網際網路零售業執行安全維護計畫,除其他法令另有規定外,應留存下列紀錄或證據:
一、個人資料提供或移轉第三人之紀錄,該紀錄應包括提供或移轉之對象、依據、原因、方法、時間及地點等資訊。
二、確認個人資料正確性及補充、更正之紀錄。
三、當事人行使本法第三條之權利及處理過程之紀錄。
四、個人資料或儲存個人資料媒體之刪除、停止處理、利用或銷毀之原因、方法、時間及地點等紀錄。
五、存取個人資料系統之紀錄。
六、資料備份及確認其有效性之紀錄。
七、人員權限新增、變動及刪除之紀錄。
八、因應事故發生所採取行為之紀錄。
九、定期檢查處理個人資料之資訊系統之紀錄。
十、認知宣導及教育訓練之紀錄。
十一、稽核及改善安全維護計畫之紀錄。
十二、其他必要紀錄或證據。