作者:律师 Serkan Kara,伊斯坦布尔律师协会会员编号 53770。最后更新:2026年6月14日。
土耳其的数据隐私由第6698号《个人数据保护法》(KVKK)规范,该制度在很大程度上参照欧盟《通用数据保护条例》(GDPR)建立。KVKK 规范数据控制者如何收集、处理、存储及传输个人数据,在第5条中规定了合法处理的条件,在第9条中规范跨境传输,并由个人数据保护局(Kisisel Verileri Koruma Kurumu)负责执行。对于跨境企业而言,KVKK 合规如今与 GDPR 风险敞口、欧盟《人工智能法案》以及违规通知义务并存,因此相关法律文件必须结合起来综合解读,而非孤立看待。
对于外国投资者、企业法务总监及跨境企业而言,土耳其的技术与数据隐私合规已不再是单一法规的问题。第6698号《个人数据保护法》(KVKK)是核心国内法律文件,但真正的风险敞口同样贯穿于 GDPR、欧盟《人工智能法案》以及企业客户施加的合同义务之中。本指南回答客户真正关心的问题,列明相关的规范性文件,并阐释一套有据可查的合规体系如何降低执法及交易风险。
土耳其的数据隐私由哪部法律规范?
土耳其的数据隐私由第6698号《个人数据保护法》(KVKK)规范,该法于2016年生效,在结构上与欧盟 GDPR 保持一致。KVKK 适用于处理个人数据的数据控制者与处理者,规定了合法处理的条件,界定了数据主体权利,并设立个人数据保护局作为监管机构。为欧洲客户提供服务的企业仍同时受 GDPR 约束,因此同一家企业往往肩负双重义务。
KVKK 在一系列为人熟知的原则之上构建其框架:合法、公平、透明的处理;目的限制;数据最小化;准确性;存储限制;以及数据安全。这些原则并非抽象概念,而是监管局在审计期间或事件发生后衡量处理是否合法、控制措施是否充分的标准。
根据 KVKK,处理个人数据的合法依据是什么?
根据 KVKK 第5条,仅在取得数据主体明确同意,或符合所列法定例外情形之一时,方可处理个人数据,例如履行合同、遵守法律义务、保护正当利益,或法律明文规定的其他情形。未经同意且不符合相应例外情形的处理即属违法,无论数据在技术层面上得到何种程度的保护。
在实践中,最常见的失误并非缺乏合法依据,而是无法证明存在合法依据。控制者应当能够针对每一项处理活动,说明所依据的具体依据、处理目的、所涉数据类别以及保留期限。特殊类别数据适用更严格的条件,因此处理健康、生物识别或类似数据的依据应当单独且审慎地记录在案。
跨境数据传输如何受到规范?
KVKK 第9条规范个人数据向境外的传输,要求取得明确同意或接收国具备充分的保护水平,并在适当情况下辅以各方之间具有约束力的承诺。当企业同时受 GDPR 约束时,标准合同条款(SCCs)、具有约束力的企业规则(BCRs),或诸如《欧盟—美国数据隐私框架》(DPF)等充分性框架等并行机制,对于相应的源自欧盟的数据流动便具有重要意义。
反复出现的误区是把云架构想当然地视为合法。如果子处理者链条不完整、全球支持团队可在缺乏控制的情况下访问生产数据,或企业无法说明谁能在何时访问何种数据,传输框架便会崩塌。法律立场必须与数据所在位置及接触人员的技术实情相符。
| 传输机制 | 最适用于 | 主要局限 |
|---|---|---|
| 标准合同条款(SCCs) | 大多数跨境数据流动;通过合同可快速部署 | 若不配合可验证的技术与访问控制,则仅停留于纸面 |
| 具有约束力的企业规则(BCRs) | 治理机制成熟的大型跨国集团 | 需要投入大量资源及较长的内部审批时间 |
| 充分性认定 / DPF | 所涵盖司法辖区内的合资格接收方 | 不涵盖后续再传输,亦不能弥补薄弱的供应商尽职调查 |
VERBIS 是什么,谁必须登记?
VERBIS 是依据 KVKK 设立并维护的数据控制者登记系统,除非适用豁免,否则数据控制者须就其处理活动进行登记。登记并非一次性的形式手续,它与维护一份准确处理清单的义务相关联——该清单须反映持有哪些数据、出于何种目的、依据何种合法依据,以及保留多长时间。
某一特定企业是否须进行登记,以及任何适用的门槛或豁免,均由监管局确定,且可能发生变动,因此应在提交登记时确认当时有效的登记义务及任何门槛。实务要点在于:保持良好的 VERBIS 登记状态,依赖的正是支撑合规体系其他各部分的同一套数据梳理工作。
个人享有哪些权利,欧盟《人工智能法案》又增添了什么?
根据 KVKK,数据主体享有的权利包括:访问其数据、更正不准确数据、在规定情形下删除或销毁数据,以及对完全通过自动化处理产生的结果提出异议的权利。控制者必须建立在法律规定期限内接收、评估并答复此类请求的流程,并须能够证明该流程切实运作。
对于开发或部署人工智能的企业而言,欧盟《人工智能法案》增设了一套独立的、基于风险的制度,对系统进行分类,并对就业筛选、信贷与保险评估、生物识别身份认证等较高风险用途施加治理义务。对跨境企业而言,实际问题不在于是否使用人工智能,而在于其系统是否被正确分类,以及当监管机构或企业客户提出要求时,能否提供一份条理清晰的治理档案,包括风险管理、人为监督、技术文档及日志记录。
违反 KVKK 会受到哪些处罚?
对于诸如违法处理、未能保障数据安全或在应登记时未予登记等违规行为,KVKK 规定了行政罚款及其他措施。罚款金额门槛由法律规定并随时间调整,因此任何罚款幅度都应对照行为发生时或申报时有效的数额加以确认,而不应视为固定不变的现行金额。
执法结果在很大程度上取决于应对的质量,而非违规本身是否存在。具有决定性的事实通常在于:控制者能否以真实文档证明处理目的合法、数据最小化及控制措施充分,以及运营团队在执行违规应对时是否做到不自相矛盾、不丢失证据。
企业应如何处理数据违规事件及通知时限?
违规应对是对流程的考验,而非单一决定。根据 GDPR 第33条,在知悉达到通知门槛的个人数据违规事件后,须毫不迟延地向监管机构通报,并在可行情况下于72小时内完成通报;KVKK 同样要求在其规定期限内向监管局及受影响个人发出通知。常见的失误在于拖延:企业等待完全确定后才行动,从而错过法定时限。
在头一天内站得住脚的应对意味着:启动单一的事件指挥机制;在遏制措施销毁日志与快照等证据之前先行保全;识别受影响的数据集与司法辖区;并在监管机构、客户及保险方之间维持一致的对外口径。应在事件发生之前即建立应急预案,因为在事实仍不完整之际,时限太短,不足以临时设计应对流程。
常见问题
在土耳其没有办事处的外国公司是否适用 KVKK?
视处理活动的性质及所在地而定,KVKK 可触及处理在土耳其境内个人之个人数据的数据控制者。没有当地办事处的公司不应想当然地认为自己不在适用范围之内;相反,它应当梳理其数据主体所在地、所处理的数据以及合法依据,并就其在第6698号法律下的具体情况寻求专业意见。
在 GDPR 下,SCCs 是否自动使云端数据传输合法化?
不会。标准合同条款是一种合同机制,而非使任何传输合法化的”印章”。它们必须与技术实情相符,并在传输风险较高之处辅以加密、密钥管理及严格访问控制等补充措施。如果子处理者链条或访问模式不明确,SCCs 便沦为纸面文件,无法通过技术审计的检验。
在土耳其处理个人数据是否始终需要同意?
不需要。KVKK 第5条列举了允许在无明确同意情况下处理数据的法定例外,例如履行合同或遵守法律义务。同意只是若干合法依据之一,但当你依赖某项例外时,必须能够精确地指明该例外,并记录其为何适用于该项具体处理活动。
欧盟《人工智能法案》如何影响一家土耳其公司?
当一家公司将人工智能系统投放于欧盟市场、为欧盟客户提供服务,或依合同须证明其人工智能合规时,欧盟《人工智能法案》便具有相关性。采购方的压力往往会促使治理工作早于正式截止期限展开,因此切实可行的步骤是:盘点人工智能系统,按风险加以分类,并备齐企业买方与监管机构所期待的文档。
对一家中型企业而言,最快见效的合规改进是什么?
建立并维护核心登记册:处理活动登记册、传输登记册、(相关情况下的)人工智能系统登记册以及供应商登记册。然后落实一条简单的采购规则——任何新供应商或新人工智能功能在上线前,均须先更新登记册并完成传输及合法依据核查。这些登记册将成为你在监管机构或客户问询时迅速作答所需的证据层。
在启动下一个数据项目前先咨询律师
跨境数据隐私、人工智能治理以及加密资产与技术等问题相互交织,难以逐条法律分别应对。如果你需要的是一套有据可查、可经受审计的合规体系,而非一份核查清单,我们的技术、数据隐私与加密资产法律团队可就 KVKK 与 GDPR 合规、传输机制、《人工智能法案》治理及事件应对,为外国投资者及跨境企业提供咨询。当数据资产构成交易一部分时,我们也通过公司与商事法律业务支持相关交易。
相关阅读,请参阅我们关于知识产权法、在土耳其进行国际投资之法律层面,以及面向土耳其的人工智能法律分析提示的指南。
本文仅为一般性信息,不构成法律意见。内容涉及土耳其法律;请就你的具体情况咨询合资格律师予以核实。