非公務機關為確實保護個人資料之安全，應對其所屬人員採取適度管理措
施。
前項管理措施，應包括下列事項：
一、依據業務需求，適度設定所屬人員不同之權限，控管其接觸個人資料
    之情形，並定期檢視權限內容之適當性及必要性。
二、檢視各相關業務之性質，規範個人資料蒐集、處理及利用等流程之負
    責人員。
三、要求所屬人員妥善保管存有個人資料之媒介物，並約定保管及保密義
    務。
四、所屬人員異動或離職時，應將執行業務所持有之個人資料辦理交接，
    不得在外繼續使用，並應簽訂保密切結書。

一一非公務機關及所屬人員，不論何種法律關係，業者都必須避免個人資
料之保管及處理發生弊端，導致侵害當事人權益情事，爰第一項規定應於
所訂計畫中，對所屬人員採取必要且適當之管理措施。
二、非公務機關應根據業務性質，檢視容易發生問題之處，預先予以防範
    。例如：與業務無關人員不得任意接觸資料、授予必要利用個人資料
    人員不同等級之權限、所屬人員在個人資料蒐集、處理及利用流程中
    有無漏洞、約束規範嚴密保管個人資料檔案及所屬人員異動或離職時
    ，所持有之個人資料如何交接及保密切結等事項，爰為第二項規定。