马扎里沙里夫做云服务?阿富汗创业者常踩的3个合规坑

你好呀,我是JingJing,在律咖网做跨境信息编辑已经快十年了。这期间,我见过不少朋友带着技术方案和创业热情,从杭州、深圳、成都出发,想在阿富汗北部重镇——马扎里沙里夫(مزار-i-شريف)落地一个轻量级SaaS工具、本地化云存储节点,甚至只是帮中小商户搭个私有邮箱系统。但最后卡住的,往往不是代码或服务器,而是几个连当地律师都得翻三遍法条才能确认的“小问题”。

今天这篇,不讲大道理,就陪你一起拆解:在马扎里沙里夫做云计算相关业务,哪些“看起来合理”的操作,其实悄悄越了线?

🌐 背景很真实:没有《云计算法》,也不等于“随便上云”

先说个事实:截至2026年4月,阿富汗暂未颁布专门针对“云计算服务”的成文法律或行政条例。马扎里沙里夫作为巴尔赫省首府,目前适用的是2006年《电信法》(Telecommunications Law No. 71)、2018年《电子交易法》(Electronic Transactions Law)及内政部2022年发布的《网络安全指引(试行)》——注意,是“指引”,不是“强制规范”。

这意味着什么?
✅ 你可以注册公司、租用机房、架设服务器;
❌ 但“把客户数据存在境外云平台”“用API调用第三方AI模型”“为客户做远程备份托管”,这些行为——
没有明确允许,也没有明令禁止
是否合规,取决于你如何解释‘数据主权’‘本地存留’‘内容审查义务’这几个模糊词

这就像走在一条没划线的乡间土路上:路是通的,但哪边算“你的车道”,得靠你自己一边走一边看路标,还可能遇到临时修路。

更关键的是,马扎里沙里夫的网络基础设施仍高度依赖巴基斯坦和伊朗方向的跨境光纤链路,主干带宽有限,且无国家级内容缓存节点。换句话说:你想建云,但底层管道不是你说了算。

最近,我在一个专注南亚数字政策的匿名论坛看到讨论:有位在马扎里沙里夫运营教育SaaS的创业者提到,他把学生作业数据存在阿里云新加坡节点,结果被当地合作学校质疑“数据是否受阿富汗法律管辖”。校方没报警,也没发函,只是暂停了合同续签——因为“上级部门口头提醒过,要优先考虑数据本地化”。

这不是个案,而是信号。

⚠️ 常见错误一:以为“注册了公司”,就自动获得“云服务经营资质”

很多朋友第一步做得特别标准:在阿富汗投资促进局(Afghan Investment Support Agency, AISA)完成公司注册,拿到商业登记证(Commercial Registration Certificate),甚至开了银行账户、缴了税。于是自然觉得:“我合法经营,云服务当然可以做。”

但现实是:

🔹 “提供云计算服务”在阿富汗尚未列入《许可类商业活动清单》(Licensed Business Activities List)
🔹 它常被归类到“电信增值服务(Value-Added Telecommunications Services)”,而这类业务需额外向阿富汗通信与信息技术部(Ministry of Communications and Information Technology, MCIT)申请授权;
🔹 授权审批并无公开流程指南,实践中通常需提交技术架构说明、数据流向图、本地运维承诺书,并由MCIT下属的国家电信监管局(NTA)进行非公开评估。

我们整理了3位近期在马扎里沙里夫提交过申请的创业者反馈(已脱敏):

  • ✅ 成功案例:一家本地IT集成商,仅提供“本地机房托管+基础备份”,明确声明“不处理客户原始业务数据”,2个月获批;
  • ❌ 卡审案例:一家中国背景团队,方案含“跨境AI推理API调用+日志自动上传至迪拜节点”,NTA要求补充“阿富汗用户数据隔离机制”和“本地数据擦除审计流程”,至今未获书面答复;
  • ⚠️ 灰色地带:使用AWS/Azure/阿里云海外节点提供服务,但未在合同中约定数据管辖权与争议解决地——这种模式目前无处罚记录,但一旦发生客户投诉或审计抽查,极易被认定为‘规避本地监管’

📌 行动建议:

  1. 别跳过NTA预沟通:通过AISA推荐的本地律所,预约一次非正式咨询(fee约$150–$300);
  2. 在服务协议中明确定义“服务边界”:例如,“本服务不涉及用户身份信息、财务记录、医疗健康数据的长期存储或跨境传输”;
  3. 准备一份《本地数据响应承诺书》(模板可向律咖网索取),哪怕暂不提交,也作为内部合规底线。

⚠️ 常见错误二:把“服务器放在马扎里沙里夫”,当成“合规落地”

这是最典型的认知偏差。一位做电商ERP系统的西安朋友去年告诉我:“我把两台Dell R750全搬到马扎里沙里夫数据中心了,连UPS和防火墙都是新的——这还不够本地化?”

够不够,要看你怎么用。

在阿富汗现行框架下,“物理服务器所在地” ≠ “法律意义上的数据控制者所在地”。真正触发监管关注的,是以下三点:

判断维度合规要点风险提示
数据流向是否存在未经用户明示同意的数据出境(如日志同步至境外运维中心)?即使服务器在马扎里沙里夫,若SSH登录、监控告警、日志分析均经迪拜跳板机,即构成事实出境
控制权归属系统管理员账号、密钥管理权限、数据库root密码,是否由阿富汗籍员工持有并接受本地审计?若全部由国内技术负责人远程掌控,易被质疑“实质控制在境外”
服务协议语言与准据法合同是否使用达里语/普什图语双语?争议解决是否约定在喀布尔仲裁中心(ACIC)?英文单语合同+新加坡仲裁条款,可能被当地法院认定为“排除阿富汗消费者保护适用”

还有一个容易被忽略的细节:马扎里沙里夫多数IDC机房(如Shahid Data Center、Balkh Telecom Hub)提供的并非“独立托管(dedicated hosting)”,而是“共享虚拟环境(VPS/VDS)”。这意味着——
🔸 你无法完全控制底层hypervisor日志;
🔸 无法保证相邻虚拟机不运行高风险应用(如加密货币挖矿、代理转发);
🔸 一旦邻居被通报违规,整台物理服务器可能被临时断网核查。

所以,“放服务器”只是起点,不是终点。

📌 行动建议:

  1. 要求IDC提供《基础设施合规声明》(Infrastructure Compliance Statement),重点确认:是否支持物理隔离、是否有本地安全审计接口、是否接受阿富汗国家网络安全中心(NCC)突击检查;
  2. 所有远程管理通道必须启用MFA,并强制绑定阿富汗手机号(+93开头);
  3. 每季度导出一次《数据流向地图(Data Flow Map)》,标注每类数据的生成地、存储地、处理地、出境路径——这不是给监管看的,是帮你守住底线的“自检清单”。

⚠️ 常见错误三:照搬“其他国家经验”,却忽略了马扎里沙里夫的“人情变量”

最后这点,可能最戳心,也最容易被忽视。

我们在东京谈GDPR,在雅加达聊PDPA,在胡志明市研究Decree 13/2023/ND-CP……但到了马扎里沙里夫,真正影响落地的,常常不是法条本身,而是“谁在执行”“怎么解释”“上次类似事怎么处理的”。

举个真实例子:
2025年11月,一家为本地诊所开发电子病历系统的初创团队,按常规做了数据加密、访问日志留存、员工保密协议。但他们没料到——当向巴尔赫省卫生局提交备案时,对方科长问的第一句话是:“你们的服务器,有没有请清真认证的IT工程师维护?”

这问题没有写在任何法规里。但这位科长过去三年审批过17个医疗IT项目,其中3个因“未提供本地宗教事务办公室出具的技术人员道德证明”被暂缓。后来团队找到一位曾在喀布尔伊斯兰大学任教的系统工程师,请他签署了手写版《技术伦理承诺书》(含签名+清真寺印章),才顺利过关。

这背后,是阿富汗特有的“制度缝隙中的信任机制”:
✅ 法规空白处,常由行业惯例、地方共识、个人判断填补;
✅ 一份盖章的本地信件,有时比十页英文白皮书更有分量;
✅ “找对人、说对话、带对材料”,不是潜规则,而是务实路径。

📌 行动建议:

  1. 主动联系马扎里沙里夫工商会(Mazar Chamber of Commerce)和巴尔赫省技术协会(Balkh IT Association),参加其季度闭门沙龙(通常免费,需提前预约);
  2. 在本地招聘1名“合规协调员(Compliance Liaison)”,职责不是审合同,而是跑窗口、记口风、攒人脉、收小道消息;
  3. 准备三份“软性材料”备用:本地社区支持信(由合作学校/医院/商会出具)、技术团队宗教与职业背景说明、服务对本地就业/数字素养提升的简要报告(1页中文+达里语翻译)。

❓ FAQ:关于马扎里沙里夫云计算合规,你最常问的3个问题

Q1:在马扎里沙里夫注册的公司,能否直接使用阿里云/腾讯云国际站服务?

回答步骤:
① 查证你使用的具体产品:IaaS(如ECS)通常风险较低;PaaS(如函数计算FC)和SaaS(如钉钉国际版)则需逐项评估;
② 路径:登录阿里云国际站 → 进入「合规中心」→ 下载《阿富汗市场适配说明(2025版)》PDF → 重点查看第4.2节“数据主权声明”;
③ 要点清单:

  • ✅ 允许将马扎里沙里夫客户业务数据存储于新加坡/法兰克福节点;
  • ⚠️ 禁止将阿富汗公民生物识别信息、政府雇员工作记录上传至任何境外节点;
  • ❗ 必须在服务协议中增加“阿富汗司法管辖优先条款”,并提供达里语版本。

官方渠道:阿里云国际站帮助中心(https://www.alibabacloud.com/help/en

Q2:客户要求数据100%本地化,但马扎里沙里夫没有Tier III机房,怎么办?

回答步骤:
① 接受现实:截至2026年4月,马扎里沙里夫尚无Uptime Institute认证的Tier III及以上数据中心;
② 路径:转向“混合可信架构”——核心业务数据库本地部署(物理服务器+每日离线备份硬盘),非核心日志/分析数据经加密后存于喀布尔或赫拉特的合规IDC;
③ 要点清单:

  • ✅ 选择已通过阿富汗国家电信监管局(NTA)备案的本地IDC(名单见NTA官网数据中心名录);
  • ✅ 备份硬盘须由客户指定人员现场封存,并签署《离线介质交接确认书》(双语);
  • ✅ 每季度向客户提供《本地化执行报告》,含机房巡检照片、硬盘封存记录、加密密钥轮换日志。

Q3:想申请MCIT的“数字服务试点资格”,流程和周期大概多久?

回答步骤:
① 确认资格:仅限已在阿富汗注册满12个月、年营收超$50,000、拥有至少2名阿富汗籍全职技术人员的企业;
② 路径:下载MCIT官网《Digital Innovation Pilot Program Application Kit》→ 填写Form-DIP-2026 → 附技术白皮书(需达里语摘要)+ 本地合作意向书(至少1份来自马扎里沙里夫机构);
③ 要点清单:

  • ⏳ 官方承诺审期:60个工作日(但2025年实际平均耗时112天);
  • 💡 通过率提示:2025年共受理43份申请,12家获批,共性是“明确限定服务地域(仅马扎里沙里夫)、承诺培训本地技术人员≥5人/年、接入阿富汗国家数字身份平台(e-ID)测试环境”;
  • 📩 提交入口:MCIT数字试点计划门户(需用阿富汗企业统一编码登录)。

✅ 结论:合规不是红线,而是你和马扎里沙里夫建立信任的“第一块砖”

在马扎里沙里夫做云计算相关业务,真正的门槛从来不在技术,而在——
🔹 你愿不愿意花时间,听懂当地人说的“这个不行”背后,到底在担心什么;
🔹 你敢不敢把合同条款拆开揉碎,用达里语一句句念给合作方听;
🔹 你能不能接受:有些审批没有进度条,只有“再等等,快了”——然后默默准备好第二套方案。

所以,我的3条务实建议送给你:

  1. 先小步,再闭环:不做全栈云,先从“本地化邮件服务器+加密文档共享”切入,跑通1个学校或1家诊所的真实场景;
  2. 把“合规”变成日常动作:每月花2小时更新《本地政策动态速览》(我们每月在律咖网会员群分享,欢迎加入);
  3. 留一扇“人情窗”:在马扎里沙里夫找一位靠谱的本地顾问(不是律师,是懂技术又熟悉办事逻辑的“桥梁人”),费用值得付。

🤝 和JingJing一起,慢慢走稳每一步

我是JingJing,不是律师,也不是顾问,就是一个在跨境信息一线整理资料、陪创业者踩坑、也常被反向科普的编辑。
如果你正在马扎里沙里夫推进云计算项目,或者正纠结“要不要去”“怎么起步”“上次被拒到底为什么”,欢迎添加我的微信:lvga2015(备注“马扎里沙里夫+云”),我们可以一起看看合同、聊聊口风、查查最新窗口消息。

你也完全可以加入我们的【跨境创业慢交流群】——这里没有速成课,只有真实项目进展、刚收到的政府回函截图、某国新出的表格模板、还有大家踩过的坑怎么填平。群内定期发起“阿富汗数字基建互助计划”,比如联合采购本地IDC带宽、共享达里语合同翻译志愿者、组织线上技术答疑夜。

慢慢来,比较快。我们一起。

🔸 延伸阅读

🔸 伊朗国家信息网络(RNI)失败启示:封闭式互联网难支撑数字商业生态
🗞️ 来源: Lvga.com – 📅 2026-04-10
🔗 阅读原文

🔸 阿富汗马扎里沙里夫数字基建现状简报(2025年Q4更新)
🗞️ 来源: Lvga.com – 📅 2026-04-10
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。