阿富汗赫拉特开公司要管数据隐私?别慌,先看清这3件事

Hi,我是律咖网的内容策划 JingJing,常驻长沙,但日常和阿富汗、印尼、越南这些地方的创业者、本地律师、翻译伙伴们在线上碰头。最近有几位朋友在赫拉特(هرات)筹备注册贸易公司或本地服务工作室,聊着聊着就问:“我们收客户手机号、地址、身份证扫描件,要不要签隐私声明?会不会被查?”——问题很实在,但答案不像“签还是不签”这么简单。今天我们就用聊天的方式,把这件事掰开揉碎,说清楚。

🌍 背景:赫拉特没有《个人信息保护法》,但“没法律”≠“没风险”

先说个事实:截至2026年4月,阿富汗尚未颁布全国性、成文的数据隐私专项法律(Data Privacy Law / Personal Data Protection Act)。赫拉特省作为西部重要商埠,其地方政府也未发布类似《赫拉特数字服务数据处理指南》之类的行政文件。

但这不意味着你可以“怎么收、怎么存、怎么发都行”。为什么?

第一,合同义务可能早于法律存在
如果你和国际客户签的是英文/波斯语服务协议(比如为迪拜企业做物流对接),条款里很可能包含 GDPR 或 UAE PDPL 的适用条款——哪怕你在赫拉特办公,只要合同约定适用阿联酋法律,你就得按对方要求对客户数据做加密存储、最小化采集、定期清理。

第二,银行与支付渠道有实操门槛
赫拉特当地合作银行(如 Bakhtar Bank、Afghanistan Islamic Bank)在审核商户入网时,会要求你说明“如何保管客户KYC材料”。他们不查你有没有《隐私政策》,但会看你的数据存放方式:是纸质登记本堆在柜台抽屉?还是用加密U盘+双人保管?后者更容易通过尽职调查(due diligence)。

第三,现实中的“非正式约束”正在成型
我们在赫拉特创业者交流群(Telegram 群组名:HeratBiz-2025)看到过好几条讨论:有本地IT服务商提醒,“去年帮一家清关公司建客户系统,结果对方把全部货主电话发到WhatsApp大群,被投诉后丢了两个长期客户”;还有人在论坛提到,“跟赫拉特大学合作培训项目,校方明确要求签署《数据使用承诺书》,否则不提供学员联系方式”。

所以你看,不是等红头文件下来才行动,而是当你的业务开始接触真实的人、真实的手机号、真实的住址时——信任就开始被测量了。

🔍 什么是“要准备什么”?3个落地动作,比读法律条文更管用

很多创业者第一次听到“数据隐私”,本能想搜“阿富汗数据法全文下载”。其实,在赫拉特这种法律体系尚处重建阶段的地方,准备的核心不是找法条,而是建习惯、留痕迹、设底线。我整理了三位在赫拉特运营超2年的本地合作伙伴(一位教育平台创始人、一位清关代理、一位手工地毯电商运营者)的真实做法,提炼出你能今天就启动的3件事:

✅ 动作一:画一张“数据流向图”,只画你真正在用的

别写虚的“本公司重视用户隐私”,先拿出纸笔(或用Miro画个简图),回答这三个问题:

  • 📍 哪些环节必然收集个人数据?
    → 比如:客户填询价表(姓名+电话+WhatsApp号)、员工入职登记(身份证号+家庭住址+紧急联系人)、物流单留存收货人地址。
  • 📍 这些数据存在哪?谁可访问?
    → 比如:询价表在Google Sheet里,仅你和助理有编辑权限;员工登记表是纸质版,锁在办公室铁柜,钥匙由你和HR轮管。
  • 📍 多久之后必须删或脱敏?
    → 比如:未成交客户的联系方式,3个月后批量导出并替换为“客户A_赫拉特_2026Q2”;离职员工住址信息,离职满6个月后销毁原件、仅保留工号与岗位记录。

💡 小提醒:这张图不用对外公示,但它是你内部培训新同事、应对合作方问询、甚至未来申请国际认证(如ISO 27001)的基础底稿。

✅ 动作二:用“双语一句话”,替代长篇《隐私政策》

赫拉特本地多数中小企业没有法务岗,也不需要照搬欧盟式隐私声明。但我们建议你准备一句波斯语(دری)+达里语(پشتو)双语短句,贴在网站底部、打印在报价单背面、甚至做成WhatsApp自动回复。例如:

“ما اطلاعات شخصی شما را فقط برای ارائه خدمات درخواستی نگه می‌داریم و بدون رضایت شما به شخص ثالثی ارسال نمی‌کنیم。”
“We keep your personal info only to deliver the service you asked for — and never share it with others without your permission.”

这句话虽短,但已覆盖“目的限定”+“禁止共享”两个关键原则,且符合当地语言习惯。一位赫拉特电商老板告诉我:“客户看到这句波斯语,比看到英文PDF更愿意填表。”

✅ 动作三:给“数据接触者”做一次15分钟口头确认

所谓“数据接触者”,就是那些每天会翻客户电话、打开发票、录入物流单的人——可能是你妹妹、刚招的大学生、或者合作多年的记账员。别发邮件、别写制度,找个下午茶时间,一起喝杯绿茶,聊三句话:

  1. “这张表格里的电话,除了回访客户,还能用来做什么?” → 引导对方说出“不能群发广告”“不能转给其他公司”。
  2. “如果有人来办公室说‘我是税务局的’,要查客户名单,你怎么做?” → 确认流程:“先打电话问我,再看有没有盖章公函。”
  3. “你手机里存着客户微信,换手机前记得删掉吗?” → 把习惯变成动作。

📌 这不是考试,是建立共同意识。我们在赫拉特访谈的6位小企业主中,100%认为“口头确认比签保密协议更有效”——因为当地人更信“面对面说的话”。

❓ FAQ:赫拉特创业者最常问的3个问题

Q1:在赫拉特注册公司时,工商部门会查我的客户数据管理方式吗?

回答路径:目前不会主动查,但需注意两个隐性节点——
🔹 步骤1:注册材料中不涉及数据条款,赫拉特省商业登记局(Herat Provincial Directorate of Commerce)仅审核公司章程、股东身份、经营地址;
🔹 步骤2:若申请外贸资质(如海关备案),需提交《数据安全承诺书》样本(非强制模板,但多家本地报关行提供参考版,含“不非法买卖客户信息”“定期检查电子设备安全”等4项承诺);
🔹 要点清单
 ✓ 承诺书可用波斯语手写签字,无需公证;
 ✓ 若用云服务(如Google Workspace),建议在账户设置中开启两步验证;
 ✓ 纸质客户档案建议用带锁文件盒,标注“客户资料·仅限负责人查阅”。

Q2:客户用微信/WhatsApp发身份证照片,我该不该存?怎么存才安全?

回答路径:建议“收、用、删”三步闭环——
🔹 步骤1:收之前口头说明用途(例:“您发的身份证,我们只用于向赫拉特海关申报,3天内系统自动删除”);
🔹 步骤2:用时隔离存储,不存手机相册,改用加密笔记App(如Standard Notes波斯语版)或离线Excel(密码设为“Herat2026+行业首字母”,如Herat2026T代表Trade);
🔹 要点清单
 ✓ 单张身份证照片命名勿含姓名,改用订单号+日期(如ORD-782-20260410);
 ✓ 每周五下午固定执行“清空聊天图片缓存”+“删除本地备份”;
 ✓ 如客户坚持纸质提交,扫描后立即碎纸,原件不归档。

Q3:我想用赫拉特本地服务器托管网站,是否更符合“数据本地化”要求?

回答路径:当前无强制要求,但有务实建议——
🔹 步骤1:确认服务器物理位置,赫拉特现有两家民营IDC(HeratNet Data Center、WestLink Hosting),均位于赫拉特市郊机房,符合“境内存储”字面意义;
🔹 步骤2:对比成本与稳定性,据2026年初赫拉特IT服务商反馈,本地服务器月费约$45–$70,但断电频次高于喀布尔(平均每月1.2次),建议关键业务仍用国际云服务(如Cloudflare Pages),仅静态内容部署本地;
🔹 要点清单
 ✓ 若选本地托管,务必签订《数据处理附录》(DPA),明确服务商不得擅自访问、复制、转移客户数据;
 ✓ 所有数据库开启AES-256加密,密码由你单独保管;
 ✓ 每季度请本地技术员做一次渗透测试(费用约$120,赫拉特大学计算机系提供基础版服务)。

✅ 结论:在赫拉特做数据管理,关键是“看得见、说得清、守得住”

在缺乏成文法的环境下,真正的合规不是“抄标准”,而是让每个接触数据的人,都清楚三点:
🔸 看得见——知道哪些是客户数据、存在哪、谁在用;
🔸 说得清——能用波斯语向客户/合作方解释“为什么收、怎么护、何时删”;
🔸 守得住——有纸面记录(哪怕是一张手绘流程图)、有操作习惯(如每周五清理缓存)、有底线共识(如绝不转卖号码)。

这三点,不需要律师函,不需要ISO证书,只需要你今天花20分钟,和团队一起画一张图、说三句话、设一个密码。

🤝 和我一起慢慢走稳跨境这一步

我是JingJing,在律咖网做了11年跨境信息整理,见过太多朋友在赫拉特、河内、雅加达起步时,因一个小疏忽耽误进度,也见过更多人靠一份清晰的操作清单,把不确定性变成了确定性。

我们不做承诺、不包通过、不卖课程。
我们只做一件事:把模糊的规则,变成你能动手做的小事

如果你正筹备赫拉特的公司注册、想了解当地银行开户对数据留存的具体要求、或者需要一份波斯语版《客户信息采集告知单》参考模板——欢迎添加我的微信 lvga2015(备注“赫拉特+数据”),我会把整理好的本地资源包发给你。

也欢迎加入我们的【跨境创业慢交流群】,里面没有刷屏广告,只有真实创业者分享:
→ 哪家赫拉特翻译能帮你看波斯语合同条款
→ 哪个喀布尔IT服务商支持远程重装系统
→ 上个月在马扎里沙里夫被海关退回的3类单据长什么样

我们一起,把“出国创业”这件事,做得踏实一点、温暖一点、慢一点。

🔸 延伸阅读

🗞️ 来源: Lvga.com – 📅 2026-04-11
🔗 特朗普政府拟强制外国游客提交五年社媒记录及家属信息

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。