💡 律咖编者按
本文由律咖网社群读者 Xiqingwen 投稿分享。
为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 柬埔寨 创业路上的你带来真实的参考。

昨天下午三点,西哈努克市一家咖啡馆的空调坏了。
我坐在靠窗的位置,面前摊开一份英文合同,手心全是汗。
不是因为热,是因为那行小字:“Client shall ensure compliance with all applicable data privacy and information security obligations under Cambodian law and international standards.”
我盯着它看了七分钟,没敢签字。

我叫Xiqingwen,河南新安人,28岁,学大数据营销的,现在卖油烟机。
不是在卖机器,是在卖“能不能用在东南亚厨房里不被举报”。
我租了间不到30平米的办公室,雇了两个本地人,一个会讲中文,一个会讲法语,但没人能告诉我——
“隐私合规审查”在柬埔寨,到底是个什么玩意儿?

上周,我收到一封来自新加坡合作方的邮件,要求我提供“客户数据存储位置”和“数据访问权限日志”。
我回:“我们在西哈努克市,数据存本地服务器。”
对方说:“那你们的本地服务器,有通过柬埔寨《个人信息保护法》(Personal Data Protection Law)的合规认证吗?”
我愣了。
我连这份法律的全称都没听过。

那一刻,我第一次意识到:
在柬埔寨做跨境生意,不是“能不能赚钱”,而是“能不能不被关掉”。

我开始翻资料。
Google搜“Cambodia privacy compliance”,前几条全是英文法律博客,讲的是“2025年草案”“2026年实施预期”。
没人说清楚:现在到底能不能做?
我问本地中介,他说:“你找律师。”
我问律师,他说:“要看你处理什么数据。”
我问:“我连客户手机号都没存,只用WhatsApp发产品图。”
他笑了:“那你也可能被认定为‘数据控制者’。”

我焦虑到失眠。
凌晨三点,我打开手机,看到新闻:
一名印度餐厅老板因向柬埔寨诈骗窝点输送人员被逮捕
新闻里没提数据,但我脑子里全是问号:
如果我连客户信息都没保护好,会不会哪天,我的名字也出现在类似的新闻里?
不是因为我是骗子,而是因为我太“不懂”。

我开始整理。
第一,柬埔寨没有像GDPR那样明确的“隐私法”,但《个人信息保护法》(Personal Data Protection Law)的草案已在2025年进入立法程序,2026年可能生效。
第二,2026年5月,柬埔寨央行和电信监管机构联合发布通知,要求所有“处理个人数据的商业实体”建立“基本数据保护机制”,包括:

  • 明确数据收集目的
  • 限制数据保留期限
  • 保障数据主体访问权

第三,这些要求,可能根据实际情况不同,适用于任何“有客户信息收集行为”的企业——哪怕你只是用WhatsApp发图。

我问自己:我收集了什么?

  • 客户姓名(WhatsApp昵称)
  • 电话号码(留的)
  • 安装地址(用于送货)
  • 购买记录(微信转账截图)

这些,可能构成“个人数据”。

我开始找律师事务所。
西哈努克市有三家常被提起的:

  1. Sok & Partners —— 本地团队,收费低,但没人能说清他们是否处理过隐私合规
  2. Cambodia Legal Advisors (CLA) —— 有外国合伙人,官网写“Data Protection Compliance”,但没案例
  3. Baker McKenzie (Phnom Penh Office) —— 国际律所,但离西哈努克市200公里,谈一次要飞过去

我选了CLA。
见面时,我直接问:“如果我现在开始做合规,还来得及吗?”
律师说:“合规不是补丁,是习惯。”
他没说“能过”,也没说“不能做”,他说:“你先做三件事:

  1. 写一份《数据处理声明》(Data Processing Statement),用英文和高棉文双语
  2. 停止用个人微信收客户信息,改用企业邮箱
  3. 保留所有数据访问记录至少6个月”

我照做了。
花了三天,写了一篇800字的声明,贴在官网底部,用Google翻译+本地员工校对。
我换了企业邮箱,注册了Zoho Mail,用公司名字。
我开始用Excel记录谁什么时候发了什么信息——哪怕只是“老板,油烟机到货了吗?”

我没有变成“合规专家”。
但我终于不再怕那行小字了。

📌 FAQ

Q1:在柬埔寨做跨境销售,哪些数据行为可能触发隐私合规审查?

  • 收集客户姓名、电话、地址、支付信息(即使通过WhatsApp或微信)
  • 存储客户购买历史或行为偏好
  • 使用第三方工具(如Google Analytics、Meta Pixel)追踪访客
    👉 步骤:
  1. 列出你收集的所有数据类型
  2. 标注数据来源(客户主动提供?网站自动抓取?)
  3. 判断是否含“个人可识别信息”(PII)
    👉 要点清单:
  • 不存身份证号、银行卡号(除非必要)
  • 不共享数据给第三方(除非合同明确)
  • 不长期保留(建议≤6个月)

Q2:我找不到本地律师,能用国际律所吗?

  • 可以,但成本高。
  • 推荐路径:
  1. 先联系Cambodia Legal Advisors (CLA)Sok & Partners(本地性价比高)
  2. 要求他们出具“合规评估备忘录”(Compliance Assessment Memo)
  3. 保留书面记录,作为“已尽合理努力”的证据
    👉 要点:
  • 不要求“完美合规”,只要求“有意识、有记录”
  • 任何律师服务,务必确认其是否在柬埔寨律师协会(Cambodia Bar Association)注册

Q3:隐私合规审查会查我手机吗?

  • 不会直接查手机。
  • 但若发生投诉或调查,监管机构可要求你提供:
    • 数据收集协议
    • 数据存储位置证明
    • 数据删除记录
      👉 步骤:
  1. 用云盘(如Google Drive)备份所有客户沟通记录(仅存文字,不存语音/图片)
  2. 设置自动删除规则(如30天后删除临时聊天记录)
  3. 在客户同意时,保留“知情同意书”截图

我今天又去了那家咖啡馆。
空调修好了,风很凉。
我点了一杯冰美式,打开电脑,把那份《数据处理声明》重新发了一遍给合作方。
这次,我没犹豫。

我依然不懂柬埔寨的法律细节。
我依然睡不够。
我依然在担心,明天会不会有客户投诉,会不会有部门来查。

但我知道了:
在柬埔寨,合规不是“为了过审”,
而是为了——
当我半夜醒来,不会梦见自己被关在一间没有窗户的办公室里,
而是因为我忘了保护别人的信息。

如果你也在西哈努克市,
在租办公室、签合同、处理客户数据时,
感到过同样的迷茫——
欢迎加律咖网编辑 JingJing 微信:lvga2015
我们可以一起聊聊,不谈结果,只说真实经历。

我们不是律师,也不是政府,
我们只是在异国他乡,
一边熬夜改合同,一边怕睡着了,
就错过了最重要的那条规则。

🔸 延伸阅读

🔸 Restaurant owner arrested in Madurai for trafficking Indian nationals to cyber scam compounds in Cambodia 🗞️ 来源: thehindu – 📅 2026-05-19
🔗 阅读原文

🔸 Fuel prices rise in Cambodia - Khmer Times 🗞️ 来源: google – 📅 2026-05-19
🔗 阅读原文

🔸 Cambodia - Population Density per District in 2025 (30 Mars 2026) 🗞️ 来源: Médecins Sans Frontières – 📅 2026-03-30
🔗 阅读原文

📌 免责声明
请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。