公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時，應明確告知當事人下列事項： 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。 有下列情形之一者，得免為前項之告知： 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害公共利益。 五、當事人明知應告知之內容。 六、個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。

公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之 個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項 第一款至第五款所列事項。 有下列情形之一者，得免為前項之告知： 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供 者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知，得於首次對當事人為利用時併同為之。

公務機關或非公務機關應依當事人之請求，就其蒐集之個人資料，答覆查 詢、提供閱覽或製給複製本。但有下列情形之一者，不在此限： 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。

公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請 求更正或補充之。 個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但 因執行職務或業務所必須，或經當事人書面同意，並經註明其爭議者，不 在此限。 個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求， 刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事 人書面同意者，不在此限。 違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求， 刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料， 應於更正或補充後，通知曾提供利用之對象。

本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條 所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當 之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀 損、滅失或洩漏，採取技術上及組織上之措施。 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具 有適當比例為原則： 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。