柬埔寨律所｜柬埔寨数字经济与电子商务法律框架：中资科技企业进入柬埔寨市场的合规指南

一、引言

"余律师，我们的社交电商平台准备进入东南亚市场，泰国和印尼监管太严格了，听说柬埔寨比较宽松，我们是不是可以先从柬埔寨切入，等规模做大了再应对其他国家的合规问题？"

这是2024年以来我接触的多家中国科技公司普遍存在的认知误区。柬埔寨数字经济确实起步较晚、法规体系尚待完善，这在一定程度上降低了市场进入门槛。但"法规不完善"绝不等于"没有法规"，更不等于"没有执法"。事实上，柬埔寨近年来在电子商务、数字支付、消费者保护和网络安全领域的立法进展非常迅速，监管部门的能力建设也在显著加强。

柬埔寨的数字经济正在经历爆发式增长。根据柬埔寨邮电部（Ministry of Post and Telecommunications, MPTC）和世界银行的联合报告，2025年柬埔寨互联网普及率已达62%，手机用户超过2，100万（全国人口约1，700万，手机渗透率超过120%），移动支付用户超过1，000万。电子支付平台Bakong（由柬埔寨国家银行推出的全国性数字支付系统）的日均交易额已突破8亿美元。这些数据背后，是一个正在快速数字化的新兴市场。

对于有志于进入柬埔寨市场的中国科技企业而言，关键挑战在于：如何在抓住市场机遇的同时，有效管理法律合规风险——特别是在监管框架尚未完全定型、部分领域存在监管真空的情况下。本文将从电子商务、数字支付、数据保护和网络安全四个维度，系统梳理柬埔寨数字经济法律框架及其对中资科技企业的合规要求。

二、法律框架：柬埔寨数字经济法规体系

1. 1 《电子商务法》（Law on E-Commerce 2019）

柬埔寨《电子商务法》于2019年11月2日通过并正式生效（以下简称"2019年电商法"），是柬埔寨数字经济领域的基础性立法。该法共分10章82条，借鉴了联合国国际贸易法委员会（UNCITRAL）《电子商务示范法》的框架。

第1章（第1-4条）：总则，包括适用范围和基本定义。该法适用于所有通过电子方式进行的商业交易，包括电子商务平台运营、电子合同、电子签名和电子证据等。

第2章（第5-14条）：电子合同的法律效力和成立要件。第8条明确规定，电子合同的效力不得因其以电子形式缔结而被否定。第10条规范了电子合同的要约和承诺的时间认定规则。

第4章（第20-32条）：电子签名制度。该法确立了电子签名的法律地位——第21条规定，电子签名与手写签名具有同等的法律效力。第22条至第25条区分了"一般电子签名"和"数字签名"，其中数字签名（基于PKI技术的数字证书）享有推定真实性（presumption of authenticity）的法律效力。

第5章（第33-45条）：电子商务服务提供者的义务，包括：

• 信息提供义务（第34条）：须在网站上公开服务提供者的身份信息、联系方式、注册信息等
• 合同文本保存义务（第36条）：须保存电子交易记录至少5年
• 安全保障义务（第38条）：须采取适当的技术措施保障交易安全
• 第三方内容的免责（第42条）：在特定条件下可免除对第三方发布内容的侵权责任（安全港制度）

第6章（第46-52条）：网络服务提供者的责任。第47条规定了"通知-删除"机制（Notice-and-Takedown）：权利人可通知服务提供者删除侵权内容，服务提供者在接到有效通知后须及时删除，否则承担相应的侵权责任。

第8章（第62-75条）：电子证据的法律效力。第63条规定，电子证据在诉讼中具有可采性，但其证明力由法院根据电子证据的可靠性和完整性综合判断。

第9章（第76-82条）：违法行为和处罚。未经许可提供电子商务服务的，可处以行政处罚和/或刑事处罚。罚款金额通常为1，000至10，000美元。

1. 2 《消费者保护法》（Law on Consumer Protection 2019）

《消费者保护法》于2019年11月2日与《电子商务法》同日通过（以下简称"2019年消保法"），两法配套实施。该法共分11章52条。

第2章（第4-9条）：消费者的基本权利，包括知情权、安全保障权、损害赔偿请求权等。

第3章（第10-17条）：经营者义务。第10条规定经营者须提供真实、准确、完整的商品或服务信息，不得进行虚假或误导性宣传。第14条规范了线上零售的退货权和三包（保修）义务——消费者在收到商品后7天内享有无理由退货的权利（除非商品在性质上不适用于退货，如定制商品、时效性商品等）。

第4章（第18-22条）：不公平商业行为。明确禁止欺诈行为（第18条）、压迫性行为（第19条）和误导性广告（第20条）。违反上述禁止性规定的，消费者可要求撤销交易并获得赔偿。

第9章（第41-47条）：法律责任。违反该法的行为可被处以最高25，000美元的行政罚款，情节严重的可追究刑事责任。

1. 3 数字支付法规——NBC监管框架

柬埔寨的数字支付和金融服务监管主要由柬埔寨国家银行（NBC）负责。核心法规包括：

《金融科技监管框架》（NBC FinTech Regulatory Framework, 2017） —— NBC首次系统性地对金融科技创新进行监管，确立了"沙盒监管"（Regulatory Sandbox）制度，允许金融科技公司在受控环境中测试创新产品和服务。沙盒测试周期通常为6-12个月，可延长一次。

《支付服务提供商Prakas》（NBC Prakas on Payment Service Providers, 2020, No. B7-020-080） —— 规范非银行支付服务提供商的设立和运营。根据该Prakas，支付服务提供商须在NBC注册，分为以下类别：

• 第一类：支付服务（Payment Service）—— 包括账户管理、支付发起、资金转移等基础支付服务
• 第二类：电子货币发行（E-Money Issuance）—— 发行电子货币，须满足最低资本金要求（约50万美元）
• 第三类：清算和结算服务（Clearing and Settlement）—— 作为清算机构运营，须满足更高的资本和风控要求

《许可制度Prakas》（NBC Prakas on Licensing of Banks and Financial Institutions, 2022） —— 统一了各类金融机构（包括数字银行、小微金融机构MDI、金融科技公司等）的许可和监管标准。

Bakong系统运营规章 —— Bakong是NBC推出的基于区块链技术的全国性数字支付和零售支付系统。其运营规则由NBC制定。Bakong已与泰国、马来西亚、越南、老挝等国的数字支付系统实现互联互通，支持跨境扫码支付。外资科技企业如希望接入Bakong系统，须与持有NBC支付牌照的本土金融机构合作。

1. 4 网络安全、数据保护立法动态

柬埔寨在网络安全和数据保护领域的立法尚处于发展阶段。截至目前：

《网络安全法（草案）》（Draft Cybersecurity Law） —— 该法草案自2023年起向社会征求意见，预计将在2026年内通过。草案核心内容包括：

• 设立国家网络安全委员会（National Cybersecurity Committee）
• 要求关键信息基础设施（CII）运营者（包括电信、金融、交通、能源、数字平台等领域的企业）实施强制性网络安全措施
• 数据泄露通知义务——发生数据泄露须在72小时内向主管部门报告
• 跨境数据传输的审批要求——涉及柬埔寨公民个人数据向境外传输的，须经国家网络安全委员会批准
• CII运营者须在柬埔寨境内设立本地数据中心存储数据（数据本地化要求）

《个人数据保护法（草案）》（Draft Personal Data Protection Act） —— 该草案同样处于审议阶段，预计将在2026-2027年通过。草案核心内容包括：

• 数据处理的合法性基础（同意、合同必要性、法定义务、正当利益等）
• 数据主体权利（知情权、访问权、更正权、删除权、数据可携权等）
• 数据处理者的义务（数据安全措施、数据泄露通知、数据保护影响评估等）
• 数据跨境传输的保障机制（充分性认定、标准合同条款、企业约束规则等）
• 设立数据保护监管机构
• 违法行为可处以年营业额2%至4%的行政处罚

《电信法》（Law on Telecommunications 2015） —— 规范电信服务的提供。根据该法，通过网络提供增值电信服务（包括OTT服务）的企业须向MPTC申请许可。

《网络犯罪法》（Law on Cybercrime 2022） —— 2022年通过，主要针对网络犯罪行为的刑事定罪和处罚，包括非法访问系统、数据干扰、网络欺诈、网络色情等。该法对数字平台的内容审核义务提出了要求（第27条：平台须及时删除违法内容）。

1. 5 东盟层面的数据保护协调

柬埔寨作为东盟成员国，参与了东盟层面的数字经济规则协调：

• 东盟数字经济框架协议（ASEAN Digital Economy Framework Agreement, DEFA） —— 2023年启动谈判，预计2026年签署。该框架旨在推动东盟区域内数字贸易规则的一体化
• 东盟数据管理框架（ASEAN Data Management Framework, DMF, 2020） —— 为东盟企业提供数据治理的最佳实践指南
• 东盟跨境数据流动示范合同条款（ASEAN Model Contractual Clauses for Cross-Border Data Flows, 2021） —— 为东盟内的跨境数据流动提供标准化合同模板

三、风险分析：科技企业面临的法律合规风险

1. 1 电子商务平台的运营合规风险

未取得电商运营许可的风险：根据2019年电商法第76条，未经MPTC许可擅自从事电子商务服务的，可被处以行政罚款和/或刑事处罚。2024年，MPTC与柬埔寨商务部联合开展电子商务企业专项检查行动，对多家未注册的电商平台运营商发出警告。部分中资社交电商平台因在柬埔寨境内开展业务但未在MPTC注册而被责令暂停运营，直到完成注册手续。

虚假宣传和消费者投诉风险：2019年消保法第10条对商品信息真实性提出了严格要求。多家在柬埔寨运营的跨境电商平台曾因商品描述不准确、功效宣传夸大等问题被消费者投诉到柬埔寨消费者保护、竞争与反欺诈总局（CCF）。CCF有权对违规平台进行调查、发出禁令并处以罚款。2025年初，一家中资电商平台因其上架的部分保健品存在功效宣传不当问题，被CCF处以2万美元的罚款，并责令下架相关商品。

1. 2 数字支付服务的牌照风险管理

无照经营支付业务的风险：根据NBC的支付服务提供商Prakas，在柬埔寨境内从事支付服务或发行电子货币须持有NBC颁发的许可。2023年，NBC与柬埔寨国家警察联合执法，查获一家在未取得许可的情况下通过手机App提供转账和代收代付服务的中资背景科技公司。该公司被认定违反NBC规章，被责令停止业务、冻结相关账户，其负责人被处以刑事警告和罚款。

合规建议：中资科技企业如计划在柬埔寨提供支付服务，有以下三种合规路径：

1. 申请独立的支付牌照：适用于大型金融科技集团。须满足最低资本金要求（电子货币发行牌照须50万美元实缴资本），并建立完整的合规和风控体系。申请周期通常为6-12个月。

1. 与持牌金融机构合作：与已持有NBC支付牌照的本土银行或金融机构合作，由其提供支付基础设施，中资企业专注前端应用和获客。这是目前最快捷的市场进入方式。

1. 接入Bakong系统：通过持牌合作伙伴接入Bakong系统，获取C端用户和商户的支付能力。多家中国金融科技公司已经通过与柬埔寨本地银行合作的方式接入Bakong。

1. 3 即将出台的数据保护法的重大影响

虽然柬埔寨《个人数据保护法》尚未正式生效，但中资科技企业应当从现在开始着手准备合规体系。从目前的草案内容来看，以下要点将产生重大影响：

数据本地化要求：如果最终的《个人数据保护法》和《网络安全法》维持数据本地化的要求（强制在柬埔寨境内存储柬埔寨公民的个人数据），那么使用中国总部服务器来处理柬埔寨用户数据的企业将面临重大的基础设施架构调整。

数据跨境传输限制：对于需要将用户数据传输回中国总部的科技企业，必须在法律生效前建立合规的数据跨境传输机制，可能包括：

• 获取用户的数据传输同意
• 与柬埔寨监管部门签署数据跨境传输标准合同条款
• 开展数据保护影响评估（DPIA）
• 任命在柬埔寨的本地数据保护代表

执法趋势预判：结合泰国PDPA（2019年生效，2022年全面执法）和越南数据保护法规的实践来看，东南亚国家在数据保护领域的执法通常经历一个"过渡期"（grace period），给予企业一定时间进行合规整改。但过渡期后执法力度会迅速加强。建议企业在过渡期内完成合规体系搭建。

1. 4 内容审核与言论管制风险

内容审核义务：根据2019年电商法第42条、2022年网络犯罪法第27条以及MPTC的相关指引，数字平台有义务管理和审核用户生成内容（UGC），防止违法内容（如诽谤、煽动、色情、侵犯知识产权的内容等）在平台上传播。

社交媒体内容管制：柬埔寨在法律层面并未如越南《网络安全法》（2019年）那样对外国跨境社交媒体平台施加"设立本地代表处"的义务，但MPTC在实践中通过行政命令要求未在柬埔寨设立实体的外国社交媒体平台配合开展内容审核。

中资科技企业的特殊风险：鉴于中柬两国长期友好的政治关系，在柬埔寨运营的中资科技企业通常享受相对宽松的营商氛围。但这并不意味着可以忽视本地内容合规要求。企业应建立符合两国法律的内容审核机制，并配备本地化的内容审核团队。

1. 5 知识产权保护风险

2019年电商法第46-52条的"通知-删除"机制为电商平台上的知识产权保护奠定了基础。但柬埔寨整体知识产权保护执法力度仍待加强。

商标抢注风险：部分第三方已经在柬埔寨抢注了中国知名品牌或电商平台的商标。中资科技企业在进入柬埔寨市场前应优先完成核心商标在柬埔寨工业产权局（Department of Industrial Property）的注册。

平台侵权责任：电商平台可能因未及时删除侵权商品链接而承担间接侵权责任。建议建立专门的知识产权投诉处理机制。

四、合规建议：中资科技企业市场进入策略

1. 1 市场进入前的法律可行性评估

在正式进入柬埔寨市场前，建议完成以下法律尽职调查：

1. 业务定位分类：明确拟开展的业务属于哪个监管维度——电子商务（MPTC监管）、支付服务（NBC监管）、金融科技（NBC+证券委员会SECC监管）、电信增值服务（MPTC监管），从而确定需要取得何种行政许可。

1. 公司注册架构：对于需要取得金融类许可的科技企业，建议在柬埔寨设立独立法人实体（通常为有限责任公司），而非仅设立代表处或依赖跨境提供服务。以一家独立的柬埔寨本地公司（至少一名柬埔寨国籍董事或股东）申请相关牌照。

1. 获得前置审批：根据具体的业务类型，在注册公司前可向相关监管机构进行预沟通（pre-consultation），了解许可申请的要求和预估时间。

1. 2 公司设立和许可申请流程

公司注册阶段：

• 在商业部（Ministry of Commerce）注册公司名称并获发注册证书（Certificate of Incorporation）
• 在税务总局（General Department of Taxation）办理税务登记，取得增值税（VAT）登记号
• 在劳动和职业培训部（MLVT）办理企业登记
• 如涉及特殊行业（如电信、金融、支付），须向对应监管部门申请行业许可

电子商务平台许可（MPTC）：

• 提交企业资质文件、平台运营计划、技术方案和安全保障措施
• 完成许可申请的审核周期通常为30-60个工作日
• 许可有效期为3年，到期前可申请续期

支付服务许可（NBC）：

• 提交申请并附企业资质证明、商业计划、合规和风控方案、技术架构说明、反洗钱政策和程序
• 最低实缴资本要求（电子货币发行牌照约50万美元）
• 申请周期为6-12个月
• 许可有效期为无固定期限，但须年检

1. 3 运营合规常态化

获得市场准入许可后，企业须建立常态化的合规运营机制：

1. 消费者保护合规：建立消费者投诉处理机制和7天无理由退货制度，确保产品信息真实准确。
2. 内容审核机制：制定用户生成内容审核政策和程序，建立通知-删除响应机制。
3. 反洗钱合规（涉及支付业务）：按照NBC的AML/CFT规定建立客户尽职调查（KYC/CDD）体系、大额交易报告机制和可疑交易报告机制。
4. 数据合规准备：即使《个人数据保护法》尚未生效，建议企业自愿参照国际标准（如GDPR或东盟数据管理框架）建立数据保护体系，包括隐私政策、用户同意管理、数据安全措施等，降低未来合规升级的转换成本。
5. 定期法律更新：柬埔寨数字经济法律正处于快速演进期，建议委托当地律师进行季度立法更新简报，及时掌握新的法规变化。

1. 4 税务合规要点

科技企业在柬埔寨运营涉及的税务问题具有行业特殊性：

• 增值税（VAT）：电子商务和科技服务的标准VAT税率为10%。通过数字平台向柬埔寨消费者提供服务的外国企业（非居民企业），在特定条件下负有增值税注册和申报义务。
• 预提税（Withholding Tax）：向境外关联方支付技术服务费、特许权使用费、管理费等，须预扣14%的预提税。
• 数字经济税收框架：柬埔寨正在研究参照OECD"双支柱"方案（Pillar One/Pillar Two）和东盟数字经济税收框架，建立适应数字经济特点的税收制度。预计未来大型数字平台企业将面临额外的纳税义务。

1. 5 监管不确定性的应对策略

在监管框架尚未完全定型的情况下，中资科技企业可采取以下策略管理不确定性：

1. 沙盒机制：金融科技企业可申请NBC的FinTech沙盒，在受控环境中测试创新产品，同时与监管机构建立直接沟通渠道。
2. 行业协会参与：加入柬埔寨数字科技协会（Digital Tech Association of Cambodia）等本地行业组织，参与政策倡导和行业自律规则的制定。
3. 后备方案预设：在合同中预设合规变更条款（change of law clause），明确因法律法规变化导致的成本增加由各方分担的机制。
4. 合作伙伴策略：与持牌本地金融机构和科技公司合作，降低直接面临监管不确定性的风险。

五、结语

柬埔寨数字经济的"监管窗口期"正在收窄。从2019年《电子商务法》和《消费者保护法》的颁布，到2022年《网络犯罪法》的出台，再到正在推进的《网络安全法》和《个人数据保护法》，柬埔寨正在加速构建完整的数字经济法律体系。对于中资科技企业来说，现在是一个关键的入场时间点——监管框架已经初步成型，但尚未到达全面严厉执法的阶段，企业还有一定的"合规缓冲期"进行布局和调整。

同时需要清醒认识到，"先进入再合规"的策略在法律风险维度上存在重大隐患。柬埔寨的监管环境有其自身特点——形式上可能不如泰国、越南那般严格，但执法的不可预测性反而更高，企业在违规后被追责的概率和成本不容低估。建议在做出市场进入决策的同时，同步启动合规体系搭建，将法律合规视为与产品开发和市场拓展同等重要的战略支柱。

对于已经在柬埔寨运营的科技企业，我建议立即开展监管对标分析——检查当前业务是否需要未取得的许可、评估现有数据处理实践与即将出台的数据保护法的差距、审查消费者保护合规状况，并在专业人士的指导下进行必要的合规整改。

我是余驰宇，中国执业律师，牵头泰国、柬埔寨、马来西亚、罗马尼亚等国当地律所的中国业务部，专注中资企业海外财产保护、重大诉讼/仲裁、税务问题处理、跨境保全与执行。请关注我，私信交流。