💡 律咖编者按
本文由律咖网社群读者 Haiqiu 投稿分享。
为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 塞尔维亚 创业路上的你带来真实的参考。

我叫Haiqiu,甘肃会宁人,哈工大电气工程毕业,现在在塞尔维亚皮罗特做亚马逊VC卖家,卖的是化妆刷清洗垫。听起来很琐碎,但每天凌晨三点对着电脑改隐私政策时,我总觉得这比当年做电路设计还烧脑。

去年底,我决定把店铺从德国仓切换到塞尔维亚本地仓——不是为了省钱,而是想避开欧盟的GDPR“高压线”。我心想:塞尔维亚不是欧盟,应该没那么严吧?结果,当我用Google Translate把英文隐私政策翻译成塞尔维亚语,贴上网站时,一位德国客户发来邮件:“你们的隐私政策说‘我们存储用户位置数据用于广告’,但你们的服务器在贝尔格莱德,而你们的业务主体注册在皮罗特——这符合《个人数据保护法》(Personal Data Protection Law)吗?”

我愣住了。我连塞尔维亚的《个人数据保护法》是2018年通过的都不知道。

一、你以为的“非欧盟”,其实是“准欧盟”

皮罗特是个安静的小城,街角的咖啡馆老板会用中文说“你好”,但政府网站全是西里尔字母。我花了整整三周才搞明白:塞尔维亚虽然不是欧盟成员国,但它在2018年通过了与GDPR几乎一致的《个人数据保护法》(Zakon o zaštiti ličnih podataka)。这意味着,只要你网站收集了任何欧盟居民的数据——哪怕只有一个德国买家点过“同意”——你就必须遵守。

我最初以为:只要不写“GDPR”三个字,就没事。
错了。

我准备的资料清单,最初是这样的:

  • 公司注册证明(Company Registration Certificate)
  • 法人身份证复印件
  • 一份英文版隐私政策(从模板网站直接复制的)

后来我才知道,真正关键的,是“处理活动记录”(Record of Processing Activities)——这不是一份文档,而是一套你必须能说清楚的逻辑:

  1. 你收集了哪些数据?(姓名、IP、设备ID、地理位置)
  2. 你为什么收集?(用于支付?物流?个性化广告?)
  3. 你存在哪里?(服务器在哪个国家?谁管理?)
  4. 你和谁共享?(支付网关?广告平台?物流服务商?)

这些,不能靠翻译软件凑合。我找了一位在贝尔格莱德做合规咨询的华人律师,他告诉我:“你不是要一份文件,你是在写一份‘你如何对待用户信任’的说明书。”

那一刻我突然明白:我之前以为在“填表”,其实是在“建立关系”。

二、信息不对称,是最贵的学费

我犯的最大错误,是以为“有英文模板就够了”。
我用的模板来自一个美国SaaS平台,里面写着:“We use Google Analytics to measure audience behavior.”
听起来很正常,对吧?

但塞尔维亚的数据保护局(Agencija za zaštitu ličnih podataka)在2025年发布过一份指引,明确指出:使用Google Analytics 4(GA4)可能构成“向第三方传输个人数据”,因为数据会传到美国。而塞尔维亚与美国之间没有“充分性认定”(adequacy decision)。

我花了两周才搞懂:这不是“要不要删GA4”的问题,而是“你是否能证明你采取了额外保障措施”——比如标准合同条款(SCCs)、数据传输影响评估(DPIA),或者干脆换掉分析工具。

我最终改用了本地化的开源工具Plausible,它不收集IP,不追踪用户,也不传数据出境。成本?每月不到5欧元。
但时间成本呢?我错过了三个销售高峰,整整27天没上新链接。

我反思了很久:为什么我总想“找捷径”?
因为我想快点赚钱。
但创业不是拼谁跑得快,是拼谁活得久。

三、时间,比文件更稀缺

在皮罗特,没有“一键生成隐私政策”的服务。
我曾联系过三家本地律所:

  • 一家说“我们只接公司并购案”;
  • 一家报价1200欧元,说“你需要先做数据审计”;
  • 最后一家是位退休的法官夫人,每周二下午在社区中心免费咨询,她只问了我一句:“你有没有告诉用户,他们可以随时删除自己的数据?”

我答不上来。

那天我坐在她家的小院里,听着隔壁小孩弹钢琴,突然觉得:合规不是为了应付监管,是为了不辜负每一个点开你网站的人。

我重新写了隐私政策,用最简单的话:

“我们不卖你的数据。我们只用它帮你找到你可能喜欢的清洗垫。你随时可以要求我们删除你的一切信息——只需发一封邮件到 privacy@yourstore.com,我们会在7天内响应。”

没有法律术语,没有“processing”“controller”“processor”这些词。
但我知道,这比任何模板都更接近“合法”。

📌 FAQ

Q1:在塞尔维亚皮罗特注册的电商网站,起草隐私政策需要哪些基础文件?

步骤

  1. 准备公司注册证明(Company Registration Certificate)的官方副本(需公证)
  2. 确认你的“数据控制者”身份(Data Controller)——即你是否决定数据用途
  3. 列出所有第三方服务(如支付、物流、分析工具)并记录其国家位置

要点清单

  • 公司注册号(Matični broj)
  • 法人姓名与身份证号(需与注册一致)
  • 数据处理活动记录(RoPA)草稿
  • 与第三方签订的DPA(数据处理协议)
  • 用户数据删除请求的联系邮箱(必须公开)

注:具体要求因时间与地区而异,建议以塞尔维亚数据保护局官网为准。

Q2:我用的是美国的Shopify,隐私政策能直接复制吗?

路径

  1. 不要直接复制。Shopify的默认政策是为美国/欧盟设计的,未考虑塞尔维亚本地法律衔接。
  2. 打开你的Shopify后台 → Settings → Legal → Privacy Policy → 编辑
  3. 在“数据共享”部分,明确列出所有数据出境的第三方(如Stripe、Google、Amazon)
  4. 增加一句:“If your data is transferred outside Serbia, we rely on Standard Contractual Clauses (SCCs) or other lawful mechanisms under Article 44 of the Personal Data Protection Law.”

要点清单

  • 删除“我们使用Google Analytics”这类模糊表述
  • 明确数据出境的法律依据
  • 提供塞尔维亚语版本(或至少英文+塞尔维亚语双语选项)

注:可能根据实际情况不同,需咨询当地律师确认是否需要登记处理活动。

Q3:隐私政策必须用塞尔维亚语吗?

步骤

  1. 如果你的网站主要服务塞尔维亚居民(IP来自塞尔维亚、用当地支付方式),建议提供塞尔维亚语版本
  2. 如果主要服务欧盟客户(如德国、法国),英文版即可,但需在页面显著位置注明:“This policy is available in Serbian upon request.”
  3. 使用Google Translate生成的版本不建议直接使用——语法错误可能构成“误导性信息”。

要点清单

  • 使用本地翻译服务(哪怕只是大学生兼职)
  • 避免机器翻译的“法律腔”(如“shall”“hereinafter”)
  • 保留原始英文版本作为存档,避免歧义

注:具体要求因时间与地区而异,建议以官方渠道为准。

四、我的四条行动建议(非承诺,仅经验)

  1. 别从模板开始,从用户开始:写隐私政策前,先问自己:“如果我是顾客,我会担心什么?”
  2. 把“数据共享”写成“我们和谁一起服务你”:用“我们与物流伙伴共享地址以便送货”代替“我们向第三方传输数据”。
  3. 每周花30分钟更新你的数据地图:哪怕你只有10个客户,也要知道他们的数据去了哪儿。
  4. 把隐私政策页面,当成你的品牌诚信证书:它不是法律义务,是你对用户的承诺。

我最近一次修改隐私政策,是在一个下雨的下午。皮罗特的街道很安静,我坐在窗边,听着雨滴打在铁皮屋顶上。
我突然想起在哈尔滨上学时,导师说过:“电气工程师最怕的不是短路,是虚接——看起来通了,其实一碰就断。”

合规,也一样。

你可能觉得,一个卖清洗垫的中国小卖家,没必要这么较真。
但我想,每一个点击“同意”的人,都值得被认真对待。

如果你也在塞尔维亚做跨境,或者正准备起草网站隐私政策,别一个人硬扛。
前几天我和编辑JingJing聊起这件事,她没给我答案,但她说:“我们群里有位在诺维萨德做合规的中国姑娘,她刚帮一个卖陶瓷的卖家改完隐私政策。你们可以聊聊。”

如果你愿意,可以加她的微信:lvga2015
不推销,不承诺,只是——
一起,把路走清楚一点。

🔸 延伸阅读

🔸 Mihailovic stresses need for stronger international cooperation on digital abuse cases 🗞️ 来源: Lvga.com – 📅 2026-05-05
🔗 阅读原文

📌 免责声明
请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。