第二條（用詞定義）
本法用詞，定義如下： 一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指 紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯 絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人 資料之集合。 三、蒐集：指以任何方式取得個人資料。 四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製 、檢索、刪除、輸出、連結或內部傳送。 五、利用：指將蒐集之個人資料為處理以外之使用。 六、國際傳輸：指將個人資料作跨國（境）之處理或利用。 七、公務機關：指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關：指前款以外之自然人、法人或其他團體。 九、當事人：指個人資料之本人。

第二十七條（個人資料檔案安全維護計畫及業務終止處理方法）
非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀 損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人 資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。

第三條
本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不 能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。

第十二條
本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項 、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施，指公務機關或非公務機 關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則 ： 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。