第3條網際網路零售業為符合本法、本辦法及其他相關法令之規定,應依其業務規模及特性,衡酌經營資源之合理分配,設個人資料管理單位或適當組織,並配置適當資源,負責下列事項:一、個人資料保護管理政策(以下簡稱個資保護政策)之訂定及修正。二、個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱安全維護計畫)之訂定、修正及執行。個資保護政策及安全維護計畫之訂定或修正,應由網際網路零售業之代表人或其授權之其他負責人核定之。