完成個人資料檔案衝擊暨風險分析後，機關所有個人資料檔案管理之基礎已全部完備，此時要進行的關鍵作業即是將各類個人資料檔案該如何被管理、各類風險該如何被處理、機關所有與個人資料相關之營運流程是否該調整、以及人員該如何合法接觸個人資料檔案、...等，都必須一一訂出規範，以建立個人資料管理暨保護機制。

管理與保護的第一步就是要遵守個人資料保護法對個人資料蒐集、處理與利用之規範，同時，在風險評鑑中所找出的弱點、威脅與風險，其所必須採取之措施才能達到保護個人資料之改善建議也必須一併納入此管理與保護機制。

1.1 依據個人資料保護法，機關必須遵守之個人資料蒐集規範如下：
1.1.1 個人資料之範圍：
1.1.1.1 一般個人資料：姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動。
1.1.1.2 特種個人資料：醫療、基因、性生活、健康檢查、犯罪前科。
1.1.1.3 其他得以直接或間接方式識別該個人之資料。
1.1.2 個人資料之蒐集、處理或利用，應尊重當事人之權益，一般情況下應讓當事人有決定被蒐集、處理或利用之權利。
1.1.3 機關對個人資料之蒐集、處理或利用不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
1.1.4 前述所提之特種個人資料（醫療、基因、性生活、健康檢查、犯罪前科）之規範：
1.1.4.1 不論當事人是否同意，都不允許進行蒐集、處理或利用。
1.1.4.2 需下列情況下方可使用：
1.1.4.2.1 法律明文規定。
1.1.4.2.2 公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。
1.1.4.2.3 當事人自行公開或其他已合法公開之個人資料。
1.1.4.2.4 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。
1.1.5 直接向個資當事人蒐集資料：
1.1.5.1 需明確告知當事人下列事項：
1.1.5.1.1 公務機關或非公務機關名稱。
1.1.5.1.2 蒐集之目的。
1.1.5.1.3 個人資料之類別。
1.1.5.1.4 個人資料利用之期間、地區、對象及方式。
1.1.5.1.5 當事人得行使之權利及方式：
1.1.5.1.5.1 查詢或請求閱覽。
1.1.5.1.5.2 請求製給複製本。
1.1.5.1.5.3 請求補充或更正。
1.1.5.1.5.4 請求停止蒐集、處理或利用。
1.1.5.1.5.5 請求刪除。
1.1.5.1.6 當事人得自由選擇提供個人資料時，不提供將對其權益之影響。
1.1.5.2 可以免告知之情況：
1.1.5.2.1 依法律規定得免告知。
1.1.5.2.2 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
1.1.5.2.3 告知將妨害公務機關執行法定職務。
1.1.5.2.4 告知將妨害第三人之重大利益。
1.1.5.2.5 當事人明知應告知之內容。
1.1.6 間接向個資當事人蒐集資料：
1.1.6.1 若無法在蒐集當下立即告知當事人，可於首次利用時一同告知。
1.1.6.2 需明確告知當事人下列事項：
1.1.6.2.1 公務機關或非公務機關名稱。
1.1.6.2.2 蒐集之目的。
1.1.6.2.3 個人資料之類別。
1.1.6.2.4 個人資料利用之期間、地區、對象及方式。
1.1.6.2.5 當事人得行使之權利及方式：
1.1.6.2.5.1 查詢或請求閱覽。
1.1.6.2.5.2 請求製給複製本。
1.1.6.2.5.3 請求補充或更正。
1.1.6.2.5.4 請求停止蒐集、處理或利用。
1.1.6.2.5.5 請求刪除。
1.1.6.2.6 個人資料來源。
1.1.6.3 可以免告知之情況：
1.1.6.3.1 依法律規定得免告知。
1.1.6.3.2 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
1.1.6.3.3 告知將妨害公務機關執行法定職務。
1.1.6.3.4 告知將妨害第三人之重大利益。
1.1.6.3.5 當事人明知應告知之內容。
1.1.6.3.6 當事人自行公開或其他已合法公開之個人資料。
1.1.6.3.7 不能向當事人或其法定代理人為告知。
1.1.6.3.8 基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。
1.1.6.3.9 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
1.1.7 蒐集或處理個人資料（特種個人資料除外）：
1.1.7.1 必須有特定目的。
1.1.7.2 需符合下列情形之一：
1.1.7.2.1 公務機關：
1.1.7.2.1.1 執行法定職務必要範圍內。
1.1.7.2.1.2 經當事人書面同意。
1.1.7.2.1.3 對當事人權益無侵害。
1.1.7.2.2 非公務機關：
1.1.7.2.2.1 法律明文規定。
1.1.7.2.2.2 與當事人有契約或類似契約之關係。
1.1.7.2.2.3 當事人自行公開或其他已合法公開之個人資料。
1.1.7.2.2.4 學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
1.1.7.2.2.5 經當事人書面同意。
1.1.7.2.2.6 與公共利益有關。
1.1.7.2.2.7 個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。
1.1.7.3 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，非公務機關應主動或依當事人之請求，刪除、停止處理或利用該個人資料。
1.2 依據個人資料保護法，機關必須遵守之個人資料利用規範如下：
1.2.1 對個人資料之利用，除特種個人資料外，公務機關應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符；非公務機關應於蒐集之特定目的必要範圍內為之。
1.2.2 可為特定目的外之利用：
1.2.2.1 公務機關：
1.2.2.1.1 法律明文規定。
1.2.2.1.2 為維護國家安全或增進公共利益。
1.2.2.1.3 為免除當事人之生命、身體、自由或財產上之危險。
1.2.2.1.4 為防止他人權益之重大危害。
1.2.2.1.5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
1.2.2.1.6 有利於當事人權益。
1.2.2.1.7 經當事人書面同意。
1.2.2.2 非公務機關：
1.2.2.2.1 法律明文規定。
1.2.2.2.2 為增進公共利益。
1.2.2.2.3 為免除當事人之生命、身體、自由或財產上之危險。
1.2.2.2.4 為防止他人權益之重大危害。
1.2.2.2.5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
1.2.2.2.6 經當事人書面同意。