一、经营主体设立
(一)经营实体形式
在马来西亚,外国投资者可以根据业务需求选择不同的企业组织形式进行投资合作。以下是几种主要的企业设立形式:
代表处(办事处):
适合进行市场调研和促销活动的外国公司,不具备独立法人资格,非营利性质。如果外国公司希望在马来西亚设立代表处,必须任命一名马来西亚居民作为代理人。
分公司:
作为母公司的延伸,具有独立法人资格,可以进行营利活动,但需与母公司共享利润和亏损。
有限责任公司(Sdn. Bhd.):
最常见的公司形式,股东责任限于出资额,适合中大型企业。有限责任公司的股东人数从1人到50人不等。公司至少有一名董事和一名公司秘书。且董事必须是马来西亚居民,年满18周岁,且在过去五年没有被定罪和监禁。
股份有限公司:
适用于大规模资本运作和公开募股的公司,需满足更严格的设立条件。
(二)最低注册资本
马来西亚法律上对于设立公司没有最低缴足资本要求。但是只有公司满足最低缴纳金额,才能够在银行申请贷款、参与政府投标、申请许可证等。特别是如果需要办理外国人在马来西亚工作签证,移民局要求外国人全资拥有的最低资本为500,000.00令吉。
(三)实际经营地址
所有在马来西亚注册的公司都必须提供一个实际的经营地址,用于接收法律文件和通知。该地址必须在马来西亚境内。马来西亚的通用做法是秘书办公室作为注册办公室。
(四)外汇管制
2005年7月21日,马来西亚政府实施管理下的浮动汇率制,外汇管制措施大幅度放宽,为外国投资营造了良好环境。外国投资者可以自由汇入资金用于投资,也可以将股息、利息和资本收益汇出境外。
外国企业在马来西亚注册的外汇账户可用于国际商业往来支付,资本项下鼓励投资目录下的外汇进出马来西亚不需要核准。马来西亚原则上规定外国公民在入境或离境时携带超过1万美元或等值的其他货币,需向海关申报。
二、用工要求
(一)本地员工人数和比例要求
马来西亚没有本地用工的强制要求,但是政府鼓励各类公司培训和使用本地员工。
(二)外国人签证
为了吸引外国人才来马来西亚长期居留工作,马来西亚成立了专门马来西亚人才机构(Talent Corp.),还推出了居住准证(Residence Pass)机制。居住准证有效期长达10年,且直接登记在个人名下,不受雇主单位限制,配偶及未成年子女享受同等待遇,配偶持居住准证也可参加工作,成年子女及父母/岳父母均可获得为期5年的访问/探亲签证。
(三)工时以及薪资成本
从2025年2月1日起,马来西亚的最低工资上调为每月1700令吉。如果不遵守本地工资标准,雇主会面临1000令吉至20000令吉的罚款或者最高5年的监禁。
(四)解除劳动关系的条件和成本
在马来西亚,雇主要辞退员工,必须要有正当的理由。如果雇主没有提供任何理由来解雇员工,或者所提供的理由是不合理的,那么这种情况法庭就可判定为非法解雇。员工可以到工业法庭投诉不公平解雇。在推定解雇(Constructive Dismissal)的情况下,即雇主的行为或决策导致员工在没有选择下自行辞职。比如,雇主突然撤销提供给员工的津贴及福利,或雇主无故减薪、随意降职来刁难及羞辱员工。虽然没有直接解雇员工,员工是在被逼迫的情况下选择辞职,仍然可以去工业法庭提出诉讼。
三、基本税负
(一)个人所得税
一年内居住在马来西亚超过182天的马来西亚公民或者外国人,只要拥有收入,就有报税的义务。马来西亚个人所得税率为1%-30%,5000马币以内的税率为0,超过200万马币部分的税率为30%。外国公民的税率固定为30%。
(二)企业所得税
马来西亚的企业所得税率为24%。从2017纳税年起,对于在马来西亚成立的中小型居民企业(实收资本不高于250万马币,且不属于拥有超过该限额的公司的企业集团),其取得的首60万马币以内的所得可以适用18%的税率,并在2019年降低至17%,超过部分适用24%的税率。
(三)数字服务税
2019年4月,马来西亚国会通过2019年服务税(修正)法案,对外国数字内容服务提供者实施6%的服务税,2020年1月已正式实施此税制,以年营收50万马币作为实施门槛。
(四)税收优惠
目前,中国和马来西亚两国签署了《对所得税避免双重征税和防止偷税漏税的协定》,企业在马来西亚已缴纳税收可以获得减免。
四、外资与行业政策
马来西亚大部分经济领域对外国资本参与全面开放,外国投资者可以持有100%股权。但某些行业领域严格禁止外资进入,此外还有部分行业通过“股权结构”的方式对外资参与设置限制。
(一)禁止/限制的行业
表二:马来西亚限制投资清单
(二)经济园区
马来西亚有3种类型的经济园区,即:工业园区(Industrial Estate or Park)、自由区(Free Zone)和科技园区(Science and Technology Park)。
工业园区:马来西亚全国有超过200个工业园区,配备有较为完善的公路、供电供水、电子通信等配套基础设施以及税收、金融、物流等配套服务,并出台相应的优惠政策吸引国内外企业前来入驻,投资工业园区重点发展的产业。
自由区:马来西亚目前有21个自由商业区和22个自由工业区。自2011年1月1日起,目由工业区和保税生产仓库企业如满足以下条件,可以按照《东盟货物贸易协议》(ATIGA)税率享受进口税减免:本地成分的价值达到40%;如果本地成分的价值未达到40%,企业能够证明其在最终产品中使用的非原产的原材料已经按照设定的机制经历了实质性的转化加工。
科技园区:许多高科技企业也选择入住马来西亚的科技园区。科技园区扶持的重点是先进的初创企业,还提供创业孵化器服务,为高校和研发中心创造商业化机会。
五、数据保护与合规
(一)立法情况及适用范围
1. 立法情况
马来西亚是东南亚较早推进个人信息保护和隐私保护立法的国家。2010年《个人数据保护法》(Personal Data Protection Act 2010,以下简称“PDPA”),于2013年11月15日正式生效,是马来西亚目前主要规范个人数据处理行为的综合性立法。《2013年个人数据保护条例》(Personal Data Protection Regulations 2013)对PDPA做出了进一步补充,细化了个人数据保护的具体规定。除了前述两项法律法规外,马来西亚还通过《2013年个人数据保护(数据使用者类别)令》(Personal Data Protection (Class of Data Users) Order 2013)、《2013年个人数据保护(数据使用者注册)条例》(Personal Data Protection (Registration of Data User) Regulations 2013)、《2016年个人数据保护(复合犯罪)条例》(Personal Data Protection (Compounding of Offences) Regulations 2016)以及银行及金融业、公用事业等多项国家标准,搭建起了较为完善的个人数据保护法律体系。
2. 适用范围
就开展数据处理行为的主体
[1]
而言,马来西亚PDPA没有采用数据控制者(data controller)的概念,而是采用了数据使用者(data user)的概念,但该定义与数据控制者的定义实质上较为类似:数据使用者(data user)为单独或与他人联合或共同处理任何个人数据或控制或授权处理任何个人数据的主体,但不包括仅代表数据使用者处理个人数据、无法自行决定个人数据处理目的数据处理者(不含数据使用者的员工)。
在适用范围上,PDPA明确该法适用于符合以下情况的数据使用者
[2]
:
(二)数据处理的基本原则
PDPA规定了7项数据使用者在处理个人数据时需要遵守的数据处理原则
[3]
:
-
基本原则:只有在数据主体同意,或可适用同意的例外的情况下,才能处理个人数据;
-
通知和选择原则:数据使用者必须通过书面形式告知数据主体,获取数据主体的同意。2022年发布的《准备个人数据保护通知的指南》还要求数据使用者同时提供通知的马来语及英语版本,并应当向个人提供清晰且易于获取的方式行使选择权;
-
披露原则:在数据主体不知情、没有获得数据主体同意的情况下,不能向第三方披露个人数据;
-
安全原则:数据使用者必须采取可行的措施,避免个人数据遭受任何损失、滥用、修改、未经授权的或意外的访问、修改或灭失;
-
存储原则:个人数据的存储期限不得超过实现特定处理目的所必需的最短时限;处理目的实现后,数据使用者应当永久销毁或删除个人数据;
-
数据完整性原则:数据使用者须采取合理措施,以保证个人数据是准确完整的、不具有误导性且处在最新的状态;
-
访问原则:数据主体有权访问数据使用者持有的其个人数据,并能够更正不准确、不完整、具有误导性的、过时的个人数据。
(三)数据主体的权利
根据PDPA的规定,数据主体有以下权利
[4]
:
-
知情权:数据使用者应告知数据主体个人数据处理目的、权利等;
-
访问权:数据主体有权获取被处理的个人数据,且以可理解的形式获取个人数据副本;
-
更正权:数据主体认为其个人数据不准确、不完整、具有误导性或不是最新的,可向数据使用者提出更正要求;
-
撤回同意的权利:数据主体可以通知撤回其对处理个人数据的同意;
-
反对权:数据主体可随时要求数据使用者在合理期限结束时,停止处理或不再处理个人数据;
-
反对为直接营销活动进行处理的权利:数据主体可随时要求数据使用者在合理期限届满时,停止或不再将其个人数据用于直接营销。
一般情况下,数据使用者须在收到访问、更正、反对处理等请求之日起21天内响应数据主体。
(四)数据控制者及数据处理者的义务
对应数据主体所享有的权利,PDPA对数据使用者规定了相应的同意义务、目的限制义务、通知义务、限制披露义务、保护义务、保留限制义务、准确性义务和响应数据主体行权请求的义务
[5]
。
除了上述的一般性义务外,为了有效监管和规范数据使用者的数据采集行为,PDPA对特定行业的数据使用者(如银行和金融业、保险业、通信数据等)设置了强制注册登记制
[6]
。这种注册登记的性质类似于我国的企业工商登记,相关监管机构仅进行形式审查并完成备案,而不会进行实质审核。注册证书有效期一年,如未在规定的时间内向个人数据保护委员会(Personal Data Protection Commission,简称“PDPC”)提供PDPC书面要求的补充文件或资料,将会被视为自动撤回。
马来西亚数字部于2024年7月公布的《个人数据保护(修订)法案》,新增了以下合规义务:
-
数据保护官(DPO):数据使用者和数据处理者需任命数据保护官,并向个人数据保护委员会注册,负责确保合规;
-
数据安全事件通知义务:数据使用者需要向个人数据保护专员通知数据安全事件,否则可能被处以最高25万马来西亚令吉和/或被判处两年以下监禁。
(五)数据跨境传输合规要求
存在以下情况之一时,数据使用者可以将个人数据传输至马来西亚境外
[7]
:
-
境外接收方所在国
[8]
属于马来西亚通信与多媒体部部长认定的“白名单”国家;
-
获得数据主体的授权同意;
-
对于履行与数据主体所订立的合同所必需;
-
对于履行数据传输方(data user)和第三方订立的合同所必需,并且该合同是(i)数据主体要求签订的,或(ii)为了实现数据主体的利益而签订的;
-
为协助法律诉讼或取得法律意见,或建立、行使、保护法律权利;
-
数据传输方在一般情况下有合理的理由相信:(i)该传输是为了避免或减轻对于数据主体的不利影响;(ii)获取数据主体关于该传输的书面授权同意是不切实际的;(iii)数据主体合理情况下会授权同意;
-
数据传输方已采取一切合理的预防措施并尽到一切注意义务,以保证到达传输目的地的个人数据不会被以违反PDPA规定的方式被处理;
-
为保护数据主体的切身利益所必需;
-
经过通信与多媒体部部长认定,出于公共利益考量,有必要进行跨境传输。
马来西亚虽然制定了白名单制度,2017年公布的《个人数据保护(向马来西亚境外传输个人数据)法令草案》(Personal Data Protection (Transfer Of Personal Data To Places Outside Malaysia) Order 2017)中也曾经草拟了数据跨境传输白名单国家清单
[9]
,但是该份草拟的白名单始终未能正式通过和生效。同时,马来西亚数字部于2024年7月披露的《个人数据保护(修订)法案》,拟取消数据跨境传输白名单制度
[10]
,需要密切关注白名单制度未来是否适用。
(六)监管机构
个人数据保护局(Personal Data Protection Department)是马来西亚的数据保护监管机构,该部门隶属于马来西亚通讯及多媒体委员会(the Ministry of Communications and Digital)和国家网络安全部(the National Cyber Security Agency)。
马来西亚PDPC也同时负责发布数据保护标准、行为守则、公众咨询文件以及进行执法活动
[11]
。
(七)法律责任
如果由于未采取合理措施并尽到注意义务,构成违法处理数据的情形,则开展个人数据处理活动的数据使用者
[12]
(data user,不含数据处理者)可能面临最高可达50万林吉特(约合8万元人民币)的罚款,企业负责人可能将面临最高可达3年的监禁的风险。
[13]
在违法行为发生时负责管理公司相应事务的人员也可能分别或与公司一同被起诉。
六、实用信息源
1. 马来西亚《个人数据保护法》:
https://lom.agc.gov.my/act-detail.php?act=709&lang=BI&date=15-06-2016#timeline
2. 马来西亚个人数据保护局:https://www.pdp.gov.my/ppdpv1/
3. 企业对外投资国别(地区)营商环境指南——马来西亚
