💡 律咖编者按
本文由律咖网社群读者 hippocampi 投稿分享。
为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 格鲁吉亚 创业路上的你带来真实的参考。

我第一次收到客户投诉,不是因为设备故障,而是因为“你们的系统泄露了我的身份证号”。

那是在第17个格鲁吉亚客户发来的邮件里。他附上了截图——一个公开的PDF表单,上面有他的护照扫描件、公司注册号、银行账户,全在我刚上线的客户信息登记页上。我盯着屏幕,手指悬在键盘上,没敢删,也没敢回复。
我也曾不确定:这算不算数据泄露?还是只是客户太敏感?
后来我开始系统查资料,才发现:在格鲁吉亚,数据保护不是“要不要做”,而是“怎么做才不会被起诉”。

背景:格鲁吉亚的数据保护,是“法律空窗期”还是“执行真空”?

格鲁吉亚在2021年通过了《个人数据保护法》(Personal Data Protection Law),名义上对标GDPR。但现实是:

  • 没有专门的监管机构像欧盟的DPAs那样高频执法;
  • 企业合规意识普遍薄弱,中小企业90%以上没有数据保护政策;
  • 法院系统处理数据侵权案件的案例极少,2025年全年公开判决不足12起。

我在本地律师那里问过:“如果客户数据被爬虫抓走,我需要赔偿吗?”
他沉默了三秒,说:“法律上,你有责任。但现实中,除非他去法院告你,否则没人管。”

这不是“无法律”,而是“有法不依”。
但问题来了:当你的客户来自德国、法国、荷兰,他们受GDPR保护,而你的系统在格鲁吉亚——谁来追责?谁来执行?
我开始意识到:流程比想象复杂。
客户评价系统,不只是“收集好评”,更是“收集风险”。

变量分析:三个我差点理解错的“安全假象”

1. “我们只存邮箱和电话,没问题”

错。
格鲁吉亚《个人数据保护法》第2条明确定义:任何能直接或间接识别自然人的信息,都是个人数据
包括:

  • 姓名(哪怕只有中文拼音)
  • 公司注册号(与法人身份证绑定)
  • 设备序列号(若可关联到采购人)
  • IP地址(若用于登录记录)

我曾以为“不存护照扫描件”就安全了,结果发现:客户在WhatsApp发来的“合同确认图”,背景里有他的身份证复印件。
我存了,没加密,没删除。
这叫“被动收集”,法律上仍属责任主体。

2. “我们用的是云服务器,应该比本地安全”

错。
我用的是阿里云的格鲁吉亚节点(Tbilisi Region)。
本地律师告诉我:云服务商的合规责任,不等于你的责任
如果云服务商被黑,而你没做访问日志审计、没做数据加密、没签DPA(数据处理协议),你仍是第一责任人。
更糟的是:格鲁吉亚的云服务商,多数不提供GDPR合规的DPA文本。
我查了阿里云官网,英文版DPA有,但中文客户界面根本找不到下载入口。
我花了三天,才从客服邮件里要到PDF。

3. “客户评价都是自愿提交的,不构成数据处理”

大错特错。
客户在你们网站留下的“评价”——哪怕只写“服务好”——如果关联了他们的姓名、电话、公司名,就是“个人数据处理行为”。
根据《个人数据保护法》第12条,你需要:

  • 明确告知数据用途(“用于客户服务改进”)
  • 获取明确同意(不能是“默认勾选”)
  • 提供删除路径

我曾以为“用户主动填了,就等于同意”,结果被一位法国客户发律师函:

“贵司未提供数据撤回机制,违反GDPR第17条,我已向法国CNIL备案。”

那一刻我才明白:客户评价系统,不是营销工具,是法律义务的集合体。

风险提醒:格鲁吉亚不是法外之地,而是“灰色地带的温床”

最近新闻显示,格鲁吉亚在“公民投资计划”(CBI)方面被欧盟点名,存在“护照欺诈、身份变更规避安全检查”的风险(见《The Guardian》2026-05-20)。
这说明什么?
说明:当一个国家的行政系统存在漏洞时,它的数字基础设施更容易被渗透。

我调查了本地几家做“企业注册代理”的公司,发现:

  • 他们用Excel管理客户资料,存放在个人电脑;
  • 有人用Telegram传客户护照;
  • 甚至有代理在Facebook群组里公开叫卖“格鲁吉亚公司注册包”——含法人身份证、银行开户证明、公司章程。

我问过一位在第比利斯做IT安全的前欧盟官员:“如果我被黑客攻击,谁会帮我?”
他说:“没人会帮你。但如果你被起诉,法官会看你有没有做‘合理保护措施’。”

什么叫“合理保护措施”?

  • 数据加密(AES-256)
  • 访问权限最小化(谁能看?谁不能?)
  • 定期审计日志
  • 客户数据删除机制(一键删除)
  • 使用有GDPR合规条款的云服务(且保留书面协议)

我花了两周,把所有客户数据从本地服务器迁到阿里云,启用KMS加密,设置仅3人可访问,添加“数据删除请求”入口。
成本:约$1,200/年。
但我不再做噩梦了。

如何判断信息可靠?三个我用的“反诈过滤器”

  1. 查官方渠道,不查“中介说”
    所有关于格鲁吉亚数据法的内容,我只看:

    • https://www.pdpa.gov.ge/(格鲁吉亚个人数据保护局官网,英文版可用)
    • 欧盟委员会发布的《Georgia Data Protection Assessment Report 2025》(公开PDF)
      不看论坛、不看代理宣传页。

  2. 问“谁来执行”而不是“法律怎么说”
    我曾问一个本地律师:“如果客户投诉,会怎样?”
    他答:“通常,他们发一封邮件,我们回复‘已收到’,然后不了了之。”
    我接着问:“那如果德国客户把投诉转给德国数据监管局,他们能查到格鲁吉亚的公司吗?”
    他沉默了。
    后来我才知道:欧盟有权通过“数据保护合作机制”要求第三国配合调查
    你不是在躲格鲁吉亚的法,你是在躲欧盟的法。

  3. 用“最小化原则”测试你的系统
    每一个字段,问自己:

    • 这个数据,我必须现在收集吗?
    • 我能用其他方式替代吗?(比如用客户ID代替真实姓名)
    • 如果明天被公开,我会不会觉得羞耻?
      如果答案是“会”,那就删。

结论:三条可操作的行动建议(不是承诺)

  1. 立即停用所有非加密的客户信息表单

    • 使用Google Forms + 企业版加密(需购买)
    • 或改用JotForm(启用SSL+数据驻留选项)
    • 禁用自动保存到本地硬盘

  2. 在网站底部添加“数据处理声明”
    内容模板(可直接用):

    “我们收集的客户信息仅用于合同履行与售后服务,不会用于营销。您有权随时要求删除您的数据。详情请见 [隐私政策链接]。本系统数据存储于阿里云格鲁吉亚节点,受《格鲁吉亚个人数据保护法》及欧盟GDPR原则约束。”

  3. 建立“客户数据删除请求”响应流程

    • 设置专用邮箱:data@yourcompany.ge
    • 7个工作日内回复
    • 保留处理记录(哪怕只是截图)
    • 不要问“为什么删除”,直接执行

如果你也在犹豫,可以先聊聊看

我不是律师,也不是安全专家。
我只是个41岁的中国创业者,带着盾构机零件在格鲁吉亚签合同,一边担心客户评价被黑,一边算着今年10%的人工成本上涨。
我写这些,不是为了显得懂法,而是想告诉和我一样的人:
在跨境创业的路上,你不需要“搞定”所有问题。你只需要,不让自己因为“没做”而后悔。

如果你也在格鲁吉亚处理客户数据,或正在搭建自己的评价系统,
可以先聊聊看。
律咖网编辑 JingJing(微信:lvga2015)常在群里分享真实案例,不推销服务,只整理信息。
我们不承诺通过率,但我们承诺:你问的每一个问题,都会被认真回复。

🔸 延伸阅读

🔸 Georgia mayor who fired town’s entire police force resigns, citing family ‘health concerns’ 🗞️ 来源: The Guardian – 📅 2026-05-20
🔗 阅读原文

🔸 Raffensperger Loses in Primary for Georgia Governor 🗞️ 来源: New York Times – 📅 2026-05-20
🔗 阅读原文

🔸 Georgia Republicans head to runoff in secretary of state race defined by 2020 election claims 🗞️ 来源: Fox News – 📅 2026-05-20
🔗 阅读原文

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。