非公務機關應訂定個人資料檔案安全維護計畫及業務終止後個人資料處理
方法（以下簡稱本計畫及處理方法），以落實個人資料檔案之安全維護及
管理，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
非公務機關依前項規定訂定本計畫及處理方法時，應視其業務規模、特性
、保有個人資料之性質及數量等事項，參酌第五條至第二十二條規定，訂
定包含下列各款事項之適當安全維護管理措施；必要時，第二款各目事項
得整併之：
一、非公務機關之組織規模及特性。
二、個人資料檔案之安全管理措施：
    （一）配置管理之人員及相當資源。
    （二）界定蒐集、處理及利用個人資料之範圍。
    （三）個人資料之風險評估及管理機制。
    （四）事故之預防、通報及應變機制。
    （五）個人資料蒐集、處理及利用之內部管理程序。
    （六）設備安全管理、資料安全管理及人員管理措施。
    （七）認知宣導及教育訓練。
    （八）個人資料安全維護稽核機制。
    （九）使用紀錄、軌跡資料及證據保存。
    （十）個人資料安全維護之整體持續改善。
    （十一）業務終止後之個人資料處理方法。
第一項之本計畫及處理方法，不動產經紀業應於申請開業備查時，租賃住
宅服務業應於申請租賃住宅服務業登記時，其餘非公務機關應於申請開業
時，一併報請所在地直轄市、縣（市）主管機關備查；中央主管機關依前
條第一項第五款公告指定前，已完成開業或營業項目登記者，應於公告指
定之日起六個月內報請所在地直轄市、縣（市）主管機關備查。

一、第一項定明非公務機關訂定個人資料檔案安全維護計畫及業務終止後
    個人資料處理方法之義務及訂定內容。
二、由於非公務機關大小規模不一，經營型態不盡相同，尚難作統一規範
    ，爰參照本法施行細則第十二條第二項規定意旨，所採行之安全措施
    與所欲達成之個人資料保護目的間，具有適當比例為原則。爰第二項
    規定非公務機關得參酌其規模、特性、保有個人資料之性質及數量等
    事項，參考第五條至第二十二條及本法施行細則第十二條第二項規定
    ，訂定適宜並符合比例原則之安全措施，據以執行。
三、考量國內非公務機關為數眾多，倘未予訂定統一規範，業者於訂定本
    計畫及處理方法時恐無所適從，爰第二項定明非公務機關訂定本計畫
    及處理方法時應包括之事項，並保留彈性空間，非公務機關得依個別
    情況，於必要時整併第二項第二款各目之相關事項。
四、第三項定明非公務機關訂定本計畫及處理方法報請所在地直轄市、縣
    （市）主管機關備查之期限。