马来西亚数据中心投资

在全球数码化时代,数据中心的需求与其解决方案迅速增加,马来西亚无疑展示了其吸引该行业投资的能力,吸引了Bridge Data Centre, GDS Holdings和NTT Ltd等公司在马来西亚建立数据中心。马来西亚是一个潜在的枢纽,以其丰富的资源(人力资源和土地)、发达的电信基础设施、极其可靠的电力供应和政府的鼎力支持,而领先于泰国和印度尼西亚等其他东南亚国家。
 
为了推动数字经济,政府已推出多项旨在鼓励投资数据中心的措施,例如马来西亚数字地位 (Malaysia Digital status)及数字生态系统加速计划 (Digital Ecosystem Acceleration scheme)。
 
在本文中,我们探讨了在马来西亚建立和运营数据中心有关的一般投资限制和要求,以及政府为欢迎投资者提供的主要激励措施。

1. 外商投资限制概况
一般来说,马来西亚对外国投资的限制相对很少。除下文第2段和第3段的行业限制以外,外国投资者可以在新项目的所有投资中持有100%的股权,也可以在现有公司的扩张和/或多元化项目中投资。大多数行业都有相关政府部门颁布的行业规定。一些行业法规对公司的外资股权有一定的限制,在开始经营业务之前需要事先获得有关监管部门的批准。除了限制外国投资在特定部门的程度之外,还有规定要求马来西亚某些土著民族的最低所有权门槛,称为土著 1所有权,其存在是为了维护这些土著群体的利益。

2. 外商投资不动产所有权限制
外国公司或外商投资的马来西亚本地公司购买或租赁土地需要获得国家当局的同意。此外,根据物业收购指导方针(“EPU指导方针”),如果物业价值为2000万令吉或以上,并且这样的收购导致土著财产所有权的稀释,则需要经济规划单位(“EPU”)的批准。审批须符合环境保护措施指引所载的条件,而环境保护措施可能会因应个别情况而适用的其他条件。

3. 营运数据中心的本地发牌制度须持有电讯牌照
数据中心运营本身一般上不需要获得特定许可,但如果数据中心提供商根据1998年通信和多媒体法案(“CMA”) 提供可获得许可的活动,则需要获得适当的许可证。它最终取决于数据中心运营的各种特定因素,包括网络拓扑结构。虽然有些数据中心可能不需要许可证,但其他数据中心可能需要特定的许可证 - 一般而言,数据中心提供商可能需要以下许可证:
(a) 网络服务提供商(“NSP”)许可证:用于网关服务、交换服务、带宽或接入应用服务等网络服务
(b) 网络设施提供商(“NFP”)许可证:用于拥有或提供网络设施,如固定链路和电缆,以及无线电通信发射机和链路。
(c) 应用服务提供商(“ASP”)许可证:如果数据中心服务涉及提供某些应用服务,如互联网接入服务或云服务,则可能需要该许可证。

CMA牌照可以是“个别” 牌照或“类别” 牌照,但除了ASP牌照之外,该类牌照只会发出“类别”牌照。个别牌照须受更严格的规管,并可能附带特别条件。如前所述,这最终取决于数据中心操作的细节,这需要逐个分析。

CMA牌照持有人的外资股权限制
 
只有本地实体公司才能持有CMA牌照,而与数据中心相关的CMA牌照通常附有以下股权限制作为特殊条件:
(a) 个人 NFP/NSP许可证的外国参股比例不超过49%;和
(b) 所有个人CMA牌照至少有30%的土著参股比例。

我们的电信监管机构,马来西亚通信和多媒体委员会(“MCMC”)和通信部长可能会在个案基础上给予股权限制的一些灵活性。在考虑外国股权限制权豁免时,他们可能会对数据中心提供商是否拥有马来西亚数字身份(Malaysia Digital status) 给予一定的重视。
其他法规限制/要求
 
除了批准外,数据中心在运营时还必须遵守与电信相关的要求,例如:
(a) 若提供的数据中心服务属于本处的接达制度范围,则会有若干限制和规定,例如强制性标准和受规管的定价。
(b) 马来西亚通信和多媒体委员会会发出的有关自愿性行业守则(称为技术守则)(例如环保数据中心规格技术守则)。
(c) 向马来西亚进口数据中心设备也将受到进口要求的限制,例如进口许可证和进口关税,这将因设备的分类而异。该设备在马来西亚进口和使用前也可能需要产品认证。

4. 中央银行要求
马来西亚中央银行(“BNM”)根据2013年金融服务法(“FSA 2013”)发布外汇政策通知(“外汇通知”),对马来西亚的外汇进行监管。外汇通知适用于马来西亚居民和非居民之间的所有马来西亚令吉和外币交易。受外汇通知监管的交易包括涉及马来西亚令吉和外币的出售、购买、支付、转账、汇款、借贷和担保。FSA 2013还将国家银行对外汇交易的监管管辖权扩展到非马来西亚居民,以及在马来西亚境外进行的行为。因此,马来西亚数据中心运营商的任何令吉和外币交易都将遵守外汇通知和FSA 2013。

此外,如果公司向马来西亚的金融机构提供数据中心服务,国家银行已发布技术风险管理政策文件(“RMiT政策文件”),对金融机构提出要求,以确保其数据中心的弹性和可用性目标与业务需求保持一致。RMiT政策文件还要求金融机构指定服务提供商进行数据中心风险评估,并根据金融机构的风险偏好设置相应的控制措施。如果金融机构使用数据中心服务构成BNM外包政策文件下的“重大外包安排”,金融机构在聘用数据中心供应商时须遵守BNM的批准和通知的规定,并遵守外包政策文件的相关规定。

5. 数据中心运行中的其他政府限制
如果数据中心提供商存储政府信息或官方机密(根据1972年官方保密法的定义),政府可以根据1959年保护区和受保护地点法宣布该数据中心为“保护区”或“受保护地点”,或根据1972年官方保密法宣布该数据中心为“禁止地点”。如某一数据中心被宣布为“受保护地区”、“受保护地点”或“禁止地点”,则必须就该等地区采取保安措施,而所需的保安程度则视乎指定而定。

6. 关键的激励
 
(a) 马来西亚数字地位
有意涉足数据中心业务的公司,可能有资格获得马来西亚数字地位(Malaysia Digital status),该地位旨在通过推动数字经济来提高马来西亚的数字能力。
 
马来西亚数字保证书(“BOG”)列明公司可申请的各项奖励措施;包括外资股权限制豁免、外籍知识工作者豁免、所得税豁免、投资税豁免、多媒体设备进口税豁免等。根据BOGs给予这些奖励不是自动颁发的,将根据具体情况进行评估。
 
(b) “数字生态系统加速” (“DESAC”) 计划
DESAC计划主要侧重于两类数字产业供应商: 第一, 数字技术供应商(DTP),提供基于IR4.0和与制造业和制造业相关服务的相关数字化技术之数字服务;第二, 数字基础设施供应商(DIP),如数据中心和海底电缆。DESAC计划将补充现有的马来西亚数字地位(Malaysia Digital status)公司激励措施。
 
在DTP类别下新成立的公司可能有资格获得0%至10%的所得税税率,最长可达10年,而在DTP类别下的现有公司,如开展新的服务活动或新的服务部门,则需缴纳10%的所得税税率,最长可达10年。
 
DIP类别下的公司可能有资格获得100%的投资税免税额,用于符合条件的活动的资本支出,可以在长达10年的时间内抵消高达100%的法定收入。

7. 个人数据的处理
目前,只有数据用户才有责任遵守2010年个人数据保护法 (“PDPA”)。数据用户为自己的目的处理个人数据,或控制或授权处理个人数据,而数据处理者仅代表数据使用者处理个人数据,并不为任何自己的目的处理个人数据。
 
数据使用者必须确保数据处理者在处理个人数据时,遵守并提供足够的保障,包括技术及组织上的保安措施及标准。因此,如果数据中心提供商充当其客户的数据处理者,客户可以通过合同约束他们遵守某些监管义务或要求。
 
如果数据中心供应商是CMA下的持牌人,而就其作为数据使用者行事而言,他们必须根据PDPA注册为数据使用者,并进一步遵守CMA下的持牌人个人数据实务守则。
 
由于政府积极和及时的政策为业务提供了重要的催化剂,我们对马来西亚数据中心行业在该地区的投资竞争力和战略地位保持乐观,并有很大的增长空间。

文章作者:Skrine 律师事务所合伙人 Fariz Abdul AzizNatalie LimTan Wei Xian陈炜贤。

1 “土著”是指马来人, 原住民或沙巴和砂拉越的土著。

This alert contains general information only. It does not constitute legal advice nor an expression of legal opinion and should not be relied upon as such. For further information, kindly contact skrine@skrine.com.