1、如何确保数据中心项目的稳定供电、供水和网络连接?
供电连接申请流程和评估及审核标准
关于供电,在马来西亚,数据中心项目需通过马来西亚国家电力公司(Tenaga Nasional Berhad,“
TNB
”)确保稳定的电力供应。项目业主首先需要评估电力负荷需求,并通过TNB的“一站式中心”(One Stop Center,“
OSC
”)提交供电申请。TNB进行审核和技术评估后,将作出是否批准供电申请的决定,如供电申请审核通过,TNB将安排电力接入。
具体而言,数据中心项目业主需详细评估电力负荷需求,包括设备、服务器、冷却系统和未来扩展的电力需求,然后通过OSC提交供电申请,附上项目描述、技术规格、电力负荷计算报告、建筑平面图和设备布置图等文件,并缴纳相应的申请费用。TNB随后对申请进行技术评估,审核现有电网容量和负荷,设计并批准电力连接方案,并进行现场勘察,确保电力连接和供应符合国家安全标准和技术规范。通过审核后,TNB将批准供电申请和安排电力接入,包括安装变压器和配电设备、连接高压电缆、并进行最终的安全检查和测试等。
此外,为加速高压电力供应项目的审批,TNB提供了“绿色通道计划”(Green Lane Pathway),该计划旨在为需要高压电力供应的项目(如大型数据中心)提供优先处理和加速服务。绿色通道计划的主要特点包括优先处理供电申请、缩短审批和并网时间、提供专门的项目经理和技术团队、确保在最短时间内完成电力供应的安装和调试。通过绿色通道计划,大型数据中心项目获得TNB电力供应审批的时间可从36个月缩短至12个月。
供水连接申请流程和评估及审核标准
关于供水,确保数据中心获得稳定的供水涉及与地方水务公司合作,如柔佛的柔佛水务公司(Syarikat Air Johor,“
SAJ
”)。项目业主需首先详细评估数据中心的供水需求(包括冷却系统和其他用水需求等),然后向SAJ提交详细的供水申请表格,同时附上项目描述、技术规格、水力计算报告、建筑平面图和设备布置图等文件,并缴纳相应的申请费用。SAJ会对提交的申请进行技术评估,审核现有供水网络的容量和负荷,设计并批准适当的供水连接方案,并进行现场勘察和技术审查,以确保供水连接和供应符合国家和地方供水标准。
通过审核后,SAJ将批准供水申请,并安排供水系统的连接,包括安装必要的管道和供水设备,以将数据中心连接到供水网络,并进行最终的安全检查和测试。通过这一详细的申请流程和严格的评估及审核标准,项目业主可以确保其数据中心获得稳定可靠的供水,从而满足冷却和其他用水需求,支持数据中心的高效运营和未来扩展。
网络连接申请流程和评估及审核标准
关于网络连接,确保数据中心获得稳定的网络连接需要与多家电信和互联网服务提供商合作。项目业主需详细评估数据中心的带宽需求和连接冗余需求,包括数据传输速度、流量高峰需求、备份连接要求及未来扩展需求等。之后,项目业主应与主要网络服务提供商(如Telekom Malaysia、Time dotCom和Maxis等)洽谈,选择可提供多路由和高冗余网络连接的服务商,并向其提交详细的网络连接申请,包括项目描述、技术规格、带宽需求报告、建筑平面图和设备布置图等文件,并缴纳相应的申请费用。网络服务提供商将对申请进行技术评估,审核现有网络基础设施的容量和负荷,设计并批准适当的网络连接方案,并进行现场勘察和技术审查,确保网络连接和基础设施设计符合国际和国家的安全标准和技术规范。
通过审核后,网络服务提供商将批准网络连接申请,并安排网络接入,包括安装必要的设备和线路,以将数据中心连接到互联网和主要电信网络,并进行最终的安全检查和测试。一旦连接完成,项目业主需确保进行持续的网络性能监测和维护,以实现数据中心的高效和可靠运营,并定期进行网络测试、监控网络流量和性能,及时解决出现的问题,以维持网络的持续稳定性和高性能。
2、马来西亚数据中心投资者需要注意哪些银行及外汇监管要求?
马来西亚中央银行(Bank Negara Malaysia,“
BNM
”)通过《2013年金融服务法》(Financial Services Act 2013)和外汇政策通知(Foreign Exchange Policy Notices)监管外汇事务。
作为银行外包服务商的合规要求
如果数据中心服务提供商为马来西亚的金融机构(FI)提供服务,为确保服务安全和合规,数据中心服务提供商必须遵守BNM发布的《技术风险管理政策文件》(Policy Document on Risk Management in Technology,“
RMiT
”)和《外包政策文件》(Policy Document on Outsourcing)等文件所规定的合规要求。其中,RMiT要求金融机构必须确保其数据中心的恢复能力和可用性目标符合业务需求,指定数据中心服务提供商进行数据中心风险评估(DCRA),并根据风险偏好设置相应的控制措施。此外,如果金融机构聘用数据中心服务构成《外包政策文件》下的“重大外包安排”(包括对关键功能或服务的外包),则金融机构在与数据中心提供商合作时还需要获得BNM的事先批准,并定期向BNM报告外包情况,以及接受BNM的监管检查和审计,而作为服务提供商,数据中心也应配合金融机构履行其合规义务。
外汇合规义务
根据《2013年金融服务法》和外汇政策通知,所有涉及马来西亚令吉和外币的交易(如买卖、支付、转账、汇款、借贷及担保)都受到严格监管。首先,外国投资者在进行数据中心相关投资时,必须确保所有跨境资金流动和货币交易符合相关规定。例如,外国投资者计划投资设立数据中心时,必须向BNM报备其资金来源和用途,在获得BNM批准后才能将资金汇入马来西亚。其次,投资收益汇出需遵守相关报备和批准要求。例如,在外国投资者拟将利润汇回母国时,该外国投资者需向BNM提交详细收益报告并获得批准。此外,对于外币交易(如跨境支付等),也需确保交易符合外汇政策通知的规定。例如,一家欧洲公司在马来西亚采购数据中心设备时拟使用欧元支付,则该交易需经BNM的审批。最后,如果数据中心项目涉及跨境借贷或担保安排,也需遵守相关规定,包括向BNM报备并获得批准。
3、投资马来西亚数据中心目前有哪些主要优惠政策?
在马来西亚,数据中心投资者可以享受多项优惠政策,这些政策旨在推动马来西亚数字经济的发展,并吸引更多的国际投资。以下是主要的优惠政策及其内容:
(1)Malaysia Digital(MD)认证
由马来西亚政府出资设立的马来西亚数字经济公司(Malaysia Digital Economy Corporation,“
MDEC
”)将为符合条件的公司提供Malaysia Digital(
MD
)认证。该政策旨在提升马来西亚的数字能力,促进数字经济的发展。获得MD认证的数据中心公司可以申请多项优惠政策,包括外资股权限制豁免、雇佣外籍知识工人的许可、所得税豁免、投资税优惠和多媒体设备进口关税豁免等。
MD认证需满足的条件
要符合马来西亚的MD认证并享受相关优惠政策,申请公司需在马来西亚合法注册并运营,且从事与数字技术和服务相关的业务,如数据中心运营、云计算服务、数据分析和软件开发等。此外,公司需要展示其在技术和创新方面的能力,能够推动数字经济的发展,并符合MDEC设定的具体标准和要求,这些标准包括技术基础设施、业务规模和市场覆盖等。就数据中心项目而言,MDEC将重点关注申请公司的技术能力和基础设施的安全性及规模、是否以可再生能源供电以及项目的能耗效率、数据安全及隐私保护的标准、创新及研发能力以及就业机会创造力和对当地数字经济的推动力。
申请流程
申请MD认证的公司需在MDEC官网上提交在线申请表格,提供公司的基本信息和业务细节,并支付处理费用。提交申请后,MDEC将进行初步审查,包括对申请材料的审核和现场考察。在此过程中,MDEC可能会要求公司提供额外的信息或文件,以确保其符合认证标准。初步审查通过后,MDEC将把申请提交给马来西亚国家投资委员会(National Committee on Investment,“
NCI
”)进行最终审批。整个审批流程完成后,申请公司将会收到MD认证及相关优惠政策的正式通知。
(2)数字生态系统加速计划(Digital Ecosystem Acceleration Scheme,“DESAC”)
为吸引高质量的数据基础设施项目落地马来西亚,马来西亚推出了DESAC计划。投资者可申请的DESAC计划分为两类,分别为数字技术提供商(DTP)资格和数据基础设施提供商(DIP)资格。其中,可申请DTP资格的企业主要为云计算、数据分析、物联网、人工智能及软件开发等细分领域的企业,可申请DIP资格的企业主要为数据中心、通信基础设施、海底电缆及其他数字基础设施(如数据交换中心)等细分领域的企业。
如果投资者被成功纳入DESAC计划,则可享受特定税收优惠。具体而言,新设DTP公司可享受0%至10%的企业所得税率,最长为10年;存量DTP公司如进入新服务领域(如一家云计算公司开始提供数据分析服务),则也可享受10%的企业所得税率,最长为10年。DIP公司则可获得高达100%的资本支出投资税收优惠,用于抵扣长达10年的法定收入。
申请流程
DESAC计划申请过程包括在线提交申请表格、支付处理费用、初步审查、提供附加信息及展示拟从事的经济活动等,最终由NCI审批决定。具体而言,申请人需首先访问马来西亚投资发展局(Malaysia Investment Development Authority,“
MIDA
”)或MDEC的官方网站,填写在线申请表格,提供公司的基本信息和业务详情并完成缴费。提交申请后,MIDA或MDEC将进行初步审查,评估材料的完整性和公司的基本资格。若需补充材料,相关部门会主动联系申请人,或者直接安排实地考察。最终,待NCI审批通过后,申请人将收到正式通知,通知上将载明获批的税务优惠和相关支持政策。
4、马来西亚法下数据中心运营商在个人数据处理方面有哪些合规义务?
个人数据保护
在马来西亚,数据中心项目需严格遵守《2010年个人数据保护法》(Personal Data Protection Act 2010,“
PDPA
”)及其他数据安全法规,以确保个人数据的合法处理。2024年7月,马来西亚国会通过了对PDPA的修改(与本文相关修改详见下文),修正案生效日期暂未宣布。
根据现行有效的PDPA,数据用户(data users)是指有权控制并授权处理个人数据的实体(比如银行),而数据处理者(data processors)则是代表数据用户处理个人数据的实体(包括数据中心)。PDPA修正案将“数据用户”这一术语修改为了“数据控制者(data controllers)”,这一修改仅为术语意义上的修改,不会造成实质影响。
现行PDPA规定,作为数据处理者,数据中心服务提供商需严格遵守数据保护系统和记录维护方面的合规义务,以确保个人数据的安全和隐私。具体措施包括保存数据处理活动日志、数据主体同意记录和数据泄露事件记录,并确保在监管部门检查时能够提供所有必要信息。同时,数据中心服务提供商还需定期进行安全审计和风险评估,以识别和处理潜在的安全漏洞和合规风险。PDPA对数据中心服务提供商的其他具体要求还包括实施严格的数据加密和数据访问控制措施,确保只有授权人员可以访问和处理个人数据,以及定期备份和恢复数据,确保业务连续性和数据完整性等。在此基础之上,PDPA修正案进一步强化了数据处理者的数据保护义务(比如:数据泄露通知义务、数据保护影响评估以及更严格的记录保存要求等),要求数据处理者采取数据保护措施防止数据损失和滥用。在实践中,数据用户也会在与数据中心服务提供商签署的合同中明确要求数据中心服务提供商在处理数据时遵守上述合规义务。
此外,数据中心服务提供商还可能根据《1998年通讯与多媒体法》(Communications and Multimedia Act 1998,“
CMA
”)获得在某些情况下充当数据用户的许可。此时,作为数据用户,数据中心服务提供商需要在PDPA下注册为数据用户,并遵守《CMA许可证持有者个人数据实践守则》以及其他与数据用户相关的合规义务,包括全面合规的数据收集、存储、使用、披露及销毁的标准及流程等。
数据传输合规
如数据中心服务提供商的经营活动涉及跨境数据传输,根据现行PDPA,除非马来西亚政府将目的地列为可传输数据的目的地,否则马来西亚本地数据不得传输至境外。而PDPA修正案已将该规定删除,并进一步规定,只要目的地制定了与PDPA实质相似的法律,或具备与PDPA相当的个人数据保护水平,则马来西亚本地数据就可以传输至境外。
在实操中,数据中心服务提供商一般可以通过签署标准合同条款(Standard Contractual Clauses)或制定约束性公司规则(Binding Corporate Rules)等方式来确保数据在跨境传输中的安全性。其中,标准合同条款可将数据来源国的数据保护法律法规要求转化为对境外数据接收方有法律拘束力的合同条款;约束性公司规则是跨国公司或集团公司内部制定的有关跨境数据传输的合规要求,以确保跨国公司或集团公司内部的跨境数据传输符合数据来源国的数据保护法律法规。但是,马来西亚并未制定统一适用的标准合同条款或约束性公司规则参考模板。实操中,马来西亚的数据中心服务提供商可选择适用国际普遍认可的标准合同条款或约束性公司规则,以要求数据接收方同样遵守马来西亚数据保护法律法规。
5、在马来西亚运营数据中心有哪些主要的运营风险?项目业主应如何防范这些风险?
在马来西亚运营数据中心时,项目业主面临的运营风险包括但不限于网络安全威胁、物理安全问题、环境因素以及电力和冷却系统的可靠性等。为了确保数据中心的稳定运行,项目业主应采取一系列综合措施来防范这些风险。
网络安全风险
网络安全威胁(如黑客攻击和数据泄露)可能对数据中心构成重大风险。以Equinix在吉隆坡开发的数据中心为例,该数据中心采用了多层次的物理和网络安全措施,包括生物识别技术、24/7监控系统、入侵检测系统和持续监控等。这些措施有效保护了数据的完整性和保密性。从法律角度而言,项目业主应确保遵守PDPA和CMA的相关规定,并聘请法律顾问进行合规审查,制定强有力的数据保护政策和应急响应计划。
物理安全风险
物理安全问题(如未经授权的访问和设备盗窃)也是数据中心运营的重要风险。以NTT在赛柏再也的数据中心为例,该数据中心通过部署闭路电视(CCTV)和运动传感器,建立了多层次安全围栏,从而有效防止未经授权的访问。从法律角度而言,项目业主应根据《1994年职业安全和健康法》等法律法规制定相应的安全操作准则,并定期进行安全演练和渗透测试,以确保所有物理安全措施的有效性。此外,项目业主还可考虑与当地安保公司合作,以获得全天候的安全监控和应急响应服务。
环境和系统可靠性风险
数据中心还需要应对环境风险(如火灾和洪水)和系统可靠性问题(如断电和冷却系统故障)。以前述NTT数据中心为例,该数据中心通过使用符合国际标准的冗余系统设计和备用发电机,保障电力和冷却系统的连续性,从而提高了数据中心的可靠性和安全性。从法律角度而言,项目业主应遵守《1974年环境质量法》和《2015年电力供应法》的有关合规要求,对数据中心定期进行环境监测和系统维护。
