非公務機關依前條第一款通報者為重大個人資料事故，應於發現後七十二
小時內，將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況
、個人資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方
式、是否於發現事故後立即通報等事項，以書面通報主事務所所在地之直
轄市、縣（市）主管機關或財團法人主管機關；如為直轄市、縣（市）主
管機關接獲通報，並應副知中央主管機關（書面通報格式如附件）。
前項所稱重大個人資料事故，指個人資料被竊取、竄改、毀損、滅失或洩
漏達一千筆以上，將危及非公務機關正常營運或大量當事人權益之情形。
主管機關接獲通報或主動知悉事故，得依本法第二十二條至第二十五條規
定所賦予之職權，為適當之監督管理措施。

一、第一項定明非公務機關遇有重大個人資料事故時，負通報義務，並依
    行政院一百十年二月三日「行政機關落實個人資料保護執行聯繫會議
    」第一次會議決議，定明事故通報之對象、時點及應通報事項。
二、參考製造業及技術服務業個人資料檔案安全維護管理辦法第二條規定
    及考量所納管個人資料之重要性，爰第二項定明非公務機關遇有達一
    千筆以上個人資料被竊取、竄改、毀損、滅失或洩漏為重大個人資料
    事故，以區別一般及重大個人資料事故。
三、為調查事故發生後，是否係非公務機關所採取保護安全措施不足導致
    ，第三項定明主管機關得採取之措施及後續行政檢查規定。