非公務機關為確實保護個人資料之安全，應對其所屬人員採取適度管理措
施。
前項管理措施，應包含下列事項：
一、依據業務需求，適度設定所屬人員不同之權限，控管其接觸個人資料
    之情形，並定期檢視權限內容之適當性及必要性。
二、檢視各相關業務之性質，規範個人資料蒐集、處理及利用等流程之負
    責人員。
三、要求所屬人員妥善保管個人資料之儲存媒介物，並約定保管及保密義
    務。
四、所屬人員離職時，應將執行業務所持有之個人資料辦理交接，不得在
    外繼續使用，並應簽訂保密切結書。

一、非公務機關與所屬人員，不論是何種法律關係，業者都必須避免個人
    資料之保管及處理發生弊端，導致侵害當事人權益情事，爰第一項規
    定應於所訂計畫中，對所屬人員採取必要且適當之管理措施。
二、第二項規定非公務機關應根據業務性質，檢視容易發生問題之處，預
    先予以防範。例如：與業務無關人員不得任意接觸資料、授予必要利
    用個人資料人員不同等級之權限、所屬人員在個人資料蒐集、處理及
    利用流程中有無漏洞、約束規範嚴密保管個人資料檔案及所屬人員離
    職時，所持有之個人資料如何交接與保密切結等事項。