網際網路零售業為符合本法、本辦法及其他相關法令之規定，應依其業務 規模及特性，衡酌經營資源之合理分配，設個人資料管理單位或適當組織 ，並配置適當資源，負責下列事項：

一、個人資料保護管理政策（以下簡稱個資保護政策）之訂定及修正。

二、個人資料檔案安全維護計畫及業務終止後個人資料處理方法（以下簡 稱安全維護計畫）之訂定、修正及執行。

個資保護政策及安全維護計畫之訂定或修正，應由網際網路零售業之代表 人或其授權之其他負責人核定之。