特定非公務機關為因應業務上所保有個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故(以下簡稱事故),應訂定下列應變、通報及預防機制:
一、事故發生後應採取之各類措施:
(一)控制當事人損害之方式。
(二)查明事故後通知當事人之適當方式。
(三)應通知當事人事故事實、所為因應措施及諮詢服務專線等內容。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後其矯正預防措施之研議機制。
特定非公務機關遇有前項事故者,應於發現後七十二小時內通報本會,未於時限內通報者應附延遲理由(通報格式如附件)。通報內容包括:
一、特定非公務機關名稱、通報人及聯絡方式。
二、通報時間及事件發生時間。
三、事件發生種類、個人資料類型、預估個人資料侵害總筆數、發生原因、損害狀況、個人資料侵害可能結果。
四、擬採取之因應措施、擬採通知當事人之時間及方式。
本會接受通報後,得依據本法第二十二條至第二十五條規定,為適當之監督管理措施。
第一項特定非公務機關所研議之矯正預防措施,應經公正、獨立且取得相關公認認證資格之專家,進行整體診斷及檢視。