越南 外商直接投资（FDI）是越南经济的基石，越南因其成为亚洲增长最快的经济体之一而闻名。自2013年以来，越南年年吸引创纪录的FDI流入，投资者持续认为该国是一个充满活力且极具吸引力的商业运营目的地。越南的投资潜力经常被誉为该地区的最佳投资机会之一。   商业架构 投资者可以考虑的商业形式之一是单一成员有限责任公司（Single-Member LLC），该公司只有一位所有者且不设股份。这种形式的公司仅适用于没有外资持股限制的行业。 多成员有限责任公司（MLLC）适用于外资持股或参与受到限制的行业，或有多个所有者的企业。MLLC没有股份，只有“注册资本”，其责任仅限于各成员的出资金额，成员数量最多为50人。 股份公司，也称为合资公司，其注册资本被分为等额部分，称为股份。股份公司可以发行公司债券，并在越南证券交易所上市。股东可以是组织或个人，且公司必须始终至少有三名股东。 外国投资者可以设立新的法律实体，形式可以为外商独资企业，也可以与越南投资者共同拥有的合资公司。   外资投资限制 在越南，私人土地所有权不被允许。土地由集体或国家所有。外国企业只能从国家或工业区的开发商处租赁土地，或通过合资企业获得使用土地的权利。此外，外国投资者必须注册其投资并遵守额外的限制。这些限制包括外资持股比例限制、行业限制、投资要求、地理限制以及越南合作伙伴的最低资格要求。 禁止外资投资的行业包括化学品、矿物和毒品贸易等，以及一些其他高度敏感或有争议的活动。此外，还有所谓的“有条件”行业，外国投资者必须满足特定条件，如获得提供特定服务的次级许可证（例如零售、教育、金融、电信、物流等）。 外汇交易受到严格监管，资金流入的规则较为宽松，而资金流出的规定则较为严格。外国投资者可以将资本带入越南，但越南投资者若想进行境外投资，则需要通知或获得越南国家银行的批准。离开越南时，携带超过5,000美元现金的人必须申报。外国公民在完全缴纳税款并履行对越南国家的财务义务后，可以将其收益汇回其所在国。   劳动与雇佣 越南的最低月工资根据不同的地理区域，范围在2,920,000越南盾至4,180,000越南盾（约126至181美元）之间。雇主还必须为员工缴纳相当于员工工资总额约21.5%的社会保险、健康保险和失业保险。 雇佣外国员工需要获得许可，且相关部门在决定是否允许或拒绝雇佣外国员工时拥有极大的自由裁量权。不过，越南并没有强制要求雇主必须雇佣本地员工。通常情况下，外国员工必须持有工作许可，并且还需要签证或临时居留卡。初次办理工作许可和签证的总费用大约在980,000越南盾至4,200,000越南盾（约42至181美元）之间。   越南的投资激励措施 特定地理区域、行业以及高科技、科学或技术企业或组织可享受投资激励。这些激励通常适用于投资金额至少为6万亿越南盾（约2.59亿美元）的项目。激励措施通常包括企业所得税的减免或豁免、部分进口商品的关税豁免以及土地使用税和费用的减免或豁免。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/investing-in-mainland-southeast-asia/39/

越南《个人数据保护法》草案（“草案PDPL”）的第一稿于2024年9月24日发布，公开征求意见至2024年11月24日（详情见此处）。预计该草案将在2024年底前提交国会，并将在2025年5月提交通过，计划于2026年1月1日生效。由于草案PDPL包含了大部分《2023年第13号法令/ND-CP》（“PDPD”）的条款，而PDPD自2023年7月1日生效以来一直是个人数据保护的主要法律工具，因此草案PDPL生效后可能会取代PDPD。 请注意，在公众咨询期结束后，草案可能会有进一步的修改。草案PDPL对多项服务提出了新的具体要求。当前版本的一些亮点包括： 营销服务：尽管营销服务已经在PDPD下受到监管，但草案PDPL现在承认，使用个人数据进行营销必须遵守反垃圾邮件法规。当前草案并未明确规定在反垃圾邮件制度下，组织是否可以在初次通话或消息中免于获得同意。营销服务提供商不得将服务外包给其他组织来执行或支持营销业务的实施，这可能会阻止个人数据的共享。 行为广告：行为广告（基于用户活动或个人数据的定向个性化广告）需要数据主体的同意，并且这种同意必须是可修改的，允许数据主体在不同的情境下拒绝共享数据。与营销服务一样，广告服务提供商只能使用通过其业务活动收集的个人数据来提供其广告服务。 大数据处理：组织可以自由利用数据主体在平台上公开的个人数据（这似乎允许处理任何公开可用的数据，只要数据主体不限制使用），只要收集的数据仅用于符合法律规定的业务活动。草案《个人数据保护法》规定，社交网络账户或OTT服务注册的信息不被视为公共数据，未经同意不得处理。 人工智能：组织有权将个人数据用于机器学习算法、人工智能及其他自动化系统的研究与开发，但须向数据主体告知（包括解释算法、人工智能或自动化系统对数据主体合法权益的影响），并应提供数据主体选择退出的权利。 云计算：根据《个人数据保护法》（草案），现要求云服务提供商的客户在云计算合同中包含某些内容，特别是云服务提供商仅为客户的利益并代表客户处理其数据（这与数据处理者的定义非常接近）；必须明确规定赔偿损害的条款；列出安全、技术和组织措施；并确保实施技术措施，以合理分散数据访问权。此外，云服务提供商必须遵守影响评估文件的要求，并遵守关于个人数据保护的相关规定；设立数据保护部门；要求分包商遵守个人数据保护法规；并根据处理的规模和水平采取适当的技术和组织措施。 劳动与招聘：当使用技术手段监控员工时，组织必须确保数据主体的权利和利益，特别是员工必须知情并同意此类监控，且监控不得违反法律。《个人数据保护法》（草案）确认，员工必须同意处理其个人数据——这一规定与欧盟的做法不同，并未采纳员工由于与雇主之间的权力不对等关系可能导致其同意不具有自愿性的观点。对于在全球员工数据库系统中的集团内部数据共享，法律实体必须证明个人数据的收集和处理是合法的，员工则需对其提供信息的合法性负责。此外，草案还指出，员工同意将个人数据共享给集团的一个实体并不代表同意共享给集团的其他实体，每个实体的情况将独立考虑。 金融、银行及信用信息服务：金融机构、信用机构与信用信息机构之间禁止买卖信用信息，亦禁止发送或传输与数据主体相关的未加密金融和信用数据。使用数据主体的信用信息进行信用评分时，必须获得其明确同意。信用信息评估的结果只能是二元形式（如通过或不通过；是或否；真或假等），或基于从金融机构、信用机构、银行或信用信息机构的客户直接收集的数据库的评分方式。在处理的特定阶段，必须采取去标识化措施。信用信息服务/产品仅可提供给金融机构、银行及信用机构，且需遵守法律规定。 健康与保险：在收集和处理健康及保险信息时，必须获得数据主体的同意。健康领域的组织不得向医疗服务提供者或保险提供者提供个人数据，除非数据主体以书面形式提出请求。这表明，仅依赖数据主体的同意可能不足以进行此类共享，健康信息的共享只能由数据主体的请求发起。在再保险背景下的健康信息共享，任何数据传输都必须在与数据主体的合同中明确说明。 一般B2C业务：合同中必须包含个人数据保护条款，明确规定各方的责任、权利和义务。 《个人数据保护法》（草案）还认可了以下新型服务：(i) 个人数据保护信任评级机构，(ii) 个人数据保护组织和专家（尤其是“数据保护官服务”即DPO-as-a-service），这明确表明外包数据保护部门和数据保护官（DPO）是被接受的。   个人数据保护信任评级机构 个人数据保护信任评级机构评估组织全面遵守个人数据保护法规的能力。该评估将分析风险因素及其对履行个人数据保护义务能力的影响，重点涵盖市场和商业环境风险、技术风险、治理风险、人员风险及财务风险。评估结果将分为四个等级——“高度信任”、“信任”、“通过”和“未通过”，并将结果报告给“信任评级委员会”（该术语在《个人数据保护法》（草案）中尚未定义）。 组织必须满足某些资格要求才能获得提供信任评级服务的证书，这些要求包括但不限于以下方面： 注册资本不少于 50 亿越南盾； 至少具备一年个人数据保护领域的工作经验； 至少雇佣三名合格的个人数据保护信任分析师。 根据《个人数据保护法》（草案），所有处理敏感个人数据的组织必须获得信任评级。鉴于敏感个人数据的广泛定义，其中包括在雇佣关系中必须处理的个人数据（例如用于工资支付的个人数据），这一要求实际上将适用于所有组织。   个人数据保护专家和组织 个人数据保护专家（“PDP专家”）被定义为具备技术和/或法律能力的人员，由特定的处理实体任命，担任个人数据保护专员（即数据保护官）。PDP专家必须从认证机构获得资格证书，认证机构的职责是确保PDP专家具备足够的能力胜任其角色。公安部（MPS）将依赖经许可的认证机构向合格的PDP专家颁发资格证书，合格的PDP专家至少应持有相关领域的大学学位，并完成数据保护认证课程。 个人数据保护组织（“PDPO”）是指可以由特定数据处理实体（包括数据控制者、数据控制处理者、第三方、数据转让者和数据接收者，但不包括数据处理者）指定为其个人数据保护部门的实体。PDPO为其指定的实体提供个人数据保护服务，以满足其数据保护需求。公安部（MPS）将负责向PDPO颁发许可证，前提是PDPO必须至少雇佣一名具备技术和/或法律能力的PDP专家；从事与技术和/或法律相关的职能、任务、业务领域或行业；并获得“通过”或以上的信任评级。 《个人数据保护法》（草案）对从事数据处理服务的企业提出了新的要求，该业务现在被定义为一种有条件的业务类型（包括任何为数据控制者处理数据的数据处理者）。这些要求尤其包括：至少拥有一名技术和法律专家（或分别拥有一名技术专家和一名法律专家）；注册与技术或法律服务相关的业务，或与个人数据保护相关的技术或法律咨询业务；并获得“通过”或以上的信任评级等级。   展望  总而言之，《个人数据保护法》（草案）认可了新的数据保护服务，似乎旨在通过PDP专家和PDPO的认证机制及信任评级机构建立信任，并为各行业制定具体的个人数据保护规定。鉴于越南在个人数据保护方面的意识仍然较低，这些新服务及行业特定的规定可能有助于公安部（MPS）在能力建设方面的努力。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/vietnams-draft-personal-data-protection-law-an-in-depth-look/

在2024年初，泰国众议院和内阁批准了关于开放娱乐综合体的研究报告后，《娱乐综合体法案》“娱乐综合体法案”）终于向公众征求意见，并现正由财政部审议。《娱乐综合体法案》旨在放宽对娱乐综合体的限制，推动包括赌场在内的娱乐综合体的建立，允许国内外投资者参与其中。   主要要点： 根据《娱乐综合体法案》，“娱乐综合体”指的是一个场所内至少经营四种类型的娱乐业务，并附带赌场。这些娱乐业务可能包括五星级酒店、餐厅和酒吧、游戏中心以及百货商店等。 根据截至本出版日期的公开信息，《娱乐综合体法案》及其未来的附属立法应包含以下关键要求： 许可要求： 欲经营娱乐综合体业务的运营商必须首先获得许可证。申请资格要求包括：(1) 申请人必须是在泰国注册成立的公司；(2) 申请人必须具有至少100亿泰铢的实缴资本。该许可证将作为“超级许可证”，不仅涵盖赌场活动，还包括综合体内的其他业务，如酒店、餐厅、酒吧和游戏中心，这些业务在通常情况下可能需要分别申请不同的许可证或许可。许可证的有效期为30年，到期后可续期10年。许可证费用可能取决于娱乐综合体的具体位置。 最低投资要求：根据起草委员会的准备工作，娱乐综合体业务许可证可能会根据投资规模分为四个不同类别：小型、中型、大型和超大型。目前预计将提供超大型类别的许可证，所需投资额为1000亿泰铢。 娱乐综合体的选址：建议娱乐综合体应设立在以下区域：(1) 距国际机场100公里范围内，(2) 旅游省份（如曼谷），以及(3) 边境省份（如经济走廊地区）。然而，此要求尚未纳入《娱乐综合体法案》，可能会在附属法规中进一步详细规定。 税收：娱乐综合体业务运营商可能需缴纳累进税率的企业所得税，以及对赌场收入（即扣除发给玩家的奖金后的毛博彩收入，GGR）征收17%的赌场税。根据与赌场同时运营的其他娱乐业务类型，可能还会适用其他消费税。 赌场入场要求：为防止弱势群体进入赌场，可能对泰国居民玩家征收赌场入场费。 随着泰国开启这一变革性的进程，重新定义其娱乐行业，《娱乐综合体法案》的引入有望重塑赌场格局，并为国内外投资者创造新的商业机会。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/thailands-new-frontier-casino-landscape-set-for-change/15/

泰国电子交易发展局（ETDA）今年早些时候发布了关于管理数字平台服务（DPS）上广告的指南。该指南旨在防止欺诈、非法产品或服务的提供以及诱导实施非法行为，并可能为未来在此问题上加强监管奠定基础。 以下是指南中对数字平台服务业务运营商的主要义务的详细说明：   广告主筛选和数据收集 验证与数据收集：业务运营商必须建立验证和收集广告主数据的流程，包括注册广告主的步骤、方法和所需信息。 身份验证：业务运营商应遵循广告主注册的身份验证要求。这可能包括使用其他身份验证提供商的验证结果，或自行进行身份验证，确保最低身份保证级别（IAL）达到IAL2。 数据存储：广告主的数据必须以机器可读的格式存储。业务运营商还必须维护监控名单、黑名单和白名单的记录，以确保合规性和广告主的追踪管理。   广告发布前审查 审查流程：业务运营商应在广告发布前对广告进行审核。审核应考虑以下因素：是否为禁止或受限广告、广告是否具备必要的许可，以及避免涉及敏感用户数据的内容。   广告发布后监控： 广告监控：业务运营商必须通过自动化系统、员工或外包人员对已发布的广告进行监控，并制定优先审查的标准。 报告渠道：业务运营商应为用户提供举报非法或不当广告的渠道，并对举报进行及时处理，尤其是涉及知识产权所有者或多次可信举报的情况应优先处理。 广告主账户监控：业务运营商必须对广告主账户进行监控，包括考虑收到的举报/标记数量，以及广告主是否遵守服务协议和社区标准。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/thailand-issues-guidelines-for-advertising-on-digital-platforms/

2024年10月1日，泰国内阁对国家反腐败委员会（NACC）提出的有关防止网络赌博腐败的建议表示认可。泰国数字经济与社会部（MDES）被指定为牵头机构，与各相关部门合作，就网络赌博相关法律的修订和更新达成共识。 在指派数字经济与社会部（MDES）担任此角色时，内阁强调了以下关键事项的重要性： 成立国家委员会。国家委员会将由一名部长担任主席，成员包括相关机构，如政策制定机构、技术机构、频率管理机构、执法机构以及其他专家。委员会的主要职责是审议网络赌博相关法律的修订和更新。 网络赌博的紧急行动。由于网络赌博被视为一个需要紧急处理的严重问题，各相关机构如泰国皇家警察、泰国银行和反洗钱办公室将共同制定政策，以提升对网络赌博问题的重视。 公众意识与执法。将开展公众意识宣传活动，教育公众了解网络赌博的风险及其法律后果，并严格执行有关网络赌博及相关金融犯罪的法律。 遵守《网络安全法》。必须确保严格遵守《泰国网络安全法E. 2562 (2019)》，同时将政府数据系统迁移至云计算，以加强数据安全。   下一步行动 数字经济与社会部（MDES）负责总结相关讨论的结果、已采取的行动以及总体意见，并将总结报告提交给内阁秘书处，供内阁进一步审议。 这些措施旨在应对和减轻与网络赌博及相关腐败的风险。鼓励各相关方及时了解这些修订的进展，并参与即将开展的公众意识宣传活动。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/thailand-amends-online-gambling-laws/29/

2024年6月28日，越南国家银行（SBV）发布了第19/2024/TT-NHNN号通知，对2023年6月30日发布的第08/2023/TT-NHNN号通知（“第08号通知”）的部分规定进行了修订，涉及未获得政府担保的外债条件（“第19号通知”）。 第19号通知自2024年7月1日起生效，并对包括用于支付货物进口合同和信用证的外债等方面进行了修订。   用于支付货物进口合同的外债 第08号通知免除了以延迟支付进口货款形式（买方-卖方关系）产生的外债适用的相关条件。第19号通知增加了关于非银行借款人通过外债支付货物进口合同延迟付款的规定（买方-卖方-贷款人关系），这些合同用于执行投资项目、生产或商业计划或其他项目。 在这种情况下，外债的用途被确定为用于执行投资项目、生产或商业计划或其他项目。借款人在计算外债限额时，可排除因进口合同延迟付款而产生的中长期外债余额。此外，借款人被允许向外国贷款人借款，通过信用证支付货物进口合同。然而，需要注意的是，借款人仍需遵守与这些贷款相关的其他要求，例如外债协议、货币及记录/报告义务。   信用证 根据2024年《信用机构法》将信用证（L/C）活动从“支付服务”重新分类为“信贷扩展”后，第19号通知将L/C活动纳入现行外债监管框架。该通知补充了涉及信用机构与外国银行分行（作为开证行）及非居民银行（作为偿付银行）之间的外债条款，其中开证行作为借款人，偿付银行作为贷款人，向受益人支付款项时发生的外债关系。 幸运的是，信用证（L/C）活动中的外债豁免了准备外债资金使用计划或债务重组计划的要求，同时也不受适用于商业银行、外国银行分行及其他信用机构借款人的短期外债限额的限制。 相关方还应注意，L/C活动的详细规定见于2024年6月28日发布的第21/2024/TT-NHNN号通知，该通知与第19号通知在同一天生效。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/state-bank-of-vietnam-updates-conditions-for-foreign-loans/

泰国数字经济与社会部（MDES）下属的个人数据保护委员会（PDPC）宣布根据《个人数据保护法》B.E. 2562（2019）（PDPA）做出的首例行政罚款裁定。一家大型私营公司因未遵守PDPA的特定规定，导致个人数据未经授权泄露给诈骗电话团伙（电话诈骗犯），被罚款700万泰铢。 不合规的主要发现 个人数据保护委员会认定，该公司存在三项违反《个人数据保护法》特定要求的主要违规行为： 未任命数据保护官（DPO）：尽管该公司在其核心业务中处理了超过10万人的个人数据，但未按要求任命数据保护官。 安全措施不足：该公司未采取必要的安全措施，导致数据泄露事件，涉及电话诈骗团伙，造成广泛损害。 数据泄露通知延迟：该公司未在规定的时间内向相关当局通报数据泄露事件，也未及时处理该事件，致使问题无法得到有效解决。 除罚款外，个人数据保护委员会及《个人数据保护法》专家委员会还发布了整改命令，要求该公司采取以下行动，并在接到命令后七天内向PDPC办公室报告相关的整改措施： 实施最新的安全措施：该公司必须改进现有的安全措施，以防止未来的数据泄露，并确保这些安全措施与不断变化的技术同步更新。 提高员工意识：公司必须对相关人员进行培训，确保其了解数据合规性和数据保护的实践。 这一重大行政行动为泰国政府和商业部门处理数据泄露事件树立了先例，同时也确认了遵守《个人数据保护法》的重要性，特别是加强安全措施、及时进行数据泄露通知以及任命专职数据保护官的必要性。 此次罚款凸显了与不合规相关的财务和声誉风险。各组织不仅需要完善的数据保护措施以遵守法规，还需通过保护个人数据来维护公众信任。 这一具有里程碑意义的裁决为泰国的数据保护与合规设立了新的标准。凡在泰国运营或与泰国有业务联系的企业，应重新审视其数据保护策略，确保其符合最新法律要求，避免今后出现类似的违规行为及相关处罚。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/landmark-fine-imposed-under-thailands-personal-data-protection-act/

近年来，泰国的金融格局发生了显著变化，尤其是在金融科技（Fintech）技术的快速采用方面。此次变革的前沿是电子支付系统和服务，这些系统和服务已经彻底革新了个人和企业进行金融交易的方式。 这场变革由传统金融机构和替代性金融服务运营商共同推动。监管这一动态格局的主要有两个监管机构：泰国央行（Bank of Thailand，简称BOT）和泰国证券交易委员会（Securities and Exchange Commission，简称SEC）。 本文探讨了泰国电子支付系统的发展，重点关注2017年颁布的《支付系统法》（Payment Systems Act，简称PSA）及其在塑造金融科技生态系统中的作用。   支付系统法 2017年10月，泰国通过《支付系统法》，在监管其快速增长的电子支付领域方面迈出了重要的一步。这部具有里程碑意义的立法旨在建立并确保电子支付系统的稳定性，并在数字金融领域加强消费者保护。《支付系统法》通过将电子支付业务分为两大类：支付系统和支付服务，构建了一个全面的监管框架。   《支付系统法》下的电子支付系统 《支付系统法》规定了两类需要特定许可或注册的电子支付系统： 中央或网络系统：此类系统在服务用户之间作为资金转移、清算或结算的中心或网络。这些系统连接不同的机构或用户，促进资金流动、交易清算和结算。以下是一些典型例子： 跨机构资金转移系统：用于在不同金融机构之间进行资金转移的系统。 支付卡网络：处理通过信用卡或借记卡进行的支付交易的网络系统。 结算系统：用于确保金融交易完成后的资金或证券交割的系统。 公共利益系统：这一类别包括任何可能影响公共利益、公众信心或支付基础设施稳定性和安全性的其他支付系统。 《支付系统法》下的电子支付服务 《支付系统法》还识别出几种需要特定许可证或注册的电子支付服务： 信用卡、借记卡和ATM卡 电子货币 电子支付 收单 支付便利化 代收款服务 电子资金转账 其他可能影响金融系统或公共利益的支付服务   展望未来 随着泰国在金融领域继续拥抱数字化转型，《支付系统法》为支付技术的未来发展奠定了坚实的基础。该法律建立的监管框架为该国电子支付系统的持续演进提供了结构保障。 BOT和SEC继续在塑造泰国电子支付的未来中发挥关键作用。他们在平衡创新与稳定性和消费者保护方面的持续努力，对于保持泰国作为东南亚金融科技领导者的地位至关重要。 对于在泰国金融科技领域运营或希望进入该领域的企业来说，理解和遵循《支付系统法》至关重要。随着电子支付环境的不断发展，公司应及时了解监管更新，并准备调整其服务以符合PSA的要求。这种积极的做法不仅能确保合规性，还能使企业在泰国不断发展的电子支付生态系统中抓住日益增长的机会。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/fintech-insights-e-payments-in-thailand/