💡 律咖编者按
本文由律咖网社群读者 AoLie 投稿分享。
为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 秘鲁 创业路上的你带来真实的参考。

我原本以为,在秘鲁Ica注册一家卖登山绳的公司,只要把网站隐私政策(Privacy Policy)用谷歌翻译套个模板,再挂个“GDPR合规”标签,就万事大吉了。

当时我有点焦虑——不是怕被罚款,是怕花了几千美金请当地律师做的那份文件,最后被客户当成摆设。我甚至在凌晨三点改了第七版,把“我们可能收集您的IP地址”这句话删了,怕吓跑欧洲买家。我以为,隐私政策只是法律形式,是平台审核的门槛,不是生意的命门。

直到上个月,我收到Ica地区税务署(SUNAT)的邮件,说我的公司“涉嫌通过线上数据收集行为构成‘跨境数字服务收入’的隐性申报漏洞”。我懵了。我卖的是绳子,不是数据。我连客户邮箱都没主动存过,怎么就牵扯到税务了?

后来我才知道,在秘鲁,2023年修订的《数字服务税法》(Ley de Impuesto a los Servicios Digitales)已经把“用户行为数据”纳入了“可征税数字服务”的定义范畴。如果你的网站通过cookies、IP追踪、甚至点击热图收集了用户偏好——哪怕你没卖数据——它也可能被认定为“通过数据驱动的营销服务”获取了本地收入。

我查了SUNAT官网,发现他们最近三年对中小型跨境电商的审计重点,从“发票虚开”转向了“数字足迹合规性”。我那个被我当装饰品的隐私政策,成了关键证据:它列了“我们收集用户浏览行为以优化购物体验”,但没说明这些数据是否用于广告投放、是否与第三方共享、是否影响定价策略。

我突然意识到:隐私政策不是“你说了什么”,而是“你做了什么,但没说”。

我开始怀疑自己是不是太天真了。我花了三个月做品牌矩阵,优化了五种语言的网站,却连最基本的税务变量都没搞清楚。我甚至没问过律师:“如果我的网站在秘鲁用户浏览器里留下痕迹,这算不算在秘鲁有‘常设机构’?”

认知转折发生在一次Ica本地创业交流会上。一个开电商SaaS的秘鲁大叔,喝了半瓶皮斯科酒后说:“你们中国人总以为隐私政策是防火墙,其实是探照灯——照亮了你没申报的收入路径。”

他说得没错。

我后来翻了SUNAT发布的《数字服务税务指南(2025版)》,里面有一句模糊但致命的话:“任何通过互联网平台向秘鲁居民提供服务的实体,若其系统对用户数据进行分析、分类或个性化推荐,均可能构成应税行为,即使未直接收取费用。”

我网站的“推荐相似绳索”功能,基于用户浏览时长和点击热力图,算不算“个性化推荐”?我用Google Analytics收集了用户停留时间,算不算“服务优化”?我让客户填了“使用场景”问卷,算不算“数据驱动的商业决策”?

我突然发现,我踩的不是技术坑,是认知偏差:我以为隐私政策是“法律合规”,其实是税务风险的暴露面

在秘鲁,尤其是像Ica这种旅游和农业出口重镇,税务机关对“隐形数字收入”极其敏感。因为去年秘鲁旅游市场爆发(Perú Travel Mart 2026成交7500+商务对接),大量小企业通过网站引流获客,但没申报数字服务税。SUNAT现在用自动化工具扫描网站源码,匹配隐私政策与后台数据流——如果你的政策说“我们不收集”,但后台有GA4,那你就是故意隐瞒。

思维升级很简单:隐私政策不是写给用户看的,是写给税务官看的。

如果你的网站在秘鲁有访问量,哪怕只有100个用户,你的隐私政策必须明确三点:

  1. 你收集了哪些数据(IP、cookies、设备ID、行为轨迹)
  2. 这些数据是否用于“商业分析”或“广告投放”
  3. 是否与第三方(如Google、Meta)共享,以及是否涉及跨境传输

别怕写得详细。SUNAT不讨厌细节,他们讨厌模糊。

我重新写了隐私政策,加了三段:

“本网站使用Google Analytics收集匿名浏览数据,仅用于优化产品展示,不用于定向广告。
所有数据存储于美国服务器,不传输至秘鲁境内系统。
本平台不向第三方出售或授权使用用户数据,亦不通过数据行为影响定价策略。”

然后我提交给SUNAT的“自愿披露通道”(Vinculación Voluntaria),附上一份说明:“本企业确认,所有数字服务收入未达到2026年最低申报门槛(约US$50,000/年),故未申报,但已确保数据收集行为透明。”

他们没回我。但我没再收到审计通知。

如果你也在纠结:

  • 我的网站要不要做隐私政策?
  • 秘鲁税务会不会找我?
  • 我收集用户数据,算不算“数字服务”?

我的建议是:

  1. 先查SUNAT官网的《Ley de Impuesto a los Servicios Digitales》(2023修订版),别信中介说的“小公司不用管”。
  2. 用Google Tag Manager检查你的网站到底收集了什么,哪怕你没装广告代码,GA4默认就收集了。
  3. 隐私政策写清楚“不用于商业目的”,哪怕你心里知道它有用。法律不是讲道理,是讲证据。
  4. 保留所有版本的隐私政策和修改记录,哪怕你只是改了个标点。审计时,这比你解释一百遍都管用。

我知道,你可能觉得这太复杂。你卖绳子,不是做科技公司。但在这个时代,每个点击都可能是税务的线索

如果你也在秘鲁、在Ica、在做跨境小生意,别再把隐私政策当成“网站底部的灰色小字”。它可能是你未来税务审计的第一张传票,也可能,是你主动合规的盾牌。

我建议你,现在就打开你的网站,点开隐私政策,问自己一句:

“如果SUNAT今天来查,我写的这句话,能证明我没偷税吗?”

如果你的答案是“不确定”,那就别等了。

加 JingJing 微信:lvga2015,发你一份我整理的《秘鲁电商网站隐私政策自查清单(2026版)》,里面列了SUNAT最近三个月审计过的12个典型错误,全是真实案例,没有虚构。

我们不是律师,也不承诺结果。
但我们分享的,是踩过坑后,还活着的人,能告诉你的真话。

📌 FAQ

Q1:我在秘鲁Ica的网站,需要强制写隐私政策吗?
A:是的,根据秘鲁《个人数据保护法》(Ley N° 29733),只要网站收集任何用户数据(包括IP、cookie),就必须提供隐私政策。路径:登录SUNAT官网 → “Normas Legales” → 搜索“Ley 29733”。要点清单:

  • 必须用西班牙语
  • 必须说明数据类型、用途、存储地
  • 必须提供用户访问/删除数据的渠道(邮箱或表单)

Q2:我用Shopify建站,隐私政策是自动生成的,能用吗?
A:不能直接用。Shopify模板默认基于欧盟GDPR,但秘鲁法律要求更强调“数据不用于税务相关分析”。要点:

  • 删除“我们可能用于广告投放”这类表述
  • 增加“本平台不利用用户行为数据进行定价或促销决策”
  • 明确数据不存储于秘鲁境内服务器(如使用AWS美国节点)

Q3:我只卖东西,没做数据分析,为什么税务会找我?
A:因为SUNAT的系统会扫描网站源码。即使你没主动分析,只要使用了Google Analytics、Facebook Pixel、Hotjar等工具,系统就判定你“进行了用户行为追踪”,属于“数字服务”范畴。路径:在Chrome中按F12 → Network → 查看是否有ga.js、fbq.js等脚本。要点:

  • 如果使用了任何追踪脚本,必须在隐私政策中明确列出
  • 如果不使用,就彻底删除脚本,别留痕迹

延伸阅读

🔸 Analysis-Keiko Fujimori Leans on Father’s Legacy as Crime Fears Shape Peru Runoff 🗞️ 来源: usnews – 📅 2026-05-19
🔗 阅读原文

🔸 Govt eyes Peru FTA in 2026 🗞️ 来源: bangkokpost – 📅 2026-05-18
🔗 阅读原文

🔸 Peru Travel Mart 2026 cerró con éxito rotundo y más de 7,500 citas de negocios 🗞️ 来源: bolivarense – 📅 2026-05-18
🔗 阅读原文

请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。