企业出海及数据跨境合规指南——马来西亚篇

背景

随着中国经济地位在全球范围内的不断提升，以及经济全球化的不断紧密发展，越来越多的中国企业开始选择“走出去”的发展新规划。尤其是在电子商务、快递物流、社交媒体等行业，已经有众多企业加快出海业务的布局。然而，在企业出海过程中，由于不同国家与地区之间存在法律、政策等差异，企业面临着如何在当地合规经营的问题。同时，由于数据合规逐渐受到各国监管的重视，数据跨境也成为企业需要面对的合规挑战。

鉴于此，本团队将结合项目实操落地经验陆续推出企业出海及数据跨境合规系列文章，从外资准入、行业准入、数据跨境等方面对各国的相关规定进行梳理，希望对企业出海有所帮助。由于马来西亚投资法律体系完备、与国际通行标准接轨、各行业操作流程较为规范，加之其独特的地缘优势，各国企业对马来西亚经济和市场前景较为看好。本文将介绍马来西亚的相关规定，协助企业就上述问题对马来西亚做初步了解。

一、外资准入

（一）外资准入条件

马来西亚目前没有统一的外商投资立法，也没有引入外商投资“负面清单”制度，各行业的外资准入限制规定分散在不同的法律中。目前马来西亚存在外资准入限制的行业有：金融、保险、电信服务、法律服务、直销及分销（与贸易有关）等。例如基础电信业要求外资在固定电话业务和增值业务方面的股份不得超过30％。

（二）外资投资方式

根据马来西亚现行法律，外国投资者在马来西亚可以通过新设法律实体进行投资。常见形式主要为代表处/区域办事处、分公司、有限责任公司、股份公司、有限责任合伙。需要注意的是，代表处/区域办事处仅允许从事市场调查、协调和规划业务、进行研究和产品开发等行为，不得参与任何直接导致实际商业交易的活动。

（三）公司设立方式

如果选择设立代表处/区域办事处，应向马来西亚投资发展局（MIDA）提出申请并获得许可。如果选择设立公司，根据《2016年公司法》，企业应先向公司委员会申请公司名称。确认公司名称可用后，再根据公司委员会的要求提交成立公司所需文件，文件内容包括拟成立公司的名称、业务性质、公司章程等。

（四）本地员工要求

根据《2012年有限责任合伙企业法》，外国有限责任合伙企业应从其合伙人或者有资格担任秘书的人员中任命至少一名合规官，该合规官必须是马来西亚公民或永久居民，并通常居住于马来西亚。

根据《2016年公司法》，私人公司应至少设立一位董事，公众公司应至少设立两位董事，且至少有满足上述最小数量要求的董事应常住在马来西亚。除此之外，所有公司应至少设立一位秘书，该秘书必须是马来西亚公民或永久居民，并通常居住于马来西亚。

二、市场准入

企业若想在马来西亚进行投资，需要根据自己行业属性，对企业各项业务进行定性，再结合不同行业的法律法规以及政策要求，确定经营此类业务是否需要满足特定的条件，是否需要特定的运营牌照等。以电信服务为例，马来西亚《1998年通讯与多媒体法令》第126条款规定，任何人未取得执照，不得从事、拥有或提供网络设备、提供网络服务、或提供应用服务等行为。

需要注意的是，有些企业的业务可能综合了两个以上的行业属性，此时企业需要分别满足不同行业的准入门槛，不能单独以主营业务进行判断。

三、数据跨境

（一）数据出境的条件

马来西亚于2010 年发布了《个人数据保护法》（Personal Data Protection Act 2010，下称“PDPA”），该法是一部综合性立法，其中包含了对数据跨境传输的基本要求。2013 年马来西亚针对PDPA进一步出台了一系列附属法例，其中包括《个人数据保护条例》（Personal Data Protection Regulations 2013）等。

PDPA规定了关于数据出境的条件。数据使用者不得将数据主体的任何个人数据转移到马来西亚以外的地方，但下列情况除外：（1）部长根据个人数据保护专员建议指定的地区。该地区有与PDPA实质性相似或目的相同的法律，或者个人数据保护水平至少与马来西亚相当。（2）尽管有指定地区，下列情况仍可进行个人数据出境：（a）数据主体同意；（b）履行数据主体和数据使用者之间的合同所必需；（c）订立或履行数据使用者与第三方之间的合同所必需；（该合同是应数据主体要求而订立，或符合数据主体的利益）（d）为了法律程序或为了获得法律意见或为了确立、行使或捍卫合法权利；（e）数据使用者有合理理由相信，跨境传输是为了避免或减轻对数据主体的不利行为，且获得数据主体书面同意是不切实际的，如果获得同意是可行的，则数据主体会给予同意；（f）数据使用者已采取一切合理的预防措施并尽一切努力确保个人数据不会在其他地方以违反PDPA的方式处理；（g）为保护数据主体的切身利益所必需；（h）为公共利益所必需。

（二）“黑名单”制度或将取代“白名单”制度

PDPA修正案已于2022年10月提交马来西亚议会审议。在此前的征求公众反馈阶段，MCMC下设的个人数据保护部（Personal Data Protection Department 或Jabatan Perlindungan Data Peribadi，“JPDP”）于2020 年2月发布了《公众咨询文件》（No . 01/2020 on Review of the PDPA），确定了22个可能需要修订的领域。根据《公众咨询文件》，PDPA中的“白名单”制度将可能被“黑名单”制度取代。在“黑名单”制度下，除了已被部长列入黑名单的司法管辖区域外，数据使用者通常被允许将个人数据传输到海外。由此可见，未来马来西亚的数据跨境传输条件可能会进一步放宽。

01东数西算系列

02数据合规系列

03互联网版权系列