💡 律咖编者按
本文由律咖网社群读者 pear 投稿分享。
为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 柬埔寨 创业路上的你带来真实的参考。

我叫 pear,24岁,温州人,海南师范大学数学系毕业。现在在西哈努克市做智能电视的市场调研,每天通勤两个半小时,工资不高,焦虑却很实诚。

上周,我在一家本地诊所帮朋友找翻译,顺便看了眼他们的患者登记表——名字、身份证号、电话、血压记录,全写在一张A4纸上,贴在墙上,旁边是药架。没人锁,没人加密,连个密码锁都没有。

那一刻,我突然意识到:我们做智能电视,天天说“用户数据安全”,可我们连自己在柬埔寨接触的医疗数据怎么管,都还没搞明白。

这不是笑话。我手头有三个客户,都是做健康监测设备的中国小公司。他们想把血压计、血氧仪卖给西哈努克市的养老公寓,但没人问过:这些设备收集的数据,算不算“个人健康信息”?能不能传回中国服务器?谁有权访问?

我问了本地一家做IT外包的朋友,他笑了:“你们中国人总想把一套东西原样搬过来。这里没人查这个,除非出事。”

这句话让我后背发凉。

一、政策模糊,但风险真实存在

柬埔寨目前没有像GDPR或中国《个人信息保护法》那样明确的《医疗数据保护法》。但2026年5月,柬埔寨政府公开表态要“加强打击跨境网络诈骗网络”(见 thestar_my),并逮捕了多名在印度被控“将人贩运至柬埔寨诈骗窝点”的中间人(见 thehindu)。

这说明什么?
说明柬埔寨的执法机构,正在从“不作为”转向“选择性执法”。
而医疗数据——尤其是带姓名、病史、生理指标的数据——一旦被黑客或诈骗团伙拿到,就是精准诈骗的黄金原料

我见过一个案例:一个中国医生在柬埔寨开诊所,用手机拍下患者病历发回国内做远程会诊。结果手机被偷,数据被转卖,三个月后,有患者收到“医保退款”诈骗电话,准确说出他去年的糖尿病诊断记录。

这不是科幻。这是现实。

二、我的思考框架:不是“要不要合规”,而是“怎么最小成本活下去”

我是个数学人,喜欢拆解变量。我把“医疗数据保护”拆成三个维度:

  1. 数据类型:是否含身份证、病史、基因信息?
  2. 传输路径:是否上传到境外服务器?是否用明文传输?
  3. 访问权限:谁能在本地看到?前台?护士?外包IT?

我最后决定:不追求“完美合规”,只追求“不被盯上”。

我的行动路径是:

  • ✅ 所有纸质记录,当天锁进带锁的铁皮柜(成本:$15)
  • ✅ 所有电子数据,只存本地设备,禁用云同步
  • ✅ 所有患者信息,只保留必要字段(去掉身份证号,改用随机编号)
  • ✅ 所有设备数据,本地加密存储,不传境外
  • ✅ 所有员工,签一份《信息保密承诺书》(模板我从中国带过来的,没翻译成高棉语,但签了字)

这不是法律合规,这是生存策略

我知道,可能根据实际情况不同,柬埔寨未来会出台医疗数据保护条例。但在这之前,我宁愿多花三天时间手动录入,也不愿因为一个未加密的CSV文件,被中国客户起诉,或被柬埔寨警方约谈。

我自私吗?是的。
但我更怕——怕我花了六个月做的市场调研,因为一个数据泄露,全盘崩盘。

三、你也可以做的三件事(非承诺,仅经验)

  1. 第一步:识别你接触的数据是否属于“敏感个人信息”

    • 身份证号、电话、住址、病史、用药记录、生理指标(血压、血糖、心率)
    • 只要包含其中两项,就当它“高风险”

  2. 第二步:建立“数据最小化”原则

    • 能不收集的,就不收集
    • 能本地存储的,不传外网
    • 能用编号代替姓名的,就用编号

  3. 第三步:留好“你已尽力”的证据

    • 保存你写的《数据处理说明》(哪怕只有一页)
    • 保留员工签字的保密协议
    • 记录你咨询过谁(哪怕只是微信问了本地朋友)
    • 这些不是法律盾牌,但能让你在被查时,说:“我有意识在规避风险。”

❓ FAQ:关于西哈努克市医疗数据保护的三个真实问题

Q1:在西哈努克市,诊所必须获得患者同意才能收集健康数据吗?

  • 步骤:目前没有强制法律要求,但建议采用“知情同意书”作为基础动作。
  • 路径:可参考中国《个人信息保护法》第13条,翻译成英文+高棉文双语版本,让患者签字。
  • 要点清单
    • 明确说明数据用途(如:诊疗、设备校准)
    • 明确说明数据不传境外
    • 明确说明患者有权要求删除
    • 保留签字原件至少两年

Q2:我用的中国产健康监测设备,能自动上传数据到深圳服务器吗?

  • 步骤:先断开设备的互联网连接,改用蓝牙+本地APP存储。
  • 路径:进入设备设置 → 关闭“云同步” → 禁用Wi-Fi自动连接 → 使用本地SD卡导出。
  • 要点清单
    • 检查设备说明书是否有“数据跨境传输”条款
    • 若设备默认上传,考虑更换为“离线型”设备
    • 所有导出数据,用7-Zip加密(密码由你本人保管,不告诉任何人)

Q3:如果我想申请“医疗数据保护认证”,该找哪个机构?

  • 步骤:目前柬埔寨没有官方认证体系。
  • 路径:可咨询西哈努克市的中国商会,或联系柬埔寨商业部(Ministry of Commerce)下属的“Digital Economy Unit”(如存在)。
  • 要点清单
    • 不要相信任何声称“可代办认证”的中介
    • 所有官方渠道均无收费认证流程
    • 建议以“符合国际标准”为宣传口径,而非“已获认证”

我承认,我以前觉得“数据保护”是大公司的事,跟我这种小创业者没关系。
直到我看到那张贴在墙上的病历表,才明白:信息不对称,不是别人骗你,是你自己没意识到自己正站在雷区里。

我每天通勤三个小时,不是为了省油钱,是为了多看几份行业报告。
我宁可花三天手动录入数据,也不愿赌一个“应该不会出事”的运气。

时间成本,是创业者最贵的资产。
我浪费不起。

如果你也在西哈努克市,做着类似的事——哪怕只是卖一台血压计、一个智能手环、一个远程问诊APP——请别觉得“没人管”就等于“可以乱来”。

真正的自由,不是没人管你,而是你清楚边界在哪,然后主动守着它。

朋友推荐
如果你也在柬埔寨做跨境项目,经常被“不知道该找谁问”困住,我建议你加一下律咖网的编辑 JingJing。
微信:lvga2015
她不卖服务,不承诺结果,但她会听你讲完一个项目,然后说:“嗯,你这情况,我见过三个类似的,他们当时都卡在……”
有时候,一个清醒的旁观者,比十个“保证通过”的中介更有用。

🔸 延伸阅读

🔸 Retail fuel prices in Cambodia rise again amid ongoing Middle East tensions 🗞️ 来源: thestar_my – 📅 2026-05-20
🔗 阅读原文

🔸 Cambodia increases awareness to bring down cross-border scam networks 🗞️ 来源: thestar_my – 📅 2026-05-20
🔗 阅读原文

🔸 Restaurant owner arrested in Madurai for trafficking Indian nationals to cyber scam compounds in Cambodia 🗞️ 来源: thehindu – 📅 2026-05-19
🔗 阅读原文

💡 律咖网免责声明
请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。