你是不是也这样——
刚在亚松森租好办公室、注册完Sociedad Anónima(股份有限公司),准备上线官网和客户管理系统,结果被本地合作伙伴一句“你们的数据服务器在哪儿?有没有做网络安全备案?”问得愣住?
别慌,JingJing上周刚帮一位做跨境电商的杭州朋友梳理完巴拉圭的网络合规路径,今天就用最实在的话,带你画出一张「能落地」的流程图。

先说句心里话:巴拉圭不是欧盟,没有GDPR那样的统一数据法;也不是日本,没有《个人信息保护法》(Act on the Protection of Personal Information, APPI)的成熟配套。它的网络安全框架,正处在“有苗头、缺细则、靠实践”的阶段——这恰恰意味着:早动手的人,反而容易搭上制度过渡期的顺风车。

🌐 背景不复杂,但容易踩空

2024年,巴拉圭国会通过第7242号法律《国家数字战略法》(Ley de Estrategia Digital Nacional),首次在法律层面明确“网络安全”(ciberseguridad)为国家战略优先事项。紧接着,2025年初,国家电信局(Dirección Nacional de Telecomunicaciones, DINATEL)联合国家信息与通信技术局(Secretaría Técnica de Informática y Comunicaciones, STIC)发布《数字服务基本合规指引(试行)》,其中第3章专门提及“处理个人数据的信息系统需进行基础安全登记”。

听起来很正式?但现实是:
✅ 有法可依——但实施细则尚未公布;
✅ 有主管机构——但DINATEL目前只接受自愿申报,不强制罚款;
✅ 有国际联动——巴拉圭正在参与南方共同市场(MERCOSUR)跨境数据流动规则讨论,但协议尚未签署。

换句话说:现在不做,不会立刻被罚;但等2027年监管细则落地,再补手续,成本可能翻倍。 尤其当你涉及客户手机号、地址、支付记录这些“个人数据”(datos personales)时,风险是真实存在的。

我最近在亚松森创业者交流群里看到一位做本地SaaS工具的朋友分享:“我们把用户行为日志存在本地VPS上,去年被DINATEL电话问询过一次,问是否做了防火墙配置和访问日志留存——没罚钱,但要求两周内提交说明。”
这其实是个信号:监管正在从“静默观察”转向“主动触达”。

📋 一张图,看清3步主流程(附真实路径)

下面这张流程图,是我结合DINATEL官网公示材料、亚松森本地律所提供的操作备忘录,以及2026年5月最新企业咨询案例整理出来的。它不承诺“100%通过”,但能帮你避开80%的返工点:

[你的数字业务启动]  
       ↓  
❶ 【自我评估】判断是否触发“需登记场景”  
   → 是否收集/存储巴拉圭居民的姓名、身份证号(Cédula)、手机号、邮箱、住址?  
   → 是否使用自动决策(如AI客服回复、风控评分)处理上述数据?  
   → 是否将数据传输至境外服务器(含云服务商如AWS圣保罗节点)?  
   ✅ 满足任一条件 → 进入❷;否则建议每半年复核一次  

       ↓  
❷ 【基础登记】向DINATEL提交《信息系统安全简要声明》(Declaración Simplificada de Seguridad del Sistema)  
   • 方式:在线提交(DINATEL官网 > Servicios en Línea > Registro de Sistemas Digitales)  
   • 材料:公司注册号(RUC)、法定代表人身份证明、系统简要描述(≤300字)、服务器所在地说明  
   • 时间:通常3–5工作日完成登记,获发电子确认函(no physical certificate)  
   • 费用:当前免费(政策有效期至2027年12月31日)  

       ↓  
❸ 【持续义务】每年更新+关键事件报备  
   • 每年1月31日前,在线更新系统使用状态(如:是否新增数据字段、是否更换云服务商)  
   • 若发生数据泄露(如黑客攻击导致客户手机号外泄),须72小时内邮件报备至 seguridad@dinatel.gov.py  
   • 若终止服务,需主动注销登记(同样在线操作)

⚠️ 注意一个细节:DINATEL不要求你提交源代码或渗透测试报告,但会抽查——比如随机发送一封验证邮件,要求你在24小时内按指定格式回传服务器防火墙策略截图(例如iptables规则列表)。所以,“备案不是终点,而是起点”。

💡 对跨境创业者的3个务实提醒

  1. 别迷信“云服务商已合规”
    很多朋友以为用了AWS或Google Cloud,就等于自动满足巴拉圭要求。但事实是:DINATEL关注的是你作为数据控制方(data controller)是否履行了告知义务和管理责任。哪怕服务器在巴西圣保罗,只要你面向巴拉圭用户提供服务、收集其数据,你就得登记。建议在用户注册页底部加一行小字:“本服务由[公司名]运营,相关数据处理活动已在巴拉圭国家电信局(DINATEL)完成基础登记。”

  2. 合同里埋一颗“合规种子”
    和本地IT外包团队签合同时,务必加入条款:“乙方须配合甲方完成DINATEL要求的安全声明填报,并在系统架构变更前48小时书面告知甲方。” 我见过不止一家初创企业,因外包商擅自把数据库迁到境外,导致后续登记被退回。

  3. 用“非正规就业率”反推监管节奏
    看到最新新闻里说“巴拉圭2025年非正规就业率达61.1%”(infobae, 2026-05-29),表面是经济话题,实则藏着政策线索:政府正大力推动正规化——从用工登记,到电子发票,再到网络安全登记,本质都是同一逻辑。越早把数字基建“摆上台面”,越容易获得本地信任背书。

❓ FAQ:你问得具体,我答得实在

Q1:我在深圳开发APP,主要用户在亚松森,服务器在香港,需要在巴拉圭登记吗?
✅ 需要。只要你的APP主动收集巴拉圭用户的个人信息(如注册时填Cédula号、定位权限、设备ID),就触发登记义务。路径:登录DINATEL官网 → 点击“Servicios en Línea” → 找到“Registro de Sistemas Digitales” → 用公司RUC注册企业账户 → 在线填写表格。要点清单:① 准备好RUC扫描件;② 写清数据流向(如“用户提交→香港服务器→深圳后台”);③ 注明数据最小化原则(如不存银行卡CVV码)。

Q2:登记后会被突击检查吗?检查什么?
目前无常规现场检查,但DINATEL有权发起书面质询。常见问题包括:① 当前防火墙启用哪些端口?② 日志留存多久?(建议≥180天)③ 是否对员工进行数据安全培训?(无需证书,但需内部记录)④ 用户撤回授权后,如何删除数据?(需说明技术路径,如MySQL DELETE + 备份清除)。官方渠道:所有问询均通过邮箱 seguridad@dinatel.gov.py 发起,不接受电话或上门。

Q3:如果业务暂停了,登记能保留吗?还是必须注销?
必须主动注销。DINATEL系统会定期比对RUC状态和税务申报记录,若发现企业已停止经营(如连续2个季度未缴IT税),将自动标记为“待核实”。未注销而长期失联,可能影响未来RUC更新或银行开户。路径:登录原登记账户 → “Gestión de Registro” → 选择“Baja Voluntaria” → 填写暂停原因(如“Servicio temporalmente suspendido”)→ 提交。整个过程5分钟,无费用。

✅ 接下来你可以做的3件事

  1. 花15分钟,完成自我评估
    打开你的网站/APP隐私政策,对照上面流程图中的❶“需登记场景”逐条打钩。不确定?截图发我,我帮你快速判断。

  2. 收藏两个关键页面
    🔗 DINATEL在线服务入口(西语界面,可用浏览器翻译)
    🔗 STIC法规库(查最新《合规指引》PDF原文)

  3. 把“网络安全”纳入下次股东会议题
    不需要大动干戈,只需增加一条:“确认IT供应商是否配合完成DINATEL登记,并将相关凭证归档至公司合规文件夹。”——小事,但能让整个团队建立合规肌肉记忆。

聊到这里,我想起上周和一位在东方市做进口清关的朋友视频。她笑着说:“JingJing,你们搞信息的,比我们跑单证的还懂哪里容易卡壳。”
其实哪有什么天赋异禀,只是多看了几份政府通知、多问了几个本地律师、多记了几条创业者踩过的坑而已。

如果你也在巴拉圭起步,或者正纠结“网络安全合规到底要不要现在做”,欢迎加我微信 lvga2015(备注“巴拉圭+网络安全”),咱们可以一起:
🔹 拆解你的具体业务场景,画专属流程图;
🔹 分享亚松森靠谱的西语IT顾问名单(非广告,纯群友推荐);
🔹 同步DINATEL每月更新的常见问答(他们官网更新慢,我人工盯)。

当然,也欢迎你加入我们的「拉美创业者茶话会」小群——这里没有成功学,只有真实进度:谁刚搞定RUC、谁被海关扣了货、谁找到愿意收美元租金的房东……我们相信,把路讲清楚,比喊口号更有力量。

🔸 巴拉圭2025年非正规就业率达61.1%
🗞️ 来源: infobae – 📅 2026-05-29
🔗 阅读原文

🔸 巴西与巴拉圭向玻利维亚运送人道援助应对道路封锁危机
journalistic source: infobae – 📅 2026-05-29
🔗 阅读原文

🔸 玻利维亚开始接收巴拉圭提供的人道主义援助,用于受封锁影响城市
🗞️ 来源: infobae – 📅 2026-05-29
🔗 阅读原文

📌 免责声明

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。 本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。 政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。 如内容有需要修订之处,欢迎随时与我联系。