落實誠信治理

• 修訂政策呼應低碳轉型及永續趨勢、回應主管機關：永續發展實務守則、公平待客政策
• 完成氣候風險額度調整機制，未來交易額度依此機制核予

董事會架構及運作

依本公司章程規定，董事會設置董事7至12人，其中獨立董事不得少於3人。截至2022年12月31日止，本公司第27屆董事會由9位董事組成，包含4位獨立董事，符合章程規定；董事會下轄審計委員會及風險管理委員會，均由全體獨立董事擔任委員，且各委員均具備該委員會所需之專業能力。各功能性委員會之職責已訂定於各委員會之組織規程，將所提議案交由董事會決議並對董事會負責。董事會成員背景橫跨學術及實務，具備高度保險、投資、法律、財務、風險管理專業與豐富實務經驗。
為落實董事會職能，本公司每月定期召開董事會，各董事均積極參與議事，並要求業務單位落實董事會就重要議案之追蹤，定期向董事會報告執行進度。另外，針對例行性提案建立年度董事會計畫表，聚焦重點議案，以利追蹤並提高決策效率。

董事延攬

本公司係由單一法人股東所組織之公開發行股票公司，所有董事依法均由母公司中信金控指派。為此，中信金控制定「選派子公司董事、監察人作業準則」，由其提名委員會嚴格審查派任本公司董事會成員之專業能力。本公司董事會成員皆非經理人，其組成考量多元化，兼具備學術背景、專業技能及產業經驗。另為確保獨立董事之職能及獨立性，全體獨立董事任期皆不超過3屆，且均有豐富之學術及實務經驗。中信金控指派之本公司董事，除其資格條件符合法令規定及主管機關之要求外，為維持董事會成員之多元化、專業及經驗傳承，中信金控另透過下列方式建置董事人才資料庫，作為規劃董事人選之參考：

• 一、多方徵詢適合擔任董事之人選。
• 二、建置中信集團之董事資料庫並參考獨立董事人才資料庫。
• 三、委請現任董事、適當之外部機構或顧問提出適合之董事人選。
• 四、依董事會績效評估結果做為提名本公司董事續任之參考。

董事會及公司治理相關辦法

配合主管機關推動「公司治理3.0- 永續發展藍圖」及准予備查相關自律規範( 如：「保險業公司治理實務守則」) 之修訂，本公司逐步檢視並修訂相關內部規章，以完備公司治理。2022 年制定、修訂與公司治理相關之規章如下：「公司章程」、「公司治理實務守則」、「董事會、董事長暨總經理權責劃分標準」、「董事會績效評估辦法」、「董事及總經理兼職管理準則」、「董事差旅費報支辦法」、「不誠信行為風險評估與呈報辦法」、「獨立董事薪酬辦法」、「非獨立董事薪酬辦法」、「選派子公司董事、監察人作業準則」及「董事會議事規範」。

誠信經營

本公司致力將誠信經營理念深植於公司的企業文化，以「廉潔、透明、負責」為核心自我檢視及要求，為深植誠信經營文化，並使董事、經理人與員工對相關法令與誠信行為具備正確的認知及判斷，本公司將誠信經營規範納入新進人員教育訓練宣導教材， 並針對董事及在職之經理人與員工(不含派遣人員或有特殊情形者等)定期辦理誠信經營年度教育訓練，以推動本公司誠信經營之企業文化。2022年本公司及轄下子公司應參與教育訓練人次為10,188人次，完訓率達100%。

檢舉管道與吹哨者制度

台灣人壽訂有「檢舉案件處理辦法」，指定法令遵循單位負責檢舉案件的受理，並成立專責委員會負責檢舉案件的調查和審議。辦法中明定受理及調查單位人員的保密義務，並禁止對檢舉人進行任何不利處分，以保障檢舉人的工作權。
台灣人壽提供的檢舉管道包括書面投遞、電子郵件及檢舉專線等，檢舉人得以具名或匿名方式檢舉任何非法或不誠信行為，除於網站提供檢舉表輔助檢舉人提供相關資訊以加速案件調查，亦同時揭示對檢舉人的保護及獎勵，以期強化並深植誠信、透明的企業文化。

「稅務治理」在實現永續發展目標中扮演重要角色，也是組織為營運所在國家做出經濟貢獻之關鍵機制，台灣人壽遵循永續性報導準則之指引制定稅務治理政策落實於日常營運。
其中有關稅務策略，台灣人壽依各項稅務法令要求行事，除重視稅務法令遵循、有效管理稅務風險、善盡稅務責任以及支持全球經濟發展外，同時因應全球反避稅趨勢，持續提升稅務資訊透明度，落實公司治理及企業永續發展。

• 一、內部控制制度
  為強化及落實內控制度，台灣人壽評估「管理階層監督與控制文化」、「風險辨識與評估」、「控制作業與管理」、「資訊與溝通」及「監督活動與導正措施」等項目。建立「自行查核制度」、「法令遵循制度與風險管理機制」及「內部稽核制度」之內部控制三道防線，並將「內控制度執行成效」、「資安執行成效」與「法令遵循制度執行成效」等項目納入年度個人績效考核，促使全體同仁共同推動內部控制三道防線機制。
• 二、內部稽核制度
  遵循「保險業內部控制及稽核制度實施辦法」建立內部稽核制度，設置直隸董事會之獨立內部稽核單位。協助董事會及治理階層評估內部控制制度的有效性，適時提出改進建議，作為檢討修正之依據。內部稽核單位每年針對各單位業務及法令遵循制度執行情形，辦理至少一次一般查核，視需要辦理專案查核。對查核缺失事項持續追蹤覆查，並將追蹤考核改善辦理情形提報董事會， 董事會定期就內部控制制度缺失檢討與內部稽核單位進行座談。

台灣人壽持續優化「法令遵循制度」與相關辦法，並每半年辦理法令遵循自行評估作業，確保各項業務皆符合法令要求。我們訂有「法令遵循風險評估與呈報辦法」，並已於2022 年3 月完成法令遵循風險評估報告，將評估結果及優化措施向董事會報告。各單位於辦理業務時須確實遵循外部法令規範，若有發生違反法令之情形，法令遵循單位亦督促各單位對於缺失或弊端進行原因分析、可能影響評估，並提出改善建議。台灣人壽總機構法令遵循主管亦每半年向董事會及審計委員會報告，以使董事會及相關高階主管能獲悉法令遵循事項之執行狀況。台灣人壽總機構法令遵循主管、法令遵循單位所屬人員及各單位法令遵循主管除應符合就任時之法定資格條件外，後續應每年參加20 小時或15 小時以上之在職教育訓練。2022 年本公司尚無受主管機關裁處達「金融監督管理委員會處理違反金融法令重大裁罰措施之對外公布說明辦法」第二條所定重大裁罰標準之情事。

防制洗錢與打擊資恐

為遵循洗錢防制法、資恐防制法及金融機構防制洗錢辦法等規定，台灣人壽訂有多項內部規範，以健全防制洗錢及打擊資恐制度。積極推動防制洗錢及打擊資恐教育訓練，除高階主管需每年接受教育訓練，亦要求全體員工定期接受共通性防制洗錢課程。設立防制洗錢及打擊資恐委員會，由總經理擔任主席，相關單位一級主管擔任委員，每季召開1 次委員會，2022 年共召開4 次例行會議及1 次臨時會議，以確保防制洗錢及打擊資恐等相關風險受到控管，落實防制洗錢及打擊資恐機制之執行。

個人資料防護

本公司指定由資訊安全部統籌負責資安與個資保護，從風險評鑑、制度規範、作業流程、個資使用軌跡等面向，推動資安與個資管理整合，持續維持BS10012 個人資料管理認證之有效性，並於2022 年取得ISO27701 隱私資訊管理標準，建構完善個人資料管理體系，亦透過以下機制以確保客戶隱私安全。

智慧財產權

台灣人壽透過委任外部專業顧問辦理專利申請、提供專業分析及業界動態諮詢等業務，以協助本公司發展金融科技領域及創新服務。截至2022年底，台灣人壽已取得國內發明專利8件、新型專利22件與設計專利2件，共計32件，用於公司之網路投保、核保、理賠等多項保險作業；另取得商標共9件。在智慧財產權管理方面，訂定本公司智慧財產管理政策，定期向董事會報告智慧財產管理之執行情形，並於每台電腦安裝Smart IT電腦資產管理軟體，以彙整統計全公司軟硬體安裝使用狀況及管理電腦資源開放情形，確保各電腦均使用合法授權軟體，且定期掃瞄檢查各單位電腦軟體程式，避免侵害智慧財產權。

台灣人壽為落實法令遵循暨促進公司之健全經營與發展，依據「保險業風險管理實務守則」及承接「中國信託金融控股(股)公司風險治理核心政策」，制定「風險治理核心政策」以作為本公司及各子公司整體業務風險管理及執行遵守之依據。本公司及各子公司訂有市場風險、信用風險、保險風險、資產負債配合風險及作業風險相關政策，以作為日常風險管理之依據。
本公司風險管理部依「風險治理核心政策」之規範定期製作風險整合報告書，並於時效內呈送風險整合報告書予內部管理階層及金控風險長(副本抄送金控風險管理單位)，以使決策階層能適時掌控相關資訊、並利金控彙總及監控各子公司重大風險相關資訊。

集團風險胃納聲明

本公司及各子公司應遵循本風險胃納聲明之精神，依其業務特性及管理需要建立量化或質化目標予以監控和呈報，以確保日常運作落實執行。

• 一、本公司及各子公司承擔合乎企業永續策略、可以辨識並管理的風險。
• 風險決策與承擔，必需充分了解外在政治與經濟環境變化，並以公司整體角度考量，在平衡風險與報酬的對稱關係下，客觀評估可能產生之各類風險、以及對於資本適足與資本配置的影響。
• 二、本公司及各子公司承擔各類風險應為穩健且合理，且不涉及損及企業價值形象之業務活動。
• 1.維持均衡的資產負債結構，並且不宜暴險過度集中於高風險或單一目標。
• 2.避免盲目投入殺價競爭或掠奪式貸款(predatory loan)，審慎產品定價策略及目標客群選擇，避免引發系統性風險及順景氣循環的現象。
• 3.審慎評估承作之業務、往來之企業或產業，及潛在對於環境(Environmental) 及社會(Social) 層面的負面影響，並遵循以下原則：
  (1) 對於環境或氣候變遷風險高度敏感之企業或產業( 包括但不限於高度碳排放、高度自然資源或能源消耗、高度污染且不合乎環保規範等)，倘經審慎評估後不易控制相關風險者，宜減少涉入或免承作。
  (2) 禁止涉及與色情、暴力、不法組織、恐怖活動等影響社會公共安全有關之業務；不協助他人從事非法、脫法、虛假、粉飾、逃稅、洗錢之交易；避免承作涉及違反人權條款( 包含勞工權益) 之爭議性業務；對於與政治、軍事有關之業務，應謹慎考量； 對於客戶擬從事關係人交易或非常規之安排，應檢視其合法及合理性。註：台灣人壽適用中信金控人權政策，相關說明詳見中信金控官方網站。

風險管理組織架構

本公司之風險管理組織架構係由董事會、各管理階層及全體人員共同參與、推動及執行。

• 一、董事會為公司最高之風險管理決策單位，認知本公司營運所需承擔之各項風險，確保風險管理之有效性並負整體風險管理之最終責任；為利董事會核定或督導各類風險管理事項， 設立風險管理委員會，協助董事會形成最終決策。
• 二、本公司風險管理單位依循母公司中信金控相關風險管理要求並根據其所核准之風險管理政策，維持第二道防線之獨立管理機制，負責風險管理制度之規劃並監控第一道防線落實執行之情形及機制運作之有效性。各子公司風險管理單位除對其所屬董事會負責外，亦需定期向本公司風險管理單位呈報，以利其即時且妥善控管整體風險之變化。

風險管理三道防線

風險管理係公司內各相關單位之共同職責，透過跨單位之充分協調，形成風險三道防線機制：

風險治理運作架構

風險管理單位依照公司之經營策略與目標，並考慮業務成長、風險與報酬等因素，協助擬訂公司年度整體之風險胃納，並呈報風險管理委員會覆核與董事會核准。另依據主要風險特性與公司之風險胃納，擬訂風險限額，並負責風險管理制度，包含市場風險、信用風險、保險風險、流動性風險、資產負債配合風險及作業風險之規劃與管理，制定風險管理政策、辦法以及程序據以控管。風險管理單位依據所制定之政策、辦法以及程序，監控各業務單位之風險限額及運作狀況，定期將監控結果提報風險管理委員會。

新興風險管理

本公司每年啟動新興風險鑑別程序，針對長期性可能令本公司企業形象、業務發展、經營管理、財務績效表現、法令遵循等層面造成重大影響之風險因子進行評估。新興風險可能為過去未曾發生、全新衍生的風險種類；或已知存在的風險，但由於整體環境之變遷、風險因子瞬息萬變，而使得風險發生的方式或形態無法預期，其所導致的影響可能為非預料之中。面對全球環境變化與發展趨勢，新興風險鑑別暨管理程序之建立將協助及早辨識潛在風險，並確認相關單位已研擬控管機制以達企業永續治理目標。

氣候變遷風險

治理面

本公司遵循主管機關發布之「保險業氣候相關風險財務揭露指引」建立氣候相關風險與機會之治理機制，並由董事會對氣候相關風險之管理負最終責任。本公司將氣候相關風險之管理情形納入「風險整合報告書」中並提報董事會。本公司於董事會轄下設置風險管理委員會，負責審查、訂定及核准各類風險管理事項，包含氣候相關風險與機會之管理架構及政策、氣候相關風險胃納指標等事項，均須提報風險管理委員會後送交董事會審議。另本公司依前揭政策之授權訂定「氣候變遷風險管理委員會設置管理辦法」，於總經理下設置氣候變遷風險管理委員會，每季定期召開，用以整合本公司及子公司氣候相關風險議題之報告、建議與決策，協助管理階層充分發揮監督管理職能，並確保本公司遵循相關規範，該委員會亦負責審查定期向風險管理委員會及董事會報告之氣候相關風險管理情形議案。藉由董事會、風險管理委員會及氣候變遷風險管理委員會之三層管理架構，用以落實本公司之氣候治理。

策略面

金控董事會業通過將2050年淨零排放目標納入公司的長期企業永續發展藍圖之中。台灣人壽身為集團主要子公司之一，承接上述氣候使命，業辨識短、中、長期之氣候風險因子與機會並且連結至本公司相關業務、商品及投資，以進行情境分析和掌握業務發展機會。例如本公司會以集團公布之「高碳排產業清單」作為標準判斷授信戶是否為高碳排產業，若屬高碳排產業，則調降其信用額度，並以路透(Reuters)公布之最新碳足跡(每單位營收所產生之碳排放)資訊作為調整依據，若授信戶之碳足跡連續三年呈現好轉趨勢，則酌增其信用額度，反之則酌減其信用額度。

風險管理

本公司於 2020 年經董事會通過並正式發布永續保險政策，規範保險營運應納入ESG(含氣候變遷風險與機會)議題；2021年依據「保險業風險管理實務守則」及承接「中信金控風險治理核心政策」，增訂氣候變遷風險管理原則於「台灣人壽風險治理核心政策」、「金融交易信用風險管理政策」、「作業風險管理政策」及「放款信用風險管理政策」，並修訂「責任投資政策」及「責任投資作業辦法」。
以「責任投資作業辦法」為例，本公司投融資資產配置須同時考量ESG風險，期以減少整體投融資組合收益之波動性，從而降低投融資風險。故於投融資作業前，應評估該企業或交易對手是否涉入重大環境議題（氣候變遷與生物多樣性）、重大社會議題及重大公司治理議題且對企業價值有重大影響。本辦法將高排碳產業中之油砂、燃煤開採及燃煤火力發電業視為涉及重大環境議題之標的，並規範投資單位須依規定進行審視且應減少涉入相關產業，或經權責主管評估案件符合永續性後，方可進行相關業務。
此外，本公司承接「作業風險管理政策」訂有「營運持續管理準則」，以作為危機管理之依循。本公司依自身業務之性質、規模及複雜性，訂定適當之營運持續管理機制，並且運用合適之系統、資源及流程以維持公司營運持續。

指標與目標

持續監控氣候變遷轉型風險指標-財務碳排放及實體風險指標-高風險暴險盤點。另，承接金控科學基礎減量目標(SBT)設定，就碳排放範疇一及範疇二，以2021年為基準年，2035年為目標年，訂定每年碳排放減少4.2%之目標。就範疇三投融資部位財務碳排每年減少之目標值，正在規劃細部執行計畫。

營運持續管理

台灣人壽於災害事件發生時，致力使傷害降至最低，以確保人員安全、客戶權益、本公司商譽及資產之保全。為使在業務或資訊服務發生事故、設施失效或受損害時，重要服務仍可持續運作，本公司將定期修訂營運持續管理準則並貫徹執行，以持續提昇並提供不中斷之客戶服務。

重大傳染疾病風險

2022年新冠肺炎疫情持續延燒，配合主管機關的政策發布及實務操作上的需求，台灣人壽修訂「重大傳染病事故應變計劃」，供本公司暨各分公司、子公司及海外分支機構相關單位遵循，以期能避免重大傳染病所引發之嚴重疫情危及員工健康及公司業務營運。

協助員工健康防疫

新冠肺炎疫情期間，員工是台灣人壽首要關注的對象，對同仁積極宣導防疫的正確做法，要求體溫超標者在家休養並盡速就醫，遠離各種可能的感染來源。建立同仁疫情管理通報機制，落實場所管理及人員交流限制；辦理分流上班，實施員工居家辦公，在維持營運不中斷下，將人員流動降到最低，有效降低傳染疾病。

提供客戶貼心服務

新冠肺炎疫情發生後，台灣人壽迅速成立「緊急應變關懷小組」，祭出多項客戶關懷措施。對於銷售中的住院醫療險商品，則是推出「台灣人壽法定傳染病排除等待期間批註條款」，取消其法定傳染病30日疾病等待期間的限制，讓保戶於投保後可立即享有保障。此外，我們使用網路投保、視訊生存調查及線上理賠工具，協助客戶完成線上投保、核保及理賠等多項服務。減少往返醫療院所、戶政機關等高風險區域，同時降低保戶及員工外出與人接觸感染的可能性。

弱勢關懷不間斷

全球數位轉型變革及金融科技之多元運用，使資訊安全及個人隱私威脅加劇。台灣人壽在資訊安全防護上，首重事前預防及應變準備，從資安治理、資安防禦、監控與回應、情報與聯防及個資保護5項策略，全方位建構資安防護措施並榮獲「個資管理卓越獎」、「工商時報數位資訊安全獎」等獎項。

資安治理

已制定由董事會核定之「資訊安全政策」， 設立「資訊安全管理會議」，由總經理擔任召集人，總經理轄下一級主管及風控長、法遵長為會議委員，邀請稽核主管列席，並設置直隸於總經理之資訊安全長，負責管理獨立運作之資訊安全部，綜理資安治理、資安系統維運及資安事件應變等業務，每月亦將高風險資安事故情境之關鍵風險指標納入風險管理單位之風險整合報告書向董事會報告、每年向董事會提報整體執行情形。為發揮集團資安治理及管理綜效，台灣人壽資安長每週與母公司中信金控透過資安主管會議，檢視集團整體縱深防禦框架，建構安全的金融環境。

資安防禦

依據世界經濟論壇(World Economic Forum ) 全球風險報告，網路攻擊、資料詐欺或竊盜、關鍵資訊基礎設施破壞等科技風險皆持續為高風險之威脅，本公司為有效管控風險，將上述風險列入關鍵風險指標，並依ISO27001、ISO22301 等國際標準，打造多層次防禦技術以阻絕各種攻擊類型，亦從網路、應用系統、硬體、作業系統與資料層面，利用適切之防護機制，偵測並阻擋資安威脅，強化關鍵風險防禦工程。
為提升整體資訊安全，持續擴大資安投資，2022 年度資安預算費用較前一年度提升27%，投入資安經費佔全部資訊預算費用4%、2022 年度資安專責人員亦較前一年度增加50%。
藉由制定金融資安人才學習地圖，讓同仁可依其專業領域及職能地圖，逐步強化其核心職能，培育符合公司需求之資安人才， 2022 年11 名資安專責人員，取得國際資安證照共20 張。並定期辦理社交工程演練、個資及資安宣導，強化員工防護意識。

監控與回應

台灣人壽協同母公司中信金控建置資訊安全監控中心，24 小時檢視內部資安環境變化，對於資訊系統及服務、端末設備、資料儲存裝置等，設有自動化異常告警機制，如有發生資安事件，皆依本公司事件處理及通報程序，於第一時間進行查處，並導入金融資安監控中心資安監控組態基準，增進資安事件與監控情資關聯分析之即時性及有效性，提升協同運作效能。

情報與聯防

已加入金融資安資訊分享與分析中心，資安人員收到資安情資，皆依資訊安全管理系統之作業安全管理規範進行查處。對於異常流量、惡意郵件、內外部威脅情報資料，已有快速風險識別評估機制，並持續辦理個人資料侵害緊急應變、資安事故通報及應變、分散式阻斷服務攻擊演練，加強防禦能量與應變能力、精實資安韌性。

個資防禦

本公司訂有個人資料檔案侵害事件緊急應變計畫，如有發生資訊安全及個資侵害事件，皆依內部規範於第一時間通知相關單位， 必要時事件應變指揮官成立緊急應變中心，並由事故管理、溝通協調、調查評估及公關媒體等任務編組成員因應處理。事故權責單位亦應提交詳細事件報告，分析根因以降低未來事故重複發生之機率。
本公司嚴格保護客戶個資，資訊系統平台僅顯示業務所需最小資料量，減少暴險機會，同時也強化資安縱深防禦架構。包含資料分級、電腦上網管制、個人電腦安裝資料外洩防禦軟體、上網隔離架構、網路異常流量監控及特權帳號管理，以防止分散式阻斷服務攻擊及進階持續性滲透攻擊等。另外，透過訂定資安執行成效評核指標，針對電腦病毒防護、駭客入侵防護及資料外洩風險等進行全面監控，對於未達標項目定期提醒相關單位。