非公務機關依前條第一款通報者為重大個人資料事故，應於發現後七十二小時內，將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人資料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是否於發現事故後立即通報等事項，以書面通報主事務所所在地之直轄市、縣（市）主管機關或財團法人主管機關；如為直轄市、縣（市）主管機關接獲通報，並應副知中央主管機關（書面通報格式如附件）。

前項所稱重大個人資料事故，指個人資料被竊取、竄改、毀損、滅失或洩漏達一千筆以上，將危及非公務機關正常營運或大量當事人權益之情形。

主管機關接獲通報或主動知悉事故，得依本法第二十二條至第二十五條規定所賦予之職權，為適當之監督管理措施。