企业出海及数据跨境合规指南——菲律宾篇|外商|外资|菲律宾

背景

随着中国经济地位在全球范围内的不断提升，以及经济全球化的不断紧密发展，越来越多的中国企业开始选择“走出去”的发展新规划。尤其是在电子商务、快递物流、社交媒体等行业，已经有众多企业加快出海业务的布局。然而，在企业出海过程中，由于不同国家与地区之间存在法律、政策等差异，企业面临着如何在当地合规经营的问题。同时，由于数据合规逐渐受到各国监管的重视，数据跨境也成为企业需要面对的合规挑战。

鉴于此，本团队将结合项目实操落地经验陆续推出企业出海及数据跨境合规系列文章，从外资准入、行业准入、数据跨境等方面对各国的相关规定进行梳理，希望对企业出海有所帮助。由于菲律宾近年来经济发展速度快、内需旺盛等因素，各国企业对菲律宾经济和市场前景较为看好。本文将介绍菲律宾的相关规定，协助企业就上述问题对菲律宾做初步了解。

一、外资准入

（一）外资准入条件

菲律宾共和国法案第7042号《1991年外国投资法》及共和国法案第8179号《关于进一步放宽外国投资的法案》对于外商投资引入了“负面清单”制度，对于落入该清单内的行业，外商投资被禁止或需满足特定准入条件方可进入，对于未被列入负面清单的行业，没有外资管制要求。

目前该“负面清单”的最新版本是2022年6月27日发布在第175号行政命令中的《第12版外商投资负面清单》，其中包括清单A和清单B，清单A列出了根据宪法或其他特别法律规定禁止外商投资、限制外资比例最多25%、30%以及40%的行业；清单B则是出于安全、国防、健康和道德风险以及保护中小型企业的原因，外资比例受到限制的行业。

（二）外资投资方式

根据菲律宾现行法律，外国投资者在菲律宾进行投资的形式包括新设法律实体及收购现有菲律宾公司的股权。就新设法律实体而言，常见形式主要为代表处、分公司、非股份公司、股份公司。根据菲律宾法律，代表处属于外国企业实体的附属单位，在菲律宾从事信息传播、沟通中心和推广公司产品以及出口产品质量控制等活动，不得从菲律宾获得收入，且其费用均由其总部全额补贴。分公司是根据外国法律组建和存在的外国公司的延伸，从事总部的业务活动，可以从菲律宾获得收入。而非股份公司的设立仅限于慈善、宗教、教育、专业、文化等特殊目的。

此外，外国公司可以在菲律宾建立地区总部或地区经营总部，但是地区总部和地区经营总部的业务仅限于向在菲律宾证券交易委员会（Securities and Exchange Commission，下称“SEC”）注册后的分公司或其他附属机构提供服务。

（三）公司设立方式

新设公司的外国投资者需要在SEC设立登记，并满足一定的要求。例如，代表处设立需向菲律宾境内汇入不少于3万美元的资本，分公司设立要求实收资本不得低于20万美元（如分公司满足涉及先进技术或直接雇员至少为50人的条件，实收资本可降到10万美元）。

（四）本地员工要求

根据在菲律宾新设实体形式的不同，员工本地化可能会有不同要求，例如设立代表处或分公司，应由一名菲律宾居民作为代表；设立股份公司，出纳必须是本地居民，公司秘书必须是本地公民或居民。

二、市场准入

企业若想在菲律宾进行投资，需要根据自己行业属性，对企业各项业务进行定性，再结合不同行业的法律法规以及政策要求，确定经营此类业务是否需要满足特定的条件，是否需要特定的运营牌照等。以电信业务为例，根据共和国法案第7925号《促进和管理菲律宾电信发展和提供公共电信服务的法案》的规定，从事增值电信服务的企业应进行增值电信业务注册，并取得电信业务牌照。

需要注意的是，有些企业的业务可能综合了两个以上的行业属性，此时企业需要分别满足不同行业的准入门槛，不能单独以主营业务进行判断。

三、数据跨境

（一）数据出境的条件

菲律宾对于数据跨境传输的基本要求主要规定在2012年的《数据隐私法》（Data Privacy Act，下称“DPA”）以及2016年的《数据隐私法实施细则和条例》（Implementing Rules and Regulations of the Data Privacy Act，下称“IRR”）中。

DPA和IRR规定了关于数据传输的责任原则。个⼈信息控制者应当对其控制或保管的个⼈信息负责，包括在跨境安排和合作下已外包或转移给个人信息处理者或第三方进行国内或国际处理的信息。(a) 个⼈信息控制者有责任遵守DPA、IRR以及国家隐私委员会发布的其他要求，并在个人信息处理者或第三⽅处理信息时使用合同或其他合理手段提供相当⽔平的保护。(b) 个⼈信息控制者应指定一人或多⼈负责遵守本法，并应要求将这些负责人的身份告知数据主体。

（二）其他数据跨境方式

1.通过APEC CBPR体系认证

亚太经济合作组织（Asia-Pacific Economic Cooperation，下称“APEC”）在成员经济体之间建立了跨境隐私规则（Cross-Border Privacy Rules，下称“CBPR”）体系，获得CBPR认证的数据控制者可以向境外交易相对方证明自身的数据保护水平。APEC成员经济体中的私营组织获得上述认证的前提，是该经济体首先要加入CBPR体系。截止目前，APEC中共有9个经济体加入了CBPR体系，其中包括菲律宾。因此，如果企业拟将在菲律宾收集的数据传输至CBPR体系内其他国家或地区，则可适用该认证。

2.引用标准合同条款

为促进数据相关业务运营，东南亚国家联盟（Association of Southeast Asian Nations—ASEAN，下称“东盟”）出台了《东盟数据管理框架》(ASEAN Data Management Framework，“DMF”) 和《东盟跨境数据流动标准合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows，下称“MCCs”)。MCCs 是自愿条款，旨在为数据传输各方提供参考，在不与MCCs冲突的前提下，合同各方可以根据各成员国国内法对其进行调整，包括根据商业安排和交易需要增加条款等。

由于菲律宾数据跨境的核心要求是个人信息控制者需要使用合同或其他合理手段，使所传输的数据处于与菲律宾相当的保护水平中。因此，在菲律宾进行数据跨境传输时，可以参考引用MCCs与数据接收方签订协议，确保传输的数据得到充分的保护。

01东数西算系列

02数据合规系列

03互联网版权系列