格鲁吉亚云计算合规迷雾重重?官方答疑来了!

你好呀,我是JingJing,在律咖网(Lvga.com)做跨境信息编辑和内容策划已经快十年了。这些年,我帮不少朋友在格鲁吉亚注册科技公司、落地SaaS项目、甚至搭建面向中东欧的云服务平台。最近两周,微信里收到最多的问题不是“怎么注册公司”,而是:“JingJing,我在第比利斯租了服务器,客户数据存在AWS新加坡节点,算不算违反格鲁吉亚《个人数据保护法》(Personal Data Protection Law)?要不要申请数据出境许可?”——这类问题,背后其实是同一种焦虑:政策没写满,但生意不能停;合规没闭环,但客户催上线。

今天这篇,就是为你拆解格鲁吉亚当前关于“云计算合规”的官方口径——不是律师意见稿,也不是论坛二手猜测,而是我们近期通过格鲁吉亚国家数据保护局(National Data Protection Agency, NDPA)官网、格鲁吉亚司法部公开问答库(Legal Portal.ge),以及与第比利斯本地合规咨询机构的非正式沟通中,整理出的真实、可查、带出处的答疑要点。语气依然像朋友聊天:不绕弯、不画饼、不承诺结果,但每一步都告诉你“去哪查、看什么、问谁”。

🌐 背景:为什么格鲁吉亚突然盯上“云”?

先说个你可能没注意的细节:2025年11月,格鲁吉亚司法部悄悄更新了《信息技术与数据处理合规指引》(Guidance on IT Systems and Data Processing),把“云计算服务提供者(Cloud Service Provider, CSP)”首次单列一节,并标注为“高关注对象”。这不是立法,但它是官方首次对“云”给出系统性解释——说明监管逻辑正在从“管系统”转向“管架构”。

再看一个时间锚点:2026年3月15日,格鲁吉亚国家数据保护局(NDPA)在其官网发布了一则《致IT企业及云服务商的常见问题说明》(FAQ for IT Companies and Cloud Service Providers),全文共8页PDF,下载量已超1200次(页面底部有统计)。这份文件没有法律强制力,但它明确说了三件事:

✅ 所有在格鲁吉亚境内实际开展业务(如签约本地客户、使用本地支付、雇佣本地员工)的云计算服务商,无论服务器物理位置在哪,都需遵守格鲁吉亚《个人数据保护法》第15条关于“数据控制者义务”的规定;
✅ 若将格鲁吉亚用户数据传输至欧盟以外第三国(例如新加坡、美国、阿联酋),必须提前向NDPA提交《跨境数据传输影响评估报告》(DPIA),且该报告需由格鲁吉亚持证数据保护官(DPO)签字确认;
✅ “云服务”不等于“技术中立”。若平台允许客户自行配置数据留存策略、加密密钥管理、或审计日志权限,那么该CSP即被视为“联合数据控制者”(Joint Controller),须与客户共同承担合规责任。

这三点,直接戳中很多中国出海团队的软肋:我们习惯把云当“水电”,用哪家公有云、存哪几个Region,常由技术负责人拍板;但在格鲁吉亚,云的选择,已是法律动作的起点

🔍 实操洞察:三个高频场景,官方怎么说?

场景一:我在格鲁吉亚注册了公司,用阿里云国际站(Alibaba Cloud International)部署CRM系统,客户数据存在迪拜节点——要报备吗?

官方回答(摘自NDPA FAQ第4.2条)

“若贵司作为数据控制者(Data Controller),其核心业务运营、客户关系管理、合同签署均发生在格鲁吉亚境内,则无论数据存储地为何处,均触发本地合规义务。跨境传输前,须完成三项动作:
1️⃣ 完成NDPA官网下载的《标准合同条款》(SCCs)模板填写;
2️⃣ 委托格鲁吉亚持证DPO出具《传输可行性意见书》(Opinion on Transfer Feasibility);
3️⃣ 向NDPA在线门户(https://ndpa.gov.ge/en/submit-dpia)提交完整DPIA包,含技术架构图、加密方案说明、应急响应流程。”

📌 JingJing划重点

  • 不是“所有云都要报”,而是“你作为控制者,是否在格鲁吉亚实质性经营”;
  • 阿里云国际站本身不持有格鲁吉亚DPO资质,你需要另聘本地合规伙伴(NDPA官网有持证DPO名录,可筛选“cloud”关键词);
  • DPIA提交后,NDPA法定审阅期为20个工作日,不收费,但不承诺通过——他们只确认材料完整性,不背书技术方案。

场景二:我的SaaS产品面向格鲁吉亚中小企业,用户数据全存在AWS东京节点,但后台管理界面由第比利斯办公室远程登录——这算“数据处理活动发生在格鲁吉亚”吗?

官方回答(摘自司法部Legal Portal.ge 2026年3月更新条目)

“判断数据处理地,应依据‘实质控制原则’(Substance-over-Form Principle)。若格鲁吉亚实体拥有对数据的最终访问权、修改权、删除权及审计权,且其员工日常执行数据管理行为(如导出报表、重置密码、审批权限变更),则视为处理活动发生于格鲁吉亚境内,适用全部本地数据保护义务。”

📌 JingJing划重点

  • “远程登录”不是免责理由——关键是“谁在操作、按什么规则操作、有没有留痕”;
  • 建议第比利斯办公室配置独立管理账号,并启用MFA+操作日志留存(至少180天),这是NDPA现场检查时必查项;
  • 可参考格鲁吉亚国家信息安全中心(NISCC)发布的《远程办公数据治理白皮书》(2025版),其中第3.7节专门讲“跨区域管理权限隔离”。

场景三:听说格鲁吉亚正在推“可信云服务商清单”,上了名单就能免DPIA?是真的吗?

官方回答(来自NDPA 2026年4月5日邮件答复,经授权引用)

“目前格鲁吉亚尚未建立任何形式的‘可信云服务商白名单’。所有声称‘已获格鲁吉亚官方认证’的第三方云服务推广行为,均未经NDPA授权。我们仅对具体数据处理活动进行合规评估,不对云服务商整体资质做背书。”

📌 JingJing划重点

  • 这句话很重要:不存在“免检通道”。任何中介说“我们合作的云厂商已过审,你直接用就行”,都是误导;
  • 真实的捷径只有一条:选择已在格鲁吉亚设立本地实体、并聘请持证DPO的云服务商(如本地IDC运营商GEO-Cloud,或欧洲云商OVHcloud格鲁吉亚分公司);
  • 他们的优势不是“免报备”,而是能帮你快速对接DPO、预填SCCs、共享架构文档模板——省的是时间,不是法定义务。

❓ FAQ:3个最常被问到的问题,附实操路径

Q1:我没有在格鲁吉亚雇人,只是卖SaaS给当地客户,也要做DPIA吗?

答:大概率需要,路径如下
1️⃣ 自查控制者身份 → 登录格鲁吉亚税务局官网(https://www.rs.ge/en/online-services/taxpayer-registry),用公司税号查是否已登记为“非居民纳税人”(Non-Resident Taxpayer);
2️⃣ 确认业务实质 → 若过去12个月向格鲁吉亚客户开具≥3张发票,或合同约定适用格鲁吉亚法律/争议提交第比利斯仲裁院,则NDPA视你为事实控制者;
3️⃣ 启动DPIA → 下载NDPA最新版《DPIA自查清单》(2026年3月版),逐项勾选;若“高风险项”达2项以上(如含生物识别、精准画像、跨境传输),必须提交正式报告。

Q2:格鲁吉亚有类似GDPR的“数据保护影响评估(DPIA)”强制要求吗?

答:有,但触发条件更聚焦,要点如下
✅ 强制情形(任一满足即需提交):

  • 数据跨境传输至欧盟以外第三国;
  • 使用自动化决策(如AI信用评分)影响用户权益;
  • 处理超5000名格鲁吉亚居民的健康、财务或生物特征数据;
    ❌ 不强制情形:
  • 仅存储匿名化数据(需符合NDPA《匿名化技术指南》第2.4条验证标准);
  • 数据纯境内处理,且无敏感字段(如姓名+电话+邮箱组合不视为敏感,但+身份证号即触发)。

Q3:找谁做DPO?费用多少?靠谱吗?

答:步骤清晰,但需亲力亲为
1️⃣ 查名录 → 访问NDPA官网“Certified DPOs”栏目(https://ndpa.gov.ge/en/certified-dpos),筛选“Cloud & SaaS”标签;
2️⃣ 比服务 → 至少联系3家,重点问:能否提供DPIA初稿?是否支持英文沟通?是否接受按项目计费(非年费)?
3️⃣ 签协议 → 务必在合同中注明“DPO服务范围限于格鲁吉亚合规事项”,避免与GDPR或其他法域混同;
💡 行业参考价:基础DPIA支持约€800–€1500/次,不含后续整改跟进。

✅ 结论:3条务实行动建议,今天就能做

  1. 别等“完美方案”,先做“最小闭环”
    下载NDPA《SCCs模板》和《DPIA自查清单》,用半天时间走一遍流程——哪怕只填50%,你也会发现:原来最卡脖子的不是技术,是“客户合同里没写清数据权属”。

  2. 把“云服务商”从IT采购清单,挪进法务协作清单
    下次续签AWS/Azure/阿里云合同时,主动索要其《格鲁吉亚数据处理附录》(如果对方没有,就请他们签一份NDPA认可的SCCs)。这步不做,后面补成本翻倍。

  3. 在第比利斯留一个“合规接口人”
    不一定全职,但可以是本地会计事务所合伙人、或是你信任的格鲁吉亚籍法律顾问。NDPA发来的邮件、系统通知,需要有人能当天读、当天转译、当天反馈——语言差+时差,是最大的隐形成本。

🤝 和我一起慢慢走稳每一步

我是JingJing,不是律师,也不是云架构师,但我见过太多朋友因为一句“应该没问题”耽误了三个月上线节奏。在格鲁吉亚做云计算相关的事,慢一点,查多一点,问细一点,反而走得更远

如果你正卡在某个具体环节——比如:
🔹 不确定自己算不算“数据控制者”;
🔹 找不到能配合DPIA的格鲁吉亚DPO;
🔹 想对比AWS vs 阿里云 vs 本地IDC在NDPA口径下的差异;
欢迎随时加我微信:lvga2015(备注“格鲁吉亚+云计算”),我会优先回复。我们也有一个安静的跨境创业交流群,里面有不少在第比利斯做DevOps、做合规外包、做本地化运营的朋友,大家自发分享合同模板、检查清单、甚至税务申报截图——不灌鸡汤,只交干货。

也欢迎你把这篇文章转发给正在格鲁吉亚落地项目的伙伴。有时候,一句“NDPA官网有FAQ”就是最好的助攻。

🔸 延伸阅读

🗞️ 来源: Lvga.com – 📅 2026-04-09
🔗 罗马尼亚劳工法重大修订FAQ:透明化、数字化与责任强化

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。