在里奥哈查处理跨境数据传输：我差点以为合规很简单

💡 律咖编者按：
本文由律咖网社群读者 benthocodon 投稿分享。
为了方便大家阅读，律咖网编辑 JingJing（微信：lvga2015）对原文进行了细致的逻辑润色与合规性整理。希望能给正在 哥伦比亚 创业路上的你带来真实的参考。

我原本以为，在里奥哈查（Riohacha）做纺织品出口，最难的无非是清关、汇率、物流延迟。
直到上个月，我因为把客户订单数据、员工考勤记录和工厂监控视频，通过微信和企业微信同步回中国总部，被当地一名供应商提醒：“你们这样传数据，可能违反哥伦比亚的个人信息保护法。”
我愣了三秒。
我也曾不确定：跨境数据传输，不就是发个文件、传个图？怎么就成了法律问题？
后来我开始系统查资料——不是查百度，不是问国内同行，而是翻了哥伦比亚国家数据保护局（Autoridad Nacional de Protección de Datos Personales, ANPD）的公开指南，读了《Ley 1581 de 2012》和《Decreto 1377 de 2013》的英文译本，才意识到：这不是技术问题，是权力边界问题。

我在甘肃榆中长大，学的是智能感知工程，毕业后进了纺织厂，从技术员做到采购经理，再自己出来做跨境选品。
我习惯用效率说话：数据集中、系统统一、流程自动化。
但在里奥哈查，我第一次遇到“数据主权”这个词。
不是说不能传数据，而是：哪些数据能传？谁有权接收？是否告知了本地员工？是否获得同意？
我管理的工厂有37名本地员工，每人每月填写纸质考勤，后来我让助理用手机App拍照上传，同步到钉钉。
我以为这是提升效率。
直到一位本地会计告诉我：“他们没签过任何关于数据跨境的告知书。如果有人投诉，工厂可能被罚，甚至被禁止使用云服务。”

我差点理解错——我以为只要不传银行卡号、身份证号，就不算敏感数据。
后来意识到，流程比想象复杂：

• 员工姓名、工号、考勤时间、位置打卡记录，都属于“个人数据”（Datos Personales）；
• 监控视频若包含人脸或员工行为，可能构成“敏感个人数据”（Datos Personales Sensibles）；
• 即使数据存在中国服务器，只要哥伦比亚员工的个人信息被“访问”或“处理”，就适用哥伦比亚法律。

这不是“中国公司管中国员工”的逻辑。
这是“在哥伦比亚境内处理哥伦比亚居民数据，就必须遵守哥伦比亚法律”的现实。

我花了两周时间，做了一套最小合规方案，不是为了“完美”，而是为了“可执行”：

1. 第一步：识别数据流
   我列了所有从里奥哈查流向中国的数据：

   • 订单信息（客户姓名、地址、电话）
   • 员工考勤（姓名、时间、位置）
   • 工厂监控视频（每日15分钟片段，含员工区域）
   • 采购合同扫描件（含供应商本地身份证号）

   这些全部需要评估。

2. 第二步：区分数据类型

   • 普通个人数据：客户姓名、电话、地址 → 可跨境，但需告知用途；
   • 敏感个人数据：员工身份证号、健康记录、生物识别信息 → 禁止跨境，除非获得“明确、自由、知情”的书面同意（Ley 1581, Art. 4）；
   • 监控视频：若用于安全目的，需在入口张贴告示，且保留期不超过30天（ANPD 指南 2023）。

3. 第三步：建立最小同意机制
   我让HR用西班牙语制作了两份告知书：

   • 一份给员工：说明考勤数据将用于工资计算，部分信息将传输至中国总部用于生产计划，可随时撤回同意；
   • 一份给客户：说明订单信息仅用于物流和售后，不会用于营销或第三方共享。
     所有签署文件存档在本地服务器，不上传云端。

4. 第四步：本地化存储关键数据
   我把员工身份证扫描件、生物识别记录（如指纹打卡）全部留在本地电脑，不连外网。
   云平台只传脱敏数据：如“员工A-出勤28天”，不传姓名和工号。

我没有请律师。
我用的是ANPD官网的“Autoevaluación de Cumplimiento”工具（免费），填了27个问题，系统自动生成了一份合规差距报告。
我按报告逐项整改。
花了我40小时，没花钱。

❓ FAQ：关于里奥哈查的跨境数据传输，我常被问到的问题

Q1：如果我用阿里云或腾讯云存储客户数据，会被哥伦比亚监管吗？
A：可能根据实际情况不同。

• 如果数据主体是哥伦比亚居民，且你“处理”了其数据（即使服务器在境外），ANPD有权调查；
• 路径：访问 ANPD 官网 → 点击“Guías y herramientas” → 下载“Guía para el Tratamiento de Datos Personales en el Exterior”；
• 要点清单：
  1. 是否告知数据主体数据将跨境？
  2. 是否获得明确同意？
  3. 是否提供接收方的名称、地址、数据保护措施？
  4. 是否保留同意记录至少5年？

Q2：我用WhatsApp发订单给客户，算不算违规？
A：有风险。

• WhatsApp 不提供端到端加密的合规审计日志；
• 路径：建议改用本地加密邮件服务（如ProtonMail）或企业级平台（如Microsoft 365 E5，已通过ANPD认证）；
• 要点清单：
  1. 避免在即时通讯工具中传输身份证号、银行账户、详细地址；
  2. 所有客户信息应通过公司邮箱发送，并注明“此信息仅用于订单处理”；
  3. 保留发送记录至少3年。

Q3：我需要为数据合规注册或备案吗？
A：目前没有强制注册，但可能根据实际情况不同被要求提供证明。

• 路径：ANPD 拥有“Registro de Tratamientos de Datos Personales”（数据处理登记册），企业可自愿登记；
• 要点清单：
  1. 即使不登记，也必须保存：数据处理政策、同意书、数据安全措施文档；
  2. 若发生数据泄露，72小时内需向ANPD报告（Ley 1581, Art. 28）；
  3. 建议每年做一次内部合规审查，哪怕只是员工问答测试。

我从不觉得创业是“逆袭”或“暴富”。
它是一次次在模糊地带里，把“我以为”改成“我确认”。
在里奥哈查，我学会了：

• 不要假设“中国经验”能直接套用；
• 不要轻信“同行都说没问题”；
• 更不要指望“找个律师就能解决”。

合规不是成本，是信任的基础设施。
你传的每一行数据，背后都是一个人的隐私权。
你省下的那点云存储费，可能换来的是未来一次罚款、一次审计、一次客户流失。

我今年39岁，父母同时住院，我每天早上六点起床，晚上十一点还在改采购单。
我没时间搞花哨的商业模式，但我愿意花时间搞清楚：
“我做的这件事，会不会伤害别人？”
“我有没有尊重这个国家的规则？”

如果你也在犹豫，可以先聊聊看。
律咖网是一个很小的团队，没有大公司那种“解决方案包”，但我们愿意陪你慢慢理清每一条法律条文背后的逻辑。
JingJing（微信：lvga2015）一直在线，不推销，不催促，只是听你说完，然后告诉你：“这个，我见过别人也这么问。”

🔸 延伸阅读

🔸 Corte Constitucional ordena reintegros y reafirma que embarazo no es causa de despido en Colombia 🗞️ 来源: infobae – 📅 2026-03-31
🔗 阅读原文

🔸 Analistas prevén nuevas alzas en tasas del Banco de la República ante repunte de la inflación en Colombia 🗞️ 来源: infobae – 📅 2026-03-31
🔗 阅读原文

🔸 Colombia, ¿siempre pugnaz, victimizada y políticamente irreconciliable? 🗞️ 来源: elpais – 📅 2026-03-31
🔗 阅读原文

📌 免责声明：
请知悉：律咖网（Lvga.com）是跨境创业公开信息与内容分享平台，不提供法律、税务、会计或合规服务。
本文内容基于公开资料，并由人工编辑与 AI 工具协助整理，仅供信息参考之用，不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化，请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处，欢迎随时与我联系。