保有消費者個人資料筆數達一百筆以上之業者,應依本辦法規定,規劃、訂定、修正與執行消費者個人資料檔案安全維護計畫(以下簡稱本計畫),其內容應包含第四條至第二十二條規定之相關組織及程序,以落實個人資料檔案之安全維護與管理,防止被竊取、竄改、毀損、滅失或洩漏。
依前項規定應訂定本計畫者,應於本辦法施行之日起六個月內完成;其於本辦法施行後,保有消費者個人資料筆數始達一百筆者,應自保有筆數達一百筆之日起六個月內完成之。
依前二項規定完成本計畫及處理方法之訂定後,所保有之消費者個人資料筆數減少,連續二年期間所保有之筆數未達一百筆之業者,得停止本計畫全部或一部之執行。但嗣後因直接或間接蒐集而致所保有之消費者個人資料筆數達一百筆時,應於保有筆數達一百筆之日起三十日內恢復本計畫全部之執行。
前三項消費者個人資料筆數之計算,以業者累計所保有之消費者個人資料為認定基準;其未達一百筆之事實,應由業者證明之。