科技法、数据隐私（KVKK）与加密货币监管。Serka 律师事务所为国际科技公司、SaaS 服务商、金融科技企业、人工智能开发者以及加密货币平台提供土耳其数据保护法、电子商务法、互联网法和资本市场法方面的法律咨询。我们搭建合规架构，使境外平台能够合法地为土耳其用户提供服务；当监管机构对该平台采取行动时，我们为其辩护。

律师 Serkan Kara, 伊斯坦布尔律师协会编号 53770
最后更新：2026 年 6 月

对于在土耳其运营的公司而言，什么是科技法与数据隐私法？

土耳其的科技法与数据隐私法规范公司如何收集、存储、传输个人数据和数字服务，以及如何从中获利。核心法规是《个人数据保护法》第 6698 号（KVKK），它在结构上与欧盟 GDPR 相似，但对将数据传输至土耳其境外施加了更为严格的条件。为土耳其用户提供服务的科技公司，无论其服务器位于何处，均须受这些规则约束。除 KVKK 外，《电子商务监管法》第 6563 号、《互联网法》第 5651 号，以及（针对加密资产的）《资本市场法》第 6362 号共同构成了任何境外平台都必须遵守的监管边界。

一个科技或数据项目应当首先审查什么？

科技项目应当从数据流图谱入手：数据主体是谁、处理了哪些个人数据、出于何种目的、存储在何处，以及哪些第三方或供应商会接触到这些数据。律师可以从该图谱中识别出附着于每一条数据流的法律义务，包括同意或其他合法基础、跨境传输管控、安全义务、面向消费者的合同条款，以及任何行业许可。在产品设计阶段而非在监管机构问询之后解决这些问题，才能避免一项单纯的商业决策日后演变为合规失败。

什么是 KVKK？它与 GDPR 有何区别？

KVKK（《个人数据保护法》第 6698 号）是土耳其的一般性数据保护法规，其原则、数据主体权利和问责义务在结构上与 GDPR 相近。决定性的区别在于跨境数据传输。GDPR 允许在充分性决定和标准化保障措施下进行传输，而 KVKK 历来要求要么取得数据主体的明示同意，要么目的地国家须列入个人数据保护委员会所认定的具备充分保护水平的国家名单。由于该充分性名单在实践中始终有限，大多数国际公司依赖经委员会批准的书面承诺或标准合同保障措施，而非将某一目的地视为自动安全。

数据控制者的 VERBIS 登记

达到既定门槛、或其核心活动为处理敏感个人数据的公司，必须在 VERBIS 登记。VERBIS 是由个人数据保护机构维护的公开数据控制者登记册。登记内容记录控制者的数据清单、处理目的、保留期限和安全措施。在土耳其境内没有设立机构的境外数据控制者，必须在土耳其指定一名数据控制者代表，本所为国际客户履行这一职能。未登记，或登记不准确信息，将使控制者面临行政罚款。

跨境数据传输

根据 KVKK，仅出于便利之由，不得将土耳其境内用户的个人数据传输至境外服务器。明示同意是一条途径，但其脆弱性在于用户可随时撤回同意。更为稳固的途径是经个人数据保护委员会批准的书面承诺或标准合同机制，并辅以真实的技术与组织安全等效性。我们起草并提交这些文书，使跨国公司能够将数据保留在其现有的云基础设施上，同时仍符合土耳其法律。

土耳其如何监管加密货币和加密资产平台？

土耳其的加密货币和加密资产服务提供者受《资本市场法》第 6362 号监管，该法经修订后将加密资产纳入资本市场委员会（SPK）的监督之下。加密资产服务提供者，包括交易所和托管平台，必须持有 SPK 颁发的运营授权，并遵守资本、治理、托管和反洗钱义务。在未取得该授权的情况下经营面向土耳其用户的交易所，将被视为未经授权的资本市场活动，并可能导致相关高管承担刑事责任，以及对平台实施访问封锁。

为加密货币交易所申请许可

招揽土耳其用户、以土耳其语进行广告宣传，或提供土耳其里拉交易对的境外交易所，通常需要设立一家土耳其股份有限公司并取得 SPK 授权。申请许可涉及满足最低资本要求，落实与 MASAK（金融犯罪调查委员会）相一致的反洗钱和客户身份识别管控，并建立合规的托管安排。我们端到端地办理授权申请，并搭建持有该许可的公司主体架构。

代币发行与 Web3 架构设计

代币发行带有证券风险。表现类似于利润分享或分红工具的代币，可能被认定为证券，从而触发招股说明书和信息披露义务。我们出具法律意见，区分实用型代币与证券型代币，搭建发行主体架构，并对面向零售投资者的发售进行地域限制，使创始人不致在土耳其面临未经授权公开发售的指控。

哪些电子商务规则适用于境外在线平台？

向土耳其消费者销售的境外在线平台必须遵守《电子商务监管法》第 6563 号和《远程销售合同》条例。其中两项义务最为重要。第一，任何企业对消费者的销售，都必须给予消费者十四天无理由、无罚则的撤销权，并在购买前提供详细的预先信息表。第二，诸如营销短信、电子邮件或自动呼叫等商业电子讯息，须取得事先许可并记录于中央讯息管理系统（IYS）；消费者的退订必须被自动履行。在未取得 IYS 许可的情况下发送未经请求的营销讯息，或拒绝合法退款，将招致行政罚款和消费者投诉，进而可能扰乱本地支付处理。

土耳其当局能否封锁或限速一个境外平台？

能。根据《互联网法》第 5651 号，拥有庞大土耳其日活用户基数的境外社交网络服务提供者，必须指定一名本地代表，以接收并回应法律通知。当法院基于人格权或其他法定理由命令删除内容时，服务提供者必须在法定期限内采取行动。拒不执行可能导致信息和通信技术管理局（BTK）实施广告禁令、罚款，以及逐步加码的带宽限速，从而降低服务质量。我们担任所指定的代表，评估每一道命令的有效性，在命令存在瑕疵时提出异议，并执行范围狭窄、目标精准的合规措施，使单一争议不致危及平台的整体可用性。

科技公司面临的主要法律风险及其例外有哪些？

反复出现的风险包括非法跨境数据传输、缺失 VERBIS 登记、在未取得 SPK 授权的情况下经营加密服务、未取得 IYS 许可而发送未经请求的营销讯息，以及无视《互联网法》项下的内容删除或代表指定义务。每一项都伴随行政罚款，其中数项还伴随刑事风险或访问封锁。主要的例外与抗辩理由包括 KVKK 项下同意以外的其他合法基础、使数据脱离个人数据范畴的真正匿名化、经委员会批准的传输文书，以及对加密或代币活动进行架构设计使其不以土耳其零售用户为目标。某一例外是否适用取决于具体事实，应在监管机构采取行动之前、而非之后进行评估。

处理科技与数据隐私事务，我需要律师吗？

每当一项科技产品大规模触及土耳其用户、处理敏感或生物识别数据、向境外传输数据、提供加密或代币服务，或已收到监管机构通知时，律师都是必要的。这些事务交织着数据保护法、资本市场法、消费者法和互联网法，任何一个领域的失误都可能冻结支付网关或封锁整个服务。在产品设计阶段聘请律师，远比在上线后应对执法行动更为经济。

常见问题

KVKK 是否适用于在土耳其没有办事处的公司？

适用。KVKK 的适用以处理土耳其境内个人的个人数据为依据，而非以公司的注册地或服务器所在地为依据。处理土耳其用户数据的境外数据控制者，通常须在 VERBIS 登记，并在土耳其指定一名数据控制者代表。

我们能否将客户数据保留在土耳其境外的 AWS 或 Google Cloud 上？

通常可以，但并非自动可行。将土耳其用户的个人数据存储于境外云基础设施，在 KVKK 项下构成跨境传输。这必须以有效的明示同意为支撑，或更为稳固地以经委员会批准的书面承诺或标准合同机制并辅以充分的安全措施为支撑。我们起草并提交授权该传输的文书。

从境外为土耳其用户经营加密货币交易所是否合法？

通过未取得许可的离岸交易所招揽土耳其用户，在第 6362 号法律项下被视为未经授权的资本市场活动，并可能导致刑事责任和访问封锁。希望获得土耳其用户的平台，通常必须设立一家土耳其公司并取得 SPK 授权，包括符合 MASAK 要求的反洗钱管控。

如果我们在未取得 IYS 许可的情况下发送营销讯息会怎样？

每一条未经许可的商业电子讯息都可能触发行政罚款，反复违规则会招致监管和消费者投诉。发送给土耳其消费者的营销短信、电子邮件和自动呼叫，必须在 IYS 系统中登记，且退订必须被自动适用。

一家土耳其法院命令我们删除内容。期限是多久？

根据《互联网法》第 5651 号，服务提供者必须在适用于该命令类型的法定期限内，对有效的内容删除命令采取行动。错过期限可能导致 BTK 实施广告禁令、罚款和带宽限速。我们评估命令的有效性，在必要时予以遵从，并对存在瑕疵的命令提出抗辩。

在监管机构问询后，我们应当多快让律师介入？

立即。早期介入的律师可以暂停不合规的数据管道，保全诸如匿名化或替代性合法基础等抗辩理由，并在罚款和销毁令最终确定之前，与监管机构展开有条理的对话。拖延会收窄可用的抗辩空间。

申请保密案件评估

如果您的平台处理土耳其用户数据、向土耳其用户提供加密或代币服务，或已收到监管机构通知，请申请保密案件评估。请描述产品、数据流以及任何待处理的命令，我们将识别适用的义务以及使您保持合规并持续运营的架构。

法律免责声明

本页面提供有关土耳其科技法、数据保护法和资本市场法的一般信息，不构成法律意见。阅读本页面不形成律师与委托人关系。律师与委托人关系仅通过签署的委托协议建立。如需就具体情况获取建议，请咨询合格的律师。

土耳其科技法、数据隐私（KVKK）与加密货币监管