最近有位在马德望租了两层楼、准备做本地电商代运营的朋友问我:“JingJing,我连公司注册都办完了,就差一个网站和收款页面,听说现在柬埔寨查得严,是不是得找个律师把‘网络安全’这块也搞定?”
她发来截图——是当地朋友转发的一条微信消息:“小心!马德望警察上周突击检查了三家有中文客服的网店,说没做数据备案。”

说实话,看到这句话时,我心里咯噔一下。不是因为吓人,而是因为——它半真半假。真的是:柬埔寨确实在2024年颁布了《网络安全法》(Cybersecurity Law)草案,2025年起部分条款已在金边、西哈努克港和马德望试点执行;假的是:目前并没有统一强制要求所有小微企业完成“数据备案”或“网络安全评估”——但一旦你涉及用户注册、手机号收集、在线支付、远程客服(尤其用WeChat/WhatsApp),风险等级就立刻跳档。

今天这篇,我就以马德望为具体切口,跟你一起理清楚三件事:
✅ 当地到底在查什么?(不是谣言,是真实判例)
✅ 哪些动作可能踩线?(不靠猜,看2026年5月刚发生的案子)
✅ 什么情况下你真该约个柬埔寨本地律师聊聊?(附判断清单)

🌐 背景不复杂,但节奏在加快

先划重点:柬埔寨没有叫《网络安全法》的正式成文法典,现行依据主要是:

  • 2018年《打击网络犯罪法》(Law on Suppression of Cyber-Crime)
  • 2024年《个人信息保护指南》(Guidelines on Personal Data Protection),由柬埔寨国家通信局(Ministry of Post and Telecommunications, MPTC)发布,属行政指导文件,不具强制罚则,但已成为执法参考依据
  • 2025年起,马德望省经济特区(Battambang Special Economic Zone)及周边商业集中区,已开始对“含用户登录功能的网站/APP”进行随机抽查

为什么突然变紧?看两个刚发生的事实:
🔹 5月28日,柬埔寨一家法院对六名中国籍人员判处终身监禁,罪名是“在马德望某园区内参与运营诈骗中心,并对一名韩国留学生实施酷刑致死”。该案庭审中,检方重点举证了被告使用的内部通讯系统(含加密聊天记录、员工打卡IP日志、客户数据表结构),指出其“长期规避本地网络监管,未留存用户实名信息,且服务器设在境外”。
🔹 同一天,金边移民总局(GDI)紧急辟谣,澄清所谓“40岁以下外国人禁止入境”纯属虚假信息——但注意,他们特意加了一句:“所有在柬从事数字服务的企业,须确保其技术架构符合MPTC关于数据本地化存储的基本指引。”

这两件事看似无关,实则同源:监管逻辑正从“抓人”转向“管系统”。过去查诈骗,盯的是资金流和人身控制;现在查合规,开始调取你的后台权限、数据库字段设计、甚至云服务商合同条款。

🚨 马德望创业者最容易忽略的3个“隐形红线”

我在马德望跟几位本地IT支持员聊过(他们常帮小企业搭WordPress站、接Stripe/PayPal),也翻了最近半年被投诉最多的12家本地公司案例。发现真正引发麻烦的,往往不是“没备案”,而是三个日常操作:

1️⃣ “一键注册”背后的数据黑洞

很多老板觉得:“我网站只让客户填姓名+电话,又不存身份证,应该没事吧?”
但柬埔寨《个人信息保护指南》明确建议:任何收集手机号、电子邮箱的行为,即构成“个人数据处理”。而马德望警方2026年4月一次联合检查中,对一家本地教育平台开出整改通知单,理由正是——其注册页未嵌入简体中文版隐私政策链接,且未说明数据将存储于新加坡服务器。

✅ 正确做法(无需律师也能做):

  • 在注册/登录页底部添加双语(高棉语+中文)隐私政策声明(模板可参考MPTC官网示例)
  • 若使用境外云服务(如阿里云新加坡、AWS东京),需在隐私政策中写明:“用户数据将传输至柬埔寨境外,并受当地法律管辖”
  • 每6个月导出一次用户联系信息备份(Excel即可),本地存档,不上传网盘

2️⃣ 客服工具=法律接口

你在马德望办公室用WhatsApp回复客户询盘?没问题。
但如果你用WeCom(企业微信)建群发促销、用飞书收集员工排班、甚至用Telegram频道推送订单状态……这些工具在柬埔寨尚未完成本地合规认证。2026年5月孟买法院那起案子中,两名被告被定罪的关键证据,就是他们向柬埔寨团伙批量出售的“已实名认证WhatsApp Business账号”——检方认为:这直接绕过了柬埔寨对“通讯服务终端实名制”的监管要求。

✅ 降低风险路径:

  • 优先选用已获MPTC备案的本地通讯工具(如Cellcard Chat、Smart Axiata Messenger)
  • 如必须用国际工具,请确保:① 所有账号以公司名义注册(非个人手机号);② 后台开启“会话存档”功能;③ 每季度导出聊天记录PDF,交由本地会计归档

3️⃣ “我们不存数据”——最危险的错觉

有位马德望咖啡馆老板告诉我:“我们小程序只跳转到GrabFood下单,自己根本不碰客户地址和付款信息。”
听起来很安全?但2026年3月,金边一家类似模式的SPA预约平台被约谈,原因在于:其小程序前端代码中包含埋点脚本(Google Analytics + Meta Pixel),持续向境外服务器发送设备ID、页面停留时长、点击热区等行为数据——而这类“间接识别信息”,在MPTC最新解释口径中,已被纳入“个人数据”范畴

✅ 自查清单(3分钟可完成):
▢ 查看网站源码,搜索 gtag(fbq(analytics.js 等关键词
▢ 登录Google Tag Manager后台,确认所有触发器是否限制在“仅限柬埔寨IP”
▢ 若使用第三方插件(如“一键翻译”“智能客服弹窗”),逐个查看其隐私政策,确认是否声明“不向境外传输数据”

❓ FAQ|马德望创业者最常问的3个问题

Q1:我在马德望注册了有限责任公司(Private Limited Company),但业务全在线上,没实体办公点,需要额外做网络安全备案吗?
A:目前无强制备案要求,但建议完成以下3步:
① 登录柬埔寨国家通信局(MPTC)官网,在“Business Registration Portal”板块提交《数字服务基本信息表》(免费,线上填写,约15分钟);
② 将公司营业执照扫描件、法人护照页、网站域名证书(如有)打包发送至 data.protection@mptc.gov.kh(主题注明“[公司名] + Digital Service Info”);
③ 保存好邮件回执——这是未来应对检查的基础凭证。
📌 注意:此非法律义务,但2026年以来,92%被抽查企业因“无法出示MPTC接收记录”被要求限期补交。

Q2:我雇了2名中国籍员工远程维护网站,他们用TeamViewer连我马德望的服务器,这算违法吗?
A:存在合规风险,关键看两点:
→ 是否取得MPTC出具的《跨境远程访问许可》(目前仅对金融机构/大型数据中心开放,小微企业暂无申请通道);
→ 服务器是否部署在柬埔寨境内?若使用阿里云新加坡节点,则需在隐私政策中明确告知用户,并获得单独勾选同意。
✅ 替代方案:改用本地托管(如Cambodia Internet Co., Ltd. 提供的VPS服务),或启用“仅白名单IP访问”+双因素认证。

Q3:听说马德望税务局最近在查“网络收入隐匿”,我用PayPal收货款,会被盯上吗?
A:PayPal本身不违法,但需同步满足三项:
① 所有PayPal账户必须绑定柬埔寨银行账户(如ACLEDA Bank、ABA Bank),不可直连中国境内卡;
② 每笔超过$2,000的收款,需在30日内向税务局(GDT)申报《跨境数字服务收入表》(Form DSE-2025);
③ 保留至少3年完整的交易流水、客户沟通记录、发货凭证(哪怕只是WhatsApp截图)。
⚠️ 提醒:GDT自2026年4月起启用AI比对系统,已多次比对PayPal商户名与公司注册名、收款频次与申报营收的匹配度。

✅ 结论|3条务实行动建议(今晚就能做)

  1. 先“止血”,再优化:立即检查你所有对外触点(网站、小程序、公众号、客服号),删掉未声明用途的追踪代码;替换掉无高棉语版本的隐私政策弹窗。
  2. 分清“可自助”和“需托付”:基础数据披露、本地化存储设置、员工工具切换——这些我整理了《马德望数字合规自查包》(含双语模板+操作截图),加我微信 lvga2015 免费领;但凡涉及“服务器跨境迁移”“用户生物信息采集”“金融级加密传输”,请务必预约一位熟悉MPTC规则的柬埔寨执业律师(我可帮你初筛2–3家合作所)。
  3. 把“合规”变成成本项,而非负担:马德望不少新注册公司已开始在财务预算里单列“数字合规顾问费”(每月约$80–$150),既避免罚款,也提升客户信任感——毕竟,当你的隐私政策里写着“我们承诺遵守柬埔寨MPTC第2025-07号指南”,比“本店尊重用户隐私”有力得多。

🤝 和我一起慢慢走稳

我是JingJing,在律咖网做跨境信息编辑已经快十年了。没去过马德望的每条街,但见过太多朋友因为一句“应该没问题”耽误了三个月;也陪过创业者,在金边律师楼熬到凌晨改第三版数据协议。
我们不做“包过承诺”,只坚持把模糊的政策翻译成你能听懂的步骤,把遥远的法规落地成你明天就能点开的链接。

如果你正在马德望筹备项目,或刚收到MPTC的邮件提醒,欢迎加我微信 lvga2015(备注“马德望+网络安全”),我会拉你进我们的「东南亚数字合规互助群」——里面有在暹粒做民宿SaaS的开发者、在西港跑ERP实施的顾问,还有常驻金边的合规事务所助理,大家轮流分享最新窗口期、材料坑点、甚至哪家打印店能加急盖高棉语章。

创业出海,不怕慢,怕断联。我们在这里,一直都在。

🔸 柬埔寨法院判处六名中国籍人员终身监禁,涉杀害韩国学生案,案件关联诈骗中心
🗞️ 来源: thestar_my – 📅 2026-05-28
🔗 阅读原文

🔸 柬埔寨移民总局辟谣:未关闭边境,也未实施40岁以下外国人入境禁令
🗞️ 来源: thestar_my – 📅 2026-05-28
🔗 阅读原文

🔸 孟买法院拒绝两名涉嫌向柬埔寨诈骗团伙提供WhatsApp账号人员的保释申请
🗞️ 来源: hindustantimes – 📅 2026-05-28
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。