码脑 | 亚马逊的十条出海合规经验
#码脑 生态连接,认知共鸣
合规是悬在中国出海企业头上的一把“利剑”。在海外不同的文化环境、政策法规、市场准入要求下,中国企业往往因为不懂当地的明法令、潜规则要求,面临着诸多直接和潜在的风险,尤其在合规问题上,屡屡成为“箭靶”。
8月12日晚,源码出海系列第4场在线上举行,聚焦“如何应对出海合规挑战”。源码特别邀请了两位拥有丰富海外合规实践经验的嘉宾:广东省跨境电子商务产业研究院专家、辰海集团解决方案总监陈郊,AWS亚马逊云科技高级安全合规专家周盈,分享了财税合规、数据合规、隐私合规、产品合规、运营合规等出海企业常见合规问题以及解决方案。
在两个小时交流中,嘉宾与线上参与企业深度讨论了数据迁移、财税合规等方面的实操问题。
01 产品合规
Q:如果出海企业的多个海外站点共用一个品牌授权,是否存在潜在风险?
陈郊:会有“品牌连坐”或“品牌连带责任”的风险。
“品牌连坐”主要是指同一品牌下的授权账号属于同一控制人,只要有一个品牌有违规行为,品牌管理的其他账号都视为有连带责任。平台可能就会要求其他站点上的相关产品下架。“品牌连带责任”指的是相同名称商标有连带责任,一个品牌被亚马逊加入黑名单后,则其他相同品牌名称的同一国家商标或不同国家商标都会被限制销售。
对应的解决方案主要有三点:
解除授权,参考某些知名公司的子母品牌的布局,一定程度上是一种分散潜在风险的方式。
品牌隔离,根据需要,对核心品牌做注册、备案。
品牌监管,主要针对品牌商标抢注问题,为了避免商标被抢注,需要在不同的站点提早布局。
Q:中国企业产品出海时有哪些必须做的检测认证?
陈郊:依据欧盟/英国标准进行产品检测,合格后出具相对应报告和证书,才可以进入欧洲当地市场,这相当于是一个准入门槛。一般来说主要是CE认证、UKCA认证、REACH认证和ROSH认证。境外制造商需要明确制定欧洲经济区EEA(包括EU和EFTA)英国当地的一个自然人或法人,来代表EEA/英国境外的制造商履行欧盟/英国相关的指令和法律对制造商所要求的的特定职责。如果在当地有办公室,可以用自己的人来做欧代/英代,如果没有就要找专门的服务商。
德法EPR现在是必须得有的,这里特别要注意的是,基于环境保护的出发点,在德国/法国制造、进口、销售符合EPR要求的产品都需要相应产品的注册号、申报自然年的产品重量。包括亚马逊在内的多平台已通知注册EPR,否则将下架产品。亚马逊要求在2022年6月30日之前完成德国《包装法》的合规,在2022年12月31日之前完成德国WEEE EPR的合规。
02 财税合规
Q:中国企业在布局海外市场时,要重点考虑哪些财税合规的要点?
陈郊:重点考虑以下五点:第一、电商的海外本土市场容量,选择人口多,消费能力强,电商覆盖率大的国家注册公司。第二、时效,考虑国家线上化率较为普及的国家,欧洲政府办公效率偏低。第三、注册费用,德法意西等发达国家注册费用偏高,适合进入主流市场的卖家;塞浦路斯、荷兰等国家注册费用较低,维护简单,适合中小型卖家。第四、物流仓储便利程度,尽量选择物流仓储便利,成本低的国家。第五、公司维护成本,主要是公司每年年审、税审、税务成本等。
Q:在税务风险管理方面,出海企业怎么确保合规?
陈郊:我有四个建议:第一,选择专业负责的税代,最好实地考察;第二,申报真实金额,且按时申报并缴纳税金;第三,使用自有税号走正规物流清关,过去很多人选择双清灰关,双清灰关下的货权属于货代,这样货代有风险,企业自身也有风险,一旦被稽查,会面临货物风险和税务风险;第四,如果是本土店铺,要监控远程销售额,建议这个阈值定在1万欧元/站点。
当被税务部门稽查后,大概率会要求你提供以下几点,不一定全部都有。一,VAT号、清关识别码;二,平台的销售额;三,VAT申报税前支付凭证;四,海关环节的清关文件、进口增值税、关税等;五,货运公司带有货物信息的商业发票;六,增值税发票,以上这些都有可能被要求提供,以及其他税局特别要求的文件。税务部门一旦发现问题大多会以邮件的形式通知企业,所以要对税局的相关信件保持关注。
Q:对跨境电商卖家来说,资金流上有哪些常见的“坑”?
陈郊:跨境卖家的资金流常见的“坑”主要体现在四点:
收款时,绝大部分销售收入由第三方支付平台直接提现到国内个人私卡,金额巨大且并未做公账收入确认与税务申报,资金来源无法向国家合理解释,可能引发稽查风险;
采购时,使用私卡交易,金额大且交易频繁,金税四期(第四期国家金税工程计划)下,易被银行监管冻结,进一步影响合作与供货稳定;
出口时,绝大部分货物走双清包税,没有用自己公司的抬头正常报关,名义货权不属于公司,无正规报关单,视同内销补税;
管理时,员工工资对私结算,未依法为员工代扣个税,若有历史或现有员工举报,税局稽查易穿透其他各层面涉税问题。
Q:如何有效规避资金流上的“坑”?
陈郊:应对上述风险,主要要通过海内外的架构搭建,来确保股权流、货物流、资金/税务流合规通畅,所有的资金都通过公司来走。海内外的架构搭建经过了1.0阶段的贸易型出海架构、2.0阶段的工贸一体化出海架构,到了今天3.0阶段的本土品牌化出海架构(详见下图)。
搭建海外本土公司的好处主要在于:
规避平台代扣代缴,本土店铺不用平台代扣代缴VAT,能大幅缓解资金占用问题;
合规清关,本土公司统一进口合规清关,进口环节的增值税可以申请递延;
本土品牌打造,打造本土旗舰店,能更好地提升品牌影响力,本土品牌也会获得平台流量倾斜,有利于信贷估值;
拓宽销售渠道,海外统一进口清关之后,可以进一步卖给当地的经销商、商超等,做to B端的生意,也利于销售滞销产品;
利润转移,可以将销量一般的商品,或是滞销产品给非关联的公司,把利润转移给集团关联公司;
风险低,海外本土店铺相比跨境店铺,被稽查的概率更小。
Q:内地公司发货、香港公司收款,资金流和货物流无法匹配,这种业务流、资金流、税务流错配带来的税务风险该如何处理?
陈郊:所有资金流都是基于业务模式,而业务模式可能涉及到货物贸易,也可能涉及服务贸易。一旦涉及到货物贸易,出口报关单就变得尤为重要。
举例来说,货物从国内出口公司发到海外仓,报关单上则需要出现两个公司的抬头,第一个是出口公司的抬头,另一个是香港公司的抬头。货物流上,货不用经过香港,但是在业务流上,货其实是先卖给香港公司,香港公司再卖到海外的,所以需要在报关单上体现出来。这样一来,香港公司收到钱之后就可以以货款的形式打回到出口公司。
如果涉及到的是服务贸易,收入都集中在香港公司内时,可以通过服务贸易的形式把收入利润打回内地。举例来说,如果公司的办公人员都在内地,而这些人员实际为香港公司的业务提供了服务,内地公司可以开形式发票和合同给香港公司,香港公司以服务贸易的形式把利润收入打回内地。特别需要注意的是,内地服务公司需要向税局申请免增值税备案,如果没有备案的话,就需要缴纳服务费的增值税。
03 隐私合规
Q:个人信息的违规成本有多大?
周盈:很多企业都非常关注隐私合规,一方面因为和业务息息相关,另一方面是因为个人信息违规成本很高。一般来讲,个人信息的违规成本主要在两方面:第一,产品被封禁或下架;第二,高额罚款。
2022年6月,工信部通报已累计下架违法违规APP近300款,其中主要是违规收集个人信息,除了中国以外,美国、印度、欧盟、澳大利亚、印尼这些国家也都会对违反内容安全,或者是个人信息相关的APP进行封禁处理。
除了封禁下架,更主流的处罚方式是罚款,滴滴前段时间被罚10多亿美元,刷新的最高罚金记录,在此之前的最高罚款案件是英国航空公司数据泄露案,被罚2.04亿欧元。而触发罚款的主要事件类型:一是数据泄露案件;二是营销类案件,包括电话营销与定向广告推送。
Q:中国企业在做海外数字营销过程中,有哪些数据安全的隐患和风险?
周盈:数字营销方面,我们遇到比较多的情况是通过邮件的方式做推送。当然,最好是先征得用户的同意,但情况会根据各国的规定不同而不同。
欧盟、中国、新加坡、巴西规定推送前必须征得用户同意,在美国、日本就不用,因为他们本身想促进产业发展,但必须有“退订”功能,且需要在隐私政策里说明收集用户信息会用于营销推送。
Q:每个国家法律不同,跨境多国业务怎么搭建隐私合规体系?
周盈:在分析了130多个国家的《个人信息保护法》之后,我们发现这些国家法律的架构基本相似,都包含数据处理原则、数据处理的合法性、数据主体权力、问责和治理和跨境数据传输。公司在海外若有多国业务,我们建议用GDPR(欧盟发布的《通用数据保护条例》)和CDPA(美国弗吉尼亚发布的《消费者数据保护法》)这两套法律建立自己企业的隐私合规体系。
图片来源:嘉宾分享PPT
具体企业在搭建自己的隐私合规体系时,建议分三步走:
先建立用户感知,在面向客户的产品或客户端上,增加隐私设置功能,比如非必要权限的开关,关闭个性化推荐和关闭营销推送的开关,提供账号注销、账号删除、个人数据下载的功能等。
建设后台能力支持,这里主要是搭建3个中心:隐私控制中心、合规情报中心和个人信息泄露事件响应中心。我建议企业一定要把用户投诉监控做好,因为欧盟和美国的用户,个人信息保护意识强,他们的监管机构的官网也有直接投诉的入口,所以如果在和企业申诉后没有得到满意处理,消费者会直接去监管机构投诉,进而使事件发酵,因此建议企业预留处理客诉的通道。
获取第三方认证,在完成了企业内的隐私合规建设之后,建议找一个第三方认证机构来认证建设成果,这也可以帮助企业更好地应对海外的监管。
Q:不同发展阶段的出海企业,会遇到哪些跨境数据合规的挑战?
周盈:我们和很多出海企业交流过,把出海企业分成三个阶段:
第一阶段——试水阶段。这个阶段的主要挑战是业务存货,此时企业以业务发展为先,合规投入有限,我们建议企业提前规划海外数据合规的建设图,可以避免一些不必要的坑。
第二阶段——起步阶段。此时企业在海外的基本盘已经稳了,面临的主要挑战是国内/外业务拆分,挑选评估适合的海外region。同时,也会开始出现跨境访问和传输,需要做数据跨境监控。
第三阶段——成熟阶段。此时,随着业务体量变大,国家数变多,监管形势更加复杂,需要把国际化数据做新的region拆分。此时的挑战主要是国际化业务细分,调整region,新开国本地化,以及数据跨境访问和传输的情境也会变得更加复杂。建议评估考虑,让数据存储在适合的region里,并在数据跨境监控的基础上,形成数据跨境地图,有必要的话,搭建数据隔离仓。
Q:结合亚马逊自身的实践,有哪些合规方面经验方法值得中国企业借鉴?
周盈:重点需要考虑以下10个方面:
找准一个均衡点,企业合规要在业务发展和满足规范要求之间达到一个持续动态的平衡状态,始终保持适度合规;
合规工作流要端到端去解决,包括证据收集、差距分析、改进措施……需要有一个牵头部门从头到尾负责,端到端的解决合规问题。
安全合规要关注点,更要关注面,安全合规要走在业务发展的前面;
数据合规要嵌入到产品研发,产品研发团队要配置专职的安全工程师,从第一行代码开始,进行安全合规设计和审查;
主动和监管机构沟通,积极参与各种国家标准、国际标准的制定,主动合规;
快速投入,因为合规的问题涉及非常广,一旦确立了业务所属的范围和适用的数据合规的标准,就要快速动作;
将数据合规的要求转变为可操作的技术要求,安全合规的要求相对枯燥,需要根据转变成相对容易理解的业务语言;
将安全合规、数据合规的培训常态化;
加强安全合规团队的技术力量;
关注自动化,如果一个事情重复发生的话,就要考虑引入自动化。比如,合规问题的重复提出,合规证据的重复获取,或者是合规技术的重复使用。