compliance
游戏行业出海合规要点:团队落地斯里兰卡前必须想清楚的事
合规是游戏出海的”地基”,不是”装饰”
近年来,越来越多的中国游戏和互联网企业选择把技术、客服、运营团队落地斯里兰卡——成本优势明显,英语人才充裕,时区与东南亚市场高度兼容。然而,在快速落地的过程中,合规往往被当成一件”等业务稳定了再说”的事情。
这是一个代价高昂的误解。游戏出海的合规架构必须在落地之前就想清楚,因为一旦团队运转起来、业务流量跑起来,再回头调整架构的成本——无论是重组成本还是潜在的税务追缴风险——都会数倍于早期的合规投入。
本文梳理游戏出海企业落地斯里兰卡前,在牌照架构、税务居民、数据保护、外汇管制和员工雇佣五个维度上必须想清楚的核心合规问题。立场明确:合规是长期经营的前提,本文不提供任何规避监管的建议。
一、牌照架构:斯里兰卡团队与运营主体的关系
1.1 斯里兰卡的博彩监管现状
斯里兰卡目前没有针对在线博彩或游戏运营发放国际通用的商业牌照。境内的博彩活动受到严格管制,主要面向本地市场的实体赌场和彩票业务。
这意味着,出海游戏企业在斯里兰卡设立的通常是”支撑型”实体——承接技术开发、客户服务、内容审核、数据分析等职能,而非直接面向玩家的运营主体。游戏运营许可证(如 MGA、PAGCOR、CEZA、马恩岛 GSC 等)须由在其他司法辖区注册的运营实体持有。
1.2 实体架构的合规设计原则
在设计落地架构时,需要明确区分:
| 维度 | 运营主体(持牌实体) | 斯里兰卡支撑实体 |
|---|---|---|
| 注册地 | 马耳他/菲律宾/马恩岛等 | 斯里兰卡 |
| 主要功能 | 持牌运营、面向玩家 | 技术、客服、运营支撑 |
| 游戏牌照 | 必须持有 | 不需要(也不能申请) |
| 收入归属 | 运营主体 | 向运营主体收取服务费 |
| 合规要点 | 牌照续期、监管报告 | 劳动合规、税务申报 |
两个实体之间须签订正式的跨公司服务协议(Intercompany Service Agreement),明确服务内容、定价依据(需符合转让定价原则)和支付方式。这份协议是税务审查时的核心文件之一。
二、税务居民认定:最容易被忽视的重大风险
2.1 什么是”实际管理机构”规则?
许多国家的税法规定,如果一家公司的”实际管理机构”(Place of Effective Management,POEM)位于某国境内,则无论注册地在哪,该公司都可能被视为该国税务居民,从而在该国承担全面纳税义务。
这对出海游戏企业的影响是:如果斯里兰卡团队中有高管实际参与公司的核心决策(如 CEO、COO 长期驻扎科伦坡并在当地主持董事会),可能触发斯里兰卡对该公司的税务居民认定。
2.2 如何合理规避 POEM 风险?
需要强调的是,这里说的是合法的架构设计,而非逃税:
- 明确斯里兰卡团队的职能边界:支撑团队负责执行,核心决策权保留在注册地(香港、新加坡等)
- 保留决策记录:董事会会议在注册地召开,保留会议记录和出席证明
- 避免斯里兰卡团队独立签署重大合同:大额合同和战略采购须由注册地实体授权签署
- 引入国际税务顾问做预防性评估:尤其在业务扩张或人员调整时定期复查
2.3 转让定价合规
斯里兰卡子公司向海外母公司或关联方提供服务,必须按照”独立交易原则”(Arm’s Length Principle)定价。定价偏低会被税务机关认定为利润转移,存在补税和罚款风险;定价偏高则可能在斯里兰卡多缴所得税。
建议委托专业机构进行年度转让定价分析,并保留完整的定价文件(Transfer Pricing Documentation)。
三、数据保护合规
3.1 斯里兰卡 PDPA 2022
斯里兰卡于2022年颁布《个人数据保护法》(Personal Data Protection Act, PDPA),对以下事项作出明确规定:
- 收集个人数据须有合法依据(同意、合同履行等)
- 数据主体享有访问、更正、删除权利
- 数据泄露须在规定时限内向主管机关报告
- 特定场景下限制个人数据跨境传输
对游戏企业而言,涉及玩家数据、支付信息、生物特征等敏感数据的处理流程须进行专项合规评估。即便数据实际存储在境外服务器,在斯里兰卡处理数据的团队同样受 PDPA 约束。
3.2 GDPR 的域外适用
如果游戏面向欧盟/欧洲经济区用户,GDPR 无论企业注册地在哪一律适用。斯里兰卡团队处理欧洲玩家数据时,须确保:
- 有合法的数据处理依据
- 数据处理协议(DPA)已签署
- 数据最小化、访问控制等技术措施已落实
- 数据主体请求响应流程已建立
3.3 内部数据安全管理
独立于法规要求之外,出海游戏企业还需关注:
- 员工离职时的账号权限回收流程
- 源代码和核心业务数据的访问分级控制
- 办公网络的 VPN/安全访问策略
- 客服团队接触玩家数据的最小权限原则
四、外汇管制与申报
斯里兰卡中央银行对外汇流入和流出均有管制要求。对于游戏出海企业的斯里兰卡子公司,以下外汇事项须特别关注:
外汇流入(服务费收入)
- 子公司向境外关联方提供服务并收取服务费,须向中央银行申报,并提供服务合同等支撑文件
- 外汇收入需在规定期限内结汇或存入外汇账户
外汇流出(向境外支付)
- 向境外母公司或关联方支付服务费、管理费、技术授权费等,须提交完整的合同和发票
- 利润汇出须完成税务清缴证明
- 建议每笔跨境支付均保留完整的合规文件包
具体申报要求以斯里兰卡中央银行《外汇法》(Foreign Exchange Act)及最新监管指引为准,并建议与持牌外汇顾问合作处理申报事宜。
五、员工雇佣合规
5.1 雇佣合同的法律要件
斯里兰卡《劳动法》(Shop and Office Employees Act 等)对雇佣合同有明确要求:
- 须以书面形式签订
- 须包含:职位、薪酬、工时、试用期、终止条款等核心内容
- 须在员工入职后规定期限内完成签署
对于涉及保密义务、知识产权归属和竞业禁止的条款,须由具有当地执业资质的律师审核,以确保在斯里兰卡法院具有可执行性。
5.2 签证与工作许可
在斯里兰卡工作的外籍员工(包括中国派驻人员)须持有有效的工作签证或居留许可:
- Business Visa(商务签):适合短期考察/出差,不适合长期居留工作
- Resident Guest Visa / Work Permit:长期驻扎须申请正式工作许可,通常由斯里兰卡企业主体提出申请并担保
违规使用商务签证从事工作活动,在多数司法辖区构成违法,斯里兰卡移民机关对此有定期执法行动。
5.3 知识产权归属
游戏公司最核心的资产是代码和内容。在雇佣合同中须明确约定:
- 员工在职期间开发的所有工作成果归公司所有
- 技术文档、源代码的存储和访问权限
- 离职后的保密义务期限
斯里兰卡《知识产权法》对雇用作品(Works Made for Hire)有相关规定,建议与本地律师确认合同条款的充分性。
六、合规架构搭建的优先顺序
面对上述多维度合规要求,建议按以下优先级推进:
阶段一(落地前 — 必须完成)
- 整体架构的国际税务评估(防 POEM 风险)
- 转让定价初步方案设计
- 雇佣合同模板法律审核
阶段二(落地后 3 个月内) 4. PDPA 合规评估与数据处理流程梳理 5. 外汇申报流程建立与银行关系确认 6. 知识产权保护机制落地
阶段三(持续运营) 7. 年度转让定价文件更新 8. 合规培训(覆盖数据保护、反洗钱等) 9. 定期内部合规审查
七、小结
游戏出海企业落地斯里兰卡,合规不是一个选择题,而是一个时间题——越早做越省钱。正规的合规路径并不复杂,但涉及多个司法辖区的交叉,需要国际税务、本地劳动法、数据保护和外汇管制等多个专业领域的协同配合。
找到有实际落地经验的本地合规伙伴,是把合规成本从”填坑支出”变成”投资”的关键。
MMD 深耕斯里兰卡本地资源,提供从公司注册、签证到团队运营的一站式落地服务,并可协调本地法律、税务和外汇申报专业团队为您完成合规架构搭建。Telegram 咨询:@MMD_BPO
常见问题
- 斯里兰卡本身有游戏/博彩牌照吗?
- 斯里兰卡目前对境内博彩业有严格管制,不发放国际级别的在线博彩运营牌照。大多数出海游戏企业在斯里兰卡设立的是技术、客服或运营支撑团队,核心运营牌照由马耳他MGA、菲律宾PAGCOR/CEZA、马恩岛等司法辖区发放。
- 在斯里兰卡设立运营团队会影响母公司的税务居民认定吗?
- 这是一个需要认真评估的风险点。如果斯里兰卡团队实际承担了公司核心决策、管理或控制功能,可能触发所谓的'实际管理机构'规则,引发税务居民身份争议。建议在架构设计初期即引入国际税务顾问进行评估。
- 游戏公司在斯里兰卡雇佣员工需要特别的数据保护合规吗?
- 斯里兰卡已颁布《个人数据保护法》(PDPA 2022),对收集、处理个人数据有明确要求。如业务涉及欧盟用户,还需考虑GDPR合规。出海游戏企业应在系统设计和运营流程中嵌入数据保护机制。
- 从斯里兰卡向境外汇款时需要申报哪些内容?
- 斯里兰卡对外汇流出有管制要求,企业跨境汇款须向斯里兰卡中央银行提交相应申报,并提供业务合同等支撑材料。具体申报要求以斯里兰卡中央银行外汇管理条例最新版本为准。