個資管理暨保護機制
個資保護策略：依據衝擊評鑑、風險評鑑之結果以及個資法之規範擬定管理暨保護機制
 符合個資蒐集、處理或利用規範：
 不蒐集特種個資，除符合例外條件
 符合特定目的與蒐集目的
 該告知就應該告知
 該通知就應該通知
 該取得同意就該取得同意
 蒐集以『最小化』與『營運所需』為原則
 證明已善盡保護責任：防止訴訟成立（尤其是團體訴訟）：
 避免個資不當揭露
 有委外情事，必須確保善盡監督之責
 保留各類軌跡、證據（需具備法律證據力）
 損害因果推論儘量使之不成立
 證明無犯意

個人資料保護＝合理作業流程＋專業且有職業道德之個資管理人員＋有個人資料保護概念之員工＋嚴謹資訊安全技術防護＋適當之個人資料管理稽核

這邊所提的都是個人資料管理暨保護之原則，除了流程與人員的作業規範外，屬於技術層面的問題除了建置資訊安全工具外，最重要的是這些資安工具是否能被『合理』且『合法』被使用，否則，有管理者權限之人員，在資安工具上開了後門，這樣即便建構了全天下最嚴謹的防護機制，卻忽略自家的後門開了一個洞，個資事故的發生就變成不可避免的結果。所以在下一章介紹『資料暨設備安全管理』時，雖然皆是從技術層面切入，但仍要機關制定必要的稽核與內控機制，以確保不會發生禍起蕭牆的情況。