大家好,我是 JingJing,在律咖网 Lvga.com 做跨境信息编辑和内容策划,专注帮出海朋友理清各国“看不见的规则”。最近有三位在哥斯达黎加注册了公司、准备上线电商或服务型网站的朋友陆续问我:“JingJing,我们网站要上隐私政策页面,到底该准备哪些资料?律师说‘按法律来’,可我连第一步该找谁盖章都不知道……”

说实话,这个问题问得特别实在——不是不想合规,而是不知道从哪下手。尤其哥斯达黎加没有像欧盟GDPR那样统一的在线提交平台,也没有中文版指引;很多中国创业者翻遍英文官网,发现关键字段写着 “debe designarse un representante legal en territorio nacional”(须指定本国境内法律代表),但没人告诉你:这个代表能不能是自己?要不要公证?签什么文件才被监管机构认可?

今天这篇,我就用“材料包思维”,带你拆解清楚:在哥斯达黎加起草一份合法可用的网站隐私政策,真正需要准备的不是模板,而是三组基础材料。不讲空话,每一条都对应当地实际操作场景,也标注了哪里容易卡住、为什么。

🌐 背景先厘清:哥斯达黎加隐私监管不是“选答题”,是“入场券”

2026年3月19日,哥斯达黎加宪法法院(Sala Constitucional)刚驳回一起针对电子烟监管的宪法保护申请,明确支持政府对数字健康相关领域实施前置规制——这释放了一个清晰信号:只要是涉及个人信息收集与处理的线上服务,无论你卖咖啡还是提供预约咨询,都在《个人数据保护法》(Ley No. 8968, Ley de Protección de Datos Personales)管辖范围内

这部法律自2011年生效,由国家数据保护局(PRODHU,Procuraduría para la Defensa de los Derechos Humanos)下设的数据保护处(Oficina de Protección de Datos Personales)负责监督执行。它不要求你提前备案隐私政策,但一旦用户投诉或监管抽查,你必须能立即出示:
✅ 政策文本(西班牙语)
✅ 数据处理依据(consentimiento informado 或 contrato)
✅ 本地法律代表信息(如果运营主体不在哥国境内)

别小看最后这一条。去年底,一位深圳朋友的SaaS工具站被用户投诉“未说明数据存储地”,PRODHU回函要求72小时内补交本地代表授权书+公司注册证明——而他当时用的是巴拿马注册公司,没设哥国实体,临时找本地律师代理,结果因授权委托书未经海牙认证(Apostille)被退回两次。

所以,“写政策”只是表象,背后是一整套身份确认与责任落地动作。咱们直接进入正题:你需要准备哪三类资料?

📋 第一类:主体身份材料|证明“你是谁”和“你有权处理这些数据”

这是所有后续动作的前提。如果你的网站运营主体是:

🔹 在哥斯达黎加注册的公司(Sociedad Anónima 或 SRL)
→ 需提供:

  • 公司注册证书(Certificado de Inscripción en el Registro Nacional)原件扫描件(含签名页)
  • 最近一次股东会/董事会决议(Acta de Junta General o Junta Directiva),明确授权某人作为数据保护负责人(Encargado del Tratamiento)
  • 公司税务登记号(Cédula Jurídica)及有效状态截图(可在Hacienda官网查)

🔹 境外公司(如中国香港/新加坡公司)在哥国开展业务
→ 必须指定一名常驻哥斯达黎加的自然人或本地律所作为法定代表(Representante Legal),并提供:

  • 双方签署的《数据处理代表委托书》(Carta de Nombramiento del Representante Legal),注明职责范围与有效期
  • 代表人的身份证(Cédula de Identidad)复印件 + 居住地址证明(如水电账单)
  • 委托书需经哥国公证处(Notaría Pública)公证,不可仅做海牙认证后寄回使用(这点和签证材料不同!)

⚠️ 注意一个高频卡点:很多创业者误以为“挂靠本地律师=自动成为代表”,但PRODHU明确要求——代表人必须本人签字确认接受法律责任,且其联系方式(电话+邮箱)需在隐私政策中公开。上周就有位朋友因律师助理代签委托书,被PRODHU邮件质疑“是否真实知悉义务”,拖了11天才重新走完流程。

📊 第二类:数据处理清单|不是罗列“我们收集邮箱”,而是说明“为什么收、存多久、给谁看”

哥斯达黎加不强制要求单独出具DPIA(数据保护影响评估),但隐私政策中必须包含《个人数据保护法》第24条规定的6项核心要素,缺一不可。这意味着,你不能只复制粘贴英文模板,而要先整理出一份本地化数据流清单,再据此撰写政策。

建议用表格自查(可打印出来手写):

数据类型收集方式(如:注册表单/cookies/客服聊天)法律依据(勾选一项)存储位置(国家+服务商)保留期限是否共享第三方(如支付网关、邮件平台)第三方用途
用户姓名、邮箱网站注册页+Newsletter订阅框同意(consentimiento informado)哥斯达黎加+AWS圣保罗节点账户注销后2年是(Mailchimp)发送营销邮件,协议约定禁止转售

📌 重点提醒两个细节

  1. “法律依据”不能只写“为提供服务所需”。根据PRODHU 2025年发布的《常见问题指南》(Preguntas Frecuentes 2025),若收集生物信息(如人脸登录)、位置数据或用于画像分析,必须单独取得明示同意(consentimiento expreso),且需设计“一键撤回”机制;
  2. “存储位置”必须具体到国家+云服务商名称。比如不能写“云端”,而要写“Amazon Web Services, región de São Paulo, Brasil”。这是2026年3月哥国海关与边境管控升级(Operación Soberanía项目)后,PRODHU同步强化的数据本地化审查要点。

📝 第三类:政策文本与公示路径|语言、发布、更新,三步闭环

材料齐了,政策怎么写?记住一个原则:西班牙语是唯一有效语言版本,中文/英文仅为便利参考,不具法律效力

✅ 正确做法:

  • 用西班牙语撰写完整政策,覆盖6项法定要素(见上表);
  • 在网站首页底部添加醒目链接:“Política de Privacidad”(非“Privacy Policy”);
  • 所有用户注册、下单、订阅前,必须勾选“He leído y acepto la Política de Privacidad”复选框(不可默认勾选);
  • 每次重大更新(如新增数据类型、更换云服务商),需在网站Banner公示7天,并邮件通知已注册用户。

❌ 常见误区:

  • 把英文模板直译成西语,结果动词变位错误(如“nos comprometemos”错写成“nos comprometemos a proteger”少介词),被用户截图投诉“语法不通,难信专业性”;
  • 隐私政策PDF上传到服务器但未在HTML页面嵌入,PRODHU抽查时判定“未主动公示”。

💡 小技巧:PRODHU官网提供免费政策生成器(Generador de Políticas),输入公司类型、数据类型、第三方列表后,可输出基础西语文本——虽需律师润色,但比从零写快50%。

❓ FAQ:你最可能卡住的3个实操问题

Q1:我没有在哥斯达黎加注册公司,能自己当本地代表吗?
A:可以,但需满足两个硬条件:
① 持有哥国有效居留许可(Residencia Temporal 或 Permanente),且住址在注册地址一致;
② 在PRODHU系统完成“Representante Legal”自主登记(需上传居留证、住址证明、无犯罪记录公证书),全程在线操作,约3工作日审核。
⚠️ 注意:旅游签证(Visa de Turismo)持有人不可担任,这是2026年新规,3月起执行(来源:infobae 3月19日报道)。

Q2:用户协议和隐私政策能合并成一个文件吗?
A:法律允许,但强烈不建议。原因有三:
① PRODHU检查时,会分别核验两项内容完整性,合并后易被认定“重点不突出”;
② 欧盟用户若通过你的网站下单,GDPR要求隐私政策必须独立可访问;
③ 实务中,更新频率不同——用户协议随功能迭代频繁调整,隐私政策相对稳定。建议分开发布,命名清晰:terminos-uso.pdfpolitica-privacidad.pdf

Q3:收到PRODHU邮件要求补充材料,72小时太紧,能申请延期吗?
A:可以。需在首封邮件发出后24小时内,向同一邮箱回复正式请求信(Carta de Solicitud de Prórroga),说明合理理由(如:公证处排期延迟、文件翻译需专业认证),并附上佐证(如预约截图)。2025年数据显示,约76%的延期申请获准,平均延至5个工作日。切记:不可逾期不回,否则可能触发现场核查程序

✅ 结论:3条行动建议,今天就能开始

  1. 先做减法,再做加法:打开你的网站,关闭所有非必要数据收集(如“城市”“职业”字段),只保留注册/下单必需项。减少数据面,就是降低合规成本;
  2. 锁定一个本地伙伴:不是找“最便宜”的律师,而是找有PRODHU备案记录、近半年处理过3起以上数据类咨询的律所(可在PRODHU官网“Profesionales Acreditados”栏目查询);
  3. 建一个共享文档夹:把公司注册证、代表人身份证、数据清单表格、西语政策初稿全放进去,命名为“CR-Privacidad-2026”,邀请本地代表和律师共同编辑——透明协作,比反复邮件更省时间。

🤝 和我一起走得稳一点

我是 JingJing,不是律师,但过去8年一直在整理像哥斯达黎加这样的中小市场真实操作细节。如果你正为“哥斯达黎加,网站隐私政策起草,需要准备哪些资料”这件事反复查资料、改文案、等反馈,欢迎加我微信 lvga2015(备注:哥斯达黎加+隐私政策),我把整理好的《哥国数据代表委托书西语范本》《PRODHU常见问答中译版》《本地律所白名单(附联系人)》打包发给你。
也欢迎加入我们的跨境创业交流群——没有成功学,只有真实踩过的坑、改过的合同、跑通的流程。大家一起,把出海这件事,做得更踏实、更有人味。

🔸 延伸阅读
🗞️ 来源: infobae – 📅 2026-03-19
🔗 宪法法院支持数据相关监管权扩张

🗞️ 来源: infobae – 📅 2026-03-19
🔗 哥国强化边境与数据基础设施管控

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。 本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。 政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。 如内容有需要修订之处,欢迎随时与我联系。