特定非公務機關應依其業務規模及特性，衡酌經營資源之合理分配，配置管理之人員及相當資源，以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法（以下簡稱本計畫及處理方法）。

特定非公務機關應於本辦法施行之日起六個月內完成本計畫及處理方法之訂定；本辦法施行後，本會主管之財團法人應於符合前條規定之日起六個月內完成本計畫及處理方法之訂定。

特定非公務機關完成本計畫及處理方法之訂定，除業務項目有金融業務性質者外，如因刪除、銷毀或其他方式致所保有之個人資料筆數減少，且連續二年期間所保有之筆數未達五千筆者，得停止本計畫及處理方法全部或一部之執行。但嗣後因直接或間接蒐集致所保有之個人資料筆數達到五千筆以上時，應於保有筆數達到五千筆以上之日起三十日內恢復本計畫及處理方法全部之執行。

本計畫及處理方法之訂定、修正、停止及恢復，應經由特定非公務機關董（理）事會決議或經其授權之經理部門核定，並於核定日起三十日內送本會備查。

特定非公務機關經本會要求提出本計畫及處理方法實施情形者，應於收受通知後三十日內，以書面方式提出。