業者為因應當事人個人資料被竊取、竄改、毀損、滅失或洩漏等安全事故
，應訂定下列應變、通報及預防機制：
一、事故發生後應採取之應變措施，包括降低、控制當事人損害之方式、
    查明事故後通知當事人之適當方式及內容。
二、適時以電子郵件、簡訊、電話或其他便利當事人知悉之適當方式，通
    知當事人事故之發生與處理情形，及後續供當事人查詢之電話專線或
    其他適當管道。
三、事故發生後研議其矯正預防措施之機制。
業者遇有個人資料安全事故，將危及其正常營運或大量當事人權益者，應
於知悉事故後七十二小時內依附表二格式通報本部，或通報直轄市、縣（
市）政府時副知本部。
無法於時限內通報或無法於當次提供前項所述事項之全部資訊者，應檢附
延遲理由或分階段提供。
本部或直轄市、縣（市）政府接獲第二項通報後，得依本法第二十二條至
第二十五條規定為適當之處理。

一、參考本法施行細則第十二條第二項第四款及訂定辦法之參考事項第二
    點第四款，為降低或控制因個人資料被竊取、竄改、損毀、滅失或洩
    漏等事故造成資料當事人財產及非財產上之損害，第一項規定業者應
    訂定相關因應機制及其必要作為。又參考本法第十二條及本法施行細
    則第二十二條業者對當事人之通知義務，第二款規定事故發生時，業
    者應適時以電子郵件、簡訊、電話或其他便利當事人知悉之適當方式
    ，通知當事人事故之發生與處理情形，及後續供當事人查詢之電話專
    線或其他適當管道。
二、為期業者可藉由對主管機關之事故通報，充分掌握個人資料事故發生
    原因，並予以妥善處理，進而控制個人資料事故造成之損害並防止復
    發，參考行政院及所屬各機關落實個人資料保護聯繫作業要點第五點
    第一項第三款，於第二項規定業者遇有將危及正常營運或大量當事人
    權益之個人資料安全事故時，須詳實就所掌握事故相關事項，於知悉
    事故後七十二小時內依附表二格式向本部通報，倘通報對象為直轄市
    、縣（市）政府，應同時副知本部。
三、考量通報時效性，參考歐盟個人資料保護規則（GDPR）關於資料侵害
    發生時須向主管機關通報等規定，第三項規定未於時限內通報者應附
    具延遲理由、未能於當次提供通報事項全部資訊者應分階段提供。
四、第四項規定主管機關得視實際需求依本法第二十二條至第二十五條規
    定採取相關行政作為。