你好呀,我是 JingJing,在律咖网(Lvga.com)做跨境信息编辑和内容策划,专注整理像尼泊尔这样政策节奏快、实操细节多的国家的一线公开信息。最近两周,我收到七八位朋友发来的消息:“刚在加德满都注册完科技类公司,律师说还要补一份‘隐私合规说明’?这是什么?”“我们只是开了个英语培训小课堂,为什么移民局突然来查员工登记表?”——这些都不是个例。它们背后,是尼泊尔正在悄然收紧对外国经营者的数据使用与活动边界的监管。

这不是新政策,但却是新执行节奏。就在上个月底,尼泊尔内政部下属的外国人事务处(Department of Immigration, DOI)向印度报业托拉斯(IANS)明确表示:他们已启用一套新的外国人行为追踪系统。负责官员 Dhakal 先生解释,这套系统有两个核心目标:“一是跟踪在尼泊尔的外国国民,以便政府管控可能涉及他们的犯罪活动;二是确保在偏远喜马拉雅地区遭遇危机的外国游客能获得及时救援。”更值得注意的是,他特别提到几类高频风险场景——比如有人借注册的科技公司名义从事加密货币交易或约会软件诈骗;也有人以语言教师、宗教讲师身份入境,却超出签证许可范围开展宗教转化活动。

这听起来像是治安管理,但它直接关联到你在尼泊尔的商业存续:你注册的公司名称、雇佣的本地员工信息、客户数据留存方式、甚至办公电脑里是否保存了学生护照扫描件——这些,都可能成为“是否遵守签证活动边界”的判断依据。 而“隐私合规审查”,正是当地律师协助企业自证清白、避免被归入“可疑活动”范畴的第一道防线。

🔍 审查不是走形式:它和你的签证状态、银行开户、税务登记全挂钩

很多人以为“隐私合规”只是GDPR式的欧洲概念,但在尼泊尔,它的落地逻辑完全不同——它不叫《个人数据保护法》,也没有独立立法,而是嵌套在《移民法》《公司法》《反洗钱条例》和实际行政检查中。举个真实案例:去年一位深圳朋友在博卡拉注册了一家户外旅行社,公司执照、税务号、银行账户全部齐备。结果三个月后,银行突然冻结账户,理由是“未提交员工及游客信息管理说明”。后来才弄明白:尼泊尔旅游局(Ministry of Culture, Tourism & Civil Aviation)2025年更新的《旅游服务提供者操作指引》第7.2条写明,“所有持旅游相关牌照的企业,须向DOI备案其客户信息采集范围、存储方式与时效,并承诺不用于非服务目的”。

所以,“隐私合规审查”对你来说,本质是一次跨部门的事实对齐

  • ✅ 你向移民局申报的业务范围(Visa Category),是否与你在公司注册文件(Company Registration Certificate)、税务局登记(PAN/VAT)中填写的主营业务一致?
  • ✅ 你收集的客户/学员/雇员信息(姓名、国籍、护照号、联系方式、住址),有没有书面告知用途?有没有设置访问权限?有没有定期清理过期数据?
  • ✅ 你用的CRM系统、微信客服后台、甚至Excel员工花名册——这些载体本身,是否被当地执法部门视为“未授权数据处理工具”?

这些细节不会出现在任何中文指南里,但它们真实影响着你的下一次签证续签、银行尽职调查(KYC),甚至房东是否愿意续租办公场地。就像2月23日那起造成19人死亡的达丁(Dhading)巴士事故,事后尼泊尔政府迅速成立五人专项调查组,其中一项重点就是核查涉事运输公司的外籍司机资质与运营记录——当突发事件发生时,监管动作会从“常态抽查”切换为“穿透式溯源”,而你过往所有合规留痕,就是第一道缓冲带。

⚠️ 3个最容易踩坑的“隐形雷区”

我在整理近半年尼泊尔创业社群反馈时发现,以下三类问题反复出现,且往往在被移民局约谈后才意识到严重性:

1. 把“教学许可”当成“传教许可”
不少语言学校或文化中心的朋友,持“教育类商务签证”(Business Visa – Education Sector)入境,注册公司后顺理成章开展汉语/英语课程。但若课程介绍页出现“学习东方哲学”“了解传统信仰”等表述,或教材中包含宗教典籍节选,就可能被视作超出签证范围。2026年初已有两起案例:加德满都某汉语角因在宣传册印有《道德经》摘录,被要求补充提交“非宗教性教学承诺书”;另一家KTV式英语沙龙,因前台登记本上手写记录学员“信仰倾向”,被DOI调阅后暂停签证延期审批。
建议路径

  • 查阅你签证批准函(Visa Approval Letter)原件,确认“Permitted Activities”栏明确列出“Language Instruction Only”;
  • 所有对外材料(网站、海报、合同)避免使用“spiritual”“faith-based”“conversion”等英文词,中文表述慎用“修心”“悟道”“皈依”等;
  • 员工入职登记表中,国籍、护照号、联系方式为必需项;宗教信仰、政治立场、婚姻状况——请主动删除该字段。

2. 员工数据“只收不用管”,埋下长期隐患
很多创业者觉得:“我把本地员工身份证复印件收齐交给人事,就算合规了。”但尼泊尔《劳动法》第27条及2024年DOI补充通知强调:雇主须以安全方式存储员工身份信息,并在雇佣关系终止后6个月内完成销毁。可现实是:大量中小企业仍用U盘拷贝、微信转发、甚至纸质档案堆在办公室角落。一旦发生盗窃或泄密(比如2025年加德满都某IT公司U盘丢失致23名员工护照信息外流),不仅面临劳工投诉,还可能触发移民局联合稽查。
建议路径

  • 立即清查现有员工数据存储位置:手机相册?微信聊天?共享网盘?打印件?
  • 选择任一本地合规方案:① 使用尼泊尔本土服务商eSewa Business提供的加密人事模块;② 向DOI官网申请免费电子档案托管账号(入口在 www.nepalimmigration.gov.np → “Employer Services” → “Employee Data Vault”);③ 若坚持纸质存档,请采购带锁防火柜,并在每份复印件加盖“仅供XX公司用工备案使用”红章;
  • 在劳动合同附件中加入《数据使用知情同意书》(模板可向律咖网索取)。

3. 客户信息“默认可共享”,不知已越界
最典型的是:把学员家长微信群截图发给合作机构拉课;把酒店预订客户手机号批量导出,用于节日短信营销;甚至把登山客户GPS轨迹分享给本地向导平台……这些操作,在中国可能习以为常,但在尼泊尔正被纳入“外国人行为监测系统”的关键词抓取范围。Dhakal先生提及的“dating-app scams under the cover of registered technology companies”,指的就是这类打着SaaS旗号、实则倒卖用户数据的行为。
建议路径

  • 对所有客户接触点做“最小必要原则”自查:报名表是否必须填籍贯?支付页面是否强制勾选“接受第三方推送”?结课证书是否需印身份证号?
  • 微信/WhatsApp客服话术中,禁用“我把您信息转给合作方”“稍后让同事联系您”等表述,改用“我将为您创建专属服务工单,全程由本团队跟进”;
  • 每季度导出一次客户数据库,用Excel筛选出超过12个月无互动记录的条目,手动标记为“待归档”,60天后彻底删除。

❓ FAQ:关于尼泊尔隐私合规审查,你最常问的3个问题

Q1:我没雇佣本地员工,只和自由职业者合作,还需要做隐私审查吗?
需要,且流程更简单。根据DOI 2025年第4号操作备忘录,与自由职业者(Freelancer)签订服务协议时,你仍需:

  • 步骤1:确认对方持有有效尼泊尔公民身份证(Citizenship Certificate)或永久居留许可;
  • 步骤2:在合同中注明“服务期间产生的工作成果及相关数据所有权归属甲方”,并约定数据使用边界(如:设计稿仅限本次品牌推广使用);
  • 步骤3:保留签约过程截图+付款凭证(如eSewa转账记录),存档至少2年。
    📌 官方路径:登录 www.nepalimmigration.gov.np → “Guidelines for Freelance Collaboration” → 下载《Foreign Employer–Local Freelancer Data Handling Checklist》PDF。

Q2:我公司刚注册3个月,还没开张,现在就要准备合规材料吗?
是的,越早越好。尼泊尔实行“注册即监管”模式——公司注册完成那一刻,你就自动进入DOI外国人企业数据库。2026年起,新注册企业会在第90天收到一封系统邮件(发送至注册邮箱),标题为“Your First Compliance Snapshot Request”。邮件内含一个唯一编码,要求你登录DOI企业门户上传:①公司章程中关于数据使用的条款页(哪怕只有一句“本公司承诺合法使用客户信息”);②办公场所照片(需清晰显示门牌号与公司LOGO);③法人护照信息页扫描件。未按时提交,将影响后续签证延期与银行账户激活。
📌 要点清单

  • 设置企业专用邮箱(勿用Gmail/Outlook个人账号);
  • 打印公司章程,手写添加第X条:“All personal data collected shall be used solely for service delivery and retained no longer than necessary.”;
  • 用手机拍摄办公地外景+内景各1张,确保门头文字可辨、室内有公司铭牌。

Q3:我用的是中国开发的SaaS系统(如钉钉、飞书),数据存在境外服务器,这算违规吗?
目前无明文禁止,但存在隐性风险。尼泊尔尚未出台数据本地化法规,但DOI在2025年内部培训材料中提示:“若系统供应商无法提供尼泊尔境内应急响应支持,且发生数据泄露,企业将承担全部主体责任。”换句话说,如果飞书服务器遭攻击导致客户信息泄露,追责对象是你,不是飞书。
📌 务实建议路径

  • 第一步:登录飞书管理后台 → 进入“安全中心” → 开启“数据隔离模式”(Data Isolation Mode),关闭所有第三方API权限;
  • 第二步:下载《飞书境外服务合规声明》(官网support.feishu.cn → 搜索关键词“compliance statement”),打印签字后存档;
  • 第三步(推荐):将客户姓名、护照号、联系方式等敏感字段,迁移到本地部署的开源工具如Odoo Community Edition(尼泊尔已有12家企业采用此方案,部署成本约$200/年)。

🌟 4条马上能做的行动建议(不花钱、不求人)

  1. 今天下午花15分钟:打开你公司注册邮箱,搜索关键词“DOI”“Compliance”“Snapshot”,查看是否已有未读邮件——如有,请按邮件指引完成首次申报。
  2. 本周内:重拍一张办公场所照片,把公司LOGO、门牌号、前台区域拍清楚,存在手机相册固定文件夹,命名为“Nepal_Compliance_Photo_2026”。
  3. 下周一起:在员工/自由职业者合同末尾,手写添加一句:“Both parties agree that personal data shared herein shall not be transferred to any third party without prior written consent.”(双方同意,本协议所涉个人信息未经事先书面同意,不得向任何第三方转移。)
  4. 每月1日:打开微信聊天记录,删除所有含客户护照号、身份证号、银行卡号的对话截图——别截图,改用文字摘要:“张女士,中国籍,预约3月15日徒步,已收定金¥2800。”

这些动作都不复杂,但它们共同构成你在尼泊尔“看得见、说得清、查得准”的合规基线。不是为了应付检查,而是让你在突发状况(比如2月23日那样的交通意外引发的跨部门联合排查)来临时,能快速拿出证据链,守住自己的创业节奏。

如果你正计划在尼泊尔注册公司、续签商务签证,或者已经遇到移民局问询、银行尽调卡顿,欢迎随时添加我的微信:lvga2015(备注“尼泊尔+你的需求”,比如“尼泊尔+隐私审查”“尼泊尔+签证延期”)。我不是律师,但我和加德满都、博卡拉、帕坦的十多位本地合规顾问保持日常沟通,能帮你快速匹配合适的支持路径,或一起梳理材料逻辑。

我们也建了一个安静务实的「尼泊尔创业同行群」,里面没有广告、不卖课、不画饼,只有真实踩过的坑、刚更新的窗口开放时间、以及谁家会计事务所最近帮客户顺利过了DOI复核。如果你想进来一起交换信息,加我微信后告诉我一声就好 😊

🔸 Nepal poll results to be out within 24 hours of ballot collection: Acting CEC
🗞️ 来源: deccanherald – 📅 2026-02-24
🔗 阅读原文

🔸 Nepal forms probe committee after Dhading bus accident kills 19, including three foreign nationals
🗞️ 来源: chinanationalnews – 📅 2026-02-23
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。 本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。 政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。 如内容有需要修订之处,欢迎随时与我联系。