一、经营主体设立

（一）主要组织形式

代表处：代表处不具有独立于母公司的法律人格，开设代表处无需在商业登记处登记，没有注册资本要求，可以为潜在的投资者从事与商业、金融和经济事务有关的市场研究或信息收集活动，不能从事实际业务。

分支机构：外国投资者可通过分支机构在西班牙经营，分支机构不具有独立的法律人格。开设分支机构必须签署公共法律文件，并在商业登记处登记，完成《公司与商业法》规定的登记要求。

有限责任公司（SL）：有限责任公司的最低股东人数是一个，外国投资者可以100%持有有限责任公司的股份，初始投资较少，且需要缴纳公司税、增值税以及个人税和社会保障缴款。股东还可以以非货币形式进行出资，但是股东需要对非货币出资的真实性和价值承担连带责任。这是中小公司常见的公司形式选择。

股份有限公司（SA）：重大项目的大企业进入西班牙，可以选择股份有限公司，其股份是有价证券，可以发行债券等有价证券。

新有限责任公司（SLNE）：西班牙政府为了鼓励中小企业创业，创设了一种特殊类型的有限责任公司，对组建和经营活动的限制更加灵活。某些税款和预付款可以推迟缴纳。

（二）最低注册资本和出资要求

（三）本地股东和董事要求

西班牙各类公司没有本地股东或者董事的要求。外国自然人或者法人可以担任西班牙的股东和总经理，并且也不需要持有西班牙居留卡，仅需要进行西班牙税号登记。

（四）外汇管制

西班牙实施外汇和资本的自由流动，[1]外汇汇入和汇出没有限制也无需缴税。在西班牙营业的公司，缴纳公司所得税后的利润和货款均可汇往境外或携带出境。

西班牙子公司将其利润汇往另一欧盟成员国的、持有该公司10%以上股权的母公司，可以免于纳税。由于中国和西班牙签订了《中华人民共和国政府和西班牙政府关于对所得和财产避免双重征税和防止偷漏税的协定》，西班牙公司直接汇往中国公司的税后利润在西班牙需缴纳10%的预提税[2]。

二、用工要求

（一）本地员工人数和比例要求

西班牙的劳动雇佣政策比较灵活，也没有本地员工的强制性人数和比例的要求。

（二）外国人签证

外国人在西班牙境内工作需要雇主为其提交工作和居留许可申请。工作许可证申请成功后，雇主将收到书面通知，在境外的外国雇员在收到通知后一个月内，向居住国的西班牙领事馆申请相应的签证。如果申请人已在西班牙境内合法居留，则可直接在西班牙劳工主管部门办理相关手续。

临时居民在西班牙合法居住满5年的，西班牙境外居住时间累积不得超过10个月。即使获得永久居留卡，在西班牙境外居住的时间累计达12个月的，导致永久居留卡被取消。

（三）工时以及薪资成本

全职员工每周平均工作时间最多为40小时，且每天不超过9小时，每年累积加班时间不得超过80小时。2024年西班牙每年最低工资标准是每月1134欧元。西班牙的企业通常提供14薪，暑期和年底双薪。除公休假外，员工每年有30天的带薪年假。

（四）解除劳动关系的条件和成本

雇佣关系在以下情况下可以终止：雇员辞职、协议终止、定期合同到期、雇员退休、雇员或自然人雇主死亡等，但是，在集体裁员、客观理由裁员和纪律处分的情况下，解除劳动关系需要遵守特别的规定。集体裁员是指裁撤员工的比例超过10%或者企业因终止营业而裁员。客观理由裁员是指员工不称职、无法适应工作变化，连续2个月内间歇性缺勤20%。在集体裁员和客观理由裁员情况下，雇主需要提前通知员工，并且员工可以成立裁员谈判小组谈判，并且支付不低于20日工资的遣散费。裁员人数超过50人的时候，雇主还需要提供员工再就业计划。当然，如果员工多次无故迟到旷工、违反工作纪律、滥用药物或者酒精且影响工作绩效等，雇主无需提前通知也无需支付遣散费用。

三、基本税负

（一）个人所得税

西班牙个人所得税（IRPEF）通常最低税率为19%，最高为45%。

（二）企业所得税

西班牙的营业额净额在2000万欧元至6000万欧元间企业的所得税税率为50%，超过6000万欧元企业的所得税税率为25%。

（三）财产税

从2012年开始，在西班牙长期居住的居民需缴纳财产税，征税范围包括个人名下的存款、房产、车辆、船舶、飞行器、投资、珠宝、艺术品等。2019年财产税人均起征点为70万欧元，税率从0.2%~2.5%不等。目前仅马德里不征收财产税。

（四）税收优惠

2021年，西班牙和中国达成了避免双重征税新协议《中华人民共和国和西班牙王国对所得消除双重征税和防止逃避税的协定》，原1990年版协议失效。根据该协定，中国居民从西班牙取得的所得可以在对该居民征收的中国税中抵免[4]。

四、外资与行业政策

（一）鼓励/限制的行业

西班牙绝大多数行业均对外资开放。某些特定限制外商投资行业，需要西班牙经济与竞争部贸易政策总司的许可。这些行业包括：航空运输、广播电视、战略性矿产及矿产原材料、博彩业、电信、保安、武器与民用炸药的生产和销售、国防等。这些行业的外商投资最高持股比例是25%[5]。

此外，如果认为外商投资对公共权力的行使、公共秩序、公共安全或公共健康造成或可能造成影响（即便只是偶然情况），自由外商投资也可以被临时终止以下两类外商投资有严格的进入要求：（i）源自避税天堂的投资需要事先公告，（ii）与国家安全和非欧盟成员国外交使馆的不动产直接相关的活动中的外商投资。

（二）经济园区

保税区。西班牙有5个保税区，分别在巴塞罗那、加的斯、维哥、拉斯帕玛斯和圣克鲁斯五个城市。保税区内公司需要正常缴税。部分业务可以免关税进入，并在保税区内销售。

高新技术园区。西班牙有61个高新技术园区，包括51个科技园正式会员、1个准科技园会员、8家合作企业和1个名誉会员。

五、数据保护与合规

（一）立法情况及适用范围

1. 立法情况

西班牙作为欧盟成员国之一，基于欧盟一体化要求，立法始终贯彻欧盟“人权至上”的核心价值观。1978年，西班牙将有关数据保护的条款纳入国家最高权威的宪法当中，《西班牙宪法》第18条第4款规定指出“法律将限制信息技术的使用，以保障公民的名誉，个人和家庭隐私以及充分行使公民权利”。1992年，西班牙颁布《个人数据自动处理规范法》，专门规范数据侵权行为。

2018年5月25日，欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）正式生效，直接适用于西班牙，效力仅次于宪法，高于西班牙本国法律适用。2018年12月6日，西班牙政府公报（BOE）公布了《2018年12月5日第3/2018号法律，个人数据保护和数字权利保障组织法》（Organic Law 3/2018, of 5 December, Protection of Personal Data and guarantee of digital rights）（以下简称“《西班牙数据保护法》”），一方面执行和转化欧盟GDPR的规定，另一方面履行《宪法》第18.4条所述政府职责，保障公民的数字权利。

除《西班牙数据保护法》外，西班牙数据保护相关法律还包括：

• 关于直接营销和Cookie要求的《7月11日关于信息社会服务和电子商务的第34/2002号法律》；
   

• 《关于网络和信息系统安全的第12/2018号法案》；
   

• 《国家网络安全战略》（第PCI/487/2019号命令）。

2. 适用范围

在适用范围上，《西班牙数据保护法》与GDPR基本一致，仅针对部分特殊类型的数据处理活动作出了减损规定，包括根据大选制度的组织立法进行的处理、在监狱机构领域进行的处理以及来自民事登记处、财产登记和商业登记处的处理，司法机构在其主管的诉讼程序的处理过程中进行的数据处理，以及在司法办公室管理范围内进行的数据处理[6]。

值得注意的是，与法国不同，《西班牙数据保护法》特别指出该法不适用于死者。

在实体范围上，《西班牙数据保护法》[7]适用于：

（1）全部或部分通过自动化手段进行的个人数据处理；

（2）通过自动化手段以外的其他方式进行的、构成或旨在构成归档系统的数据处理。以下情况除外：

• 超出欧盟法律范围之外（例如，有关国家安全的活动）；
   

• 与欧盟共同的外交和安全政策有关；
   

• 有权机关出于执行刑罚的目的而执行的（另有指令适用该种情形）；
   

• 由欧盟机构执行的（另有条例适用该种情形）；
   

• 自然人实施的作为“纯粹个人或家庭活动”进行的个人数据处理。

在地域范围上，《西班牙数据保护法》未作出明确规定，基本与GDPR完全一致，具体标准如下：[8]

（1）营业地标准：适用于在欧洲经济区设立“营业地”，且在其营业地的“活动范围内”进行个人数据处理的公司，无论该处理行为是否发生在欧盟境内。

（2）针对性标准或监控标准：不在欧洲经济区内成立或经营的公司，对欧洲经济区内数据主体的下列数据处理活动将适用《西班牙数据保护法》：

• 对欧盟境内的数据主体提供商品或服务，无论是否需要支付对价；
   

• “监控”欧盟境内数据主体的行为。

（二）数据处理的基本原则

除GDPR所规定的公平合法原则、透明原则、目的限制原则、最小必要原则、信息准确原则、存储限制原则、安全保密原则、可追责原则外，《西班牙数据保护法》对GDPR规定的部分原则进行了一定的创新：

1. 信息准确原则

《西班牙数据保护法》保留了GDPR从基于合规性审查的模式转变为现今基于积极责任原则的模式，要求控制者或处理者事先评估对个人数据处理过程可能产生的风险，以便根据评估结果采取适当措施。但是，在某些情形下，倘若控制者已经及时采取了所有合理措施来保证数据删除或修正，它将不再对数据误差承担责任[9]。

2. 透明度原则

《西班牙数据保护法》在GDPR所规定的透明度原则上更进一步，吸纳了前第29条数据保护工作组在《关于第2016/679号条例下的透明度准则的指引》（Guidelines on Transparency under Regulation 2016/679）中所提出的建议，将分层访问信息（the layered approach to information）规定为强制性法律要求，即将获取数据的来源分为两类：从数据主体处获取和通过其他方式获取，并分别规定了应当履行告知义务的内容[10]。

从数据主体处获取个人数据时，数据控制者通过向数据主体提供下一节中提到的基本信息并指明电子地址或其他允许简单和即时访问其他信息的方式进行告知，至少应当包含以下内容：

（1）数据控制者及其代表（如有）的身份信息；

（2）数据处理目的；

（3）可选择行使数据主体相关权利；

（4）非从数据主体处直接获取的数据信息的数据类型和来源。

（三）数据主体的权利

在GDPR规定的知情权、访问权、更正权、反对权等数据主体一般性权利的基础上，《西班牙数据保护法》对死者、未成年的数据保护做出了特别规定。

1. 关于死者个人数据的补充规定

虽然西班牙遵守GDPR明确死者不在数据保护的主体范围，但承认数字化的遗嘱。并指出，除非逝者禁止或该行为不符合适用的法律规定，逝者的继承人有权对逝者的数据进行访问、删除以及纠正。具体补充规定如下：

（1）由于家庭原因或实际原因与死者生前明确获得授权的人及其继承人可以联系负责处理该病的人或负责人，有权查询访问其个人数据，并在适当情况下要求更正或删除；

（2）作为例外，在死者明确禁止或法律规定的情况下，前者不得访问死者的数据，也不得要求对其进行纠正或删除。所述禁止不得影响继承人访问死者财产数据的权利；

（3）死者明确为其指定的个人或机构也可以根据收到的指示要求访问其个人数据，并在适当情况下要求更正或删除；

（4）规定了特殊死亡主体的数据关于上述权利的行权人和范围。例如，未成年人死亡时，除其法定代表人外，检察院和检察院依职权或依申请确定的利益相关人也可对其数据行使权利。对于残疾人死亡后的数据，还可由履行支助职能的机构团体行使。

2. 未成年人权利保护

GDPR规定的做出同意的最低年龄限制为13周岁，但同时规定欧盟成员国可以指定更为严格的年龄要求。《西班牙数据保护法》做出了更为严格的要求，规定14周岁以下为未成年人，须有监护人同意或者授权而合法处理未成年人数据[11]。

除了未成年人的基本保护要求外，《西班牙数据保护法》在数字权利保障章节特别规定“互联网上的未成年人保护”[12]，要求采取措施保护未成年人及其在数字领域的互动信息，例如，发现社交网络上传播未成年人照片和个人信息，侵犯其基本权利，检察院可以进行干预。

（四）数据控制者及数据处理者的义务

1. 数据保护官（DPO）

除GDPR的规定之外，《西班牙数据保护法》明确列举了16种必须设置数据保护官员的情况，包括[13]：

（1）官方专业协会和专业总理事会；

（2）提供《西班牙受教育权法》所规定的规范学习的教育中心以及公立和私立大学；

（3）按照《一般电信法》的规定，经营电子通信网络并提供电子通信服务的、将大规模处理个人数据的实体；

（4）大规模开展数据主体的画像活动的信息社会服务提供商；

（5）银行、信用合作社和官方信用协会；

（6）私人金融信贷机构；

（7）保险和再保险公司；

（8）受股票市场法规约束的投资服务公司；

（9）能源和天然气分销商和市场营销商；

（10）负责信誉数据文件和防止欺诈数据文件的实体；

（11）根据数据主体的偏好进行广告和商业研究活动或进行数据主体的画像活动的实体；

（12）依法有义务保留患者病史的医疗机构（不包括自由职业者的医疗专业人员）；

（13）执行有关个人的业务/信用报告的实体；

（14）通过电子、信息、远距离传送或交互方式提供赌博和游戏服务的实体；

（15）私人保安公司；和

（16）处理未成年人的个人数据的体育联合会。

数据控制者需要在任命或解雇数据保护官后10天内，通知西班牙数据保护局（AEPD）或相关地区的数据保护机构（如有）。

2. 数字权利

除了GDPR所规定数据主体享有的一般性数据保护权利外，《西班牙数据保护法》第十章创造性地对于数字权利做出了一系列规定，例如：

（1）互联网的中立性（Internet neutrality）[14]

互联网服务提供商应提供透明的服务，不得因技术或经济原因而歧视用户。

（2）互联网普遍访问（universal access）[15]

人人都有权访问互联网，无论其个人、社会、经济或地理地位如何；互联网的访问必须保证有特殊需要的人享有平等的条件等。

（3）被遗忘权（the right to be forgotten）扩展至社交媒体领域[16]

数字社交媒体必须回应数据主体的更改和纠正请求，发布相应的澄清通知，并与原始信息并列展示。

（4）数字断开连接权[17]

在工作场所使用数字设备和互联网环境下保护未成年人的隐私权框架内，承认工作人员和公职人员有权断开连接数字设备。

（五）数据跨境传输合规要求

《西班牙数据保护法》将GDPR的规定进行国内立法转化，与欧盟成员国保持统一的数据保护水平，在数据跨境传输方面未作特殊规定，具体要求[18]如下：

除非符合以下条件，否则不允许将欧洲经济区中的个人数据传输到欧洲经济区以外的第三国：

（1）欧盟委员会的充分性决定认证的国家/地区：已获得欧盟委员会批准的国家/地区包括安道尔、阿根廷、加拿大（仅适用于商业机构）、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、日本、韩国以及英国；

（2）标准合同条款（“SCCs”）：由欧盟委员会通过或由监管机构通过并由欧盟委员会批准；

（3）由主管数据保护机构批准的具有约束力的公司规则（“BCR”）；

（4）经批准的行为准则（Code of Conduct）：若位于第三国/地区的数据接收方承诺其会遵守特定的行为准则，以保护其接收到的来自欧洲经济区的个人数据，且该行为准则经欧盟成员国数据保护监管机构批准通过；

（5）经批准的认证机制：基于主管监管机构或EDPB所批准的认证标准，经相关机构颁发认证；

（6）豁免情形（例如明确同意，合同必要性，公共利益，法律主张等）或特定豁免。

（六）监管机构与执法现状

西班牙数据保护局（以下简称“AEPD”）是西班牙独立的数据保护监管机构。除AEPD之外，还有两个区域监管机构（加泰罗尼亚和巴斯克数据保护机构），负责处理由区域公共机构或执行公共区域职能的私人实体进行的处理活动。

2023年8月，西班牙颁布了第729/2023号皇家法令，规定成立新的西班牙人工智能监管局（AESIA）。这是欧盟根据拟议的《欧盟人工智能法》任命的首个人工智能监管机构，预计将于12月初开始运作。AESIA不会取代西班牙数据保护机构（AEPD）目前在人工智能方面发挥的作用，AEPD将继续负责监督基于人工智能的个人数据处理是否符合《西班牙数据保护法》。不过，鉴于拟议的《人工智能法》与GDPR之间存在交叉，AEPD和AESIA必须进行协作。

（七）法律责任

GDPR建立了两级罚款制度。对于违规行为，主管监管机构可以对公司处以最高1000万欧元或其全球年营业额2％的罚款（取较高者）；对于GDPR所规定的最严重的侵权行为，监管机构可处以最高2000万欧元或公司全球年度营业额的4％的罚款（取较高者）[19]。

在GDPR的基础上，《西班牙数据保护法》将侵犯数据保护行为具体分为三个基本等级：轻微、严重以及特别严重，并规定了每个等级的执行时效期限[20]。

六、反商业贿赂与反不正当竞争

（一）反商业贿赂

西班牙加入了一系列反腐败与反商业贿赂的国际公约，如《欧盟理事会民法公约》《联合国公约》及《经济合作与发展组织公约》等。西班牙《刑法典》禁止任何人向政府公职人员（包括西班牙政府公职人员、外国政府公职人员以及国际组织官员）提供任何形式的贿赂。政府公职人员的范围非常广发，包括陪审员、仲裁员、调解员、破产管理人等等。除此以外，西班牙《刑法典》还禁止为了在商业合作中获取不正当优势或者利益的商业贿赂行为[21]。

西班牙《刑法典》的反商业贿赂规定的管辖权不仅涵盖了西班牙境内的任何自然人、组织或者机构，还包括在国外活动的西班牙公司和西班牙个人。违反相关规定可能被处以罚款、监禁、禁止从业以及丧失社保福利等。值得一提的是，如果总部位于西班牙的公司非西班牙籍员工在海外实施商业贿赂，也会受到西班牙《刑法典》的惩罚。

中国和西班牙之间早在2016年就签订了引渡条约，这也是中国与欧美发达国家之间第一个引渡条约。2015年中国就从西班牙引渡回国涉嫌非法吸收公众存款、贷款诈骗的犯罪嫌疑人。

（二）反不正当竞争

西班牙国家与市场竞争委员会负责调查垄断和不正当竞争的行为。两个或多个企业达成协议并可能全面或部分地影响西班牙境内的贸易，或者直接或间接确定价格或设定其他交易或服务条件等行为，都在国家与市场竞争委员会的调查范围。

七、实用信息源

1. 欧盟《通用数据保护条例》：https://gdpr-info.eu/

2. 《西班牙数据保护法》：https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

3. 德国数据保护专员（BfDI）：https://bfdi.bund.de/EN/Home/home_node.html