Português
English
澳門法律如何管通訊工具
澳門沒有明文寫「用釘釘要備案」,但只要你處理員工姓名、電話或排班表,就已經落入《個人資料保護法》管轄範圍。我們見過一間本地工程公司,只是透過釘釘跟內地供應商核對身份證號和地址,結果被GPDP認定為非法跨境傳輸——看似日常溝通,實則違法。
這類行為構成「自動化處理」與「跨境資料流動」,根據第8/2007號法律第6條,必須向個人資料保護辦公室(GPDP)提交Formulário D登記。未登記最高罰10萬澳門元,還可能影響合作夥伴信任與政府投標資格。
釘釘點解會出事
釘釘由阿里雲支援,主要資料中心在杭州。即使你只發一條群組通知,系統日誌、聊天記錄、附件檔案都會默認同步到中國伺服器。這意味著每一則訊息都可能成為合規風險源頭。
技術上,標準版釘釘採用集中式管理架構,除非簽署專屬合約啟用「私有化部署」,否則無法切斷與境外伺服器的連結。GPDP早在2022年就警告:只要澳門居民資料經非本地伺服器處理,就需完成登記並取得當事人同意。設定保密群組不能解決根本問題,因為它不改變資料儲存位置,也缺乏端到端加密。
邊啲行業最容易中招
醫療、教育和金融機構風險最高。GPDP 2023年執法報告顯示,41%個資投訴來自醫療社福機構誤用通訊工具。例如某私人診所用釘釘傳送病人就診紀錄,表面提升效率,實際違反隱私權核心原則,最終遭罰並須全面整改。
澳門金管局內部通函AMCM/IS/2023-09亦要求金融機構對第三方平台實施「資料最小化」與「端到端加密」。然而釘釘標準版雖有權限控制,敏感資料一旦上傳,仍可在伺服器端被存取,形成合規缺口。對這些高風險行業來說,合規不是選項,而是生存門檻。
唔合規到底蝕幾多
單次違規最高罰10萬澳門元,但真正的損失遠不止於此。根據過去三年案例統計,平均每個案件衍生的合規整改成本達6.8萬元,包括法律顧問費、資料遷移與員工再培訓;管理層更要花平均17天應對稽核。
若事件曝光,品牌形象修復支出常突破20萬元,相當於中小企全年資訊安全預算的兩倍。更嚴重的是,重大違規可能影響牌照續期或政府合約資格。相比之下,主動填寫Formulário D的成本幾乎可以忽略——這不是開支,是對業務連續性的必要投資。
五步搞掂合規評估
最快7個工作日內就能完成初步申報。第一步:確認是否處理個人資料——只要有員工聯絡方式或排班資料,就算。
第二步:辨識資料流向。釘釘預設資料傳至中國境內伺服器,屬於法定「跨境傳輸」。
第三步:判斷風險等級。若涉及健康、薪資等敏感資訊,即屬高風險,強制要求登記。
第四步:填寫Formulário D並發布隱私聲明,保障當事人知情權。
第五步:保存所有紀錄至少三年,以備未來舉證。完成登記不是終點,而是建立持續合規文化的起點。當你能複製這流程應用於Zoom、Teams或其他SaaS工具時,才是真正掌握數位治理主導權。
多姆科技(DomTech)是釘釘在澳門的官方指定服務商,專門為廣大客戶提供釘釘服務。如果您還想瞭解更多釘釘平臺應用的內容,可以直接諮詢我們的在線客服,或者通过电话+852 95970612或邮箱cs@dingtalk-macau.com联系我们。我們有優秀的開發和運維團隊,豐富的市場服務經驗,可以為您提供專業的釘釘解決方案和服務!