非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料 被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關 定之。

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項 、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事 業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者 ，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（ 市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以 下罰鍰： 一、違反第八條或第九條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維 護計畫或業務終止後個人資料處理方法者，由中央目的事業主管機關或直 轄市、縣（市）政府處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期 改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰 。 非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維 護計畫或業務終止後個人資料處理方法，其情節重大者，由中央目的事業 主管機關或直轄市、縣（市）政府處新臺幣十五萬元以上一千五百萬元以 下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條 所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當 之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀 損、滅失或洩漏，採取技術上及組織上之措施。 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具 有適當比例為原則： 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。