💡 律咖编者按: 本文由律咖网社群读者 goat 投稿分享。 为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 肯尼亚 创业路上的你带来真实的参考。

我叫 goat,35岁,厦门人,大连外国语大学医学影像技术专业毕业——听起来和跨境卖儿童雨衣八竿子打不着,对吧?但生活就是这么魔幻。我注册了肯尼亚公司,用亚马逊卖雨衣,MVP测试期三个月,订单不多,但每天醒来都像在拆炸弹:怕库存积压、怕物流爆仓、怕亚马逊封号……上周三,我的服务器被黑了。

不是什么惊天动地的黑客攻击,就是有人盗用了我的客户邮箱,发了两封钓鱼邮件。但我慌了。不是因为钱丢了,而是因为——我根本不知道,在肯尼亚,数据泄露后,我该找谁?要交什么证明?

我以为,报警就行。

我错了。

一、表面差异:我以为“报警=解决” vs 实际是“证明链=生存”

在厦门,数据泄露?我直接打110,警察说“先截图,别删记录”,三天后他们说“案子在查,你等通知”。简单、直接、情绪有出口。

但在内罗毕,我拨了肯尼亚通信管理局(Communications Authority of Kenya, CAK)的热线,接线员用英语慢吞吞地说:“Ma’am, we need to see your business registration, the compromised data log, and proof that you have a data protection policy.”

我懵了。

数据保护政策? 我连员工手册都没写完!

我原以为,数据泄露是技术问题,是IT的事。结果在肯尼亚,它是个法律合规问题,是商业主体责任问题

我花了三天,才搞明白:在肯尼亚,根据《2019年数据保护法》(Data Protection Act, 2019),任何企业处理个人数据,都必须:

  • 注册为数据控制者(Data Controller);
  • 有书面数据保护政策(Data Protection Policy);
  • 在数据泄露发生后72小时内向CAK报告;
  • 同时通知受影响的个人。

而报告时,必须提供

  • 公司注册证书(Certificate of Incorporation);
  • 数据泄露事件的时间线(Timestamped logs);
  • 受影响数据的类型(如姓名、邮箱、支付信息);
  • 你已采取的补救措施(如重置密码、通知客户);
  • 你的数据保护负责人联系方式(哪怕是你自己)。

我?连“数据保护负责人”是谁都还没定。

二、制度差异:中国是“事后补救” vs 肯尼亚是“事前举证”

我以前觉得,数据安全是“出了事再灭火”。但肯尼亚的逻辑是:“你没带灭火器,就别开店。”

在肯尼亚,合规不是成本,是准入门槛

比如,我用的是中国供应商的ERP系统,数据存在阿里云。我以为“数据在境外,就不归肯尼亚管”。错。

根据CAK的指引,只要你的公司是在肯尼亚注册、面向肯尼亚客户销售、收集了本地用户数据——哪怕服务器在新加坡,你也受《2019年数据保护法》约束。

我问了当地一位做合规咨询的华人律师(名字就不提了,怕惹麻烦),他说:“JingJing,你之前在朋友圈说‘在非洲做电商,只要便宜就行’——这话在肯尼亚,可能让你赔掉整个公司。”

他给我看了一个真实案例:一家中国公司卖母婴用品,客户数据泄露,没报告。三个月后,CAK罚款了他们150万肯尼亚先令(约1万美元),理由是:“未履行告知义务,且无数据保护政策”。

你以为是技术漏洞,他们看的是制度缺失。

三、执行层差异:中国靠“人情” vs 肯尼亚靠“文档”

我试着自己填CAK的在线报告表。界面是英文的,按钮很小,提交后没有“成功”提示,只有一串数字编号。

我发邮件问客服:“怎么知道提交成功了?”

对方回:“Check your email for a confirmation receipt. Save it. Print it. Keep it forever.”

我笑了。这哪是政府服务?这简直是法律证据的生产流水线

在肯尼亚,每一个动作,都必须留下可验证的痕迹

  • 你发了客户通知邮件?请保存发件时间戳(timestamped);
  • 你更新了隐私政策?请上传PDF并注明修订日期;
  • 你请了IT公司修复系统?请他们出具书面报告,盖章签字;
  • 你和供应商签了数据处理协议(DPA)?请扫描存档,连同公司注册号一起提交。

我花了两天,把过去三个月的邮件、聊天记录、采购合同、支付截图,全部整理成一个文件夹,命名:“GOAT_KENYA_DATA_PROTECTION_EVIDENCE_2026”。

我甚至打印了两份,一份锁在办公室保险箱,一份寄回厦门老家。

我突然明白:在肯尼亚,你不是在做生意,你是在建造一个“法律防火墙”。

四、创业者心理差异:我焦虑“卖不出货” vs 他们焦虑“没证据”

我每天焦虑:这个雨衣颜色没人买、运费又涨了、亚马逊审核又卡了。

但内罗毕的本地创业者,焦虑的不是销量,是:

  • “我的数据保护政策还没律师审核,万一被查?”
  • “我的员工没签数据保密协议,离职了会不会带走客户名单?”
  • “我用的支付网关,有没有GDPR或DPA合规认证?”

他们不谈“爆单”,谈“合规审计”。

我认识一个开咖啡馆的肯尼亚女孩,她用WhatsApp收付款,但她说:“我每天晚上备份聊天记录,打印签名,存档。因为万一客户说‘我没付钱’,我得有证据。”

我问她:“你不觉得累吗?”

她说:“不累。累的是,被罚了钱,还被说‘你不懂法律’。”

那一刻,我哭了。

我终于懂了,为什么JingJing总说:“在跨境创业里,信任>低价,清晰>复杂。”

我之前觉得“清晰”是做详情页,现在我知道,“清晰”是每一份文件都有出处,每一个动作都有记录

📌 FAQ:在肯尼亚应对数据泄露,到底要准备什么?

Q1:数据泄露后,我该联系谁?第一步做什么?

步骤:

  1. 立即停止任何可能泄露的系统访问(如关闭远程登录);
  2. 用电脑截图或录屏保存当前时间戳的异常登录记录(推荐使用TimeStamper工具);
  3. 登录肯尼亚通信管理局(CAK)官网:https://www.ca.go.ke,点击“Data Breach Notification”;
  4. 填写在线表格,上传:
    • 公司注册证(Certificate of Incorporation)
    • 受影响数据类型清单(如:姓名、邮箱、电话)
    • 事件发生时间(精确到分钟)
    • 已采取的补救措施(如:重置密码、通知客户)
  5. 保存提交确认邮件,打印并存档。

要点清单:

  • ✅ 时间戳证据
  • ✅ 公司注册证明
  • ✅ 数据类型清单
  • ✅ 补救措施说明
  • ✅ 保存提交回执

⚠️ 不要只发一封“我们被黑了”的邮件。CAK不接受口头或模糊报告。

Q2:我没有律师,能自己写数据保护政策吗?

步骤:

  1. 下载CAK官网提供的《Data Protection Policy Template》(免费);
  2. 替换公司名称、数据收集目的(如:“用于订单配送与客户服务”);
  3. 明确数据存储地点(如:“数据存储于阿里云新加坡节点”);
  4. 列出数据处理人员(哪怕只有你一个人);
  5. 打印,手写签名,扫描存档;
  6. 在官网注册为“Data Controller”(注册费约5,000 KES,约35美元)。

要点清单:

  • ✅ 使用官方模板(避免自创)
  • ✅ 明确数据用途(不写“其他”)
  • ✅ 注册是强制的
  • ✅ 每年更新一次

📌 你不需要“专业律师”,但你必须“有文件”。没有政策,等于没有合规。

Q3:客户数据在境外服务器,我还要遵守肯尼亚法律吗?

步骤:

  1. 判断是否满足“三个条件”:
    • 你在肯尼亚注册公司?✅
    • 你收集了肯尼亚客户的个人数据?✅
    • 你向肯尼亚客户提供商品或服务?✅
  2. 如果三者都满足——是的,你必须遵守,无论服务器在哪。
  3. 在你的隐私政策中,明确说明:
    “本公司的客户数据可能存储于中国、新加坡等第三方服务器,但我们已签署数据处理协议(DPA),确保符合《2019年肯尼亚数据保护法》要求。”

要点清单:

  • ✅ 三条件满足即适用
  • ✅ 必须在隐私政策中披露数据流向
  • ✅ 与境外服务商签署DPA(数据处理协议)
  • ✅ 保留DPA副本,以备CAK审查

💡 2025年,CAK已对两家中国电商企业开出罚单,理由:“数据跨境未披露”。

✅ 结论:我该怎么做?四个行动建议

  1. 立刻注册为“Data Controller” —— 不是“以后再说”,是“今天就做”。CAK官网免费下载模板,注册费不到40美元。
  2. 写一份“最小可行数据保护政策” —— 不用完美,但要有:目的、范围、责任人、存储地。我用1小时写完了,打印签字,扫描存档。
  3. 建立“证据链习惯” —— 每次发通知、更新系统、联系客户,都保存时间戳、截图、邮件。你的“商业信誉”,在肯尼亚,靠文档说话。
  4. 加JingJing微信:lvga2015 —— 我在律咖网社群里看到她帮过很多人整理过类似文件。我不是说她能“包过”,但她说:“我们不承诺结果,但我们陪你理清路径。”

🔗 延伸阅读

🔸 Death toll from Kenya flash floods rises to 62 as heavy rains persist
🗞️ 来源: thestar_my – 📅 2026-03-13
🔗 阅读原文

🔸 Kenya na Ghana kushirikiana kuimarisha biashara ndogo kupitia mikopo nafuu
🗞️ 来源: rfi_fr – 📅 2026-03-13
🔗 阅读原文

🔸 WRC Safari Rally Kenya 2026: Δραματική η χθεσινή εκκίνηση απο τη νεροποντή- Ακυρώθηκε σήμερα λόγω καιρού η 1η Ε.Δ
🗞️ 来源: zougla – 📅 2026-03-13
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。