非公務機關為確保本計畫及處理方法之落實，應依其業務規模及特性，衡 酌經營資源之合理分配，訂定適當之個人資料安全稽核機制；其依法令規 定應建立內部控制及稽核制度者，並應將相關機制列入內部控制及稽核項 目。

非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措 施，應記錄其個人資料使用情況，留存軌跡資料或相關證據。

非公務機關依本法第十一條第三項規定刪除、停止處理或利用所保有之個 人資料後，應留存下列紀錄：

一、刪除、停止處理或利用之方法、時間。

二、將刪除、停止處理或利用之個人資料移轉其他對象者，其移轉之原因 、對象、方法、時間，及該對象蒐集、處理或利用之合法依據。

前二項之軌跡資料、相關證據及紀錄，應至少留存五年。但法令另有規定 或契約另有約定者，不在此限。

非公務機關為持續改善個人資料安全維護，其所屬個人資料管理單位或人 員，應定期提出相關自我評估報告，並訂定下列機制：

一、檢視、修訂本計畫及處理方法等相關個人資料保護事項。

二、針對評估報告中有違反法令之虞者，規劃、執行改善及預防措施。

前項自我評估報告，應經非公務機關董（理）事會、常務董（理）事會決 議或經其授權之經理部門核定。但非公務機關為外國在臺分行、分公司， 或未設董（理）事會者，應經其負責人簽署。