非公務機關為因應保有之個人資料被竊取、竄改、毀損、滅失或洩漏等安
全事故（以下簡稱個人資料事故），應採取下列應變、通報及預防機制：
一、採取適當之應變措施，以控制個人資料事故對當事人之損害，並通報
    內部有關單位。
二、查明個人資料事故之狀況並以適當方式通知當事人有關個人資料事故
    事實、所為因應措施及諮詢服務專線等內容。
三、研議預防機制，避免類似個人資料事故再次發生。

非公務機關應依據前條個人資料風險評估結果，訂定個人資料事故之預防
、通報及應變程序，以強化事前預防避免、事中應變通報、事後檢討改進
之機制，爰為第一款至第三款規定如下：
一、通報區分一般及重大個人資料事故。第一款為一般個人資料事故，屬
    非公務機關能自行掌控處理之事件，依內部程序通報有關單位；第九
    條為重大個人資料事故，應依內部程序通報有關單位，並依外部程序
    於時限內通報主管機關。
二、依本法第十二條規定，個人資料被竊取、洩漏、竄改或其他侵害，非
    公務機關應查明後以適當方式通知當事人；本法施行細則第二十二條
    業規定適當之通知方式，且通知內容應包括個人資料被侵害之事實及
    已採取之因應措施；另非公務機關應提供諮詢服務專線供當事人諮詢
    ，使當事人知悉個人資料遭違法侵害情事，及時採取補救措施或提起
    救濟，以降低損害之擴大。
三、依據已發生之個人資料事故，重新審視風險評估或隱私權衝擊分析之
    標準，研擬預防機制，防止類似個人資料事故再度發生，並確認預防
    措施之有效性。