企业出海及数据跨境合规指南——泰国篇

时间：2023-01-26

　　原标题：企业出海及数据跨境合规指南——泰国篇

　　背景

　　随着中国经济地位在全球范围内的不断提升，以及经济全球化的不断紧密发展，越来越多的中国企业开始选择“走出去”的发展新规划。尤其是在电子商务、快递物流、社交媒体等行业，已经有众多企业加快出海业务的布局。然而，在企业出海过程中，由于不同国家与地区之间存在法律、政策等差异，企业面临着如何在当地合规经营的问题。同时，由于数据合规逐渐受到各国监管的重视，数据跨境也成为企业需要面对的合规挑战。

　　鉴于此，本团队将结合项目实操落地经验陆续推出企业出海及数据跨境合规系列文章，从外资准入、行业准入、数据跨境等方面对各国的相关规定进行梳理，希望对企业出海有所帮助。泰国由于社会总体较稳定、经济增长前景良好、市场潜力较大等竞争优势，成为众多企业出海的选择之一，本文将介绍泰国的相关规定，协助企业就上述问题对泰国做初步了解。

　　一、外资准入

　　（一）外资准入条件

　　泰国通过负面清单和单行法律特别规定两种形式对外资进行限制。

　　1. 负面清单规定在《1999年外国投资法》（Foreign Business Act，B.E.2542(1999)）。外国人不允许经营以下三种业务：（1）清单一中列出的因特殊原因禁止经营的业务；（2）未经内阁部长的批准，不得经营清单二中的下列业务：涉及国家安全保障的业务，影响艺术、文化、传统以及民间手工艺的业务，影响自然资源或环境；（3）未经委员会总干事的批准，不得经营清单三中泰国国民尚未准备好竞争的业务。

　　2. 单行法律以电信业务为例，《2001电信业务法》(Telecommunications Business Act,B.E.2544 2001)规定，从事电信业务应当获得泰国国家广播与电信委员会(The National Broadcasting and Telecommunications Commission，“NBTC”)颁发的牌照，牌照共分三类。其中，第二类牌照和第三类牌照的申请人不得是《外国投资法》中规定的外国人。如果是法人，泰国实体的持股比例不得低于其总资本的75%。

　　（二）外资投资方式

　　外国投资者在泰国可以通过新设法律实体进行投资。常见形式主要为代表处/区域办事处、分公司、私人/公众有限责任公司、合伙企业。根据泰国法律，代表处/区域办事处仅允许从事以下业务，包括为总部在泰国采购商品或服务、检查和控制总公司在泰国购买或制造的货物的质量和数量、就总公司出售给代理商或消费者的商品提供建议、宣传新商品或服务等行为，不得参与任何直接导致实际商业交易的活动。

　　（三）公司设立方式

　　如果外国企业选择在泰国设立私人/公众有限责任公司，首先应向泰国商务部取得外国营业执照。经泰国商务部发展厅确认公司名称后，完成股本缴纳，最后提起公司注册申请。其中，私人有限责任公司至少有3名发起人，公众有限责任公司至少有15名发起人。

　　（四）本地员工要求

　　根据《公众有限责任公司法》，公众有限责任公司应设立董事会，至少由5名董事组成，其中至少有一半董事应居住在泰国境内。

　　二、市场准入

　　企业若想在泰国进行投资，需要根据自己行业属性，对企业各项业务进行定性，再结合不同行业的法律法规以及政策要求，确定经营此类业务是否需要满足特定的条件，是否需要特定的运营牌照等。以电信服务为例，根据《电信业务法》，在泰国从事电信业务，需获得NBTC颁发的电信业务牌照。

　　需要注意的是，有些企业的业务可能综合了两个以上的行业属性，此时企业需要分别满足不同行业的准入门槛，不能单独以主营业务进行判断。

　　三、数据跨境

　　泰国的数据跨境主要有三种方式，下面将进行详细介绍。

　　（一）数据出境的一般条件

　　2019年，泰国国家立法议会通过了《个人数据保护法》(Personal Data Protection Act,B.E.2562(2019),下称“PDPA”)。

　　根据PDPA，进行个人数据出境需确保目的地国家或国际组织的数据保护标准足够充分，且遵守了个人数据保护委员会 (Personal Data Protection Committee,下称“PDPC”)发布的个人数据出境的保护标准，但以下情况除外：（1）为遵守法律规定；（2）在数据主体已被告知该目的地国家或国际组织的个人数据保护标准不足的前提下，仍然获得数据主体同意的；（3）履行数据主体作为当事人的合同所必需，或者在订立合同前已经应数据主体的要求采取措施的；（4）遵守数据控制者与他人之间为了数据主体的利益而订立的合同所必需；（5）为防止或抑制对数据主体或其他人的生命、身体或健康的危险，数据主体无法及时给予同意时；（6）为开展涉及重大公共利益的活动所必需。

　　如果数据控制者对目的地国家或国际组织的数据保护标准是否足够充分存疑，可以提交PDPC进行决定。如果有新的证据证明目的地国家或国际组织制定了适当的个人数据保护标准，委员会可以重新审查该决定。

　　（二）“个人数据保护政策”审查机制

　　根据PDPA，泰国针对跨国关联业务或跨国集团企业开展了“个人数据保护政策”审查机制，即如果企业的“个人数据保护政策”通过了PDPC 的审查和认证，即便不符合上述数据出境的规定也可以进行个人数据的跨境传输。

　　（三）适当的保护措施

　　当PDPC没有根据（一）中条件做出决定，或者没有（二）中提到的个人数据保护政策时，如果数据控制者或数据处理者提供适当的保护措施，使数据主体的权利得以执行，包括根据PDPC规定和公布的规则和方法采取有效的法律补救措施，数据控制者或数据处理者仍可以将个人数据发送或传输到外国，以免除遵守第（一）的规定。

　　作者简介

　　谢连杰律师

　　盈科上海互联网法律事务部主任、盈科上海高级合伙人，上海律师协会国际投资业务委员会委员，上海市工业互联网协会法律顾问，上海市互联网协会法律顾问，中国网络空间协会个人信息保护专家组成员、中国信通院“个人信息保护合规审计领航计划”单位专家成员、《法治日报》律师专家库互联网领域专家。在数据合规领域，经常受邀参与多个协会关于“网络安全与数据保护”方面的著作撰写、研讨、培训等工作。其中，著作方面包括：《企业出海及数据跨境合规指南》、《个人信息保护通识》（中央网信办培训中心推荐教材）、《互联网企业个人信息保护合规指南》（副主编）、《全球个人信息保护报告》、《全球数据安全治理报告》等。

　　执业领域：互联网合规（含数据合规）、证券金融、并购重组。

　　吴帆律师

　　英国布里斯托大学法学硕士，中国注册会计师（CPA），中国信通院“个人信息保护合规审计领航计划”单位成员。对互联网企业开拓海外市场中涉及的数据跨境、外资准入条件、市场准入要求、平台玩法合规等方面均有深入的了解与研究，尤其是东南亚地区国家。已为团队客户业务出海至新加坡、印度、越南、墨西哥、菲律宾、马来西亚、泰国、印尼等国家以及相应的数据跨境合规提供专项法律服务，积累了丰富的实操经验。目前在团队中主要负责泛娱乐领域（含社交、电商、游戏、直播等行业）业务出海、数据跨境以及版权等方面工作。另外，在财务、税筹领域可为企业提供相关配套服务。参与起草的著作包括：《全球个人信息保护报告》、《全球数据安全治理报告》等。

　　执业领域：互联网合规（含数据合规）、跨境投资、互联网版权。

　　翟晓博律师

　　大连海事大学海商法专业，中国信通院“个人信息保护合规审计领航计划”单位专家成员。目前在团队主要负责医疗健康、车联网、金融、快递物流等行业的数据合规以及互联网广告合规等工作。曾为客户提供数据分类分级、个人信息保护影响评估（PIA）、数据交易、数据出境、常年法律顾问等方面的专项法律服务。另，曾协助客户自查及整改企业内部数据安全问题，并最终顺利通过监管机构的数据专项执法检查。参与起草的著作包括：《个人信息保护通识》（中央网信办培训中心推荐教材）《互联网企业个人信息保护合规指南》。

　　执业领域：数据合规、互联网广告。

　　- END -

　　文章投稿：盈科上海互联网法律事务部

　　注：本文仅代表作者观点，不代表本平台立场

　　责任编辑：