票據交換所應依其組織與事業特性訂定個人資料保護管理政策，提報董事會通過，並公開周知，使其所屬人員均明確瞭解及遵循。

前項管理政策至少應包括下列事項之說明：
一、遵守我國個人資料保護相關法令規定。
二、以合理安全之方式，於特定目的範圍內，蒐集、處理及利用個人資料。
三、以可期待之合理安全水準技術保護其所蒐集、處理、利用之個人資料檔案。
四、設置聯絡窗口，供個人資料當事人行使其個人資料相關權利或提出相關申訴與諮詢。
五、規劃緊急應變程序，以處理個人資料被竊取、竄改、毀損、滅失或洩漏等事故。
六、如委託蒐集、處理及利用個人資料者，應妥善監督受託機關。
七、持續維運本計畫之義務，以確保個人資料檔案之安全。

票據交換所應定期檢視應遵循之個人資料保護法令，並據以訂定或修訂本計畫。

票據交換所應依個人資料保護法令，清查所保有之個人資料，界定其納入本計畫之範圍並建立清冊，且定期確認其變動情形。

票據交換所應依據前條界定之個人資料範圍及其相關業務流程，分析可能產生之風險，並依據風險分析結果，訂定適當管控措施。

票據交換所為因應其保有之個人資料被竊取、竄改、毀損、滅失或洩漏等事故，應就下列事項建立相關程序：
一、採取適當之應變措施，以降低或控制事故對當事人之損害。
二、查明事故之狀況並適時通知當事人，通知內容應包含個人資料發生事故之事實、採取之因應措施及所提供之諮詢服務專線。
三、避免類似事故再次發生。

票據交換所遇有前項事故時，應即以電話通報中央銀行（以下簡稱本行）受理通報專責人員，並於七十二小時內，依附表格式，以電子郵件傳送本行；另自通報日之次日起，於七個營業日內再以書面方式將發生事故之事實、是否已遭不法利用、當事人權益受損情形及採取之因應措施等事項陳報本行。

本行於接獲票據交換所通報後，得依本法第二十二條至第二十五條規定所賦予之職權，為適當之監督管理措施。