你好呀,我是律咖网的内容策划 JingJing,专注帮出海朋友把卡塔尔、日本、泰国这些地方的“办事门道”讲明白。最近好几个在多哈做SaaS服务、远程医疗和电商的朋友都私信我:“JingJing,我们和国内总部共享客户手机号、体检报告、订单地址——这样传数据,在卡塔尔算违法吗?”

问题很实在。不是“有没有法”,而是“怎么传才算真合规”。今天这篇,我不讲《卡塔尔个人数据保护法》(Qatar Personal Data Protection Law No. 13 of 2023)的条文翻译——那谁都能抄;我想和你一起,听一听当地合作律师在实际处理企业咨询时怎么说、怎么做,再结合最近两周的真实动向,帮你把模糊的“合规焦虑”,变成可操作的3个动作。

先说一个正在发生的信号:就在昨天(2026年2月14日),卡塔尔埃米尔抵达阿布扎比进行正式访问,随行代表团包括多名高级官员Khaleej Times报道。这类高层互访虽不直接涉及数据法,但背后释放的节奏很清晰——卡塔尔正加快区域协同治理步伐,包括金融监管、数字基建与跨境数据流动框架的衔接。而同一天,另一则新闻更值得划重点:美国政府宣布,停止将委内瑞拉石油销售资金汇入设于卡塔尔的受控账户,改为直接转入美国财政部账户Benzinga。表面是资金流向调整,深层其实是主权国家对“数据+资金”双流管控权的重申——当一国能决定钱往哪走,也必然开始审视:哪些数据能出境?谁来审批?留多久?

这和咱们创业者有什么关系?很简单:卡塔尔的数据出境规则,从来不是孤立存在的“法律条文”,而是嵌套在它整个国家数字主权战略里的齿轮。 比如,2023年生效的《个人数据保护法》第29条明确要求:向境外传输个人数据前,必须获得卡塔尔数据保护局(Qatar Data Protection Authority, QDPA)的事先批准,或满足法定豁免情形(如数据主体明确书面同意、为履行合同所必需等)。但注意,“书面同意”在卡塔尔语境下≠微信勾选框。律师朋友提醒我:“很多客户以为让员工签个电子版《数据授权书》就完事了——不行。QDPA倾向看到阿拉伯语+英语双语版本,且需包含数据接收方所在国、用途、存储期限、撤回方式等8项法定要素。”

所以别急着改系统、换云服务商。先看清脚下这三步:

第一步:分清“传什么”,不是“怎么传”
卡塔尔对“敏感个人数据”定义非常具体(参考欧盟GDPR逻辑但有本地化调整),包括:生物识别信息(如指纹、面部扫描)、基因数据、健康记录、宗教信仰、政治观点——哪怕只是客服工单里一句“客户因糖尿病需特殊配送”,也可能触发更高阶合规要求。
👉 建议动作:

  • 拿出你当前所有与卡塔尔用户/员工交互的字段清单(CRM、ERP、HR系统导出表);
  • 用红黄绿三色标注:红色=明确属于敏感数据;黄色=可能间接推断敏感信息(如“常购药品名称”+“配送地址”组合);绿色=基础联络信息(姓名、邮箱、电话);
  • 对标QDPA官网发布的《敏感数据判定指引(2024修订版)》逐条核对——链接在这里:QDPA 官网敏感数据指南(需切换英文界面)。

第二步:找对“审批入口”,不是“找个律师盖章”
很多朋友问我:“能不能请国内律所出份‘合规意见书’交上去?” 答案很直白:QDPA目前不接受境外机构出具的独立评估报告。他们要求的是由注册在卡塔尔、持有QDPA认证资质的数据合规顾问(Data Protection Officer, DPO)或持牌律所提交的《跨境传输影响评估报告》(Cross-Border Transfer Impact Assessment, CBTIA)。
👉 建议路径:

  • 访问QDPA官网 → “Register as a DPO”栏目 → 查看当前已认证的本地DPO名录(共27家,含4家国际律所卡塔尔分所);
  • 优先联系提供中英双语服务的机构(比如Al Tamimi & Company、Clyde & Co Qatar);
  • 明确告知需求:“我们需要完成针对中国总部服务器的数据出境备案,预计传输频次为每日增量同步,字段含客户ID、订单时间、收货地址(非敏感),不含身份证号或健康信息。”——越具体,律师报价越准、耗时越短(通常5–12个工作日)。

第三步:守住“动态留痕”,不是“签完协议就躺平”
QDPA近年查处案例显示,最高发违规不是“没申请”,而是“申请了但没更新”。比如某教育科技公司2024年获批向新加坡传输学员学习行为数据,2025年新增AI模型训练场景,却未重新申报——结果被处以约28万卡塔尔里亚尔(约合52万元人民币)罚款。
👉 关键要点清单:

  • 所有数据接收方(如云服务商AWS中东(巴林)节点)必须签署《卡塔尔标准合同条款》(Qatar SCCs),而非通用版GDPR SCC;
  • 每次系统升级、新增数据字段、更换合作方,都需在变更发生前15日内向QDPA提交《变更备案表》;
  • 保存完整证据链至少5年:DPO签字页、传输日志截图、定期审计报告(建议每半年委托本地会计师事务所做一次轻量级合规快检)。

❓ FAQ|你最常问的3个问题,我请律师朋友逐条拆解

Q1:我们只是用企业微信收集客户咨询,数据存在腾讯深圳服务器,算不算“向境外传输”?
A:算。根据QDPA 2025年1月发布的《技术工具使用说明备忘录》,只要数据物理存储位置位于卡塔尔境外,即构成“跨境传输”。即使你未主动导出、未设置API接口,只要服务器位于中国境内,就需完成备案。
✅ 步骤:立即暂停新客户信息录入 → 登录QDPA Portal提交“紧急暂缓申请”(Emergency Suspension Request)→ 同步联系腾讯云获取其卡塔尔本地数据中心接入方案(目前腾讯已在多哈部署边缘节点,支持数据本地化存储)。
✅ 路径:QDPA Portal网址:https://portal.qdpa.gov.qa(需用卡塔尔本地手机号注册)
✅ 要点:申请时勾选“Technical Migration Pathway”,可获最长90天过渡期。

Q2:和卡塔尔本地合作伙伴签Joint Venture协议,双方要共享股东背景、银行流水等商业数据,是否需要单独做数据出境审批?
A:不一定。若数据仅用于JV日常运营(如财务并表、合规报税),且存储于双方共同管理的卡塔尔本地服务器(如Ooredoo Cloud Qatar),则适用“境内联合处理”例外条款(Law No.13/2023 Art.18.2)。但注意:一旦该JV将数据同步至母公司海外系统,即触发审批义务。
✅ 步骤:在JV协议第X条明确约定“所有原始业务数据须以加密形式存储于经QDPA认证的卡塔尔云平台”;
✅ 路径:核查Ooredoo Cloud、Qatar Computing Research Institute(QCRI)是否在QDPA《可信本地云服务商白名单》中(名单下载页:QDPA 白名单页面);
✅ 要点:白名单每季度更新,签约前务必下载最新PDF核对编号。

Q3:员工离职后,我们能把TA在卡塔尔期间的考勤、绩效数据传回中国HR系统归档吗?
A:可以,但必须满足三个条件:① 员工签署专项《离职数据移交同意书》(须含阿拉伯语版本);② 数据仅限归档用途,禁止用于招聘分析或竞业追踪;③ 传输后72小时内,向QDPA提交《离职数据移交备案表》。
✅ 步骤:下载QDPA官网模板《Consent Form for Post-Employment Data Transfer》→ 打印双语版 → 员工手写签名+按右手拇指印;
✅ 路径:备案表提交入口:QDPA 离职数据备案通道
✅ 要点:表格需附上员工护照复印件(含签证页)、离职证明扫描件,缺一不可。

✅ 结论:把“合规”变成日常习惯的4个小动作

  1. 每月第一个周五,花15分钟打开QDPA官网“Latest Updates”栏目,扫一眼有没有新规预告(比如2026年Q1已预告将试点“中小企业数据合规自评工具”,预计3月上线);
  2. 所有对外合同模板(尤其和本地供应商、分销商签的),加入一条固定条款:“本协议项下任何个人数据处理活动,均须符合卡塔尔《个人数据保护法》及QDPA现行有效指引”;
  3. 给技术团队立个规矩:任何新采购的SaaS工具(哪怕是内部用的钉钉国际版),上线前必须确认其服务器所在地,并同步QDPA白名单;
  4. 把QDPA联系电话存进手机:+974 4406 9999(英文专线),备注“QDPA合规咨询-紧急”,比找中介快得多——他们接线员会直接转接值班法律顾问。

最后想和你说句心里话:在卡塔尔做事,真的不用追求“一步到位”。我见过太多朋友因为怕出错,干脆把数据锁死在本地,结果连国内总部的BI看板都看不了——反而耽误业务判断。其实QDPA的工作人员挺务实的,去年有位创业者邮件问“微信小程序能否先上线再补备案”,对方回复:“Please launch with basic contact form only, and submit CBTIA within 10 working days. We will prioritize your review.”(请先上线基础联系表单,10个工作日内提交CBTIA,我们将优先审核。)

你看,规则不是用来拦路的,是帮你在安全区里跑得更快的护栏。

如果你也在卡塔尔遇到类似困惑——比如刚拿下一个政府招标项目,但甲方要求所有投标材料存进他们的本地系统;或者想用Zoom开会但担心会议录像存储合规……欢迎加我微信 lvga2015(就是律咖网的拼音首字母+成立年份),备注“卡塔尔数据”,我会拉你进我们的「中东创业合规小圈子」。里面没有大V、没有课销,只有一群在多哈、利雅得、迪拜自己踩过坑的朋友,轮流分享:哪里的DPO响应最快、哪家本地云价格透明、甚至哪家咖啡馆WiFi连QDPA官网不卡……

我们一起,把跨境这件事,做得踏实一点,再踏实一点。

🔸 延伸阅读

🔸 特朗普政府将委内瑞拉石油收入从卡塔尔转至美国财政部,销售额超10亿美元
🗞️ 来源: Benzinga – 📅 2026-02-14
🔗 阅读原文

🔸 卡塔尔埃米尔赴阿联酋进行兄弟访问,谢赫·穆罕默德于阿布扎比机场迎接
🗞️ 来源: Khaleej Times – 📅 2026-02-14
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。