非公務機關應依前條界定之個人資料範圍及其蒐集、處理、利用個人資料 之流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適 當之管控機制。
定明非公務機關應就已界定個人資料之範圍與蒐集、處理及利用個人資料 流程,分析評估可能發生之風險,並針對該可能發生之風險,採取必要之 防範與管控措施,避免個人資料被竊取、竄改、洩漏、毀損、滅失或濫用 。