非公務機關使用資通訊系統蒐集、處理或利用消費者個人資料達一萬筆以
上者，應採取下列資訊安全措施：
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案與資料庫之存取控制及保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控及因應機制。
前項第五款及第六款所定措施，應定期演練及檢討改善。

一、依非公務機關行業特性，鑑於個人執業之小型事務所、商號，或新開
    業之業者，如納入分級加強管理對象之範疇，將造成其於營運上負擔
    不符比例原則之行政及法令遵循成本，爰參考實務執行情形，以營業
    約五年之不動產經紀業者掌握之個人資料數量一萬筆，作為分級加強
    管理之標準。考量該等業者於營業上已具有相當之規模及穩定性，納
    入需分級加強管理對象之範疇應無疑義，爰於第一項明定一萬筆以上
    為應加強管理之條件，以兼顧比例原則及政策目標。二、非公務機關
    使用資通訊系統蒐集、處理或利用消費者個人資料達一萬筆以上者，
    為避免使用者個人資料於使用資通訊服務時被竊取、洩漏、竄改或其
    他侵害事故發生，依行政院一百十年八月十一日訂定之「行政院及所
    屬各機關落實個人資料保護聯繫作業要點」第四點第一項第一款及第
    二款規定，應加強管理，並至少採取下列資訊安全措施，以落實保護
    個人資料：（一）使用者身分確認及保護機制；（二）個人資料顯示
    之隱碼機制；（三）網際網路傳輸之安全加密機制；（四）個人資料
    檔案及資料庫之存取控制與保護監控措施；（五）防止外部網路入侵
    對策及（六）非法或異常使用行為之監控與因應機制。參考資通安全
    責任等級分級辦法附表十資通系統防護基準，針對六項資訊安全措施
    之實作說明如下：
    （一）系統應建立帳號管理機制，包含帳號申請、建立、修改、啟用
          、停用及刪除程序，並執行身分驗證管理，如身分驗證資訊不
          以明文傳輸、密碼複雜度或帳號鎖定機制等。
    （二）系統界面呈現個人資料時，應以適當且一致性之隱碼或遮罩處
          理，以避免過多且非必要之個人資料揭露，可參考CNS 9191「
          資訊技術－安全技術－部分匿名及部分去連結鑑別之要求事項
          」國家標準。
    （三）個人資料傳輸時，應採用傳輸加密機制，如採用加密傳輸通道
          、使用公開、國際機構驗證且未遭破解之演算法。
    （四）儲存於電子媒體及資料庫之個人資料，應適當加密保護，並提
          供使用者識別、鑑別及身分管理，並採用最小權限原則進行存
          取控制管理。
    （五）針對外部入侵之防禦，應採用適當資安控制措施建立防禦縱深
          ，包括防毒軟體、防火牆、入侵偵測與防禦系統，及應用程式
          防火牆等。
    （六）針對系統或個人資料檔案之存取，應確保資通系統有記錄特定
          事件之功能，並決定應記錄之特定資通系統事件，且應留存系
          統相關日誌紀錄並定期檢視，或設置適當監控及異常行為預警
          機制。
三、隨網路科技之進步，個人資料遭外部網路入侵或非法或異常使用行為
    損害情形層出不窮，爰第二項定明針對第一項第五款及第六款所定措
    施，非公務機關應定期進行演練及檢討改善。