一、配合本法施行細則第十二條第二項第一款規定，非公務機關為落實個人資料保護
    目的，應考量組織規模與保有個人資料之數量或內容，依比例原則建立技術上及
    組織上之措施，俾規劃、訂定、修正與執行本計畫及處理方法之相關事項，防止
    個人資料被竊取、竄改、毀損、滅失或洩漏。
二、又非公務機關針對用戶個人資料蒐集、處理及利用，均應考量技術演進及匯流發
    展所延伸之通訊傳播服務範圍，並據以規劃、訂定、修正與執行本計畫及處理方
    法之相關事項。
三、關於本計畫及處理方法之訂定或修正，是否須經非公務機關之負責人或法定代理
    人簽署，本法及本法施行細則未有明文，爰於本條第二項明定之，以利遵循。
四、日本「個人情報保護法」之規定對於資料庫於半年內之任何一日均未累積超過五
    千名特定個人資料之事業，不適用之；美國「消費者隱私保護法草案」（
    Consumer Privacy Protection Act of 2011, H.R.1528） 於西元二零一一年四
    月十三日送交國會進行審議，草案中據以要求任何業者（coverd entity） ，只
    要在連續十二個月的期間內，有蒐集、販賣、有償公開或使用超過五千名消費者
    之個人資料者。因此，鑒於本法第二條第四款「處理」之定義，並參採日本與美
    國西元二零一一年「消費者隱私保護法草案」之處理筆數，爰於第三項明定，蒐
    集、處理及利用達五千名用戶個人資料之非公務機關，其訂定之本計畫及處理方
    法內容應包含國內（TPIPAS）或國際（P-Mark、ePrivacy-Mark、BS等） 個人資
    料安全稽核機制之規劃與執行計畫。
五、按本法第二十七條及本法施行細則第十二條第一項、第二項及其第九款之規定，
    應採行適當之安全措施及具有適當比例為原則，並對於資料安全施行稽核機制，
    爰參照本會主管之各項業務管理規則，目前業已增修資通安全管理專章，故本項
    條文，考量本會監理事業持有用戶之個人資料，具有業務特殊性及商業價值（可
    利用於行動商務小額付款平臺、網購服務及商業訊息播送上），且非公務機關蒐
    集、處理及利用之個人資料達一定數量者，採第三方稽核機制。