非公務機關保有會（社）員之個人資料達五千筆者，應訂定個人資料檔案
安全維護計畫及會（社）務終止後個人資料處理方法（以下簡稱本計畫及
處理方法），以落實個人資料檔案之安全維護及管理，防止個人資料被竊
取、竄改、毀損、滅失或洩漏。
非公務機關依前項規定訂定本計畫及處理方法時，應視其組織規模、特性
、保有個人資料之性質及數量等事項，參酌第五條至第二十一條規定，訂
定包含下列各款事項之適當安全維護管理措施；必要時，第二款各目事項
得整併之：
一、非公務機關之組織規模及特性。
二、個人資料檔案之安全管理措施：
    （一）配置管理之人員及相當資源。
    （二）界定蒐集、處理及利用個人資料之範圍。
    （三）個人資料之風險評估及管理機制。
    （四）事故之預防、通報及應變機制。
    （五）個人資料蒐集、處理及利用之內部管理程序。
    （六）設備安全管理、資料安全管理及人員管理措施。
    （七）認知宣導及教育訓練。
    （八）個人資料安全維護稽核機制。
    （九）使用紀錄、軌跡資料及證據保存。
    （十）個人資料安全維護之整體持續改善。
    （十一）會（社）務終止後之個人資料處理方法。
第一項之本計畫及處理方法，應於完成立案或登記之日起六個月內報請主
管機關備查；中央主管機關依前條第二款公告指定前，已完成立案或登記
者，應於公告指定之日起六個月內報請主管機關備查。
非公務機關保有個人資料筆數未達五千筆，因直接或間接蒐集而達五千筆
以上者，應於保有筆數達五千筆之日起六個月內，將本計畫及處理方法報
請主管機關備查。

一、本辦法所稱合作及人民團體類之非公務機關係以會（社）務運作為規
    範標的。查我國各級人民團體、合作社及儲蓄互助社，截至一百一十
    年六月底，社會團體計六萬七百七十九個、職業團體計五千三百六十
    五個、合作社計三千九百一十八個，且每年皆呈現快速成長；另各級
    人民團體及合作社多屬非營利性質，其組織人力、財務規模、資訊能
    力等面向差異甚大，為建立客觀個人資料規模標準，並衡量非公務機
    關之管理能力，避免保有個人資料筆數較少且規模較小者負擔過高的
    法令遵循成本，爰參照經濟部製造業及技術服務業個人資料檔案安全
    維護管理辦法第二條規定，於第一項明定應訂定個人資料檔案安全維
    護計畫及會（社）務終止後個人資料處理方法（以下簡稱本計畫及處
    理方法）之非公務機關，其個人資料筆數門檻為五千筆。
二、非公務機關應負舉證責任，並應依人民團體法或合作社法、儲蓄互助
    社法相關規定，透過召開定期理事會確認通過入出會（社）之人員，
    或於年度會（社）員大會前召開理事會審定名冊或社籍清查時，以確
    認最新會（社）員人數，始得判斷是否符合本條個人資料筆數門檻之
    規定，併同敘明。
三、以此一筆數門檻檢視，目前符合標準之全國性社會團體有後備軍人、
    體育、勞工、醫學等大型社會團體；職業團體則有全國單一公會之工
    業團體及執業人數較多之自由職業團體；全國級合作社則有全國級農
    業合作社、消費合作社、保險合作社。以上皆屬成立較久、個人資料
    筆數較多、組織人力充足、財務規模穩定之非公務機關，應足以負擔
    相關法令成本。
四、參照個人資料保護法施行細則第十二條第二項規定意旨，所採行之安
    全措施與所欲達成之個人資料保護目的間，具有適當比例為原則。爰
    第二項規定非公務機關得參酌其組織規模、特性、保有個人資料之性
    質及數量等事項，參考第五條至第第二十二條及個人資料保護法施行
    細則第十二條第二項規定，訂定適宜並符合比例原則之安全措施，據
    以執行，另保留彈性空間，得依個別情況於必要時整併第二項第二款
    各目之相關事項。
五、第三項定明已完成立案或登記之非公務機關，以及第四項規範原未達
    個人資料筆數門檻因直接或間接蒐集而達門檻之非公務機關，應訂定
    個人資料檔案安全維護計畫及會（社）務終止後個人資料處理方法之
    義務、訂定內容及訂定期限。