💡 律咖编者按: 本文由律咖网社群读者 LiJun 投稿分享。 为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 保加利亚 创业路上的你带来真实的参考。

我叫李军,黑龙江同江人,贵州财经大学金融学毕业,现在在保加利亚布拉格耶夫格勒经营电暖器跨境电商。月销5万到20万美元之间,不算大,但每天被客户催物流、被平台扣款、被税务系统卡住,真的有点累。

上个月,我终于把公司注册下来了。不是为了“移民”,而是为了能开个本地银行账户,把货款收得更稳一点。我原本以为,只要公司有了,就能安心做生意。结果,当我开始准备上线一个新功能——客户在线支付后自动推送使用安全指南——我突然卡住了:

“在保加利亚,做电商,网络安全合规,需要认证吗?”

这个问题,我问了三个本地代理,两个律师,一个做IT外包的中国朋友。答案各不相同。

有人说:“你不是银行,不是政府平台,不需要认证。”
有人说:“欧盟GDPR适用,你收集用户地址、电话、支付信息,就必须做数据保护影响评估(Data Protection Impact Assessment, DPIA)。”
还有人说:“你用的是Shopify,他们已经帮你合规了,你不用管。”

我信了第三个。结果,上个月一封来自保加利亚国家数据保护委员会(National Data Protection Commission, NDPC)的问询邮件,差点让我把电脑砸了。

邮件是英文的,语气很温和,但问题很尖锐:“贵公司是否已对处理欧盟居民个人数据的行为进行风险评估?是否指定数据保护负责人?”

我愣了。我连“数据保护负责人”是啥都没搞清楚。

信息不对称的代价,比物流延误更痛

我承认,我太天真了。

我总以为,只要产品好、价格低、客服及时,就能卖出去。我甚至没想过,客户在德国下单后,他们的姓名、地址、信用卡后四位,这些数据在我服务器上存了多久,谁可以访问,有没有加密。

我之前以为“合规”是大公司的事,是跨国企业要花几百万请咨询公司做的事。我一个月才赚几万美金,怎么配谈“网络安全认证”?

但保加利亚作为欧盟成员国,GDPR(General Data Protection Regulation)是硬性法律。不管你公司规模多小,只要你处理欧盟居民的个人数据——哪怕只是收个名字和地址——你就被纳入监管范围。

我后来才知道,2025年12月20日,保加利亚正式推出“数字游民签证”(Digital Nomad Visa),吸引的是远程工作者。这意味着,越来越多像我这样的人,会把公司注册在这里,但业务主体在海外。我们成了“法律灰色地带”的主力军。

我们不是本地企业,但我们在本地有银行账户、有地址、有税务登记号。我们不是“居民”,但我们在“居住”。我们不是“企业”,但我们在“经营”。

这种身份模糊,让合规变得格外复杂。

我的思考框架:不是“要不要认证”,而是“你暴露了什么风险”

我花了两周时间,重新梳理了业务流程。我不再问“要不要认证”,而是问:

  1. 我收集了哪些数据?
    → 客户姓名、电话、地址、支付方式(通过Stripe或PayPal)、浏览记录(Google Analytics)、IP地址。

  2. 这些数据存在哪里?
    → 一半在Shopify云端,一半在阿里云香港服务器(为了访问快)。

  3. 谁可以访问?
    → 我自己、一个外包的客服、一个中国程序员(他能登录后台看订单)。

  4. 有没有数据传输协议?
    → 没有。我甚至没看过Shopify的数据处理协议(DPA)。

我这才意识到:我不是在“做电商”,我是在“运行一个微型数据处理系统”。

而欧盟,对这种系统,有明确的义务。

行动建议:不求完美,但求“可解释”

我不打算花2000欧元请律师做全套合规。但我也不能继续装睡。

我做了四件事,成本不到300美元,时间花了18小时:

  1. 在Shopify后台下载并签署《数据处理协议》(DPA)
    → 路径:Shopify Settings → Data Protection → Accept DPA。
    → 要点:确保你勾选了“我已阅读并接受”,并保留PDF存档。

  2. 在公司官网添加《隐私政策》(Privacy Policy)
    → 用免费工具(如Termly.io)生成,语言选英文+保加利亚语(可选)。
    → 要点:必须说明你收集什么、为什么收集、谁处理、用户如何删除数据。
    → 我没写“我们不会泄露”,而是写:“我们仅在履行订单所必需的范围内处理数据。”

  3. 指定一个“数据保护联系人”
    → 不是必须的“DPO”(Data Protection Officer),但至少写一个邮箱:privacy@mycompany.bg
    → 我用的是公司注册地址的邮箱,由我本人负责回复问询。
    → 要点:哪怕你只是一个人,也要让监管机构知道“找谁”。

  4. 记录你的“数据处理活动”
    → 用Excel列清楚:数据类型、来源、存储位置、保留期限、访问权限。
    → 我做了一张表,存了本地和云端。
    → 如果未来被查,我能快速回答:“我们只保留客户数据18个月,用于售后支持。”

这些都不是“认证”,但它们是“可证明的合规动作”。

FAQ:关于保加利亚数字游民与网络安全的三个真实问题

Q1:我用的是Shopify,还需要自己做GDPR合规吗?
A:是的。Shopify帮你处理了技术层面的支付与存储,但你作为“数据控制者”(Data Controller),仍需履行告知义务。路径:登录Shopify后台 → Settings → Legal → 查看DPA。要点清单:签署DPA + 发布隐私政策 + 指定联系人。

Q2:数字游民签证持有人,是否必须在保加利亚本地存储数据?
A:不需要。欧盟法律允许数据跨境传输,只要满足“充分性认定”或签署标准合同条款(SCCs)。但你必须能证明你做了风险评估。路径:参考EDPB(欧洲数据保护委员会)官网的SCC模板。要点:不要用“我们用了阿里云,所以安全”这种话,要写明你评估了传输风险。

Q3:如果我不做任何事,会被罚款吗?
A:可能根据实际情况不同。保加利亚NDPC过去三年对小型电商的处罚案例极少,但2025年之后,随着数字游民数量上升,执法关注度正在提高。建议:别等被查,先做最低限度的“可证明动作”。

结语:创业不是比谁跑得快,而是比谁活得久

我以前觉得,跨境创业是拼物流、拼广告、拼价格。现在我明白了,它更是拼“认知的深度”。

我在保加利亚租的房子,每月350欧元,比上海的合租房还便宜。但这里的法律环境,比任何一线城市都更“透明而严苛”。

我花了太多时间在催物流、改标题、刷好评,却忘了:客户信任,不是靠促销,是靠你能证明你尊重他们的隐私。

我开始在订单确认页加了一句小字:

“We treat your data like we’d want ours treated. Learn how we protect it.”
(我们像对待自己的数据一样对待你的。了解我们如何保护它。)

没人因此多买一个电暖器。但上个月,有位德国客户发邮件说:“你们是少数让我觉得安全的中国卖家。”

那一刻,我知道,我花的那18小时,值了。

延伸阅读

🔸 OMV Petrom joins Shell-TPAO consortium in Bulgaria with 25% stake in Khan Tervel gas field
🗞️ 来源: Adevărul – 📅 2026-03-13
🔗 阅读原文

🔸 Bulgaria launches digital nomad visa on December 20, 2025 for remote workers outside EU/EEA/Switzerland
🗞️ 来源: Lvga.com – 📅 2026-03-15
🔗 阅读原文

CTA:我不是专家,但我愿意聊聊

如果你也在保加利亚、或者计划去布拉格耶夫格勒注册公司、开账户、搞数字游民签证,我建议你加一下律咖网的编辑 JingJing(微信:lvga2015)。

她不是律师,也不是中介。她只是个认真听故事的人。

我们这群人,没人能保证“你一定能过”,但我们可以一起看看:

  • 你遇到的“那个问题”,别人是不是也遇到过?
  • 你踩的坑,是不是有人已经绕开了?
  • 你没问出口的疑问,是不是有人,刚好知道答案?

我们不是要卖你服务。
我们只是想,让这条路,别那么孤独。

📌 免责声明
请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。