業者應於本辦法施行之日起三個月內完成個人資料檔案安全維護計畫及業務終止後個人資料處理方法（以下簡稱安全維護計畫）之規劃及訂定。

安全維護計畫應納入符合第五條至第十七條規定之具體內容。

業者應依其所訂定之安全維護計畫執行之。數位發展部（以下簡稱本部）得要求業者提出安全維護計畫之實施情形，業者應於指定期限內，以書面方式提出。

業者應依其業務規模及特性，衡酌經營資源之合理分配，配置管理人員及相當資源，負責下列事項：

個人資料保護管理政策、安全維護計畫之訂定或修正，應經業者之代表人或其授權人員核定。

業者為因應當事人個人資料被竊取、竄改、毀損、滅失或洩漏等安全事故，應訂定下列應變、通報及預防機制：

業者遇有個人資料安全事故，將危及其正常營運或大量當事人權益者，應於知悉事故後七十二小時內依附表二格式通報本部，或通報直轄市、縣（市）政府時副知本部。

無法於時限內通報或無法於當次提供前項所述事項之全部資訊者，應檢附延遲理由或分階段提供。

本部或直轄市、縣（市）政府接獲第二項通報後，得依本法第二十二條至第二十五條規定為適當之處理。

業者應採取下列資料安全管理措施：

業者以資通系統直接或間接蒐集、處理或利用個人資料時，除前項要求外，應採取下列資料安全管理措施：

業者應定期對所屬人員，實施下列個人資料保護認知宣導及教育訓練：

業者對代表人、負責人或第五條所稱管理人員，另應依其於安全維護計畫所擔負之任務及角色，定期實施必要之教育訓練。

從事以網際網路方式供他人零售商品之平台業者，其安全維護計畫，應加入下列事項：

業者執行安全維護計畫時，應評估其必要性，保存下列紀錄至少五年：

業者於業務終止後，其所蒐集、處理或利用之個人資料應依下列方式處理，並留存下列紀錄至少五年：

業者之資本額為新臺幣一千萬元以上或保有個人資料筆數達五千筆以上者，於安全維護計畫訂定後，第六條、第七條、第九條第八款、第十一條第二項第一款至第四款、第八款、第十二條第三款、第十三條第一項、第二項、第十五條及前條第二款之措施，應每十二個月至少實施及檢討改善一次。

業者之資本額於本辦法施行後始增資達新臺幣一千萬元以上，或因直接或間接蒐集而保有個人資料達五千筆以上者，應自符合條件之日起六個月後，每十二個月至少實施及檢討改善前項措施一次。

前二項所定資本額，於股份有限公司為實收資本額，於有限公司、無限公司及兩合公司為登記之資本總額，於獨資或合夥方式經營之事業，為登記之資本額。

因刪除、銷毀或其他方法致保有個人資料筆數減少，且連續二年期間保有個人資料筆數未達五千筆之業者，得不適用第一項規定。但嗣後因直接或間接蒐集而致保有個人資料筆數達五千筆以上者，應於保有筆數達五千筆以上之日起三十日內，恢復適用第一項規定。保有個人資料筆數之計算，以業者單日所保有之個人資料為認定基準。

業者受委託蒐集、處理或利用個人資料者，應遵循委託者之中央目的事業主管機關所定之個人資料相關法規。

業者委託他人蒐集、處理或利用個人資料者，應對受託者依本法施行細則第八條規定為適當之監督，並於委託契約或相關文件中，明確約定其內容。