一、问题背景与研究对象
数据中心在印尼能不能做?外资能不能进入?需要办什么证?这些问题当然重要,但如果只从“数据中心”四个字出发,往往会忽略印尼监管体系的真正逻辑。商业上统称为“数据中心项目”,在印尼监管体系中却可能被拆分为信息技术服务、建筑工程、机电安装、电力设施、通信网络、电子系统运营,以及土地、建筑、消防、环境和用工等多个环节。监管机关通常不会只看项目名称,而是看企业实际做什么:是运营机房,还是承包工程;是提供服务器托管,还是建设厂房和机电系统;是采购设备,还是承担安装验收;是内部备用电源,还是涉及发电、输配电或对外供电。业务不同,适用规则也不同。
截至目前,印尼风险分级商业许可体系已经进入《2025年第28号政府条例》(PP No. 28 Tahun 2025)和《2025年第5号投资与下游化部长/BKPM条例》(Permen BKPM No. 5 Tahun 2025)的新阶段。PP 28/2025取代此前PP 5/2021,成为现行风险分级商业许可制度的重要基础;BKPM 5/2025则进一步细化通过OSS系统办理风险分级商业许可和投资便利的程序。除此之外,外商投资准入仍需结合《2021年第10号总统条例》及其修订《2021年第49号总统条例》,建筑服务、电力、通信、电子系统、环境和税务等领域还需要适用各自特别规则。
因此,讨论印尼数据中心项目,不能只讨论“投资方向”,还必须同时讨论公司设立、外资准入、资质证照、工程能力、技术人员、环境建筑基本要求和运营合规。对中国投资者而言,真正重要的问题不是抽象地问“数据中心项目能不能做”,而是要判断:如何搭建可以合法设立、可以取得许可、可以参与投标、可以签约履约、并能长期合规运营的项目结构。本文拟从外商投资、资质证照、人力及技术人员要求、合规运营四个角度,对印尼数据中心项目落地路径进行梳理。
二、数据中心项目准入落地的核心法律框架
(一)外商投资:数据中心项目应按实际业务拆分判断
印尼现行外资准入制度的基本逻辑,已经从传统“负面清单”逐步转向“正面投资清单+行业特别规则”的模式。现行投资清单以Perpres 10/2021及其修订Perpres 49/2021为基础。该制度下,判断一个业务能否由外资参与,不能只看商业名称,而要看该业务在KBLI中的分类、是否属于禁止或限制领域、是否保留给合作社和中小微企业、是否要求与本地企业合作,以及是否存在行业主管机关的特别许可。
这一逻辑对数据中心项目尤其重要。数据中心在商业上是一个完整项目,但在法律上可能被拆成几类不同业务。
第一类是数据中心运营服务,例如机柜托管、服务器托管、数据存储、灾备、云基础设施和运行维护。这一类业务通常更接近信息技术服务、数据处理服务或电子系统服务。
第二类是数据中心建设工程,例如土建、装修、机电安装、强弱电、冷却系统、消防、综合布线和智能化系统。这一类业务在印尼很可能被归入建筑服务或专业安装服务。
第三类是电力相关业务,例如备用电源、变电设施、输配电接入、光伏、储能、发电或供电。这一类业务需要根据其是否属于内部用电设施、电力工程或电力经营业务分别判断。
因此,不建议把数据中心项目简单概括为“某一个行业是否允许外资进入”。更稳妥的表述是:印尼数据中心项目应按实际业务拆分判断。数据中心运营、建筑工程承包、电力设施建设、通信网络服务和电子系统运营,分别可能适用不同的外资准入和许可规则。
如果企业主要从事数据中心运营,其关注重点通常在信息服务、电子系统、数据安全和OSS经营许可。若企业实际承接建筑施工、机电安装或EPC工程,则通常需要按建筑服务公司进行规划。根据目前印尼建筑服务领域的通常口径,非东盟外国投资者投资建筑服务公司,外资持股一般最高为67%;东盟投资者通常最高为70%。中国投资者不属于东盟投资者,因此若拟设立可直接承接建筑或机电EPC的印尼工程公司,通常需要考虑“中方最高67%+印尼本地股东至少33%”的合资结构。
如果项目涉及电力业务,则不能用一个比例简单概括。内部用电设施、电力安装工程、发电、售电、输配电、电力支持服务并不是同一件事。数据中心内部的UPS、备用发电机、机房配电系统,多数情况下首先要看机电和电气安装资质;若涉及变电、输配电或电力供应设施建设,则可能触发电力行业特别监管;若进一步涉及发电、供电或售电,则应按电力业务单独论证。对于部分低压、中压电力安装或电力支持服务,还需进一步核查OSS系统和能源主管机关口径是否存在本地合作、合作社或中小微企业保留要求。
(二)资质证照:从“能设公司”到“能合法履约”
很多中国企业熟悉公司设立流程,但容易低估印尼项目中“设立公司”和“能够履约”之间的距离。在印尼,PT PMA设立完成、取得NIB,并不当然意味着企业可以承接所有业务,尤其在数据中心项目中,真正影响投标和履约的,往往是行业资质、建筑许可、环境许可和技术人员配置。
PP 28/2025确立了风险分级商业许可的基本框架。企业开展业务原则上需要取得商业许可,并在适用情况下取得支持性商业许可。商业许可根据风险等级不同,可能表现为NIB、标准证书或许可证。对低风险业务而言,NIB本身可能构成开展业务的基础;对中高风险业务而言,还可能需要标准证书或许可证;对高风险业务而言,取得许可证通常是开展运营或商业活动前的关键条件。
对数据中心项目而言,NIB只是起点。项目是否能够落地,还要看空间利用、环境、建筑和行业资质。PP 28/2025将空间利用合规、环境批准、建筑批准和建筑功能可行证书等纳入基本要求。项目不能只看公司有没有成立,还要看项目地址是否可以做这个用途,环境影响是否经过审查,建筑是否允许建设,建成后是否可以投入使用。
数据中心通常是高耗能、高设备密度、高安全要求的基础设施。若项目涉及新建、改建或使用特定建筑物,通常需要关注KKPR、环境批准、PBG和SLF。KKPR用于确认项目选址和空间规划是否匹配;环境批准用于确认项目对环境的影响及管理措施;PBG用于建筑建设或改建;SLF则用于证明建筑物功能可行、可以按其用途投入使用。对于数据中心而言,这些基本要求往往和未来能否正式运营、能否通过资格审查、能否获得融资和保险密切相关。
如果项目公司要直接承接数据中心土建、机电、强弱电、冷却系统、消防、智能化系统安装或EPC,还需要关注建筑服务资质。印尼实务中,建筑服务企业需要取得SBU,即建筑服务业务实体证书。没有匹配的SBU,企业即使已经设立,也可能无法参与招标、签署工程合同、通过业主资格审查或完成项目验收。
电力、通信和电子系统相关许可也不能忽视。数据中心运营通常会涉及电子系统、客户数据和网络连接。如果企业只提供机房空间、供电、冷却和基础托管,关注点主要在数据中心服务和电子系统合规。如果企业进一步提供通信线路、互联网接入、专线、网络交换或电信服务,则需要单独评估通信主管机关要求。如果涉及发电、售电、输配电、电力安装或电力支持服务,则需要进一步进入电力监管口径。
因此,数据中心项目的资质证照设计,应围绕合同责任和业务实质展开,而不是围绕公司名称展开。证照必须能解释实际经营行为,实际经营行为也必须落在证照覆盖范围内。否则,短期可能可以签约,但在投标、验收、税务、索赔、融资或客户审计阶段,风险会集中暴露。
(三)人力和技术人员:外籍团队不能替代本地合规能力
数据中心项目技术含量高,中国企业往往拥有成熟的工程经验、设备供应链、项目管理体系和运维能力。但在印尼落地时,不能简单把国内团队搬过去。印尼监管更关注项目公司在当地是否具备合法用工、持证技术人员、工程负责人、税务授权和日常运营团队。
从公司治理角度看,印尼外资公司需要有董事、监事和股东安排。外籍董事、总经理、工程负责人如在印尼实际工作,通常需要办理相应工作许可和居留手续。为了加快设立,有些项目会先安排印尼籍董事或本地管理人员,但这必须配合清晰的治理安排,避免公司设立虽快,控制权、银行签字权、税务账号和印章管理却失控。
从工程资质角度看,建筑和机电工程公司通常需要配置本地持证技术人员。数据中心项目涉及电气、机械、冷却、消防、建筑安全等多个专业,不能只依赖境外专家远程指导。中国工程师可以作为项目管理、技术支持、质量控制和培训资源,但在印尼资质体系中,本地注册或持证工程师、技术负责人和专业人员往往是申请资质和通过业主审查的关键条件。
从运营角度看,数据中心并不是一次性工程交付,而是长期服务。企业需要在当地配置运维人员、信息安全人员、设施管理人员、客户服务人员、财税人员和合规人员。数据中心服务的客户通常关注电力稳定、冷却能力、网络连接、访问控制、灾备、安全事件处理和服务中断赔偿。若本地团队不足,即使项目建成,长期服务质量和客户信任也难以保障。
从税务和行政角度看,印尼监管正在日益数字化。2025年Coretax税务核心系统上线后,税务注册、发票、扣缴、申报、支付、退税和稽查更加依赖线上系统和数据校验。数据中心企业可能同时存在工程收入、设备销售、设备租赁、托管服务、技术服务、软件服务、跨境采购和关联交易,财务人员必须能够解释不同收入性质、发票类型、扣缴义务和申报口径。
因此,人力和技术人员要求可以概括为三类:项目公司需要能管公司的人,工程主体需要能拿资质和履约的人,运营主体需要能支撑长期合规的人。对中国企业而言,外籍专家很重要,但本地持证能力和本地合规团队同样重要。
(四)合规运营:从项目落地到长期运营
数据中心项目落地后,真正的风险并不会随着公司设立和工程完工而结束。相反,运营阶段的合规问题往往更长期、更持续,也更容易影响客户、融资和退出。
第一,许可和业务范围要持续一致。企业取得NIB和相关许可后,应确保实际业务与登记KBLI、商业许可、支持性许可和合同内容保持一致。OSS系统下的许可不是一次性文件,而是后续监管、监督和处罚的基础。企业如果后续新增业务地点、增加经营活动、扩大服务能力或变更业务模式,应及时评估是否需要更新许可。
第二,建筑和环境要求要贯穿项目周期。数据中心建设阶段应重视选址、环境、建筑、安全和竣工使用。尤其是环境批准、PBG和SLF,不能只作为开工前文件处理,而应和实际建设、设备布置、消防安全、冷却系统、噪音、备用发电机、燃油储存、废弃物管理等运营问题连在一起。若项目位于工业园区、经济特区或自由贸易区,可能存在一定便利,但仍应核查园区已有审批是否覆盖项目自身活动。
第三,数据安全和客户服务责任要合同化。数据中心不是简单出租房屋,而是向客户提供高可用性基础设施。运营合同应明确服务范围、SLA、维护窗口、客户设备进出、数据责任、系统故障、电力中断、不可抗力、责任限制和终止迁移安排。对于涉及个人数据或重要业务系统的客户,还应关注印尼个人数据保护规则、跨境访问、分包商管理和安全事件通报。
第四,税务和开票要与商业模式匹配。数据中心项目可能同时存在工程款、设备款、租赁费、托管服务费、运维服务费、软件服务费、技术服务费和境外采购费用。如果合同结构设计不清,容易出现开票主体与履约主体不一致、税目适用错误、预扣税遗漏、增值税抵扣链条断裂等问题。在Coretax环境下,发票、扣缴和申报数据更容易被系统比对,企业应从一开始就建立交易闭环。
第五,投资报告和资本安排要持续遵守。BKPM 5/2025对PMA公司的最低实缴资本、资本锁定和投资实现报告等事项作出新的操作性安排。需要注意的是,公司层面的最低实缴资本并不等于项目总投资额。数据中心属于重资产项目,实际投入通常包括土地、建筑、机电、电力、冷却、网络、安全、备件和运营资金,远高于最低公司资本要求。
三、对中国投资者的关键影响与合规建议
第一,先拆业务,再定架构。数据中心项目不能只按“数据中心”一个名称判断,应先区分运营、建设、电力、通信、设备和运维等不同环节。只有先明确企业实际做什么,才能判断应设立什么主体、选择什么经营范围、需要什么许可,以及是否需要本地合作方。
第二,运营主体和工程主体不宜混同。若中国企业的核心目标是长期运营数据中心,应把运营主体做得清晰、干净,重点处理信息服务、电子系统、数据安全、客户合同和税务合规。建设阶段的土建、机电、电力和消防等工作,应由具备相应资质的主体承担。
第三,若要做EPC或机电工程,应正视建筑服务规则。对中国投资者而言,建筑服务类公司通常需要本地合资结构,非东盟外资持股一般最高为67%,并需取得与项目内容匹配的SBU资质。对本地合作方的选择,不应只看其是否愿意持股,更应看其资质、人员、业绩、税务和履约能力。
第四,电力部分应单独评估。数据中心内部用电设施、电力安装工程、发电、售电、输配电并不是同一类法律问题。项目如涉及变电、储能、光伏、自备电厂、对外供电或电力供应设施,应单独核查电力行业规则,不宜简单并入数据中心运营范围。
第五,从项目第一天起建立“证照—合同—发票—人员”的一致性。印尼监管越来越依赖OSS和税务系统的数据留痕。企业应确保谁签约、谁履约、谁开票、谁配置人员、谁承担资质责任能够相互对应。前期结构搭建清晰,有利于后续投标、融资、客户审计、税务检查和项目退出的稳定性。
来源:印象尼海律航
特别声明:本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。
