克罗地亚跨境数据传输合规，我该自己扛还是找中介？

💡 律咖编者按：
本文由律咖网社群读者 Xuanwuxing 投稿分享。
为了方便大家阅读，律咖网编辑 JingJing（微信：lvga2015）对原文进行了细致的逻辑润色与合规性整理。希望能给正在 克罗地亚 创业路上的你带来真实的参考。

我叫Xuanwuxing，来自黑龙江安达，内蒙古大学物联网工程毕业，33岁，性格里刻着“稳”字。
在克罗地亚做TikTok直播带货快两年了，卖的是北方的杂粮、手工皮具和东北老式棉袄——听着土，但老外买得认真。
可最近，我被一个问题卡住了：我收集的用户数据，从克罗地亚传回中国服务器，到底合不合规？需要找中介吗？

这不是一个“能不能做”的问题，而是一个“我能不能扛得住”的问题。

🌍 背景：克罗地亚不是法外之地，而是欧盟的一部分

克罗地亚2013年加入欧盟，2023年正式加入申根区。这意味着，它适用的不是“本地法律”，而是欧盟通用数据保护条例（General Data Protection Regulation, GDPR）。

我之前以为，只要我用的是中国平台（比如抖音国际版），数据就“算中国的事”。
错了。
只要你的用户在克罗地亚点击了“同意隐私条款”，哪怕只买了一包小米，你的系统就触发了GDPR的管辖权——数据主体在欧盟境内，你就得遵守欧盟规则。

我第一次意识到这个问题，是在上个月，一位德国客户问我：“你们在中国存储我的手机号和收货地址，有没有加密？有没有删除权入口？”
我当场愣住。
我连“数据处理者”（Data Processor）和“数据控制者”（Data Controller）的区别都搞不清。

那一刻，我忽然明白：我做的不是卖货，是在处理欧盟公民的个人数据。

🔍 变量：我面对的不是一条路，而是一张网

我开始拆解这个问题，发现它不是“要不要中介”那么简单，而是五个变量交织在一起：

1. 数据流向：用户数据是直接传回中国服务器，还是先存在克罗地亚本地？
   → 我用的是阿里云新加坡节点，数据路径：用户 → 新加坡 → 中国。这中间，克罗地亚是“过境地”。
   → 根据GDPR，过境也构成“跨境传输”，需满足充分性认定或补充保障措施。

2. 数据类型：我收集了姓名、电话、收货地址、观看时长、购买偏好。
   → 这些都属于“个人数据”，部分可能构成“特殊类别数据”（如购买偏好涉及消费习惯，可能被解读为“行为画像”）。

3. 技术手段：我有没有加密？有没有数据最小化？有没有用户可注销账户的入口？
   → 我的后台是现成的TikTok Shop后台，我甚至不知道数据存储在哪儿，谁在维护。

4. 公司主体：我在克罗地亚注册了个体户（sole proprietorship），但没有本地雇员，也没有办公室。
   → 这意味着，我作为“数据控制者”，没有本地代表，欧盟监管机构（如克罗地亚个人数据保护局，AZOP）联系我，可能要通过国际司法协助。

5. 中介角色：如果找中介，他们能做什么？
   → 他们能帮我写GDPR合规声明？能帮我签署标准合同条款（SCCs）？能帮我做数据保护影响评估（DPIA）？
   → 还是说，他们只是“翻译+代跑腿”，最后责任还在我自己？

我翻了AZOP官网，发现他们提供的是英文版指南，不是中文的。
我花了三天，用翻译软件啃完一份38页的《GDPR for E-commerce》，最后只记住一句话：

“The controller must be able to demonstrate compliance.”
—— 你得能证明你合规。

我连证明的起点在哪，都不知道。

🧭 框架：我的思考逻辑——不是“要不要”，而是“能不能承担风险”

我问自己三个问题：

1. 如果被查，后果是什么？
→ 罚款最高可达全球年营业额的4%。
→ 我的年营收约12万欧元，理论上最高罚4800欧元。
→ 但实际中，首次违规通常不会直接罚钱，而是责令整改。
→ 可问题是：整改的期限是多久？我能不能在14天内完成？我有没有能力做？

2. 如果我自己做，我能做什么？
→ 我可以：
 - 在TikTok Shop后台开启“数据导出”功能，让客户下载自己的数据（合规第一步）
 - 在店铺页添加“Privacy Policy”链接，用英文写明“数据存储于中国，受GDPR保护”
 - 用Google Forms做一个“数据删除请求”表单，手动处理
→ 但这些，只是表面合规。
→ 我没有加密协议、没有日志审计、没有数据传输评估、没有与云服务商签署SCCs。

3. 如果找中介，我能信任谁？
→ 我在克罗地亚本地找了两家“数字服务公司”，报价从800欧元到2500欧元不等。
→ 一家说：“我们帮你搞定GDPR，一年维护费300欧。”
→ 另一家说：“我们不保证通过，但能帮你准备材料，让AZOP觉得你认真了。”
→ 我选了后者。
→ 因为第一句话让我害怕，第二句话让我安心。

我不是在买“服务”，是在买“时间”和“确定性”。

🛠️ 行动建议：如果你也在克罗地亚做跨境电商，试试这四步

1. 先做“最小合规”：

   • 在你的电商页面添加英文《Privacy Policy》，明确说明：
      • 数据存储地（如：China）
      • 数据用途（如：履约、营销）
      • 用户权利（访问、删除、更正）
      • 联系方式（你的邮箱）
   • 使用 Google Privacy Policy Generator 免费生成初版，再人工润色。

2. 检查你的数据路径：

   • 找到你用的云服务商（阿里云、AWS、腾讯云等），
     查看他们是否提供 GDPR-compliant Data Processing Agreement (DPA)。
   • 如果没有，立即停止使用。
   • 优先选择在欧盟有数据中心的供应商（如AWS法兰克福节点）。

3. 评估是否需要“欧盟代表”：

   • 如果你没有在欧盟设立实体，但处理欧盟居民数据，GDPR第27条要求你任命一名欧盟代表。
   • 这个代表可以是律师、会计、或合规中介。
   • 他们不需要常驻克罗地亚，但必须能接收监管机构的信件。
   • 价格：约300–600欧元/年。

4. 保留你的“合规痕迹”：

   • 每次修改隐私政策，截图保存。
   • 每次用户删除请求，邮件存档。
   • 用Notion或Excel建一个“GDPR日志”，哪怕只有10条记录。
     → 当你能证明你“认真对待”了，监管机构就更愿意给你机会。

💬 我的反思：我太想“省事”，却忘了“省心”

我曾经以为，跨境创业就是“选品+直播+收款”，法律是“别人的事”。
直到我收到一封来自AZOP的邮件（虽然是英文的，但标题写着“Concern regarding your data processing activities”），我才明白：
在欧洲，你不主动合规，不是“没人管”，而是“他们正在收集证据”。

我花了21天，自己写了一份8页的隐私政策，翻译成英文，上传到TikTok Shop。
我删掉了所有非必要字段的收集。
我联系了阿里云，拿到了他们的DPA协议。
我花399欧元，找了一个克罗地亚的独立合规顾问，只做了一件事：

“请告诉我，我现在的做法，会不会让我被罚？”

他没给我承诺，只说：“你已经比90%的中国卖家做得好了。如果你能坚持记录，三年后，你就是本地小企业里的合规标杆。”

那一刻，我哭了。
不是因为省钱，是因为我终于不那么孤独了。

❓ FAQ：三个最常问的问题

Q1：我用的是TikTok Shop后台，数据都在TikTok手里，我还需要自己做合规吗？
A：是的。

• 步骤：登录TikTok Seller Center → Settings → Privacy Policy → 编辑并发布。
• 路径：确保你的政策中包含“数据跨境传输”说明。
• 要点清单：
  ✅ 明确数据出境目的地（如：China）
  ✅ 说明传输依据（如：Standard Contractual Clauses）
  ✅ 提供用户联系邮箱（非TikTok客服）
  ✅ 附上“数据主体权利”链接（可引用GDPR官网）

Q2：我注册了克罗地亚公司，但没有本地员工，需要雇一个数据保护官（DPO）吗？
A：通常不需要，但必须任命“欧盟代表”。

• 步骤：在AZOP官网下载“Appointment of EU Representative”表格（Form 11）。
• 路径：找律师或合规中介签署协议，提交至AZOP备案。
• 要点清单：
  ✅ 代表必须在欧盟境内有地址
  ✅ 代表必须能接收官方文件
  ✅ 你必须保留书面协议（建议中英文双语）

Q3：跨境传输数据，有没有“免费”方式？
A：有，但有前提。

• 步骤：使用欧盟委员会批准的标准合同条款（SCCs）。
• 路径：访问 ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection → 下载最新版SCCs（2021版）。
• 要点清单：
  ✅ 必须与你的云服务商或中国公司签署
  ✅ 必须填写附件一（双方信息）、附件二（技术措施）
  ✅ 保留签署日期和双方签字页（电子签也有效）

🌱 结语：合规不是成本，是信任的利息

我在克罗地亚的海边小城住了三年。
每天清晨，我坐在阳台上喝咖啡，看海鸥掠过亚得里亚海。
我卖的东西，是东北的土味，却卖给了德国的老人、法国的妈妈、意大利的留学生。
他们不关心我是谁，只关心：我的数据安全吗？

我曾经以为，创业是拼速度、拼流量、拼佣金。
现在我知道，在欧洲，创业是拼耐心、拼透明、拼你愿不愿意为一个陌生人，多花十分钟写清楚一句隐私条款。

我不敢说“我合规了”，但我敢说：我开始认真了。

🔸 延伸阅读

🔸 New legislative changes in Romania: transparency, digitalization and employer responsibilities 🗞️ 来源: Lvga.com – 📅 2026-04-03
🔗 阅读原文

📌 免责声明

请知悉：律咖网（Lvga.com）是跨境创业公开信息与内容分享平台，不提供法律、税务、会计或合规服务。
本文内容基于公开资料，并由人工编辑与 AI 工具协助整理，仅供信息参考之用，不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化，请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处，欢迎随时与我联系。

如果你也在克罗地亚，或者准备去，如果你也曾为“数据传不传、找不找中介”纠结过——
欢迎加 JingJing 微信：lvga2015。
她不是律师，也不是中介，只是一个在律咖网默默整理了三年跨境合规资料的编辑。
我们不卖服务，只分享真实的故事。
有时候，一个能听懂你焦虑的人，比十个“保证通过”的中介，都重要。