你好呀,我是JingJing,在律咖网做跨境信息编辑和内容策划,过去五年里,我和团队一起帮近200位朋友在格鲁吉亚落地公司、签租约、办居留——也陪他们一起填过几十份“数据处理同意书”,改过不下百次网站隐私政策页。今天这篇,不是讲法条,而是想拉你坐下来喝杯茶,聊聊那些没人提前告诉你、但真会卡住银行开户或税务登记的数据隐私小细节

你可能刚查完格鲁吉亚公司注册流程:3天、1美元注册资本、无国籍限制……太顺了!可等你开始发邮件给客户、用Google Analytics埋点、甚至只是在Telegram群发个促销链接——突然弹出一条:“您的网站未提供合规隐私声明”——那一刻,真的会懵。

这不是吓你。去年底,一位在第比利斯做跨境电商的朋友,因为官网Cookie横幅只写了“接受”,没设“拒绝”按钮,被本地DPO(数据保护官员)办公室发函要求整改;另一位做SaaS工具的创业者,在Tbilisi租办公室时,房东坚持要签一份“数据共享附加协议”,只因他电脑里存了3位前员工的护照扫描件——而这些,其实都不在格鲁吉亚《个人数据保护法》(Personal Data Protection Act)强制监管范围内。

为什么?因为格鲁吉亚的数据治理逻辑,既不像欧盟GDPR那样“重权利”,也不像东南亚部分国家那样“重备案”,它更像一个‘温和守门人’:不主动找你,但你跨过那道线,它一定亮灯

先划重点——三个最常被误判的“雷区”:

误区一:以为“我在格鲁吉亚注册公司,就必须套用GDPR模板”
→ 实际上:格鲁吉亚法律明确承认GDPR为参考框架,但不自动适用其全部条款。比如“数据可携权”“被遗忘权”目前仅限于政府机关处理场景,私营企业暂无强制履行义务;再比如,GDPR要求72小时内上报数据泄露,而格鲁吉亚现行法规未设时限,只要求“及时通报”。

误区二:以为“我只收邮箱,不算处理个人数据”
→ 实际上:根据格鲁吉亚国家数据保护局(National Data Protection Agency, NDPA)2025年11月发布的《常见问答汇编》,“电子邮件地址本身即构成个人数据”,但是否触发申报义务,取决于处理目的与规模。如果你每月只手动发5封报价邮件给固定客户,通常无需向NDPA登记;但若用Mailchimp批量发送含动态变量(如姓名、城市)的营销邮件,就需完成简易备案(在线表单,约15分钟)。

误区三:以为“签了员工劳动合同,就能自动处理TA的银行账号、健康记录”
→ 实际上:格鲁吉亚《劳动法典》第34条与《个人数据保护法》第12条叠加规定——雇主对员工数据的处理,必须满足双重合法性基础:一是合同必要性(如发薪需银行账号),二是单独书面同意(如存档体检报告)。我们见过太多创业者,把“已签合同”当成万能钥匙,结果在劳动监察抽查中被要求补签《专项数据处理同意书》。

那么问题来了:怎么判断自己到底踩没踩线?

我建议你用这个“三步自查法”:

  1. 圈范围:列出你当前处理的所有数据类型(不只是姓名电话,包括IP日志、Cookie ID、聊天记录截图、甚至会议录音);
  2. 标用途:每项数据对应哪个业务动作?是签约必需?客服响应?还是市场分析?
  3. 查豁免:登录NDPA官网(www.dataprotection.ge),打开“Business Guidance”栏目,对照《中小微企业数据处理简化指南》(2025版)附录B——里面清楚列出了12类常见豁免情形,比如“纯内部人事管理”“单次客户服务沟通”“非自动化处理的纸质档案”。

顺便说个小观察:最近半年,NDPA官网英文版更新频率明显加快(平均每月2次FAQ增补),但中文资料几乎为零。这也提醒我们——所有“合规动作”的起点,永远是看最新版官方英文文件,而不是二手解读或翻译插件

再分享一个真实案例:去年10月,一位在巴统做民宿预订系统的创业者,因第三方支付接口返回的错误日志里包含用户手机号(明文),被合作律所提醒风险。他原计划花两周重写API,后来我们帮他查到NDPA 2025年第7号技术通告——其中明确写道:“系统调试日志中偶发出现的个人数据,若存储时间≤48小时、无主动调阅行为、且不用于任何分析目的,不视为违规处理”。他当天就加了自动清理脚本,问题闭环。

你看,有时候“避坑”不是靠堆人力,而是靠精准定位规则缝隙里的安全通道

❓ FAQ|格鲁吉亚数据隐私实操3问

Q1:我在格鲁吉亚注册了一家有限责任公司(LLC),官网用WordPress建的,集成了Google Analytics和Facebook Pixel,需要做哪些隐私设置?
✅ 步骤:

  • 第一步:登录NDPA官网 → 下载《网站运营者隐私政策模板(EN)》→ 替换占位符(尤其注意“数据接收方”栏,需列明Google LLC、Meta Platforms Ireland Ltd等实际主体);
  • 第二步:安装WP插件“Complianz GDPR/CCPA”,启用“Cookie Consent Banner”,必须含“拒绝所有非必要Cookie”按钮(GDPR式“仅必要”默认选项不被NDPA认可);
  • 第三步:在Analytics后台关闭“个性化广告”与“跨网域跟踪”,保留“基准报告”即可——NDPA 2025年执法简报指出,92%的违规源于过度收集(如用户兴趣画像),而非基础访问统计。

Q2:我雇了2名本地员工+1名远程中国 freelancer,要不要给他们签《数据处理同意书》?
✅ 路径:

  • 本地员工:必须签——依据《劳动法典》第34条,需单独签署附件《员工个人数据处理特别授权》,明确写清“薪酬发放”“社保申报”“内部通讯”三项用途,不可笼统写“公司管理需要”;
  • 远程freelancer:不用签——因其与你无劳动关系,属服务合同范畴;但需在《外包服务协议》第5.2款加入数据条款,注明“乙方仅得为履行本合同之目的处理甲方提供的数据,项目结束后72小时内彻底删除副本”,并保存该协议至少3年(NDPA检查常见项)。

Q3:客户下单时填的地址、电话,我存在Excel里发给物流商,算违法吗?
✅ 要点清单:

  • ✔️ 合法:属于“合同履行必要”,无需额外同意;
  • ✔️ 必须:在Excel文件属性里清除作者/修订历史(右键→属性→详细信息→删除属性和个人信息);
  • ✔️ 必须:与物流商签订《数据处理协议》(DPA),模板可从NDPA官网“Resources”栏下载,重点确认第4条“子处理商限制”——对方不得擅自将数据转给其海外云服务商;
  • ✖️ 禁止:用微信/WhatsApp直接传Excel(无加密、无审计日志),应改用Tresorit或本地加密ZIP(密码另渠道告知)。

✅ 结论|3条可立刻执行的安心动作

  1. 今天下午花10分钟:打开 NDPA企业指引页,把《中小微企业简化指南》PDF存进手机,重点标红“Exemptions”和“Registration Thresholds”两节;
  2. 本周内做一次“数据地图快扫”:拿张纸写下——你手上有多少个地方存着别人的名字/号码/邮箱?每个地方用途是什么?谁有权访问?存了多久?这比背法条管用十倍;
  3. 下次签任何合同前:在付款条款后加一句:“双方确认,本合同项下涉及的个人数据处理,均以格鲁吉亚《个人数据保护法》及NDPA最新指南为准”,这是和本地合作伙伴建立合规共识最轻量的方式。

最后想轻轻说一句:在格鲁吉亚做事,节奏慢一点,反而更稳。这里没有“48小时速通审批”,但也没有“突击检查罚款翻倍”。很多政策落实,靠的是当地人一句“我们习惯这样办”,而不是白纸黑字的罚则。所以,与其焦虑“会不会错”,不如养成一个习惯:遇到拿不准的数据动作,先问自己——这事,我在第比利斯咖啡馆跟本地律师朋友聊,他会皱眉吗? 如果答案是否定的,大概率就在线内。

如果你正卡在某个具体环节——比如网站隐私页反复被hosting服务商退回、或者不知道NDPA备案表里“processing purpose code”该选哪一项——欢迎随时加我微信 lvga2015,备注“格鲁吉亚+数据”,我会把最近整理的《NDPA英文术语对照速查表》发给你。我们不是律师,但可以陪你一起读懂那些拗口的句子。

也欢迎加入我们的跨境创业交流群(每周三晚有线上茶话会),最近大家聊得最多的是:格鲁吉亚新推出的电子居留卡(e-Residency)如何关联公司银行账户、巴统房产中介常用的租赁合同隐藏条款、还有——怎么用格鲁吉亚公司主体接入Stripe而不触发KYC二次审核。没有KPI,只有真实经验交换。

🔸 All eyes on Rome, Georgia
🗞️ 来源: USA Today – 📅 2026-03-11
🔗 阅读原文

🔸 Trump-backed Fuller and Dem Harris move to Georgia runoff to succeed Marjorie Taylor Greene
🗞️ 来源: The Washington Times – 📅 2026-03-11
🔗 阅读原文

🔸 Thousands Advised To Stay Inside in Georgia
🗞️ 来源: Newsweek – 📅 2026-03-11
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。 本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。 政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。 如内容有需要修订之处,欢迎随时与我联系。