本辦法所稱非公務機關，包括下列各款：

前項第二款不動產開發業，指以銷售為目的，從事土地、建物等不動產投資興建之行業。

非公務機關應訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法（以下簡稱本計畫及處理方法），以落實個人資料檔案之安全維護及管理，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

非公務機關依前項規定訂定本計畫及處理方法時，應視其業務規模、特性、保有個人資料之性質及數量等事項，參酌第五條至第二十三條規定，訂定包含下列各款事項之適當安全維護管理措施；必要時，第二款各目事項得整併之：

第一項之本計畫及處理方法，都市更新業務財團法人應於主管機關許可設立之日起六個月內報請其主管機關備查，其餘非公務機關應於開業或完成營業項目登記之日起六個月內，報請主事務所所在地之直轄市、縣（市）主管機關備查。

中央主管機關依前條第一項第六款公告指定前，已完成開業、營業項目登記或財團法人許可設立者，應於公告指定之日起六個月內，將第一項之本計畫及處理方法報請主事務所所在地之直轄市、縣（市）主管機關或財團法人主管機關備查。

非公務機關應配置適當管理人員及相當資源，負責規劃、訂定、修正及執行本計畫及處理方法等相關事項，並定期向負責人提出報告。

非公務機關應訂定個人資料保護管理政策，將蒐集、處理及利用個人資料之特定目的、法律依據及其他相關保護事項，公告於營業處所或主事務所適當之處；如有網站者，並揭露於網站首頁，使其所屬人員及個人資料當事人均能知悉。

非公務機關依前條第一款通報者為重大個人資料事故，應於發現後七十二小時內，將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是否於發現事故後立即通報等事項，以書面通報主事務所所在地之直轄市、縣（市）主管機關或財團法人主管機關；如為直轄市、縣（市）主管機關接獲通報，並應副知中央主管機關（書面通報格式如附件）。

前項所稱重大個人資料事故，指個人資料被竊取、竄改、毀損、滅失或洩漏達一千筆以上，將危及非公務機關正常營運或大量當事人權益之情形。

主管機關接獲通報或主動知悉事故，得依本法第二十二條至第二十五條規定所賦予之職權，為適當之監督管理措施。

中央主管機關依本法第二十一條規定，對非公務機關為限制國際傳輸個人資料之命令或處分時，非公務機關應通知所屬人員遵循辦理。

非公務機關將個人資料作國際傳輸者，應檢視是否受中央主管機關限制，並告知當事人其個人資料所欲國際傳輸之區域，且對資料接收方為下列事項之監督：

非公務機關使用資通訊系統蒐集、處理或利用個人資料，且其資料庫保有個人資料數量達五千筆以上者，應採取下列措施：

前項第五款及第六款所定措施，應定期演練及檢討改善。

非公務機關對保有個人資料之環境及實體設備安全，應採取下列措施：

前項所稱環境，指第十四條所定各類設備、儲存媒體或媒介物之存放區域。

非公務機關為確實保護個人資料之安全，應對其所屬人員採取適度管理措施。

前項管理措施，應包括下列事項：

非公務機關為確保本計畫及處理方法之落實，應依其業務規模及特性，衡酌經營資源之合理分配，訂定個人資料安全維護稽核機制，並指定適當人員每半年至少進行一次本計畫及處理方法執行情形之檢查。

前項檢查結果應向負責人提出報告，並留存相關紀錄，其保存期限至少五年。

非公務機關依第一項檢查結果發現本計畫及處理方法不符法令或有不符法令之虞者，應即改善。

非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措施，應記錄其個人資料使用情況，留存軌跡資料或相關證據。

非公務機關依本法第十一條第三項規定刪除、停止處理或利用所保有之個人資料後，應留存下列紀錄：

前二項之軌跡資料、相關證據及紀錄，應至少留存五年。但法令另有規定或契約另有約定者，不在此限。

非公務機關委託他人蒐集、處理或利用個人資料之全部或一部時，應對受託人依本法施行細則第八條規定為適當之監督。

非公務機關為執行前項監督，應與受託人明確約定相關監督事項及方式。