💡 律咖编者按: 本文由律咖网社群读者 Caoqingwen 投稿分享。 为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 哥伦比亚 创业路上的你带来真实的参考。

看到最近“哥伦比亚,麦德林(Medellín),跨境数据传输合规,要花多少钱”这个话题在群里吵翻了,我蹲在麦德林一家咖啡馆里,手里的冷萃咖啡都凉了——不是因为天气,是因为我刚被一个本地服务商收了三千美金,说能“包过”数据合规审查,结果两周后告诉我:“系统卡了,得再等一个月。”

说实话,我有点想哭。

作为一个甘肃永昌人,我大学读的是交通工程,本以为这辈子跟数据流、服务器、GDPR八竿子打不着。但命运这玩意儿,就像我老家那条盘山公路——你以为拐个弯就到头了,结果前面还有十八道弯。

我2024年落地麦德林,做TikTok跨境推广,主攻拉美市场。团队从3人干到11人,服务器从香港迁到哥伦比亚,数据流从美国中转到本地云服务商。表面上风风光光,背地里天天提心吊胆:用户数据存哪儿?能不能传回中国?要不要备案?有没有可能被罚?——这些问题,没人能给我一句准话。

直到上个月,我被一个本地律师叫去“喝茶”。

他不是那种穿西装打领带的精英律师,是那种头发有点乱、袖口沾着咖啡渍、说话像唠嗑的中年大叔,叫Miguel。他一开口就说:“Cao,你不是在做电商,你是在玩火。”

他说,哥伦比亚2023年通过了《数据保护法》(Ley 1581 de 2012, actualizada por la Ley 2063 de 2020),虽然没有像欧盟那样“恐怖”,但对外国企业——尤其是那些“看起来像科技公司”的——查得很严。

我问他:“那我这数据,从麦德林传到深圳,要花多少钱?”

他没直接答,反而问我:“你有客户数据吗?”

我说:“有,大概三万用户,主要在墨西哥、秘鲁、哥伦比亚,都是通过TikTok引流来的,留了手机号、昵称、购物偏好。”

他点点头:“那你已经有‘personal data’了。光是登记一个‘Registro de Bases de Datos’(数据库注册),就要找认证的法律顾问,填表、盖章、提交SIC(Superintendencia de Industria y Comercio),流程可能耗时2到4个月。”

我问:“那钱呢?”

他说:“律师费,大概1500到3000美元。如果你没本地法人,还得先注册公司,那又得1000到2000。如果你用的是AWS或阿里云,他们不保证你数据不出境,你得自己签‘Data Processing Agreement’(数据处理协议),这部分,很多服务商不提供英文+西班牙文双语版本,你得找翻译+法律审核,又加500。”

我算了算,心凉了半截。

这还没算上“数据本地化”——很多人以为只要用哥伦比亚的云服务商就行,其实不然。SIC要求,若你处理的是“敏感数据”(比如健康、政治倾向、生物识别),必须存储在哥伦比亚境内。我的用户数据虽然不算敏感,但“手机号+购物偏好”在哥伦比亚司法实践中,可能被认定为“可识别个人身份信息”,这就踩线了。

我后来找了一家本地云服务商,叫“Nube de Colombia”,他们说能提供“合规托管”,月费280美元,含审计报告。我问:“你们有SIC认证吗?”
他们沉默了三秒,说:“我们是‘遵循’法律,不是‘认证’的。”

我当场就笑了。这不就是我以前在甘肃跑工程时,包工头说“我们有资质”——结果检查时拿不出复印件?

我后来自己动手,花了两个月,把所有流程拆解了一遍:

  1. 第一步:注册公司(S.A.S.),费用约1200美元(含公证、税务号、银行开户)
  2. 第二步:聘请本地法律顾问(不是“中介”),确认你处理的数据类型,出具《合规评估报告》——约2000美元
  3. 第三步:向SIC提交《数据库注册申请》,附上数据处理协议、隐私政策(必须西班牙语)、安全措施说明
  4. 第四步:租用哥伦比亚境内服务器,确保数据不出境(推荐:Nube de Colombia、Colombia Host)
  5. 第五步:每年更新一次注册,费用约300美元

总成本?约4000–5000美元,分12个月摊,不算贵,但前期压得人喘不过气。

最坑的是什么?是那些“一站式服务”公司,收你3000美金,说“三个月搞定”,结果拖了八个月,最后告诉你:“SIC系统升级了,你得重新填表。”

我身边两个朋友,一个做跨境电商的,被罚了8000美元,理由是“未披露数据用途”;另一个做AI客服的,服务器被临时冻结,因为用了美国IP中转,被怀疑“规避监管”。

我学乖了。

现在我团队的合规流程,是这样写的:

  • 所有用户数据,必须明确“收集目的”(比如:用于推荐商品),且不能用于广告画像
  • 所有隐私政策,必须用西班牙语,且在网站底部可一键下载
  • 每季度做一次内部审计,记录谁访问了数据、何时访问、为何访问
  • 所有员工签署《数据保密协议》(NDA)
  • 每年付300美元,让律师帮我们提交一次“合规更新”

钱,花得明明白白。

不是为了“省钱”,是为了“不被关店”。

你知道吗?麦德林现在有超过2000家中国背景的TikTok工作室,但真正能活过两年的,不到三成。不是因为竞争,是因为——没人告诉你,你正在违法

我见过太多人,抱着“先做起来再说”的心态,结果一纸传票,账户冻结,团队解散。

我以前觉得,跨境创业拼的是流量、是选品、是执行力。现在我知道,拼的是谁先学会跟法律打交道

📌 FAQ

Q1:在麦德林做跨境数据传输,必须用本地服务器吗?

A: 不一定,但可能被要求。

  • 步骤:先确认你处理的数据是否含“敏感信息”(如手机号、支付记录)
  • 路径:查阅SIC官网《Guía para el tratamiento de datos personales》
  • 要点清单
    ✅ 如果数据仅用于内部分析,且不涉及个人身份识别,可暂时保留境外
    ✅ 如果用于用户画像、广告投放,建议本地存储
    ✅ 使用AWS/阿里云时,必须签署DPA(数据处理协议)并明确数据出境路径
    ✅ 保留所有通信记录,以备SIC抽查

Q2:找本地律师靠谱吗?怎么选?

A: 找对人,能省半年命。

  • 步骤:通过“Cámara de Comercio de Medellín”官网查持牌律师
  • 路径:访问 www.ccm.org.co → 搜索“Abogados en Protección de Datos”
  • 要点清单
    ✅ 优先选有“TIC”(信息通信技术)背景的律师
    ✅ 要求提供过往客户案例(不一定是大公司,小团队也行)
    ✅ 拒绝“包过”承诺,合规没有捷径
    ✅ 保留所有合同和沟通记录,以邮件为准

Q3:有没有免费的合规资源?

A: 有,但你要会找。

  • 步骤:访问SIC官方网站(www.sic.gov.co)
  • 路径:点击“Protección de Datos” → 下载《Manual de Buenas Prácticas》
  • 要点清单
    ✅ 免费提供西班牙语隐私政策模板
    ✅ 有“Checklist para empresas extranjeras”
    ✅ 官方不提供英文版,建议找翻译公司做双语对照
    ✅ 可预约免费线上咨询(需提前两周预约)

我刚来麦德林的时候,觉得这里是个“机会之城”。阳光、咖啡、音乐、热情的人。现在我知道了,机会藏在法律的缝隙里,而不是广告的标语中

我见过太多人,带着梦想来,带着账单走。

我选择留下,不是因为我有多厉害,而是因为我学会了——不装,不赌,不急

如果你也在哥伦比亚,做跨境、做数据、做TikTok,别怕慢。
别信“三天搞定”“包过审核”“零成本合规”——这些话,跟“稳赚不赔”一样,都是陷阱。

我花了四千美金,买了一堂课:合规不是成本,是生存的氧气

如果你觉得这些碎碎念有点用,欢迎加律咖网的编辑 JingJing 微信:lvga2015
她不是卖服务的,她只是个愿意听你讲完一个故事的人。

我们有个小群,没有KPI,没有拉新,只有几个和我一样,从甘肃、四川、福建跑出来的普通人,聊怎么活着,怎么不被罚,怎么在异国他乡,把日子过成不是“逃命”,而是“生活”。

🔗 延伸阅读

🔸 ‘We’ve lost everything’: Colombia floods kill 22
🗞️ 来源: Firstpost – 📅 2026-02-11
🔗 阅读原文

🔸 La fusión de Tigo y Movistar reconfigura el mercado de las telecomunicaciones en Colombia
🗞️ 来源: El País – 📅 2026-02-11
🔗 阅读原文

🔸 Más de 80 fundaciones y organizaciones sociales se unen para ‘que las cosas buenas resuenen en Colombia’
🗞️ 来源: Infobae – 📅 2026-02-11
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。