處理辦法 - 文件名稱:職場安全、反騷擾與申訴處理辦法 - 文件編號:TOAI-HR-002 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:HR / Legal - 審閱部門:HR、COO、法務、會計 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:勞動權益、性別平等、申訴與保護 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/07_職場安全反騷擾與申訴處理辦法.md - HTML:documents/toai-hr-002.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-HR-002 第一條 目的](documents/toai-hr-002.html#article-01) 為保障員工及合作人員於工作場所、遠距工作、客戶場域、醫療機構導入、活動與線上協作中的安全、尊嚴與平等,預防性騷擾、歧視、霸凌與不當對待,特訂定本辦法。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-HR-002 第二條 適用範圍](documents/toai-hr-002.html#article-02) 適用於員工、主管、董事、顧問、實習生、派遣、承攬、供應商及代表公司參與工作或活動之人員。若事件發生於客戶、醫療院所、政府場域或外部活動,本公司仍應協助保護本公司人員並配合場域規範。 #### 第三條 禁止行為 - Anchor: `article-03` - Citation: [TOAI-HR-002 第三條 禁止行為](documents/toai-hr-002.html#article-03) 禁止以下行為: 性騷擾、性暗示、猥褻言行、未經同意之身體接觸。 因性別、性傾向、性別認同、婚姻、家庭、身心狀況、年齡、族群、宗教或政治立場而歧視。 職場霸凌、羞辱、威脅、孤立、報復、持續不合理工作要求。 以職務、評分、薪酬、升遷、續約或客戶資源交換私人利益。 洩露申訴人、被申訴人、證人或調查內容。 #### 第四條 申訴管道 - Anchor: `article-04` - Citation: [TOAI-HR-002 第四條 申訴管道](documents/toai-hr-002.html#article-04) 公司設置至少兩種申訴管道:HR/COO、Legal/CEO 指定窗口。申訴得以書面、電子郵件、會議紀錄或其他可保存方式提出。若申訴對象為通常窗口,申訴人得直接向 CEO、董事或外部顧問提出。 #### 第五條 受理與保護 - Anchor: `article-05` - Citation: [TOAI-HR-002 第五條 受理與保護](documents/toai-hr-002.html#article-05) 公司收到申訴後,應於三個工作日內確認受理並評估是否需立即保護措施,例如調整工作分派、避免單獨接觸、暫停特定權限、安排陪同、保護個資與防止報復。 申訴人、證人或協助調查者不得因申訴或作證而受不利處分。 #### 第六條 調查程序 - Anchor: `article-06` - Citation: [TOAI-HR-002 第六條 調查程序](documents/toai-hr-002.html#article-06) 調查小組應由 HR、Legal 或外部顧問組成,並確保成員與事件無利益衝突。調查應公正、保密、迅速,並給予雙方陳述機會。必要時得調閱會議紀錄、訊息、門禁、郵件、系統紀錄或相關文件,但應遵守個資及最小必要原則。 #### 第七條 處理措施 - Anchor: `article-07` - Citation: [TOAI-HR-002 第七條 處理措施](documents/toai-hr-002.html#article-07) 查證屬實者,公司得依情節採取: 口頭或書面警告。 道歉、教育訓練、調整職務或工作地點。 停止參與特定專案或客戶場域。 終止契約、懲處或依法辦理。 通報主管機關或協助司法程序。 若查無具體事證,仍得依工作環境風險採取改善措施。 #### 第八條 教育訓練 - Anchor: `article-08` - Citation: [TOAI-HR-002 第八條 教育訓練](documents/toai-hr-002.html#article-08) 公司每年至少辦理一次性別平等、反騷擾、職場倫理與申訴制度訓練。新進人員到職時應完成基本訓練。主管及客戶場域導入人員應加強訓練。 #### 第九條 保密與紀錄保存 - Anchor: `article-09` - Citation: [TOAI-HR-002 第九條 保密與紀錄保存](documents/toai-hr-002.html#article-09) 申訴、調查、處理與追蹤紀錄均屬敏感文件,限必要人員查閱。紀錄保存期限依法令與公司文件保存規範辦理,並不得作為與申訴無關之用途。 #### 第十條 與外部制度銜接 - Anchor: `article-10` - Citation: [TOAI-HR-002 第十條 與外部制度銜接](documents/toai-hr-002.html#article-10) 涉及客戶、醫療機構、政府場域或供應商人員者,公司得依合約、場域規範與法令通報或協調處理,但不得因此免除對本公司人員之保護義務。 ## TOAI-ADM-001 文件分級、保存與 DD Data Room 管理辦法 - 文件名稱:文件分級、保存與 DD Data Room 管理辦法 - 文件編號:TOAI-ADM-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:COO / CFO-CSO - 審閱部門:COO、法務、CFO/CSO、資安 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:本一機密、專案限定、DD readiness - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/08_文件分級保存與DD_Data_Room管理辦法.md - HTML:documents/toai-adm-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-ADM-001 第一條 目的](documents/toai-adm-001.html#article-01) 為建立文件分級、版本、存取、保存、對外提供與投資人 DD data room 管理制度,保護本一營業秘密、客戶機敏資料、醫療資料與公司治理紀錄,特訂定本辦法。 #### 第二條 文件分級 - Anchor: `article-02` - Citation: [TOAI-ADM-001 第二條 文件分級](documents/toai-adm-001.html#article-02) 分級 / 定義 / 範例 Public / 可公開揭露 / 官網、新聞稿、公開獎項資訊 Internal / 公司內部使用 / 一般會議紀錄、政策公告 Confidential / 本一機密/必要知悉 / 合約、報價、人事、財務、RACI Project Restricted / 本一機密/專案限定 / 客戶導入 playbook、API 規格、驗收資料 Trade Secret / 本一營業秘密 / prompt contract、source map、模型路由、IP map、AI 評估 rubric Customer Sensitive / 客戶或院方機敏 / 病歷、HIS/NIS 欄位、API endpoint、帳號權限 #### 第三條 文件標示 - Anchor: `article-03` - Citation: [TOAI-ADM-001 第三條 文件標示](documents/toai-adm-001.html#article-03) Confidential 以上文件應於頁首或封面標註分級、文件編號、版本、日期、文件主管、適用範圍與接收限制。Project Restricted 與 Trade Secret 文件不得移除標示。 #### 第四條 版本管理 - Anchor: `article-04` - Citation: [TOAI-ADM-001 第四條 版本管理](documents/toai-adm-001.html#article-04) 正式文件須保存版本歷程,包含版本號、修訂日期、修訂摘要、修訂人、審閱人與核准人。重要合約、政策、SOP、技術規格、AI 模型與模板版本不得以未命名檔案或聊天訊息作為唯一紀錄。 #### 第五條 存取控制 - Anchor: `article-05` - Citation: [TOAI-ADM-001 第五條 存取控制](documents/toai-adm-001.html#article-05) 文件存取依最小權限原則。人員異動、離職、專案結束或顧問合約終止時,應檢查並移除不必要權限。對外分享 Trade Secret 或 Customer Sensitive 文件前,須有 NDA、授權目的、接收者名單、有效期限與匯出紀錄。 #### 第六條 對外提供 - Anchor: `article-06` - Citation: [TOAI-ADM-001 第六條 對外提供](documents/toai-adm-001.html#article-06) 對外文件分為高層摘要版、專案交付版與完整內部版。完整內部版不得提供第三方,除非經 CEO、CTO、Legal 與文件主管核准。prompt 全文、source map 內部設計、IP roadmap、模型路由與評估 rubric 原則上不得進入公開附件。 #### 第七條 DD Data Room - Anchor: `article-07` - Citation: [TOAI-ADM-001 第七條 DD Data Room](documents/toai-adm-001.html#article-07) DD data room 應至少分為: 公司登記、章程、股東名冊、董事會/股東會紀錄。 合約台帳、重大合約、收款、驗收與保固文件。 財務報表、管理報表、稅務、會計政策。 IP map、專利、商標、技轉或授權文件。 資安、個資、AI 治理、事件紀錄、ISO 輔導與稽核資料。 人資、薪酬、勞動契約、教育訓練與反騷擾制度。 產品、研發、版本、客戶導入與驗收成果。 ESG、責任 AI 與永續指標。 #### 第八條 保存期間 - Anchor: `article-08` - Citation: [TOAI-ADM-001 第八條 保存期間](documents/toai-adm-001.html#article-08) 文件保存期間依下列原則: 會計憑證至少五年。 會計帳簿與財務報表至少十年。 勞工名卡、工資清冊至少五年。 合約與保固文件保存至權利義務結束後至少五年。 個資、醫療資料與資安事件紀錄依法令、合約與最小必要原則保存。 公司治理、章程、股東、董事會、IP 與重大交易文件,建議永久保存或至少至公司解散清算後法定期間。 #### 第九條 刪除與封存 - Anchor: `article-09` - Citation: [TOAI-ADM-001 第九條 刪除與封存](documents/toai-adm-001.html#article-09) 文件保存目的消失或期限屆滿時,文件主管應評估刪除、封存或延長保存。涉及個資、醫療資料或客戶機敏資料者,須由 DPO 或 Security 確認。 #### 第十條 違規處理 - Anchor: `article-10` - Citation: [TOAI-ADM-001 第十條 違規處理](documents/toai-adm-001.html#article-10) 未經授權下載、轉寄、截圖、外流、公開或使用機密文件者,依保密契約、勞動契約、公司規章及法律責任處理。 ## TOAI-DATA-001 個資與醫療資料保護管理辦法 - 文件名稱:個資與醫療資料保護管理辦法 - 文件編號:TOAI-DATA-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:DPO / CTO - 審閱部門:DPO、CTO、資安、法務、COO - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:個資法、醫療特種個資、病歷不出境 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/09_個資與醫療資料保護管理辦法.md - HTML:documents/toai-data-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-DATA-001 第一條 目的](documents/toai-data-001.html#article-01) 為保護個人資料、醫療資料、病歷、語音、影像、傷口照片、健康檢查與其他特種個資,確保 TaiOne Care GPT、BodyCam、醫院端與居護/長照端服務符合法令、醫療場域信任與公司治理要求,特訂定本辦法。 #### 第二條 基本原則 - Anchor: `article-02` - Citation: [TOAI-DATA-001 第二條 基本原則](documents/toai-data-001.html#article-02) 蒐集、處理及利用個資應有特定目的、合法依據、必要範圍與正當合理關聯。 醫療、病歷、基因、性生活、健康檢查、犯罪前科等特種個資,原則上不得蒐集、處理或利用,除非法令或當事人書面同意等例外要件成立,並採適當安全維護措施。 病歷不出境:原始可識別病歷、語音、影像及醫療資料原則上在院方或客戶核准環境處理。 資料最小化:只處理達成合約與臨床工作流所必要資料。 AI 不得以客戶病歷作為模型訓練或再訓練資料,除非另有明確合法授權、倫理/法遵審查與安全措施。 #### 第三條 角色與責任 - Anchor: `article-03` - Citation: [TOAI-DATA-001 第三條 角色與責任](documents/toai-data-001.html#article-03) DPO 統籌個資制度、告知、同意、權利請求、事件通報與教育訓練。CTO 負責技術安全、去識別化、資料流與 AI 系統安全。專案 DRI 負責依客戶合約落實資料規則。所有人員均應遵守必要知悉與保密義務。 #### 第四條 個資盤點 - Anchor: `article-04` - Citation: [TOAI-DATA-001 第四條 個資盤點](documents/toai-data-001.html#article-04) 公司應建立個資與醫療資料清冊,包含資料名稱、資料類別、特種個資判定、來源、目的、合法依據、利用期間、地區、對象、方式、保存期限、系統位置、權限、委外對象與刪除方式。 #### 第五條 告知與同意 - Anchor: `article-05` - Citation: [TOAI-DATA-001 第五條 告知與同意](documents/toai-data-001.html#article-05) 向當事人蒐集個資時,應依個資法告知蒐集者名稱、目的、類別、利用期間/地區/對象/方式、當事人權利與不提供之影響。特種個資如依同意處理,應取得書面同意並保留紀錄。 若公司係受醫療機構或客戶委託處理資料,應依委託契約及客戶告知/同意安排執行,不得擴張目的。 #### 第六條 去識別化與資料保存三層 - Anchor: `article-06` - Citation: [TOAI-DATA-001 第六條 去識別化與資料保存三層](documents/toai-data-001.html#article-06) 層級 / 內容 / 管理要求 原文層 / 可識別病歷、語音、影像、傷口照片 / 在地保存或客戶核准環境,雲端不留可識別原文 比對/教學層 / 草稿與終版 diff、成效評估 / 院內執行,或僅保存去識別化內容與 hash 稽核層 / audit/usage 事件、角色、時間、模組、hash / 不存可識別臨床內文,保存供稽核 #### 第七條 委外與第三方 - Anchor: `article-07` - Citation: [TOAI-DATA-001 第七條 委外與第三方](documents/toai-data-001.html#article-07) 委外處理個資或醫療資料前,須審查受託方安全能力、資料處理範圍、再委外限制、刪除、事件通報、稽核權及保密義務。模型 API、雲端、資料標註、客服或維運供應商均適用。 #### 第八條 當事人權利 - Anchor: `article-08` - Citation: [TOAI-DATA-001 第八條 當事人權利](documents/toai-data-001.html#article-08) 公司應建立程序回應查詢、閱覽、製給複製本、補充、更正、停止蒐集/處理/利用與刪除請求。若資料由客戶作為資料控制或委託方,應協助客戶依法回覆。 #### 第九條 個資事件 - Anchor: `article-09` - Citation: [TOAI-DATA-001 第九條 個資事件](documents/toai-data-001.html#article-09) 知悉個資被竊取、竄改、毀損、滅失或洩漏時,應立即通知 DPO、Security、CTO 與專案 DRI,採取應變措施,記錄事實、影響、原因、補救、通知與通報情形。符合通報範圍者依個資法、合約與主管機關要求辦理。 #### 第十條 教育訓練與稽核 - Anchor: `article-10` - Citation: [TOAI-DATA-001 第十條 教育訓練與稽核](documents/toai-data-001.html#article-10) 所有人員每年至少完成一次個資與醫療資料保護訓練。涉及醫療資料之專案上線前須完成資料保護評估,並於專案期間定期檢查資料流、權限、留存與刪除紀錄。 ## TOAI-SEC-001 資訊安全、存取控制與資安治理辦法 - 文件名稱:資訊安全、存取控制與資安治理辦法 - 文件編號:TOAI-SEC-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:Security / CTO - 審閱部門:CTO、資安、法務、COO - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:RBAC、AD+MFA、TLS、稽核日誌、ISO 導入 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/10_資訊安全存取控制與資安治理辦法.md - HTML:documents/toai-sec-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-SEC-001 第一條 目的](documents/toai-sec-001.html#article-01) 為建立資訊安全管理制度,支撐醫療機構採購、個資保護、AI 治理、ISO 27001/27701 導入與客戶信任,特訂定本辦法。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-SEC-001 第二條 適用範圍](documents/toai-sec-001.html#article-02) 適用於公司人員、顧問、供應商及所有資訊資產,包括雲端平台、原始碼、模型、API、資料庫、客戶環境、測試資料、內部工具、設備、帳號、文件及網路。 #### 第三條 資安原則 - Anchor: `article-03` - Citation: [TOAI-SEC-001 第三條 資安原則](documents/toai-sec-001.html#article-03) 最小權限與必要知悉。 身分驗證、MFA、RBAC 與定期權限檢查。 傳輸加密、敏感資料去識別化與原文不落地。 稽核日誌可追蹤、不可任意刪除。 安全設計先於上線,重大變更須經風險評估。 資安事件須即時回報與復盤。 #### 第四條 帳號與權限 - Anchor: `article-04` - Citation: [TOAI-SEC-001 第四條 帳號與權限](documents/toai-sec-001.html#article-04) 所有公司與客戶系統帳號應以個人帳號為原則,不得共用。新增、異動、停用權限須經主管與系統 owner 核准。高權限帳號應啟用 MFA,定期檢查並保留操作紀錄。 離職、轉任、專案結束或顧問契約終止時,應於當日或約定時點停用不必要權限。 #### 第五條 開發與部署安全 - Anchor: `article-05` - Citation: [TOAI-SEC-001 第五條 開發與部署安全](documents/toai-sec-001.html#article-05) 產品與系統應落實: 原始碼存取權限控管。 機密不得寫入程式碼或公開 repository。 依環境區分開發、測試、正式。 重要 release 經版本、測試、資安與 rollback 檢查。 API endpoint、金鑰、憑證、資料庫密碼集中管理並定期輪替。 上線前完成基本弱點、權限、資料流與日誌檢查。 #### 第六條 醫療 AI 系統安全底線 - Anchor: `article-06` - Citation: [TOAI-SEC-001 第六條 醫療 AI 系統安全底線](documents/toai-sec-001.html#article-06) TLS 1.2 以上傳輸加密。 AD/SSO/MFA 或客戶核准之等效機制。 原始可識別病歷不得送至未核准外部服務。 使用者操作、生成、編修、確認、帶回、匯出均應留 LOG。 AI 不得未經醫護確認自動覆寫正式病歷。 紅綠燈、source map、版本與低信心提示應可稽核。 #### 第七條 供應商與雲端安全 - Anchor: `article-07` - Citation: [TOAI-SEC-001 第七條 供應商與雲端安全](documents/toai-sec-001.html#article-07) 使用雲端、模型 API、外部工具或委外服務前,須評估服務地區、資料處理、資安認證、事件通報、日誌、刪除、再委外、合約條款與退出方案。高風險供應商須經 Legal、Security/DPO 與 CTO 審查。 #### 第八條 日誌與監控 - Anchor: `article-08` - Citation: [TOAI-SEC-001 第八條 日誌與監控](documents/toai-sec-001.html#article-08) 關鍵系統應保存登入、權限異動、資料匯出、API 呼叫、模型請求、帶回、管理員操作、錯誤與異常用量紀錄。LOG 保留期間依合約與法令,未另定者至少六個月;涉及重大事件者保存至調查結束後至少五年。 #### 第九條 資安事件 - Anchor: `article-09` - Citation: [TOAI-SEC-001 第九條 資安事件](documents/toai-sec-001.html#article-09) 疑似資安事件包含帳號盜用、資料外洩、異常下載、API 濫用、模型成本異常、系統入侵、惡意提示攻擊、供應商事件或客戶通報。任何人知悉後應立即通報 Security/CTO,不得自行隱匿或刪除紀錄。 #### 第十條 稽核與改善 - Anchor: `article-10` - Citation: [TOAI-SEC-001 第十條 稽核與改善](documents/toai-sec-001.html#article-10) Security 至少每季檢查權限、雲端設定、重要供應商、日誌、漏洞與備份。重大缺失應指定 DRI、期限與驗收方式,並於治理會議追蹤。 ## TOAI-AI-001 AI 治理與 Medical ModelOps 管理辦法 - 文件名稱:AI 治理與 Medical ModelOps 管理辦法 - 文件編號:TOAI-AI-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CTO / AI Governance - 審閱部門:CTO、AI Governance、資安、法務、產品 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:版本、提示、模型、幻覺攔截、人機確認 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/11_AI治理與Medical_ModelOps管理辦法.md - HTML:documents/toai-ai-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-AI-001 第一條 目的](documents/toai-ai-001.html#article-01) 為管理 TaiOne Care GPT 及相關多代理 AI 系統之模型、提示、模板、資料、風險、版本、幻覺攔截、人機確認、稽核與生命週期,確保 AI 可審閱、可追蹤、可回溯,特訂定本辦法。 #### 第二條 AI 治理原則 - Anchor: `article-02` - Citation: [TOAI-AI-001 第二條 AI 治理原則](documents/toai-ai-001.html#article-02) Human-in-the-loop:AI 僅提供草稿、建議、摘要、提示或風險標示,正式醫療判斷與病歷須由醫護確認。 透明可追溯:AI 輸出應能說明來源、版本、審閱者、修改痕跡與責任邊界。 低信心提示:資料不足、來源不明或模型不確定時應標示,不得補寫不存在資訊。 不自動取代醫療判斷:AI 不下醫囑、不自動診斷、不自動出院、不自動帶回正式病歷。 風險分級:依用途、資料敏感度、對病人安全影響、自主程度及是否介接正式流程分級管理。 #### 第三條 AI 系統清冊 - Anchor: `article-03` - Citation: [TOAI-AI-001 第三條 AI 系統清冊](documents/toai-ai-001.html#article-03) 公司應建立 AI 系統與模型清冊,包含系統名稱、用途、客戶/場域、資料來源、模型或供應商、版本、提示/模板版本、風險等級、上線狀態、負責人、監控指標、事件紀錄與退場方案。 #### 第四條 版本管理 - Anchor: `article-04` - Citation: [TOAI-AI-001 第四條 版本管理](documents/toai-ai-001.html#article-04) 以下項目須版本化: 基礎模型、微調模型、模型路由策略。 prompt contract、提示模板、system instruction。 臨床模板、NANDA-I/ISBAR/SOAP 規則、紅綠燈規則。 source map、評估 rubric、低信心閾值。 API adapter、資料前處理與去識別化邏輯。 版本變更須記錄原因、測試結果、影響範圍、核准人與 rollback 方法。 #### 第五條 上線前評估 - Anchor: `article-05` - Citation: [TOAI-AI-001 第五條 上線前評估](documents/toai-ai-001.html#article-05) AI 功能上線前須完成: 用途與風險等級確認。 資料保護評估與資安檢查。 醫療安全邊界與禁用情境。 測試案例、紅綠燈、幻覺、資料不足、來源追溯測試。 醫護或 SME review。 操作說明、教育訓練與通報管道。 #### 第六條 幻覺與嚴重錯誤 - Anchor: `article-06` - Citation: [TOAI-AI-001 第六條 幻覺與嚴重錯誤](documents/toai-ai-001.html#article-06) 下列列為嚴重錯誤,應立即停止 assisted mode 或正式流程並啟動事件處理: 編造診斷、檢驗、藥物、處置或不存在資料。 將疑似寫成確診。 將範本 negative/normal 寫成病人實際狀態。 紅綠燈誤標、漏標或危急值未提取。 病歷優化改變臨床事實。 未經醫護確認即帶回或覆寫正式病歷。 可識別醫療資料未經授權外送。 #### 第七條 監控指標 - Anchor: `article-07` - Citation: [TOAI-AI-001 第七條 監控指標](documents/toai-ai-001.html#article-07) 每個 AI 功能至少監控: 使用量、開啟率、有效帶回率。 生成時間、逾時、成本。 醫護修改率、可用率、退回原因。 紅綠燈正確率、嚴重錯誤數。 資料不足提示、低信心提示與 source map 完整率。 客戶滿意度、客服事件、資安與個資事件。 #### 第八條 代理系統管理 - Anchor: `article-08` - Citation: [TOAI-AI-001 第八條 代理系統管理](documents/toai-ai-001.html#article-08) AI Agent 如具自主或半自主行動能力,須額外管理授權範圍、可執行動作、不可執行動作、人工確認點、操作日誌、失控停止條件與責任人。醫療照護情境之 AI Agent 不得在未經授權與醫護確認下執行可能影響病人安全之行動。 #### 第九條 委外模型與第三方服務 - Anchor: `article-09` - Citation: [TOAI-AI-001 第九條 委外模型與第三方服務](documents/toai-ai-001.html#article-09) 使用外部模型、API 或資料服務前,須檢查資料輸入、保存、訓練使用、跨境傳輸、供應鏈安全、可用性、成本、退出與替代方案。涉及醫療資料時須經 CTO、Security/DPO、Legal 核准。 #### 第十條 定期檢討 - Anchor: `article-10` - Citation: [TOAI-AI-001 第十條 定期檢討](documents/toai-ai-001.html#article-10) AI Governance 每季檢視 AI 清冊、重大版本、錯誤事件、監控指標與使用者回饋。高風險醫療 AI 功能至少每半年重測一次。 ## TOAI-RD-001 研發專案、版本品質與知識管理辦法 - 文件名稱:研發專案、版本品質與知識管理辦法 - 文件編號:TOAI-RD-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CTO / Product - 審閱部門:CTO、Product、資安、COO - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:Scrum、版本治理、品質、第二大腦 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/12_研發專案版本品質與知識管理辦法.md - HTML:documents/toai-rd-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-RD-001 第一條 目的](documents/toai-rd-001.html#article-01) 為使研發、產品、Clinical Harness Engineering、多代理 AI、BodyCam/BodyCard、API Adapter 與客戶導入成果可重複、可驗證、可維護,特訂定本辦法。 #### 第二條 研發原則 - Anchor: `article-02` - Citation: [TOAI-RD-001 第二條 研發原則](documents/toai-rd-001.html#article-02) 設計思考、敏捷 Scrum、Lean Startup cohort 並用。 每次導入都應沉澱為模板、流程、規格、驗收案例與知識庫,不得每案重寫。 臨床與技術決策須同時考量醫療安全、資安、個資、成本與可複製性。 高風險變更先測試、後上線,並保留 rollback。 #### 第三條 專案階段 - Anchor: `article-03` - Citation: [TOAI-RD-001 第三條 專案階段](documents/toai-rd-001.html#article-03) 研發與導入專案至少分為: Scope Lock:範圍、停做清單、成功指標、資料規則。 Workflow Mapping:臨床流程、資料來源、使用者痛點、介接點。 Template Configuration:模板、必填欄位、AI 可草擬欄位、風險規則。 Build:功能開發、API、RBAC、日誌、前後端與模型。 Validation:測試、醫護 review、資安、效能、紅綠燈與幻覺檢查。 Go-live:教育訓練、監控、客服、事件通報。 Retro:數據、使用者回饋、可複製資產與下版 roadmap。 #### 第四條 版本與變更 - Anchor: `article-04` - Citation: [TOAI-RD-001 第四條 版本與變更](documents/toai-rd-001.html#article-04) 所有重要產品、模板、模型、prompt、API、資料轉換、硬體韌體、操作手冊與維運手冊均應版本化。變更應分為 bug fix、minor、major、hotfix,並記錄影響、測試、核准與回復方式。 #### 第五條 品質門檻 - Anchor: `article-05` - Citation: [TOAI-RD-001 第五條 品質門檻](documents/toai-rd-001.html#article-05) 醫療 AI 功能不得僅以 Demo 可用作為交付標準。最低品質門檻包含: 生成內容不編造、不改變臨床事實。 醫護確認後才帶回。 source map、版本與 LOG 可追蹤。 資料不足有提示。 權限正確、個資安全。 效能與可用性符合合約或專案設定。 #### 第六條 知識管理 - Anchor: `article-06` - Citation: [TOAI-RD-001 第六條 知識管理](documents/toai-rd-001.html#article-06) 公司建立 AI 知識庫「第二大腦」,至少收錄: 客戶導入案例、影子流程、拒用原因。 臨床模板、異常案例、紅綠燈規則。 資安檢核、採購問答、HIS/NIS 介接限制。 驗收案例、UAT 回饋、客服事件。 可重複使用的 playbook、RACI、表單與教育訓練材料。 知識庫內容應分級管理,避免外洩本一營業秘密或客戶機敏資料。 #### 第七條 研發資產保護 - Anchor: `article-07` - Citation: [TOAI-RD-001 第七條 研發資產保護](documents/toai-rd-001.html#article-07) 原始碼、模型路由、prompt、source map、評估 rubric、IP roadmap 與資料前處理邏輯屬公司核心資產。未經授權不得複製、外傳、提供第三方或用於私人專案。 #### 第八條 測試紀錄 - Anchor: `article-08` - Citation: [TOAI-RD-001 第八條 測試紀錄](documents/toai-rd-001.html#article-08) 測試應保存測試案例、測試資料分級、結果、缺陷、修正、驗收人與版本。涉及醫療資料者應使用去識別化資料或客戶核准環境。 #### 第九條 技術債與風險 - Anchor: `article-09` - Citation: [TOAI-RD-001 第九條 技術債與風險](documents/toai-rd-001.html#article-09) 技術債、資安債、資料債與臨床風險應建立清單,按嚴重度、影響範圍、成本與客戶承諾排序。重大風險應進入週會或治理會議追蹤。 #### 第十條 修訂 - Anchor: `article-10` - Citation: [TOAI-RD-001 第十條 修訂](documents/toai-rd-001.html#article-10) 本辦法每年至少檢討一次;產品架構、醫療 AI 指引、AI 基本法配套、資安框架或客戶合約有重大變更時即時修訂。 ## TOAI-CS-001 客戶導入、驗收、維運與客服 SOP - 文件名稱:客戶導入、驗收、維運與客服 SOP - 文件編號:TOAI-CS-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/專案限定 - 主管部門:COO / Customer Success - 審閱部門:COO、Customer Success、CTO、法務 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:導入 playbook、驗收、SLA、教育訓練 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/13_客戶導入驗收維運與客服SOP.md - HTML:documents/toai-cs-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-CS-001 第一條 目的](documents/toai-cs-001.html#article-01) 為使醫療機構、居護、長照、公部門及其他客戶導入 TaiOne Care GPT 時,能以一致流程完成範圍鎖定、資料規則、教育訓練、驗收、維運與客服,特訂定本 SOP。 #### 第二條 導入原則 - Anchor: `article-02` - Citation: [TOAI-CS-001 第二條 導入原則](documents/toai-cs-001.html#article-02) 不改原工作流,以低摩擦嵌入既有 HIS/NIS/EMR 或照護流程。 AI 僅提供草稿、彙整、衛教、提示與風險 advisory。 醫護確認後才帶回正式紀錄。 病歷不出境,資料最小化,去識別化優先。 每次導入都要沉澱為可複製 playbook。 #### 第三條 導入階段 - Anchor: `article-03` - Citation: [TOAI-CS-001 第三條 導入階段](documents/toai-cs-001.html#article-03) 階段 / 目標 / 產出 Phase 0 Scope Lock / 範圍、停做清單、窗口、資料規則 / Scope one-pager、RACI、資料規則 Phase 1 Workflow Mapping / 現場流程、痛點、資料來源、介接點 / 流程圖、訪談紀錄、欄位對照 Phase 2 Template Config / 模板、AI 規則、紅綠燈、必填 / 模板 v1、欄位狀態表 Phase 3 Build / 系統、API、權限、LOG、模型 / 測試版、技術規格 Phase 4 Validation / UAT、資安、效能、醫護 review / 驗證報告、缺陷清單 Phase 5 Go-live / 教育、上線、監控、客服 / 操作手冊、維運手冊、教育紀錄 Phase 6 Retro / 數據復盤、擴模組、續約 / 使用報告、改善計畫 #### 第四條 RACI - Anchor: `article-04` - Citation: [TOAI-CS-001 第四條 RACI](documents/toai-cs-001.html#article-04) 每案啟動前應建立客戶與本一 RACI。至少指定本一 PM/DRI、Clinical Lead、Engineering Lead、Security/DPO、Customer Success、Finance/Contract owner,以及客戶之醫療、資訊、品管、採購與使用單位窗口。 #### 第五條 驗收管理 - Anchor: `article-05` - Citation: [TOAI-CS-001 第五條 驗收管理](documents/toai-cs-001.html#article-05) 驗收指標依合約與專案設定,醫療 AI 專案應至少檢查: AI 生成反應時間。 有效帶回率或採用率。 嚴重錯誤 0 件。 紅綠燈與資料不足提示正確。 source map、LOG、版本可追蹤。 權限、去識別化、資料留存、刪除。 操作手冊、維運手冊、教育訓練紀錄。 #### 第六條 教育訓練 - Anchor: `article-06` - Citation: [TOAI-CS-001 第六條 教育訓練](documents/toai-cs-001.html#article-06) 教育訓練應依角色分組,至少包含: 醫護使用者:AI 草稿、編修、確認、帶回、停止條件。 資訊室:權限、API、LOG、事件通報、資安。 品管/病歷:格式、必填、稽核、退件原因。 管理者:使用指標、成效、風險與擴充條件。 #### 第七條 維運與客服 - Anchor: `article-07` - Citation: [TOAI-CS-001 第七條 維運與客服](documents/toai-cs-001.html#article-07) 維運期間應建立客服管道、問題分級、回覆時限、升級程序、版本更新與月度或季度使用報告。問題分級: S1:病人安全、個資、資安、未經確認帶回、系統中斷。 S2:嚴重功能錯誤、紅綠燈錯誤、重要流程不可用。 S3:一般錯誤、模板問題、使用疑問。 S4:改善建議、教育訓練、報表需求。 S1 應立即通報 CTO、COO、Security/DPO 與客戶窗口。 #### 第八條 變更管理 - Anchor: `article-08` - Citation: [TOAI-CS-001 第八條 變更管理](documents/toai-cs-001.html#article-08) 客戶新增科別、模組、資料來源、API、驗收標準或責任邊界,須以 change log 記錄,評估費用、時程、資安、個資、AI 風險與合約影響,必要時簽署變更單。 #### 第九條 文件交付 - Anchor: `article-09` - Citation: [TOAI-CS-001 第九條 文件交付](documents/toai-cs-001.html#article-09) 交付文件應分級。客戶可取得必要操作、維運、API 摘要、驗收與教育資料;本一完整底層設計、prompt、source map、模型路由、IP roadmap 不得提供,除非另有核准與 NDA。 #### 第十條 專案結束與續約 - Anchor: `article-10` - Citation: [TOAI-CS-001 第十條 專案結束與續約](documents/toai-cs-001.html#article-10) 專案結束或保固期屆滿前,Customer Success 應彙整使用量、成效、問題、改善、擴充機會、成本與續約建議,提交 COO 與 CFO/CSO。 ## TOAI-OPS-001 供應商、委外、第三方服務與雲端管理辦法 - 文件名稱:供應商、委外、第三方服務與雲端管理辦法 - 文件編號:TOAI-OPS-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:Operations / Security - 審閱部門:Operations、Security、CFO/CSO、法務 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:委外監督、雲端與模型供應商、共契 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/14_供應商委外第三方服務與雲端管理辦法.md - HTML:documents/toai-ops-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-OPS-001 第一條 目的](documents/toai-ops-001.html#article-01) 為管理供應商、顧問、外包、雲端、模型 API、硬體、資安、人資、會計、法務、智財與其他第三方服務,降低資料、資安、交付、財務與合規風險,特訂定本辦法。 #### 第二條 供應商分類 - Anchor: `article-02` - Citation: [TOAI-OPS-001 第二條 供應商分類](documents/toai-ops-001.html#article-02) 一般供應商:辦公、行銷、活動、一般工具。 專業顧問:法務、會計、人資、智財、資安、管理顧問。 技術供應商:雲端、模型、SaaS、API、資料工具、開發外包。 醫療資料相關供應商:可能接觸個資、病歷、客戶系統或醫療場域。 關鍵供應商:停用將影響正式服務、客戶交付、資安或營收。 #### 第三條 風險評估 - Anchor: `article-03` - Citation: [TOAI-OPS-001 第三條 風險評估](documents/toai-ops-001.html#article-03) 委外前應評估: 服務內容與必要性。 是否接觸個資、醫療資料、客戶機敏或本一營業秘密。 資安認證、存取控制、日誌、事件通報。 服務地區、資料跨境、再委外。 財務條件、付款、SLA、退出方案。 是否為關係人或存在利益衝突。 #### 第四條 合約要求 - Anchor: `article-04` - Citation: [TOAI-OPS-001 第四條 合約要求](documents/toai-ops-001.html#article-04) 高風險與關鍵供應商合約應包含保密、資料處理範圍、安全措施、再委外限制、刪除/返還、事件通報、稽核權、服務水準、責任、終止與交接條款。 #### 第五條 雲端與模型供應商 - Anchor: `article-05` - Citation: [TOAI-OPS-001 第五條 雲端與模型供應商](documents/toai-ops-001.html#article-05) 雲端與模型供應商應額外檢查: 客戶資料是否被用於訓練。 資料保存、刪除與日誌。 區域、跨境傳輸與資料主權。 API 穩定性、成本、限流與備援。 安全白皮書、認證、漏洞通報。 可否支援地端、私有雲或客戶核准架構。 #### 第六條 供應商台帳 - Anchor: `article-06` - Citation: [TOAI-OPS-001 第六條 供應商台帳](documents/toai-ops-001.html#article-06) Operations 應建立供應商台帳,包含名稱、服務、負責人、合約期間、付款、風險等級、資料接觸類型、資安審查、關係人標註、續約日期與退出方案。 #### 第七條 存取管理 - Anchor: `article-07` - Citation: [TOAI-OPS-001 第七條 存取管理](documents/toai-ops-001.html#article-07) 供應商如需存取公司或客戶系統,須採最小權限、期間限制、個人帳號、MFA 與日誌。專案結束或合約終止時應立即移除權限。 #### 第八條 定期檢查 - Anchor: `article-08` - Citation: [TOAI-OPS-001 第八條 定期檢查](documents/toai-ops-001.html#article-08) 關鍵與高風險供應商至少每年復核一次。若發生資安事件、服務中斷、價格大幅變更、法規變動或客戶要求,應即重新評估。 #### 第九條 禁止事項 - Anchor: `article-09` - Citation: [TOAI-OPS-001 第九條 禁止事項](documents/toai-ops-001.html#article-09) 不得未經核准將客戶病歷、本一 prompt、source map、模型路由、IP map 或未公開財務資料交付供應商。不得以個人帳號註冊關鍵公司服務並作為正式營運唯一帳號。 #### 第十條 退出與交接 - Anchor: `article-10` - Citation: [TOAI-OPS-001 第十條 退出與交接](documents/toai-ops-001.html#article-10) 終止供應商合作時,應取得資料刪除或返還證明、停用帳號、移轉文件、確認未結費用與未完成交付,並更新供應商台帳。 ## TOAI-BCP-001 事件通報、危機處理與營運持續管理辦法 - 文件名稱:事件通報、危機處理與營運持續管理辦法 - 文件編號:TOAI-BCP-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CEO Office / Security - 審閱部門:CEO Office、Security、COO、法務 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:個資、資安、AI、服務中斷、PR - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/15_事件通報危機處理與營運持續管理辦法.md - HTML:documents/toai-bcp-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-BCP-001 第一條 目的](documents/toai-bcp-001.html#article-01) 為快速處理資安、個資、AI 錯誤、醫療安全、服務中斷、客戶重大客訴、財務與公關危機,維持營運持續與利害關係人信任,特訂定本辦法。 #### 第二條 事件分類 - Anchor: `article-02` - Citation: [TOAI-BCP-001 第二條 事件分類](documents/toai-bcp-001.html#article-02) 資安事件:入侵、帳號盜用、資料外洩、惡意程式、供應商資安事件。 個資事件:個資被竊取、竄改、毀損、滅失或洩漏。 AI 安全事件:幻覺、紅綠燈誤標、未經確認帶回、模型輸出可能誤導醫療。 服務事件:系統中斷、延遲、API 故障、雲端或模型供應商不可用。 客戶事件:重大客訴、驗收爭議、合約違約風險。 財務事件:現金跑道低於警戒、重大應收逾期、保證金或付款爭議。 公關事件:媒體、社群、政府、投資人或醫療機構信任風險。 #### 第三條 嚴重度分級 - Anchor: `article-03` - Citation: [TOAI-BCP-001 第三條 嚴重度分級](documents/toai-bcp-001.html#article-03) 分級 / 定義 / 時限 P1 / 病人安全、個資外洩、系統大範圍中斷、重大媒體或合約危機 / 立即通報,2 小時內成立小組 P2 / 單一客戶關鍵功能受影響、AI 嚴重錯誤、重要資安警訊 / 4 小時內處理 P3 / 一般功能異常、客服事件、可控延遲 / 1 個工作日內回覆 P4 / 改善建議、非急迫問題 / 依排程處理 #### 第四條 通報路徑 - Anchor: `article-04` - Citation: [TOAI-BCP-001 第四條 通報路徑](documents/toai-bcp-001.html#article-04) 任何人知悉 P1/P2 事件應立即通報直屬主管、Security、CTO、COO 與專案 DRI。涉及個資須通報 DPO;涉及合約或媒體須通報 Legal、CFO/CSO 與 CEO。 不得因擔心責任、客戶反應或送件形象而延遲通報。 #### 第五條 事件處理流程 - Anchor: `article-05` - Citation: [TOAI-BCP-001 第五條 事件處理流程](documents/toai-bcp-001.html#article-05) Detect:確認事件與初步範圍。 Contain:停止擴大,必要時停用功能、停 assisted mode、撤回權限。 Assess:判定影響人數、資料類型、客戶、系統、財務與法律責任。 Notify:依合約、個資法、主管機關與客戶要求通知或通報。 Recover:修復、復原、補救、監控。 Review:根因分析、改善計畫、責任與制度修訂。 #### 第六條 AI 事件停止條件 - Anchor: `article-06` - Citation: [TOAI-BCP-001 第六條 AI 事件停止條件](documents/toai-bcp-001.html#article-06) 如發生 AI 編造、紅綠燈誤標、疑似寫成確診、病歷優化改變事實、未經醫護確認帶回、資料不足卻補寫或可識別病歷外送,應立即停止相關功能正式流程,退回 shadow mode 或下線,直至 CTO 與 AI Governance 核准恢復。 #### 第七條 對外溝通 - Anchor: `article-07` - Citation: [TOAI-BCP-001 第七條 對外溝通](documents/toai-bcp-001.html#article-07) 對外聲明、客戶通知、媒體回覆、政府或主管機關溝通須由 CEO 或指定窗口統一。技術人員不得自行對外承認責任、承諾賠償、提供未確認原因或揭露客戶資料。 #### 第八條 營運持續 - Anchor: `article-08` - Citation: [TOAI-BCP-001 第八條 營運持續](documents/toai-bcp-001.html#article-08) 公司應維持關鍵系統、雲端、原始碼、文件、合約台帳、財務資料與客戶服務之備份、替代流程與責任人。關鍵供應商應有替代方案或降級模式。 #### 第九條 事件紀錄 - Anchor: `article-09` - Citation: [TOAI-BCP-001 第九條 事件紀錄](documents/toai-bcp-001.html#article-09) 事件紀錄應包含時間線、通報人、影響範圍、資料類型、處理措施、對外通知、根因、改善事項、責任人與驗收結果。P1/P2 事件須納入治理會議追蹤。 #### 第十條 演練 - Anchor: `article-10` - Citation: [TOAI-BCP-001 第十條 演練](documents/toai-bcp-001.html#article-10) 公司每年至少辦理一次資安/個資/AI 事件桌上演練;醫療 AI 高風險專案上線前,應完成客戶事件通報與停止條件演練。 ## TOAI-IP-001 智慧財產、營業秘密與對外揭露管理辦法 - 文件名稱:智慧財產、營業秘密與對外揭露管理辦法 - 文件編號:TOAI-IP-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CTO / Legal - 審閱部門:CTO、法務、CEO - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:IP map、專利申請中、prompt/source map 保護 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/16_智慧財產營業秘密與對外揭露管理辦法.md - HTML:documents/toai-ip-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-IP-001 第一條 目的](documents/toai-ip-001.html#article-01) 為保護本一科技之專利、商標、著作、營業秘密、Clinical Harness Engineering、Medical ModelOps、prompt、source map、模型路由、客戶導入 playbook 與商業 know-how,特訂定本辦法。 #### 第二條 IP 範圍 - Anchor: `article-02` - Citation: [TOAI-IP-001 第二條 IP 範圍](documents/toai-ip-001.html#article-02) 公司智慧財產與營業秘密包含: 專利申請、技轉授權、IP map 與三期布局。 TaiOne Care GPT、Clinical Harness Engineering、Medical ModelOps 品牌與方法。 原始碼、模型、prompt contract、source map、評估 rubric、紅綠燈規則。 客戶導入 playbook、RACI、驗收案例、教育訓練教材。 報價、合約、客戶名單、成本、usage ledger、財務模型。 未公開產品 roadmap、募資、策略合作與 DD 文件。 #### 第三條 權利歸屬 - Anchor: `article-03` - Citation: [TOAI-IP-001 第三條 權利歸屬](documents/toai-ip-001.html#article-03) 員工、顧問、委外或合作人員於公司職務、委託或使用公司資源所完成之成果,除契約另有約定外,應依契約、著作權、專利、營業秘密與公司規範歸屬公司或由公司取得必要授權。 #### 第四條 IP Map - Anchor: `article-04` - Citation: [TOAI-IP-001 第四條 IP Map](documents/toai-ip-001.html#article-04) CTO 與 Legal 應維護 IP map,包含技術名稱、權利類型、發明人/創作者、申請/登記狀態、權利人、授權關係、對應產品、對外揭露狀態、風險與下階段行動。 #### 第五條 對外揭露分級 - Anchor: `article-05` - Citation: [TOAI-IP-001 第五條 對外揭露分級](documents/toai-ip-001.html#article-05) 類別 / 可揭露範圍 公開敘事 / 願景、使命、GPT 定義、已公開獎項與產品定位 客戶摘要 / 架構摘要、安全邊界、交付流程、驗收指標 NDA 後揭露 / 必要 API、專案規格、交付文件摘要 原則禁止 / prompt 全文、模型路由、source map 內部設計、IP roadmap、未公開專利細節 #### 第六條 專利與發表 - Anchor: `article-06` - Citation: [TOAI-IP-001 第六條 專利與發表](documents/toai-ip-001.html#article-06) 涉及可申請專利、營業秘密或尚未公開技術之內容,在論文、簡報、獎項、新聞稿、官網、投標文件或客戶簡報揭露前,須由 CTO 與 Legal 審查。專利申請中應保守表述,不得寫成已核准。 #### 第七條 客戶與第三方文件 - Anchor: `article-07` - Citation: [TOAI-IP-001 第七條 客戶與第三方文件](documents/toai-ip-001.html#article-07) 客戶交付文件應區分高層摘要版、專案交付版與完整內部版。客戶可取得驗收所需內容,但不得取得可複製本一核心方法論或用於第三方招標之完整內部包,除非合約另有明確授權。 #### 第八條 保密措施 - Anchor: `article-08` - Citation: [TOAI-IP-001 第八條 保密措施](documents/toai-ip-001.html#article-08) Trade Secret 文件應採取合理保密措施,包括分級標示、權限控管、NDA、匯出紀錄、必要知悉、教育訓練與離職保密重申。未採合理保密措施之資訊不得任意視為受保護營業秘密。 #### 第九條 違規處理 - Anchor: `article-09` - Citation: [TOAI-IP-001 第九條 違規處理](documents/toai-ip-001.html#article-09) 未經授權揭露、複製、轉交、使用或使第三方取得公司 IP 與營業秘密者,公司得依契約、民刑事法律與內部規範處理,並要求刪除、返還、停止使用與賠償。 #### 第十條 定期檢討 - Anchor: `article-10` - Citation: [TOAI-IP-001 第十條 定期檢討](documents/toai-ip-001.html#article-10) IP map 與對外揭露清單至少每季更新一次;重大送件、投標、募資、技轉、國際試點或專利申請前應另行檢查。 ## TOAI-ESG-001 ESG 與責任 AI 治理指標管理辦法 - 文件名稱:ESG 與責任 AI 治理指標管理辦法 - 文件編號:TOAI-ESG-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CEO Office - 審閱部門:CEO Office、COO、法務、HR - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:E/S/G 指標、責任 AI、醫護減壓與健康平權 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/17_ESG與責任AI治理指標管理辦法.md - HTML:documents/toai-esg-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-ESG-001 第一條 目的](documents/toai-esg-001.html#article-01) 為將本一科技「信任 Trust、洞察 Insight、優化 Optimization」落實為環境、社會、治理與責任 AI 指標,建立可被客戶、政府、投資人與員工檢視之管理制度,特訂定本辦法。 #### 第二條 管理原則 - Anchor: `article-02` - Citation: [TOAI-ESG-001 第二條 管理原則](documents/toai-esg-001.html#article-02) ESG 不作為口號,應嵌入產品設計、營運流程與資本治理。 責任 AI 以安全、透明、問責、人類自主、隱私保護、資料治理、公平不歧視與永續為核心。 指標應可量化、可查核、可追蹤,不誇大未驗證成效。 #### 第三條 E 環境指標 - Anchor: `article-03` - Citation: [TOAI-ESG-001 第三條 E 環境指標](documents/toai-esg-001.html#article-03) 本公司以數位優先、無紙化、雲端成本治理與硬體試產控管降低環境負擔。E 指標包含: 每案紙本減量估算。 返所補登比例下降。 AI 生成紀錄採用率。 雲端/token 單位成本。 模型路由、快取與小模型化成效。 硬體 BOM 成本、試產報廢率。 #### 第四條 S 社會指標 - Anchor: `article-04` - Citation: [TOAI-ESG-001 第四條 S 社會指標](documents/toai-esg-001.html#article-04) S 指標包含: 醫護節省時間。 高風險個案提示、漏記、客訴與品質改善。 中小場域導入比例。 護理師、醫師、照護人員滿意度。 員工多元友善、教育訓練與留任。 不要求員工揭露敏感身分,尊重 LGBTQ+ 與家庭照顧責任。 #### 第五條 G 治理指標 - Anchor: `article-05` - Citation: [TOAI-ESG-001 第五條 G 治理指標](documents/toai-esg-001.html#article-05) G 指標包含: 月結完成率。 RACI 留痕率。 重大決策紀錄完整率。 合約台帳與 IP map 更新率。 資安事件、個資事件、AI 嚴重錯誤數。 AI 稽核紀錄、human-in-the-loop 達成率。 關係人交易揭露與利益迴避紀錄。 #### 第六條 責任 AI 指標 - Anchor: `article-06` - Citation: [TOAI-ESG-001 第六條 責任 AI 指標](documents/toai-esg-001.html#article-06) 責任 AI 應至少追蹤: AI 生成內容可追溯比例。 醫護確認後帶回比例。 資料不足提示與低信心提示比例。 紅綠燈正確率與嚴重錯誤。 客戶教育訓練覆蓋率。 高風險功能上線前評估完成率。 #### 第七條 對外揭露 - Anchor: `article-07` - Citation: [TOAI-ESG-001 第七條 對外揭露](documents/toai-esg-001.html#article-07) 對外揭露 ESG 或責任 AI 成果時,應標示資料期間、來源、口徑與限制。不得將管理口徑或預估指標描述為已完成、已認證或已正式稽核,除非有正式佐證。 #### 第八條 治理儀表板 - Anchor: `article-08` - Citation: [TOAI-ESG-001 第八條 治理儀表板](documents/toai-esg-001.html#article-08) CEO Office 應建立 ESG 與責任 AI 管理儀表板,按月或按季更新,並於季度治理檢視會議討論。重大偏差應指定 DRI 與改善期限。 #### 第九條 利害關係人 - Anchor: `article-09` - Citation: [TOAI-ESG-001 第九條 利害關係人](documents/toai-esg-001.html#article-09) 公司應定期盤點病人、醫護、醫院管理者、照護機構、政府、員工、供應商、股東、投資人與社會之利害關係人需求,並將重大議題納入 OKR 或治理追蹤。 #### 第十條 修訂 - Anchor: `article-10` - Citation: [TOAI-ESG-001 第十條 修訂](documents/toai-esg-001.html#article-10) 本辦法至少每年檢討一次;若 AI 基本法配套、醫療 AI 指引、ESG 揭露要求或投資人 DD 要求更新,應即修訂。 ## TOAI-ETH-001 誠信經營、反貪腐、贈禮招待與檢舉制度 - 文件名稱:誠信經營、反貪腐、贈禮招待與檢舉制度 - 文件編號:TOAI-ETH-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CEO Office / Legal - 審閱部門:CEO Office、法務、HR、CFO/CSO - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:政府採購、醫療機構、公部門合作倫理 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/18_誠信經營反貪腐贈禮招待與檢舉制度.md - HTML:documents/toai-eth-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-ETH-001 第一條 目的](documents/toai-eth-001.html#article-01) 為維持本一科技於醫療機構、公部門、政府採購、共契、補助、投資人與供應商合作中之誠信與透明,防止賄賂、回扣、不當利益、請託關說、利益衝突與違反商業倫理行為,特訂定本制度。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-ETH-001 第二條 適用範圍](documents/toai-eth-001.html#article-02) 適用於董事、經理人、員工、顧問、代理人、供應商、合作夥伴及代表公司接觸客戶、政府、醫療機構、學研單位或媒體之人員。 #### 第三條 禁止不誠信行為 - Anchor: `article-03` - Citation: [TOAI-ETH-001 第三條 禁止不誠信行為](documents/toai-eth-001.html#article-03) 不得直接或間接提供、承諾、要求或收受任何不正當利益,包括金錢、禮品、佣金、回扣、招待、旅遊、職務機會、捐贈、贊助、折扣、政治獻金或其他有價利益,以取得或維持交易、採購、驗收、補助、投資或其他不當利益。 #### 第四條 贈禮與招待 - Anchor: `article-04` - Citation: [TOAI-ETH-001 第四條 贈禮與招待](documents/toai-eth-001.html#article-04) 合理、低價值且符合商業禮節之贈禮或招待,須符合公開透明、非現金、非頻繁、無對價期待、不得影響決策之原則。涉及醫療機構、公務員、政府採購、公部門或準公部門者,原則上不得提供任何可能被認定影響採購、公務或專業判斷之利益。 #### 第五條 捐贈、贊助與活動 - Anchor: `article-05` - Citation: [TOAI-ETH-001 第五條 捐贈、贊助與活動](documents/toai-eth-001.html#article-05) 任何捐贈、贊助、教育活動、研討會、行銷活動或公益合作,應載明目的、對象、金額、來源、受益人、核准人及是否涉及客戶或政府採購。不得以捐贈或贊助規避贈禮招待限制。 #### 第六條 政府採購與公部門接觸 - Anchor: `article-06` - Citation: [TOAI-ETH-001 第六條 政府採購與公部門接觸](documents/toai-eth-001.html#article-06) 參與政府採購、共同供應契約、補助或公部門合作時,應保存招標文件、投標文件、會議紀錄、問答、報價、變更、驗收與收款資料。不得私下接觸採購評選委員、提供不當利益、要求內線資訊或以不實資料取得資格。 #### 第七條 檢舉制度 - Anchor: `article-07` - Citation: [TOAI-ETH-001 第七條 檢舉制度](documents/toai-eth-001.html#article-07) 公司設置檢舉管道,由 CEO Office、Legal 或指定外部顧問受理。檢舉得具名或匿名。公司應保密處理,不得對檢舉人、證人或協助調查者報復。 #### 第八條 調查與處理 - Anchor: `article-08` - Citation: [TOAI-ETH-001 第八條 調查與處理](documents/toai-eth-001.html#article-08) 受理後應初步判斷事件性質、保存證據、避免利益衝突人員參與調查。查證屬實者,依情節採取教育、警告、調職、停權、終止契約、求償或司法通報。 #### 第九條 教育訓練 - Anchor: `article-09` - Citation: [TOAI-ETH-001 第九條 教育訓練](documents/toai-eth-001.html#article-09) 所有主管、BD、採購、財務、客戶導入與政府計畫相關人員,每年至少完成一次誠信經營與反貪腐訓練。 #### 第十條 紀錄保存 - Anchor: `article-10` - Citation: [TOAI-ETH-001 第十條 紀錄保存](documents/toai-eth-001.html#article-10) 贈禮招待、贊助、檢舉、調查、政府採購接觸與改善紀錄,至少保存五年;涉及合約、會計、訴訟或主管機關調查者,保存至事件終結後五年或法令較長期間。 ## TOAI-HR-003 工作規則與員工手冊 - 文件名稱:工作規則與員工手冊 - 文件編號:TOAI-HR-003 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件 - 主管部門:HR / COO - 審閱部門:HR、COO、法務、會計 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:勞動條件、工作紀律、福利與基本管理規則 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/19_工作規則與員工手冊.md - HTML:documents/toai-hr-003.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-HR-003 第一條 目的](documents/toai-hr-003.html#article-01) 為明確規範勞動條件、工作秩序、薪資、工時、休假、福利、獎懲、職安、保密與申訴,保障員工權益並維持公司營運秩序,特訂定本手冊。若公司人數達法定門檻,應依法將工作規則報請主管機關核備並公開揭示。 #### 第二條 適用對象 - Anchor: `article-02` - Citation: [TOAI-HR-003 第二條 適用對象](documents/toai-hr-003.html#article-02) 適用於本一科技全體員工。兼職、實習、顧問、委任或承攬人員依契約及公司公告適用全部或部分規範。 #### 第三條 任用與服務 - Anchor: `article-03` - Citation: [TOAI-HR-003 第三條 任用與服務](documents/toai-hr-003.html#article-03) 員工應依公司錄用通知、勞動契約、職務說明與主管指派執行工作。涉及個資、醫療資料、資安、AI 模型、財務、合約、客戶機敏與營業秘密之職務,須完成保密、資安與資料治理訓練。 #### 第四條 工作時間與出勤 - Anchor: `article-04` - Citation: [TOAI-HR-003 第四條 工作時間與出勤](documents/toai-hr-003.html#article-04) 工作時間、休息、休假、加班與補休依勞動法令、勞動契約及公司公告辦理。員工應如實記錄出勤;遠距工作亦應遵守工時、保密、資安與成果回報要求。 #### 第五條 請假與休假 - Anchor: `article-05` - Citation: [TOAI-HR-003 第五條 請假與休假](documents/toai-hr-003.html#article-05) 例假、休息日、國定假日、特別休假、病假、事假、公假、婚喪假、產假、陪產檢及陪產假、育嬰留停、家庭照顧假及其他假別,依法令及公司公告辦理。 #### 第六條 工資、津貼與獎金 - Anchor: `article-06` - Citation: [TOAI-HR-003 第六條 工資、津貼與獎金](documents/toai-hr-003.html#article-06) 工資依契約約定定期給付,並提供薪資明細。加班費、津貼、獎金、專案獎勵、股權或其他福利如有發給,依公司制度、核准文件或另行公告辦理。 #### 第七條 工作紀律 - Anchor: `article-07` - Citation: [TOAI-HR-003 第七條 工作紀律](documents/toai-hr-003.html#article-07) 員工應遵守法令、公司制度、客戶場域規範、醫療安全、資安、個資、AI 使用與保密要求。不得偽造資料、隱匿事件、未經授權對外承諾、未經確認使用 AI 輸出於正式醫療文件、未經授權下載或外傳機密。 #### 第八條 職業安全與健康 - Anchor: `article-08` - Citation: [TOAI-HR-003 第八條 職業安全與健康](documents/toai-hr-003.html#article-08) 公司應提供適當工作環境,預防職業災害。遠距與客戶場域工作亦應注意資訊安全、人身安全與身心健康。員工若因工作產生過度壓力、事故或安全疑慮,得向主管、HR 或申訴窗口反映。 #### 第九條 獎懲與績效 - Anchor: `article-09` - Citation: [TOAI-HR-003 第九條 獎懲與績效](documents/toai-hr-003.html#article-09) 獎懲應基於事實、證據、比例原則與平等原則。績效評估不得因性別、性傾向、性別認同、婚姻、家庭照顧、年齡、族群、身心狀況或其他不合理因素差別待遇。 #### 第十條 保密與智財 - Anchor: `article-10` - Citation: [TOAI-HR-003 第十條 保密與智財](documents/toai-hr-003.html#article-10) 員工於任職期間及離職後,均應遵守保密、個資、智財與營業秘密義務。職務成果、文件、程式、模型、prompt、source map、模板、客戶資料與商業資料,依契約與公司規範歸屬或授權公司使用。 #### 第十一條 申訴與溝通 - Anchor: `article-11` - Citation: [TOAI-HR-003 第十一條 申訴與溝通](documents/toai-hr-003.html#article-11) 員工對勞動條件、歧視、騷擾、霸凌、違規、資安或公司治理事項有疑義,得透過 HR、主管、Legal、CEO Office 或檢舉管道提出。公司應保密且不得報復。 #### 第十二條 修訂 - Anchor: `article-12` - Citation: [TOAI-HR-003 第十二條 修訂](documents/toai-hr-003.html#article-12) 本手冊經公司核准後公告施行。修訂時應告知員工;依法需報核者,依主管機關程序辦理。 ## TOAI-HR-004 招募甄選、任用與到離職 SOP - 文件名稱:招募甄選、任用與到離職 SOP - 文件編號:TOAI-HR-004 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:HR / COO - 審閱部門:HR、COO、法務、會計 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:面試、任用、到職、離職、服務證明與交接 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/20_招募甄選任用與到離職SOP.md - HTML:documents/toai-hr-004.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-HR-004 第一條 目的](documents/toai-hr-004.html#article-01) 為建立合規、公平、可追蹤之招募、甄選、任用、到職、試用、異動、離職與交接流程,特訂定本 SOP。 #### 第二條 職缺申請 - Anchor: `article-02` - Citation: [TOAI-HR-004 第二條 職缺申請](documents/toai-hr-004.html#article-02) 用人主管提出職缺時,應載明職務名稱、工作內容、必要能力、薪資區間、預算來源、任用型態、是否接觸個資/醫療資料/營業秘密、面試流程與預計到職日。 #### 第三條 招募與面試 - Anchor: `article-03` - Citation: [TOAI-HR-004 第三條 招募與面試](documents/toai-hr-004.html#article-03) 職缺資訊應真實,不得不實廣告。未達法定薪資揭示門檻之職缺,應依就業服務法及主管機關要求揭示薪資範圍。面試不得詢問與工作無關之敏感個資、婚育、性傾向、政治、宗教、家庭型態或健康資訊,除非有法定或職務必要且已告知合法目的。 #### 第四條 錄取與任用 - Anchor: `article-04` - Citation: [TOAI-HR-004 第四條 錄取與任用](documents/toai-hr-004.html#article-04) 錄取前應完成職務適配、薪資、任用型態、利益衝突、競業與保密風險檢查。錄取通知應載明職務、薪資、到職日、試用或評估安排、報到文件與保密/資安要求。 #### 第五條 到職程序 - Anchor: `article-05` - Citation: [TOAI-HR-004 第五條 到職程序](documents/toai-hr-004.html#article-05) 到職第一週應完成: 勞動契約或相關服務契約。 個資告知、保密、智財與資安承諾。 勞健保、勞退、薪資帳戶與人事資料建檔。 帳號與權限申請。 新人訓練:公司治理、資安、個資、AI 使用、反騷擾、職務 RACI。 試用/評估目標與 30/60/90 天檢核點。 #### 第六條 試用與適任評估 - Anchor: `article-06` - Citation: [TOAI-HR-004 第六條 試用與適任評估](documents/toai-hr-004.html#article-06) 若設試用或適任評估期間,應明確約定目標、輔導、回饋與評估方式。評估不得任意、歧視或違反勞動法令。 #### 第七條 異動 - Anchor: `article-07` - Citation: [TOAI-HR-004 第七條 異動](documents/toai-hr-004.html#article-07) 職務、薪資、主管、工作地點、遠距安排或權限異動,應有書面紀錄與必要同意。調動應符合工作必要、能力可勝任、不不利變更、不過度影響生活利益及必要協助。 #### 第八條 離職程序 - Anchor: `article-08` - Citation: [TOAI-HR-004 第八條 離職程序](documents/toai-hr-004.html#article-08) 離職包含自請離職、契約期滿、資遣、終止或其他法定情形。離職前應完成: 未結工作與客戶事項交接。 文件、程式、資料、合約、台帳與知識庫歸檔。 公司設備、門禁、帳號、金鑰、雲端權限返還或停用。 保密、個資、智財與競業義務確認。 薪資、未休假、費用、勞健保與勞退結算。 #### 第九條 服務證明 - Anchor: `article-09` - Citation: [TOAI-HR-004 第九條 服務證明](documents/toai-hr-004.html#article-09) 員工離職時請求服務證明書,公司不得拒絕。證明內容以服務期間、職稱、工作性質等客觀資料為原則。 #### 第十條 紀錄保存 - Anchor: `article-10` - Citation: [TOAI-HR-004 第十條 紀錄保存](documents/toai-hr-004.html#article-10) 招募、面試、任用、到離職、人事、薪資、投保、權限與交接紀錄,依個資與人資保存規範管理。 ## TOAI-HR-005 薪資、出勤、請假、加班、遠距與勞健保 SOP - 文件名稱:薪資、出勤、請假、加班、遠距與勞健保 SOP - 文件編號:TOAI-HR-005 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:HR / Finance - 審閱部門:HR、COO、法務、會計 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:薪資、工時、加班、投退保、勞退提繳 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/21_薪資出勤請假加班遠距與勞健保SOP.md - HTML:documents/toai-hr-005.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-HR-005 第一條 目的](documents/toai-hr-005.html#article-01) 為確保薪資、工時、加班、休假、遠距工作、勞保、健保與勞退提繳符合法令與公司管理需求,特訂定本 SOP。 #### 第二條 薪資結構 - Anchor: `article-02` - Citation: [TOAI-HR-005 第二條 薪資結構](documents/toai-hr-005.html#article-02) 薪資包含本薪、固定津貼、依法或公司制度發給之加班費、獎金、專案獎勵或其他給付。薪資異動須經主管、HR、Finance 及核決權限核准。 #### 第三條 發薪與薪資明細 - Anchor: `article-03` - Citation: [TOAI-HR-005 第三條 發薪與薪資明細](documents/toai-hr-005.html#article-03) 公司依約定日期以轉帳方式給付薪資,並提供薪資明細。不得預扣工資作為違約金或賠償費用。扣款應有法律依據或員工同意,並留存紀錄。 #### 第四條 出勤紀錄 - Anchor: `article-04` - Citation: [TOAI-HR-005 第四條 出勤紀錄](documents/toai-hr-005.html#article-04) 員工每日出勤應依公司指定方式紀錄至分鐘。遠距工作、客戶場域、出差或彈性工時仍應保存可查核紀錄。出勤紀錄至少保存五年。 #### 第五條 加班與補休 - Anchor: `article-05` - Citation: [TOAI-HR-005 第五條 加班與補休](documents/toai-hr-005.html#article-05) 加班應事前申請並經主管核准;緊急事件可事後補登。加班費或補休依勞動法令與公司制度辦理。不得以未申請為由否認已受公司指揮監督之實際加班事實。 #### 第六條 請假 - Anchor: `article-06` - Citation: [TOAI-HR-005 第六條 請假](documents/toai-hr-005.html#article-06) 請假應依公司流程提出並附必要證明。病假、事假、特別休假、婚喪假、公假、產假、陪產檢及陪產假、家庭照顧假、育嬰留職停薪及其他法定假別,依法令與公司公告辦理。 #### 第七條 遠距工作 - Anchor: `article-07` - Citation: [TOAI-HR-005 第七條 遠距工作](documents/toai-hr-005.html#article-07) 遠距工作應遵守: 工作時間與成果回報。 不在未授權設備或環境處理客戶機敏、醫療資料或本一營業秘密。 使用公司核准帳號、MFA、VPN 或安全工具。 會議、錄音、截圖與資料分享應符合保密規範。 #### 第八條 勞保、健保與勞退 - Anchor: `article-08` - Citation: [TOAI-HR-005 第八條 勞保、健保與勞退](documents/toai-hr-005.html#article-08) HR 應於到職、離職、留停、復職、薪資級距變更時依法辦理投退保、級距調整與勞退提繳。雇主提繳原則不低於每月工資 6%,並依最新法令辦理。 #### 第九條 月度檢核 - Anchor: `article-09` - Citation: [TOAI-HR-005 第九條 月度檢核](documents/toai-hr-005.html#article-09) 每月薪資作業前,HR 與 Finance 應核對出勤、請假、加班、薪資異動、到離職、投退保、勞退提繳、費用扣抵與特殊給付。 #### 第十條 保存與保密 - Anchor: `article-10` - Citation: [TOAI-HR-005 第十條 保存與保密](documents/toai-hr-005.html#article-10) 薪資、出勤、請假、投保與勞退資料屬人事敏感資料,限 HR、Finance、主管或法定必要人員查閱。工資清冊與出勤紀錄至少保存五年。 ## TOAI-MED-001 醫療軟體、醫材適用性與產品宣稱審查 SOP - 文件名稱:醫療軟體、醫材適用性與產品宣稱審查 SOP - 文件編號:TOAI-MED-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CTO / Legal - 審閱部門:CTO、法務、Clinical Lead、Product - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:SaMD/醫材判定、行銷宣稱與臨床責任邊界 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/22_醫療軟體醫材適用性與產品宣稱審查SOP.md - HTML:documents/toai-med-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-MED-001 第一條 目的](documents/toai-med-001.html#article-01) 為判斷 TaiOne Care GPT、AI 醫護文書、風險提示、照護建議、BodyCam/BodyCard、臨床教育與相關模組是否可能涉及醫療器材或 SaMD 管理,並控管產品宣稱、投標、簡報與行銷文字,特訂定本 SOP。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-MED-001 第二條 適用範圍](documents/toai-med-001.html#article-02) 適用於所有對外產品、功能、模組、白標服務、App、硬體、AI Agent、風險預測、臨床決策支援、衛教、病歷生成、品質稽核與教育功能。 #### 第三條 判定原則 - Anchor: `article-03` - Citation: [TOAI-MED-001 第三條 判定原則](documents/toai-med-001.html#article-03) 每項功能應依預期用途、實際功能、對外宣稱、資料來源、是否影響診斷/治療/分流/醫囑/照護決策、使用者與輸出影響進行判定。若可能落入醫療器材或 SaMD,應由 Legal、CTO、Clinical Lead 必要時諮詢外部法規顧問。 #### 第四條 高風險觸發 - Anchor: `article-04` - Citation: [TOAI-MED-001 第四條 高風險觸發](documents/toai-med-001.html#article-04) 下列情形需啟動醫材適用性審查: 宣稱可診斷、治療、預防、分流或直接建議醫療處置。 高風險個案偵測、照護建議或臨床輔助決策可能影響病人安全。 與正式 HIS/NIS/EMR 回寫或臨床工作流深度整合。 BodyCam/影像/傷口分析涉及醫療評估。 客戶、主管機關、採購文件要求醫材或法規判定。 #### 第五條 宣稱審查 - Anchor: `article-05` - Citation: [TOAI-MED-001 第五條 宣稱審查](documents/toai-med-001.html#article-05) 對外文字應採保守、精準、可佐證口徑。未經核准不得使用「診斷」「治療」「自動判斷」「取代醫師/護理師」「保證降低醫療風險」「已取得醫材許可」「已通過 ISO 認證」等表述。 建議口徑:AI 產出為草稿、輔助、提示、整理或風險 advisory,須由醫事人員最終審閱確認。 #### 第六條 審查流程 - Anchor: `article-06` - Citation: [TOAI-MED-001 第六條 審查流程](documents/toai-med-001.html#article-06) Product owner 填寫產品宣稱與預期用途表。 CTO/Clinical Lead 判斷醫療影響與安全邊界。 Legal 判斷法規、醫材、個資與合約風險。 必要時外部顧問或主管機關諮詢。 審查結論歸檔並列入產品清冊。 #### 第七條 版本與變更 - Anchor: `article-07` - Citation: [TOAI-MED-001 第七條 版本與變更](documents/toai-med-001.html#article-07) 產品功能、用途、宣稱、目標客戶或資料流變更時,須重新評估。原本屬低風險行政或文書功能,如新增臨床判斷或自動化建議,須重新審查。 #### 第八條 銷售與投標管控 - Anchor: `article-08` - Citation: [TOAI-MED-001 第八條 銷售與投標管控](documents/toai-med-001.html#article-08) BD、PM、行銷、公關不得自行擴張產品宣稱。投標文件、獎項、新聞稿、簡報、官網、銷售話術均須依核准版使用。 #### 第九條 紀錄保存 - Anchor: `article-09` - Citation: [TOAI-MED-001 第九條 紀錄保存](documents/toai-med-001.html#article-09) 預期用途、宣稱審查、醫材判定、外部顧問意見、主管機關往來與核准版本應保存於 DD data room。 ## TOAI-QMS-001 產品品質、驗證確效與 CAPA 管理辦法 - 文件名稱:產品品質、驗證確效與 CAPA 管理辦法 - 文件編號:TOAI-QMS-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CTO / Product - 審閱部門:CTO、Product、Customer Success、法務 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:需求、測試、驗收、客訴、矯正預防 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/23_產品品質驗證確效與CAPA管理辦法.md - HTML:documents/toai-qms-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-QMS-001 第一條 目的](documents/toai-qms-001.html#article-01) 為確保本一科技產品與服務符合需求、合約、醫療安全、資安、個資與品質要求,並能處理缺陷、客訴、矯正與預防措施,特訂定本辦法。 #### 第二條 適用範圍 - Anchor: `article-02` - Citation: [TOAI-QMS-001 第二條 適用範圍](documents/toai-qms-001.html#article-02) 適用於 TaiOne Care GPT、醫院端模組、居護/長照 App、BodyCam/BodyCard、API Adapter、Medical ModelOps、教育模組、Biz GPT 及其他產品。 #### 第三條 品質文件 - Anchor: `article-03` - Citation: [TOAI-QMS-001 第三條 品質文件](documents/toai-qms-001.html#article-03) 每項產品或專案應保存需求規格、設計文件、資料流、風險評估、測試計畫、測試結果、驗收報告、使用手冊、維運手冊、版本紀錄與客訴/CAPA 紀錄。 #### 第四條 驗證與確效 - Anchor: `article-04` - Citation: [TOAI-QMS-001 第四條 驗證與確效](documents/toai-qms-001.html#article-04) Verification:確認產品是否依需求設計與建置。 Validation:確認產品在目標使用情境中是否滿足使用者、客戶與安全需求。 醫療 AI 功能須包含臨床 SME review、資料不足、幻覺、紅綠燈、低信心、source map 與 human-in-the-loop 測試。 #### 第五條 Release Gate - Anchor: `article-05` - Citation: [TOAI-QMS-001 第五條 Release Gate](documents/toai-qms-001.html#article-05) 上線前須完成: 需求與範圍確認。 功能測試、資安檢查、權限測試。 個資與資料流檢查。 AI 安全測試。 效能與錯誤處理。 rollback 計畫。 文件與教育訓練。 高風險功能須由 CTO 或指定治理會議核准。 #### 第六條 客訴與缺陷 - Anchor: `article-06` - Citation: [TOAI-QMS-001 第六條 客訴與缺陷](documents/toai-qms-001.html#article-06) 客訴或缺陷應建立 ticket,記錄來源、嚴重度、版本、重現步驟、影響、負責人、修正期限與結果。涉及病人安全、個資、資安或 AI 嚴重錯誤者,依事件通報制度處理。 #### 第七條 CAPA - Anchor: `article-07` - Citation: [TOAI-QMS-001 第七條 CAPA](documents/toai-qms-001.html#article-07) CAPA 包含矯正措施與預防措施。觸發條件: 重複缺陷或客訴。 AI 嚴重錯誤。 資安或個資事件。 驗收或稽核重大缺失。 供應商重大問題。 CAPA 應完成根因分析、改善方案、責任人、期限、驗證方式與防再發措施。 #### 第八條 上市後監測 - Anchor: `article-08` - Citation: [TOAI-QMS-001 第八條 上市後監測](documents/toai-qms-001.html#article-08) 正式上線後應定期監控使用量、錯誤、成本、客服、客訴、AI 可用率、紅綠燈正確率、嚴重錯誤、資安事件與客戶滿意度。 #### 第九條 品質會議 - Anchor: `article-09` - Citation: [TOAI-QMS-001 第九條 品質會議](documents/toai-qms-001.html#article-09) 產品與客戶成功團隊至少每月檢視重大缺陷、客訴、CAPA、版本與客戶回饋。高風險事項提治理會議。 #### 第十條 紀錄保存 - Anchor: `article-10` - Citation: [TOAI-QMS-001 第十條 紀錄保存](documents/toai-qms-001.html#article-10) 品質、驗證、確效、客訴與 CAPA 紀錄至少保存五年;涉及醫療、合約或法令較長要求者,從其規定。 ## TOAI-AI-002 生成式 AI 內部使用規範 - 文件名稱:生成式 AI 內部使用規範 - 文件編號:TOAI-AI-002 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件 - 主管部門:CTO / Security - 審閱部門:CTO、AI Governance、資安、法務、產品 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:員工使用外部 GenAI 工具、資料與著作權風險 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/24_生成式AI內部使用規範.md - HTML:documents/toai-ai-002.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-AI-002 第一條 目的](documents/toai-ai-002.html#article-01) 為規範員工使用 ChatGPT、Copilot、Claude、Gemini、外部 LLM、影像生成、語音轉錄、自動化 Agent 或其他生成式 AI 工具,避免個資、醫療資料、營業秘密、著作權、資安與錯誤輸出風險,特訂定本規範。 #### 第二條 使用原則 - Anchor: `article-02` - Citation: [TOAI-AI-002 第二條 使用原則](documents/toai-ai-002.html#article-02) AI 可協助整理、草擬、摘要、翻譯、程式輔助與腦力激盪。 AI 輸出不得視為事實、法律、醫療、財務或技術最終判斷。 使用者對輸出內容負最終確認責任。 不得輸入未授權資料、機密資料、個資、病歷、客戶資料、source code 秘密或未公開財務資訊。 #### 第三條 禁止輸入資料 - Anchor: `article-03` - Citation: [TOAI-AI-002 第三條 禁止輸入資料](documents/toai-ai-002.html#article-03) 未經核准不得向外部 GenAI 輸入: 病歷、醫療資料、健康資料、語音、影像、傷口照片。 客戶名稱、API endpoint、帳號、系統架構機敏資料。 本一 prompt、source map、模型路由、IP map、未公開專利、合約、報價。 員工薪資、履歷、身分資料、績效與申訴資料。 未公開財報、募資、合約台帳、管理報表。 #### 第四條 允許用途 - Anchor: `article-04` - Citation: [TOAI-AI-002 第四條 允許用途](documents/toai-ai-002.html#article-04) 低風險用途包含公開資料摘要、一般文案初稿、非機密程式問題、格式整理、教育訓練草稿、非客戶專屬會議摘要。涉及公司正式文件、合約、醫療、資安、財務或對外文字者,須由權責人審閱。 #### 第五條 工具核准 - Anchor: `article-05` - Citation: [TOAI-AI-002 第五條 工具核准](documents/toai-ai-002.html#article-05) 公司可建立核准工具清單。未列入清單之外部 AI 工具不得用於公司機密或客戶資料。需要使用新工具者,應向 CTO/Security 申請,說明用途、資料類型、帳號、保存、訓練使用與資安條款。 #### 第六條 程式開發 - Anchor: `article-06` - Citation: [TOAI-AI-002 第六條 程式開發](documents/toai-ai-002.html#article-06) 使用 AI 輔助程式開發時,應檢查安全、授權、依賴、漏洞、測試與是否包含第三方受保護程式碼。不得將公司私有程式碼貼入未核准外部工具。 #### 第七條 著作權與對外內容 - Anchor: `article-07` - Citation: [TOAI-AI-002 第七條 著作權與對外內容](documents/toai-ai-002.html#article-07) AI 生成內容不得直接作為最終對外文件,應由人員確認事實、來源、引用、圖片權利、商標、個資與不實宣稱。不得以 AI 生成圖片、文案或資料冒充真實客戶、醫護或病人佐證。 #### 第八條 違規與事件 - Anchor: `article-08` - Citation: [TOAI-AI-002 第八條 違規與事件](documents/toai-ai-002.html#article-08) 若不慎輸入禁用資料或發現 AI 工具可能外洩資料,應立即通報 Security/DPO,不得自行刪除或隱匿。違反者依情節處理。 #### 第九條 教育訓練 - Anchor: `article-09` - Citation: [TOAI-AI-002 第九條 教育訓練](documents/toai-ai-002.html#article-09) 所有員工每年至少完成一次 GenAI 安全使用訓練,新進人員到職時完成基本訓練。 ## TOAI-RISK-001 內部控制與風險管理辦法 - 文件名稱:內部控制與風險管理辦法 - 文件編號:TOAI-RISK-001 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:CFO-CSO / CEO Office - 審閱部門:CFO/CSO、CEO Office、COO、資安 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:早期新創版內控、風險登錄、KRI、改善追蹤 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/25_內部控制與風險管理辦法.md - HTML:documents/toai-risk-001.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-RISK-001 第一條 目的](documents/toai-risk-001.html#article-01) 為以公開發行公司內部控制精神建立本一科技早期新創可執行版本,合理確保營運效率、報導可靠、法令遵循、資產安全、醫療 AI 風險可控,特訂定本辦法。 #### 第二條 控制目標 - Anchor: `article-02` - Citation: [TOAI-RISK-001 第二條 控制目標](documents/toai-risk-001.html#article-02) 營運有效與效率。 財務及非財務報導可靠、即時、透明。 法令、合約、醫療、個資、資安與 AI 規範遵循。 資產、資料、IP、現金與公司聲譽保護。 #### 第三條 內控五構面 - Anchor: `article-03` - Citation: [TOAI-RISK-001 第三條 內控五構面](documents/toai-risk-001.html#article-03) 控制環境:治理、誠信、組織、權責、RACI。 風險評估:辨識、評估、排序、風險胃納與應對。 控制作業:採購、付款、收入、收款、薪資、資產、合約、IT、AI。 資訊與溝通:會議、台帳、報表、事件通報、文件分級。 監督作業:月結檢視、季度治理、內部自評、改善追蹤。 #### 第四條 風險分類 - Anchor: `article-04` - Citation: [TOAI-RISK-001 第四條 風險分類](documents/toai-risk-001.html#article-04) 公司風險至少分為策略、市場、客戶集中、現金流、合約、財務、法遵、個資、資安、AI、醫療安全、供應商、交付、智財、人資、品牌與 ESG。 #### 第五條 風險登錄表 - Anchor: `article-05` - Citation: [TOAI-RISK-001 第五條 風險登錄表](documents/toai-risk-001.html#article-05) 各主管應維護風險登錄表,載明風險描述、原因、影響、可能性、等級、早期訊號、負責人、控制措施、剩餘風險、改善期限與狀態。 #### 第六條 關鍵風險指標 - Anchor: `article-06` - Citation: [TOAI-RISK-001 第六條 關鍵風險指標](documents/toai-risk-001.html#article-06) KRI 包含但不限於: 現金跑道、應收帳款天數、毛利率、雲端成本占比。 重大合約未審查件數。 資安事件、個資事件、AI 嚴重錯誤。 客戶導入延遲、驗收缺失、客服 S1/S2 件數。 RACI 留痕率、月結完成率、權限逾期未回收件數。 #### 第七條 自我檢查 - Anchor: `article-07` - Citation: [TOAI-RISK-001 第七條 自我檢查](documents/toai-risk-001.html#article-07) 各部門至少每季進行一次自我檢查,CFO/CSO 彙整高風險事項提交治理會議。重大缺失應建立改善追蹤單。 #### 第八條 例外通報 - Anchor: `article-08` - Citation: [TOAI-RISK-001 第八條 例外通報](documents/toai-risk-001.html#article-08) 若發生越權簽署、未核准採購、合約未審、資料外洩、AI 嚴重錯誤、付款異常、關係人未揭露、重大客訴或現金流警戒,應即時通報。 #### 第九條 管理審查 - Anchor: `article-09` - Citation: [TOAI-RISK-001 第九條 管理審查](documents/toai-risk-001.html#article-09) CEO Office 每年至少召開一次管理審查,檢視內控有效性、風險趨勢、重大缺失、事件、資源需求與制度修訂。 #### 第十條 文件保存 - Anchor: `article-10` - Citation: [TOAI-RISK-001 第十條 文件保存](documents/toai-risk-001.html#article-10) 風險登錄表、KRI、內控自評、改善追蹤、會議紀錄與佐證文件保存至少五年。 ## TOAI-ADM-002 印鑑、用印、電子簽核與文件版控辦法 - 文件名稱:印鑑、用印、電子簽核與文件版控辦法 - 文件編號:TOAI-ADM-002 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:Administration / Legal - 審閱部門:COO、法務、CFO/CSO、資安 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:合約、付款、董事股東文件、電子簽核 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/01_正式內規文件包/26_印鑑用印電子簽核與文件版控辦法.md - HTML:documents/toai-adm-002.html #### 第一條 目的 - Anchor: `article-01` - Citation: [TOAI-ADM-002 第一條 目的](documents/toai-adm-002.html#article-01) 為控管公司印鑑、用印、電子簽核、合約版本、董事/股東文件、付款與對外承諾之有效性,避免越權、偽造、版本混淆與文件外流,特訂定本辦法。 #### 第二條 印鑑保管 - Anchor: `article-02` - Citation: [TOAI-ADM-002 第二條 印鑑保管](documents/toai-adm-002.html#article-02) 公司大小章、發票章、銀行印鑑、電子憑證與簽署帳號應由指定保管人管理,保管人不得同時為未經授權之核決人與用印申請人。印鑑存放應安全並限制存取。 #### 第三條 用印申請 - Anchor: `article-03` - Citation: [TOAI-ADM-002 第三條 用印申請](documents/toai-adm-002.html#article-03) 用印前應提交用印申請,載明文件名稱、相對人、用途、金額、風險等級、合約審查狀態、核准人、份數與寄送方式。未完成合約審查或核決程序者不得用印。 #### 第四條 用印紀錄 - Anchor: `article-04` - Citation: [TOAI-ADM-002 第四條 用印紀錄](documents/toai-adm-002.html#article-04) 每次用印應記錄日期、文件、份數、申請人、核准人、保管人、流水號與掃描檔。作廢文件應標示作廢並保存。 #### 第五條 電子簽核 - Anchor: `article-05` - Citation: [TOAI-ADM-002 第五條 電子簽核](documents/toai-adm-002.html#article-05) 電子簽核應使用公司核准工具,保留簽署人、時間、版本、IP 或系統紀錄。涉及重大合約、個資、醫療資料、IP、募資或付款者,須確認電子簽章方式符合法令、合約與相對人要求。 #### 第六條 文件版控 - Anchor: `article-06` - Citation: [TOAI-ADM-002 第六條 文件版控](documents/toai-adm-002.html#article-06) 合約、報價、SOW、規格書、董事/股東文件、制度文件、對外簡報與投標文件,應採版本號與核准版管理。不得以聊天截圖、口頭同意或未命名文件作為最終版本。 #### 第七條 對外寄送 - Anchor: `article-07` - Citation: [TOAI-ADM-002 第七條 對外寄送](documents/toai-adm-002.html#article-07) 對外寄送合約、報價、技術規格、機密文件前,應確認收件人、附件、版本、分級與授權。Trade Secret 或 Customer Sensitive 文件不得以個人信箱或未授權雲端連結寄送。 #### 第八條 銀行與付款文件 - Anchor: `article-08` - Citation: [TOAI-ADM-002 第八條 銀行與付款文件](documents/toai-adm-002.html#article-08) 銀行開戶、付款、保證金、押標、履約、借款、資金調度等文件,須由 CFO/CSO 或授權人審查,並依核決權限用印或簽署。 #### 第九條 遺失、誤用與撤銷 - Anchor: `article-09` - Citation: [TOAI-ADM-002 第九條 遺失、誤用與撤銷](documents/toai-adm-002.html#article-09) 印鑑、電子憑證、簽署帳號遺失、疑似盜用或文件誤簽時,應立即通報 Legal、Finance、Security 與 CEO Office,採取停用、撤銷、通知相對人與補救措施。 #### 第十條 定期盤點 - Anchor: `article-10` - Citation: [TOAI-ADM-002 第十條 定期盤點](documents/toai-adm-002.html#article-10) Administration 每季盤點印鑑、電子憑證、簽署帳號、用印紀錄與作廢文件,異常提治理會議追蹤。 ## TOAI-FORM-000 表單模板彙整 - 文件名稱:表單模板彙整 - 文件編號:TOAI-FORM-000 - 文件版本:v1.0 送審版 - 文件狀態:送審版 - 文件日期:2026-06-10 - 文件屬性:本一內部文件/必要知悉 - 主管部門:Administration - 審閱部門:Administration、各表單主管部門、法務 - 核准人:依公司章程、董事會或經理人授權程序核准 - 生效日:待核准後生效 - 覆核週期:每年至少一次;遇重大法規、合約、組織或產品風險變更即時覆核 - 對應需求:簽核、紀錄、台帳、檢核表 - 權限控管:本一內部文件/必要知悉;不得上傳公開 LLM 或公開 SaaS wiki;依職務與最小權限授權 - Canonical source:/Users/chiateliao/本一相關/公司內部治理相關/02_表單與附件模板/00_表單模板彙整.md - HTML:documents/toai-form-000.html #### 1. 重大決策紀錄表 - Anchor: `section-2czy46` - Citation: [TOAI-FORM-000 1. 重大決策紀錄表](documents/toai-form-000.html#section-2czy46) 欄位 / 內容 決策編號 / 日期 / 議題 / 提案人 / DRI / 參與者 / 是否涉及利益衝突 / 是 / 否,說明 背景與資料來源 / 選項比較 / 法務/資安/個資/財務/AI 風險 / 決議 / 責任人與期限 / 追蹤日期 / #### 2. 合約審查表 - Anchor: `section-fzpnsn` - Citation: [TOAI-FORM-000 2. 合約審查表](documents/toai-form-000.html#section-fzpnsn) 欄位 / 內容 合約名稱 / 相對人 / 金額與付款節點 / 服務範圍與驗收 / 是否涉及個資/醫療資料 / 是否涉及 AI 輸出或醫療責任 / 是否涉及 IP/營業秘密 / 是否為關係人交易 / 風險等級 / L1 / L2 / L3 / L4 審查意見 / 核准 / #### 3. 關係人交易與利益衝突聲明 - Anchor: `section-1pc0xqr` - Citation: [TOAI-FORM-000 3. 關係人交易與利益衝突聲明](documents/toai-form-000.html#section-1pc0xqr) 本人聲明就本交易/專案是否與本人、配偶、二親等內親屬、本人控制或具重大影響力之公司或其他利害關係人有直接或間接利益: □ 無。 □ 有,說明: 本人承諾依公司規定迴避相關決策與核准。 簽名: 日期: #### 4. 月度財務檢視表 - Anchor: `section-1nbbch7` - Citation: [TOAI-FORM-000 4. 月度財務檢視表](documents/toai-form-000.html#section-1nbbch7) 項目 / 本月 / 上月 / 差異 / 說明 營業收入 / / / / 毛利率 / / / / 雲端/AI 成本 / / / / 人事費用 / / / / 應收帳款 / / / / 現金餘額 / / / / 現金跑道(月) / / / / 重大風險 / / / / #### 5. 個資與醫療資料處理評估表 - Anchor: `section-nr21hy` - Citation: [TOAI-FORM-000 5. 個資與醫療資料處理評估表](documents/toai-form-000.html#section-nr21hy) 欄位 / 內容 專案/系統 / 資料類別 / 是否含特種個資 / 蒐集/處理目的 / 合法依據 / 利用期間/地區/對象/方式 / 去識別化方式 / 委外或第三方 / 保存與刪除 / 事件通報窗口 / DPO 審查 / #### 6. AI 上線前評估表 - Anchor: `section-1yohwhx` - Citation: [TOAI-FORM-000 6. AI 上線前評估表](documents/toai-form-000.html#section-1yohwhx) 欄位 / 內容 AI 功能名稱 / 用途 / 風險等級 / 模型/提示/模板版本 / 是否涉及正式醫療流程 / Human-in-the-loop 設計 / 禁用情境 / 測試案例 / 紅綠燈/幻覺/資料不足測試 / 資安/個資審查 / 上線核准 / #### 7. 資安/個資/AI 事件紀錄表 - Anchor: `section-1a7u3fx` - Citation: [TOAI-FORM-000 7. 資安/個資/AI 事件紀錄表](documents/toai-form-000.html#section-1a7u3fx) 欄位 / 內容 事件編號 / 發現時間 / 通報人 / 事件類型 / 資安 / 個資 / AI / 服務 / 客戶 嚴重度 / P1 / P2 / P3 / P4 影響範圍 / 初步措施 / 通知與通報 / 根因 / 改善計畫 / 責任人與期限 / #### 8. 供應商風險評估表 - Anchor: `section-a5uq6q` - Citation: [TOAI-FORM-000 8. 供應商風險評估表](documents/toai-form-000.html#section-a5uq6q) 欄位 / 內容 供應商 / 服務內容 / 是否接觸個資/醫療資料 / 是否接觸本一營業秘密 / 資安能力 / 再委外 / SLA / 可用性 / 資料刪除/返還 / 退出方案 / 風險等級與核准 / #### 9. 權限申請/異動/停用表 - Anchor: `section-16h9grr` - Citation: [TOAI-FORM-000 9. 權限申請/異動/停用表](documents/toai-form-000.html#section-16h9grr) 欄位 / 內容 申請人 / 系統/資料夾 / 權限類型 / 目的 / 期間 / 主管核准 / 系統 owner 核准 / 停用日期 / #### 10. 客戶導入 Scope Lock 表 - Anchor: `section-hl2pxe` - Citation: [TOAI-FORM-000 10. 客戶導入 Scope Lock 表](documents/toai-form-000.html#section-hl2pxe) 欄位 / 內容 客戶/專案 / 導入範圍 / 明確排除 / 客戶窗口 / 本一 DRI / 資料規則 / 驗收指標 / 教育訓練 / 文件分級 / 決議與簽認 /