非公務機關為因應消費者個人資料被竊取、竄改、毀損、滅失或洩漏等安
全事故，應訂定下列應變、通報及預防機制：
一、事故發生後應採取之應變措施，包括降低、控制當事人損害之方式、
    查明事故後通知當事人之適當方式及內容。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後研議其矯正預防措施之機制。
非公務機關遇有消費者個人資料外洩事故，將危及其正常營運或大量當事
人權益者，應於知悉事故後七十二小時內依附表格式通報其主管機關。如
向地方主管機關通報，非公務機關並應副知中央主管機關。
無法於時限內通報或無法於當次提供前項所述事項之全部資訊者，應檢附
延遲理由或分階段提供。
主管機關得知或接獲第二項通報後，得依本法第二十二條至第二十五條規
定，為適當之監督管理措施。中央主管機關認有必要時，得督導地方主管
機關對於非公務機關之相關機制改善情形。

一、第一項明定非公務機關應訂定個人資料安全事故之應變、通報及預防
    機制之義務。
二、第二項為避免重大個人資料事故危及非公務機關營運或影響大量當事
    人權益，參酌經濟部製造業及技術服務業個人資料檔案安全維護管理
    辦法第六點規定，並依行政院及所屬各機關落實個人資料保護聯繫作
    業要點第四點第一項第三款有關個資外洩時應通報之對象、時點、應
    通報事項、後續行政檢查等事項訂定。
三、為調查事故發生是否係非公務機關所採取保護安全措施不足導致，第
    四項明定中央及地方主管機關對於重大個人資料事故得採取之措施及
    後續行政檢查規定。