仰光开公司怕踩雷？缅甸网络安全合规最新流程全拆解

你好呀，我是 JingJing，在律咖网做跨境信息编辑已经快十年了。最近有好几位朋友从深圳、昆明、成都飞仰光落地——有人带着跨境电商独立站，有人准备做本地SaaS服务，还有人想注册缅甸实体来对接东盟数据项目。但一聊到“网站要不要备案”“App是否要交源代码”“服务器放新加坡还是仰光本地”，大家声音都小了半截。

不是因为问题难，而是没人说清楚“现在到底该怎么做”。

缅甸的《网络安全法》（Cyber Security Law）自2021年颁布以来，一直处在“有法条、少细则、常微调”的状态。尤其2025年底仰光信息通信技术局（MICT）悄悄更新了《在线服务提供者指引草案》，虽然还没正式立法，但已在实际审查中被引用——比如去年11月，一家仰光本地数字营销公司收到通知，要求72小时内提交其客户管理系统的数据流向图和用户协议英文版。

这不是个案，而是信号。

🔍 当前仰光的“网络合规”不是选择题，是入场券

先说结论：
✅ 如果你在仰光注册了公司（如Private Company Limited），且业务涉及以下任一场景：

• 运营面向公众的网站或App（含电商、资讯、教育类）；
• 收集缅甸公民的手机号、邮箱、住址、支付信息等个人数据；
• 使用云服务存储或处理本地用户数据（哪怕服务器在新加坡/泰国）；
  → 那么，你已经处于缅甸《网络安全法》第18条、第23条的实际管辖范围内。

⚠️ 但要注意：

• 缅甸目前没有统一的“网络安全合规备案平台”，不像泰国PDPA有官方登记入口，也不像越南有MIC在线申报系统；
• 实务中，监管动作多通过MICT下属的网络安全协调中心（NSCC）发函沟通，或由仰光省投资委员会（YDIP）在年度合规检查中附带提醒；
• 所有要求均以英文函件发出，无缅文版本，也暂未开放线上提交通道。

我翻阅了2025年至今仰光本地律所给客户的12份合规备忘录，发现一个共性：“风险不在罚多少钱，而在突然被要求暂停服务”。比如去年底，一家仰光初创的本地招聘平台因未应答NSCC一封关于“用户隐私政策链接失效”的邮件，被临时限制了API接口调用权限，整整三天无法同步岗位数据——而那封邮件，是发到公司注册时留的旧邮箱，他们根本没看到。

这提醒我们：合规第一步，从来不是写文件，而是建立能及时响应的联络机制。

🧩 真实流程拆解：三步走，不靠猜

别被“法条模糊”吓住。根据我们在仰光合作的3家本地律所（全部持证、非中介、可查注册号）反馈，目前可落地的操作路径如下：

✅ 第一步：确认你的“角色身份”（最易被忽略！）

缅甸不按“公司类型”管，而是按服务性质分类：

💡 小贴士：很多创业者以为“没收集身份证就不算处理个人数据”——错。只要收集了手机号、邮箱、设备ID，就触发DPA义务。我们见过一家做仰光外卖小程序的团队，因用户下单时填了“常用收货地址”，就被认定为处理地理位置数据，补签了两份DPA才恢复上线。

✅ 第二步：基础文件准备（仰光实操版）

不需要中文翻译公证，但所有文件必须：

• 使用英文撰写（缅文版不被接受）；
• 由缅甸执业律师签署“Certified True Copy”；
• 公司印章+董事亲笔签名（不能电子签）。

你需要准备的三份核心材料：

1. 《OSP基本信息表》（MICT官网无下载入口，需向律所索取2025年12月更新版）；
2. 《数据处理说明声明》（非GDPR式长文本，只需一页：写清收集哪些字段、存多久、谁有权访问、是否跨境传输）；
3. 《网络安全联系人授权书》（指定1名仰光本地常驻人员作为NSCC联络窗口，必须是缅甸籍或持长期居留签证者——这点很多人卡住，外籍法人不能自己当联络人）。

📌 注意：MICT不收扫描件。原件需递交给仰光MICT总部（地址：No. 1, Pyay Road, Bahan Township），或委托律师代交。全程无线上通道，平均受理周期为11–17个工作日（不含律师准备时间）。

✅ 第三步：建立“轻量级响应机制”（低成本保安全）

别想着一步到位建SOC中心。现阶段最务实的做法是：

• 在公司邮箱设置关键词过滤（如“NSCC”“MICT”“Cyber Compliance”），确保相关来信不进垃圾箱；
• 每季度让本地律师做一次《合规快检》（约15万缅币/次，含邮件记录、隐私政策链接有效性、DPA签署状态）；
• 把NSCC公开邮箱（cybersecurity@mict.gov.mm）加入紧急联系人列表，并确认该邮箱近3个月有正常回信记录（我们测试过，2026年3月起回复率明显提升）。

一位仰光做跨境支付合规的朋友告诉我：“与其赌它不会来信，不如花3小时把联络人设好、邮箱调好、律师微信加好——这才是真正的‘合规成本’。”

❓ FAQ｜仰光创业者最常问的3个问题

Q1：我在新加坡架服务器，网站只面向缅甸用户，还要在仰光做合规吗？

答：需要，且已发生实际案例。

• 步骤：确认你是否属于OSP（见上表）→ 若是，提交OSP表+数据说明声明；
• 路径：委托仰光持证律所（如：Myanmar Legal Alliance / DLA Myanmar）代办，费用约35万–50万缅币（含律师见证、递件、1次NSCC预沟通）；
• 要点清单：
  ▪️ 服务器所在地不影响管辖权，关键看“服务对象是否含缅甸自然人”；
  ▪️ MICT曾于2025年9月致函3家新加坡主机商，要求其配合提供缅甸客户IP日志（未强制执行，但释放明确信号）；
  ▪️ 官方渠道：MICT官网“Regulations”栏目下可查《Guideline for OSPs (Draft, Dec 2025)》，但全文仅限英文，无下载按钮，需现场领取或律师代取。

Q2：隐私政策用英文写可以吗？需要缅文翻译吗？

答：英文可接受，缅文非强制，但强烈建议双语。

• 步骤：使用GDPR兼容模板，但删除“欧盟”“EEA”等地理限定词，替换为“Myanmar residents”；
• 路径：参考仰光律所Thaung Tun & Associates发布的《2025缅英双语隐私政策简版》（免费PDF，可私信我获取）；
• 要点清单：
  ▪️ 必须包含“数据主体权利行使方式”（如：如何申请查看/删除自己的数据）；
  ▪️ 若含Cookie追踪，需单独设置Banner弹窗并提供“拒绝”选项（纯文字链接不算合规）；
  ▪️ 官方未指定语言，但NSCC 2025年抽查的8家违规案例中，6家因“用户无法理解英文条款”被认定为“未充分告知”。

Q3：我的公司刚注册，还没上线产品，现在要启动合规吗？

答：不用立刻申报，但必须启动准备。

• 步骤：完成公司注册后30日内，指定NSCC联络人+签署《联络人授权书》；
• 路径：联络人可为本地雇员、股东配偶、或长期合作的缅甸籍会计（需提供其护照及居住证明复印件）；
• 要点清单：
  ▪️ OSP申报可在上线前7天内提交，但联络人机制必须提前建立；
  ▪️ MICT不要求“预审”，但一旦上线即视作OSP，若被抽查而无联络人，将视为“拒绝配合监管”；
  ▪️ 官方渠道：仰光省投资委员会（YDIP）官网“Investor Support”栏目提供《新设企业合规时间轴》（2026年3月更新），列明各环节时间节点。

✅ 结论｜3条务实行动建议

1. 今天就做：打开邮箱，搜索“MICT”“NSCC”“cyber”，清理归档旧邮件，设置新关键词提醒；
2. 本周内确认：你的业务角色（OSP / Data Processor / Internal User），对照上文表格自查，不确定就截图发我（微信号：lvga2015），我帮你初步判断；
3. 本月启动：联系一家仰光本地律所，预约一次30分钟《合规起点咨询》（多数律所提供首咨免费），重点问清：
   • 他们最近帮客户提交OSP表的平均耗时；
   • 是否有NSCC近期沟通记录可参考；
   • 能否协助你指定并认证联络人。

记住：在仰光做合规，拼的不是法条背得多熟，而是反应够不够快、联络够不够稳、记录够不够全。

🤝 和我们一起慢慢走

我是 JingJing，不是律师，也不是代理机构，就是一个在长沙麓谷办公室里，常年盯着各国官网更新、和仰光/曼谷/河内律所同步消息、帮朋友们少踩坑的信息编辑。

如果你正计划在仰光注册公司、搭建网站、或和本地伙伴签第一份数据协议——欢迎加我微信 lvga2015，备注“仰光合规”，我会拉你进我们的缅甸创业信息互助群。群里有：
🔹 常驻仰光的财务顾问（每月分享报税节点）；
🔹 做过12个缅甸本地App的前端工程师（分享过审技巧）；
🔹 三位仰光持证律师（自愿分享非敏感流程）；
🔹 还有和你一样边试边学的创业者。

我们不承诺“包过”“秒批”“零风险”，但保证：每一条建议，都有出处；每一次提醒，都来自真实反馈；每一句“可能”“通常”“建议确认”，都是对你的负责。

🔸 延伸阅读

🔸 国际平台在台设立法律代表并履行合规义务
🗞️ 来源: Lvga.com – 📅 2026-04-09
🔗 阅读原文

🔸 外国游客在印度未注册即赴敏感地区引发安全关注
🗞️ 来源: Lvga.com – 📅 2026-04-09
🔗 阅读原文

📌 免责声明

请知悉：律咖网（Lvga.com）是跨境创业公开信息与内容分享平台，不提供法律、税务、会计或合规服务。
本文内容基于公开资料，并由人工编辑与 AI 工具协助整理，仅供信息参考之用，不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化，请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处，欢迎随时与我联系。