非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故
（以下簡稱個人資料事故），應訂定下列應變、通報及預防機制：
一、個人資料事故發生後應採取之各類措施，包括：
    （一）控制當事人損害之方式。
    （二）查明個人資料事故後通知當事人之適當方式。
    （三）應通知當事人個人資料事故事實、所為因應措施及諮詢服務專
          線等內容。
二、個人資料事故發生後應受通報之對象及其通報方式。
三、個人資料事故發生後，其矯正預防措施之研議機制。
非公務機關遇有達一千筆以上之個人資料事故時，應於發現後七十二小時
內將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人
資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是
否於發現個人資料外洩後立即通報等事項，以書面通報所在地直轄市、縣
（市）主管機關，並副知中央主管機關（書面通報格式如附件）。
直轄市、縣（市）主管機關對於重大個人資料事故，得依本法第二十二條
規定對非公務機關之應變、通報及預防機制進行實地檢查，並視檢查結果
為後續處置。中央主管機關認有必要時，得督導直轄市、縣（市）主管機
關對於非公務機關之相關機制改善情形。

一、本法第十二條規定，非公務機關所持有之個人資料發生被竊取、洩漏
    、竄改或其他侵害事故者，應查明後以適當方式通知當事人。爰第一
    項定明非公務機關訂定個人資料安全事故之應變、通報及預防機制之
    義務。
二、考量各非公務機關大小規模、經營型態及掌握之個人資料數量不一，
    爰以個人執業之中小型事務所所能掌握之個人資料數量一千筆為基準
    ，於第二項定明非公務機關遇有達一千筆以上之個人資料被竊取、洩
    漏、竄改或其他侵害之重大個人資料事故時，負通報義務。並依行政
    院一百十年八月十一日訂定之「行政院及所屬各機關落實個人資料保
    護聯繫作業要點」第四點第一項第三款規定，定明事故通報之對象、
    時點及應通報事項。
三、為調查事故發生後，是否係非公務機關所採取保護安全措施不足導致
    ，於第三項定明中央及直轄市、縣（市）主管機關對於重大個人資料
    事故得採取之措施及後續行政檢查規定。