中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護 、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必 要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查， 並得命相關人員為必要之說明、配合措施或提供相關證明資料。 中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒 入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製 之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提 出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方 法強制為之。 中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率同 資訊、電信或法律等專業人員共同為之。 對於第一項及第二項之進入、檢查或處分，非公務機關及其相關人員不得 規避、妨礙或拒絕。 參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

非公務機關有違反本法規定之情事者，中央目的事業主管機關或直轄市、 縣（市）政府除依本法規定裁處罰鍰外，並得為下列處分： 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形，及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣（市）政府為前項處分時，應於防制 違反本法規定情事之必要範圍內，採取對該非公務機關權益損害最少之方 法為之。

非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料 被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關 定之。

非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（ 市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以 下罰鍰： 一、違反第八條或第九條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫 或業務終止後個人資料處理方法。

本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護 事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關 為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上 之措施。 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具 有適當比例為原則： 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。