企业出海及数据跨境合规指南——新加坡篇

背景

随着中国经济地位在全球范围内的不断提升，以及经济全球化的不断紧密发展，越来越多的中国企业开始选择“走出去”的发展新规划。尤其是在电子商务、快递物流、社交媒体等行业，已经有众多企业加快出海业务的布局。然而，在企业出海过程中，由于不同国家与地区之间存在法律、政策等差异，企业面临着如何在当地合规经营的问题。同时，由于数据合规逐渐受到各国监管的重视，数据跨境也成为企业需要面对的合规挑战。

鉴于此，本团队将结合项目实操落地经验陆续推出企业出海及数据跨境合规系列文章，从外资准入、行业准入、数据跨境等方面对各国的相关规定进行梳理，希望对企业出海有所帮助。近些年来，越来越多的企业开始将新加坡作为重要的海外投资目的地。诸多企业选择在新加坡注册，并在此建立他们的海外国际总部。为何新加坡如此受外国企业的青睐呢？

一、新加坡的企业出海优势

（一）外商准入政策宽松

新加坡对外国投资者的准入要求相对宽松。外国投资者可享有国民待遇，外国自然人可依法申请设立独资企业或合伙企业。除银行、金融、保险、证券等特殊领域需向主管部门报备外，新加坡对外资进入的方式无限制。高科技或资本密集型出口企业，外国投资者可全资。一般产业虽然鼓励合营，但对外资股份比例并未加以限制，除新闻业、广播业的出资比例限制，以及公共事业属禁止投资产业外，外国投资者均可持有100%的股权。

（二）避免受贸易壁垒限制

由于欧美国家对中国企业海外业务的诸多限制，使得企业拓展海外业务的空间受限。新加坡的优势在于其实行自由贸易政策，贸易便利化程度处于领先水平。企业出海新加坡可以更为方便的进入国际市场，绕开贸易壁垒。

（三）低税率优势

新加坡是全球企业和个人所得税税率较低的国家之一。新加坡对内外资企业实行统一的企业所得税政策。自2010估税年度起，所得税税率调整为17%。新公司注册前三年，年营业额低于10万新元（约50万人民币）的可全部免税。在关税方面，政策也相对宽松。除酒类、烟草（含卷烟）、石油、机动车以外，新加坡对所有进口商品免征关税。

（四）在国际条约中的优势

1.新加坡加入了亚太经济合作组织（Asia-Pacific Economic Cooperation，“APEC”）在成员经济体之间建立的跨境隐私规则（Cross-Border Privacy Rules，下称“CBPR”）体系。获得CBPR认证的数据控制者可以向境外交易相对方证明自身的数据保护水平。

2.新加坡所在的东南亚国家联盟（Association of Southeast Asian Nations—ASEAN，下称“东盟”）出台了《东盟数据管理框架》(ASEAN Data Management Framework，“DMF”)和《东盟跨境数据流动标准合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows，下称“MCCs”)。旨在促进数据相关的业务运营，减少谈判和合规成本，在数字生态系统中增进东盟成员国之间的互信。遵守MCCs及其项下的基本义务可以使数据主体及其数据受到2016年《东盟个人数据保护框架》（ASEAN Framework on Personal Data Protection）的充分保护。

3. 新加坡参与的《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，“RCEP”）主要在电子商务的框架下规定了数据跨境流动的内容，主要的要求是明确各成员方不能将设施本地化作为在其领土内开展业务的条件，也不能阻止为实现业务需要而开展的数据跨境流动活动。

新加坡的其他双边条约，以新菲《个人数据保护谅解备忘录》为例，新加坡个人数据保护委员会(下称，“PDPC”)与菲律宾国家隐私委员会(National Privacy Commission，下称“NPC”)先后签署过两份个人数据保护谅解备忘录。在第一份个人数据保护谅解备忘录中，双方同意分享个人数据保护方面的最佳实践，并开发兼容机制以促进可信的跨境数据流动。例如APEC跨境隐私规则CBPR体系和东盟跨境数据流动机制，以及通过使用数据共享沙箱实现数据创新的最佳实践；第二份个人数据保护谅解备忘录中，除了继续促进可信的跨境数据流动外，还提出了两国可以在各自管辖范围内就涉嫌违反数据隐私和保护的行为在潜在或正在进行的调查中交换信息并提供互助。

二、新加坡数据跨境要求

企业出海可能涉及数据，因此，若企业出海至新加坡，需要特别关注新加坡数据合规法律，其中数据的跨境传输是出海企业需要着重关注的合规要点。

新加坡的数据保护法律体系以2012年的《个人数据保护法》(Personal Data Protection Act，下称“PDPA”)为主，该法是一部规范个人数据处理行为的综合性立法，其中包含了对于数据跨境传输的基本要求。2020年11月2日，新加坡议会通过了《个人数据保护法（修正案）》，该修正案自2021年2月1日起分阶段生效。为了更好的执行PDPA，新加坡个人数据保护委员会陆续出台了一系列条例及指引，包括《2021个人数据保护条例》(Personal Data Protection Regulations 2021，下称“PDPR”)等文件。

根据PDPA规定，任何机构不得将任何个人数据传输到新加坡以外的国家或地区，除非能够根据本法规定的要求，确保对传输的个人数据提供与本法相当的保护标准。

PDPR此后将该条款进一步细化。根据PDPR规定，机构只有在采取适当措施，确保数据接收方受法律强制义务的约束，以保证对传输的个人数据提供与PDPA相当的保护标准时，才能将个人数据向第三国转移。其中，法律强制义务包括：法律、合同、具有约束力的公司规则以及其他具有法律约束力的文书。

同时，PDPR还规定，以下情况视为已满足前段规定的数据跨境要求：（1）个人同意数据跨境传输；（2）个人被视为同意数据跨境传输；（3）跨境传输对于保护数据主体利益及国家利益是必要的，并且已经采取合理措施确保数据接收方不会基于其他目的使用或披露所传输的数据；（4）个人数据是传输中的数据；（5）个人数据是在新加坡已公开的数据。

除此之外，PDPR明确了符合CBPR认证和PRP认证可以作为提供了与PDPA同等保护水平的特定证明。

01东数西算系列

02数据合规系列

03互联网版权系列