💡 律咖编者按
本文由律咖网社群读者 DengFei 投稿分享。
为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 伊拉克 创业路上的你带来真实的参考。

我坐在巴格达市中心一家咖啡馆的角落,笔记本电脑屏幕亮着,显示着一份英文版《Cloud Service Agreement》。窗外是缓慢移动的汽车、模糊的阿拉伯语广告牌,和远处偶尔传来的警笛声。我喝了第三口冷掉的咖啡,手指悬在“Accept”按钮上方,却迟迟没点下去。

这不是签合同,是在赌命。

三个月前,我带着三款中国产的直播工具,试探性地进入伊拉克市场。目标很朴素:帮本地小商户通过短视频卖手工香料和铜器。没有大资金,没有团队,只有我、一个翻译、和一台租来的服务器。我以为最难的是语言和文化——结果,最让我失眠的,是“云”在哪里。

伊拉克没有明确的《Cloud Computing Compliance Law》,但它的《Personal Data Protection Law》(个人数据保护法)在2024年修订后,隐含了“数据不得跨境无授权传输”的条款。我用的阿里云新加坡节点,数据经过了阿联酋中转,最终落在用户手机上。没人告诉我这是否合规。我只能靠谷歌搜索、LinkedIn 上几个伊拉克IT经理的零星回复,和一份2023年联合国开发计划署发布的《Digital Infrastructure in Post-Conflict Iraq》报告,拼凑出一幅模糊的地图。

我焦虑得整晚睡不着。不是怕卖不出货,是怕哪天突然被叫去“谈话”。不是政府找我,是银行冻结了我的跨境收款账户——理由是“可疑交易路径”。我这才明白:在伊拉克,合规不是法律条文,是空气。看不见,但你呼吸的每一口,都可能有毒。

我开始每天早上六点起床,给三个不同地区的律师发邮件:巴格达、埃尔比勒、巴士拉。没人回复。直到第五天,一位在迪拜执业的伊拉克裔律师,用半小时语音留言告诉我:“如果你的数据存储在境外,而你的客户是本地居民,他们有权要求你提供数据本地化证明。否则,你的合同在法庭上可能无效。”

我愣了很久。

我原以为,只要用英文写清楚“我们不存储用户数据”,就能免责。可现实是:在伊拉克,“我们不存储” ≠ “数据没经过”。只要你的服务被本地用户使用,哪怕只是缓存,也可能构成“处理”。

我重新看了合同。第7.3条写着:“Service Provider shall ensure compliance with applicable data protection laws in the jurisdiction of the end-user.”
——“适用法律”是哪个?伊拉克?还是用户所在省?还是数据经过的国家?

没人能告诉我。我只能把这句话抄在纸上,贴在电脑边。

我决定换路径:不再用公有云,改用本地代理托管。我联系了巴格达一家叫“NasrTech”的小型IT服务商,他们有本地机房,能签《Data Processing Agreement》(数据处理协议),并承诺不将数据传输出境。价格是阿里云的三倍,但至少,我有了一个“可解释”的节点。

那天下午,我重新上传了合同,把“Cloud Infrastructure: Alibaba Cloud Singapore”改成“Managed by NasrTech, Baghdad, Iraq”。我删掉了所有“global scalability”的宣传语。我甚至在用户协议里加了一行小字:“Your data is processed only within Iraq’s territory, per local interpretation of data sovereignty principles.”

我点了“Submit”。

不是因为我知道这是对的,而是因为我终于明白:在伊拉克,合规不是为了通过审核,是为了让自己睡得着觉

📌 FAQ:关于伊拉克云计算合规的三个现实问题

Q1:我用中国云服务(如阿里云、腾讯云)在伊拉克提供直播带货服务,会被视为违规吗?

A:

  • 步骤:确认你的服务是否直接存储或缓存伊拉克用户数据(如直播回放、用户头像、订单信息)。
  • 路径:登录云服务商控制台 → 查看“数据存储位置” → 确认是否为境外节点。
  • 要点清单
    • 若用户数据在境外服务器停留超24小时,可能触发“跨境传输”监管疑虑。
    • 伊拉克无明确“数据本地化”法条,但《个人数据保护法》第12条提及“数据控制者应确保处理符合本地法律精神”。
    • 建议:与本地服务商合作,签署《Data Processing Agreement》,并保留书面记录。
    • 官方渠道:伊拉克通信与媒体委员会(Commission for Communications and Media)官网(需通过VPN访问,信息更新滞后)。

Q2:我需要为云计算服务申请许可证吗?

A:

  • 步骤:先判断你的服务是否属于“电信服务”或“在线平台运营”。
  • 路径:联系伊拉克商业注册局(Business Registration Directorate)询问“Digital Service Provider Registration”。
  • 要点清单
    • 目前无专门针对“云计算”的许可证,但若涉及支付、身份认证、用户数据收集,可能被归类为“电子服务运营商”。
    • 2025年试点项目中,巴格达有三家数字平台被要求提交“数据安全自评表”。
    • 建议:保留所有技术架构说明、数据流向图、第三方协议,以备抽查。
    • 官方渠道:无公开在线申请入口,需通过本地律师或商业代理提交纸质材料。

Q3:如果我被调查,我该准备哪些文件?

A:

  • 步骤:整理三类材料:技术、法律、运营。
  • 路径:按时间倒序,从最近的合同开始往前推。
  • 要点清单
    • 技术:服务器位置截图、CDN节点列表、数据加密方式说明。
    • 法律:用户协议、隐私政策、与本地服务商的《DPA》副本。
    • 运营:用户同意记录(如勾选框截图)、数据删除请求响应记录。
    • 关键:不要伪造文件。伊拉克执法机构已开始与国际网络安全组织合作,验证数据流真实性。
    • 官方渠道:伊拉克国家网络安全中心(NCSC)不对外公开联系方式,建议通过驻伊中国商会获取间接协助。

我重新回到那家咖啡馆。窗外的阳光斜斜地照在桌上,咖啡杯边还留着一圈褐色的印子。我打开电脑,登录后台,看着今天新增的17个用户——全部来自巴士拉和纳杰夫。没有一个投诉,也没有一封警告邮件。

我点开合同,那行小字还在:“Your data is processed only within Iraq’s territory…”

我不再觉得它是一句免责声明。

它是我在这片土地上,唯一能握住的、诚实的锚。

💡 想和更多在伊拉克、中东做跨境生意的朋友聊聊?
律咖网是一个小团队,没有大广告,也没有“包过”承诺。
我们只做一件事:把真实踩过的坑、查过的官网、问过的律师,慢慢整理出来。
如果你也正在面对“云计算合规”“跨境支付冻结”“本地合同陷阱”这类问题——
欢迎添加编辑 JingJing 微信:lvga2015,备注“伊拉克合规”。
我们不卖服务,只分享信息。一起慢慢走。

🔸 延伸阅读

🔸 Israel built two covert military bases in Iraq to support Iran strikes – report 🗞️ 来源: The Times of Israel – 📅 2026-05-17
🔗 阅读原文

🔸 Israel built two military bases in Iraq before war on Iran: New York Times 🗞️ 来源: Al Jazeera – 📅 2026-05-18
🔗 阅读原文

🔸 Report: Israel Operated Covert Outposts in Iraq During War With Iran 🗞️ 来源: Haaretz – 📅 2026-05-18
🔗 阅读原文

📌 免责声明
请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。