學校、機構應訂定應變機制，在發生個人資料被竊取、洩露、竄改或其他
侵害事故時，迅速處理以保護當事人之權益。
前項應變機制，應包括下列事項：
一、採取適當之措施，控制事故對當事人造成之損害。
二、查明事故發生原因及損害狀況，並以適當方式通知當事人。
三、研議改進措施，避免事故再度發生。
學校、機構應自第一項事故發現時起七十二小時內，填具個人資料侵害事
故通報與紀錄表（如附件），通報主管機關，未依時限內通報者，應附理
由說明；並自處理結束之日起一個月內，將處理方式及結果，報主管機關
備查。
依規定通報後，主管機關得派員檢查，受檢者不得規避、妨礙或拒絕，主
管機關並得依本法第二十二條至第二十五條規定，為適當之監督管理機制
。

一、第一項及第二項未修正。
二、增列第三項及第四項，說明如下：
    （一）依行政院一百十年三月四日院授發協字第一一０二０００三四
          三號函，一百十年二月三日「行政機關落實個人資料保護執行
          聯繫會議」決議相關事項，及教育部「行政機關落實個資保護
          執行聯繫會議之本部應辦事項」「未依時限內通報者，應附延
          遲理由」之相關文字；並參酌一百十年七月七日教育部「有關
          行政機關落實個資保護執行聯繫會議決議本部相關辦法修正建
          議」修正通報時限為發現時起「七十二小時」，並增列「應通
          報之內容及後續行政檢查事項」。
    （二）第三項，增列個人資料侵害事件之通報時限，並明定應填具個
          人資料侵害事故通報與紀錄表及未依時限內通報者，應附理由
          說明。
    （三）第四項，依第三項規定通報後，主管機關得派員進行行政檢查
          ，受檢者不得規避、妨礙或拒絕；主管機關並得依個人資料保
          護法第二十二條至第二十五條規定，為適當之監督管理措施。