第3條非公務機關應依其業務規模及特性,衡酌經營資源之合理分配,配置管理之人員及相當資源,以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱本計畫及處理方法)。本計畫及處理方法之訂定或修正,應經非公務機關負責人或法定代理人簽署。非公務機關蒐集、處理及利用達五千名用戶之個人資料者,其訂定之本計畫及處理方法內容應包含國內或國際個人資料安全稽核機制之規劃及執行計畫。