2024年修正案后的KVKK框架

KVKK是土耳其最主要的数据保护法律，修正后的文本现在是参考基准。一直沿用2024年修正案前版本的发布商，所依据的已是过时的框架。

2024年修正案的主要变化

最核心的变化是对第9条的重写，该条款规范了国际数据传输。修正前的制度众所周知难以满足——几乎所有跨境数据流动都需要明示同意或逐案获得委员会授权，这对任何现代广告技术架构来说都是不可操作的。修正后的第9条引入了三级传输机制：委员会的充分性认定、包含标准合同条款在内的适当保护措施，以及在特殊情形下的例外条款。这终于使土耳其的数据传输制度与GDPR模式接轨，令程序化广告的国际合规无需再逐供应商向委员会提交申请。

未变化的部分

核心定义、合法处理依据、数据主体权利，以及针对敏感数据的明示同意标准，均保持不变。土耳其明示同意的要求，在实践中若有区别的话，比GDPR的标准更为严格，而这也正是大多数发布商合规差距的所在。

VERBIS注册系统

超过一定规模门槛的数据控制者——包括大多数大规模处理土耳其个人数据的境外控制者——必须在数据控制者注册系统（VERBIS）进行登记。注册时须披露处理活动、法律依据及传输机制。许多境外发布商过去曾绕过VERBIS注册；委员会已在2025年和2026年发出信号，对此将采取更积极的态度。

KVKK下的个人数据范围

KVKK对个人数据的定义宽泛，与GDPR高度对应。个人数据是指与已识别或可识别自然人相关的任何信息，委员会的指引一贯将Cookie、广告标识符、IP地址和设备指纹在能够直接或通过合理方式与用户关联时，认定为个人数据。

敏感个人数据

KVKK列举的敏感类别比GDPR更为宽泛：明确包括种族、民族、政治观点、哲学信仰、宗教、教派、外貌、社团或基金会成员资格、健康状况、性生活、刑事定罪、安全措施，以及生物特征数据和基因数据。处理上述任何一类数据，均需要明示同意——不是模糊或打包式的同意，而是针对具体敏感处理活动的专项、知情、自愿同意。

为何与Cookie相关

仅存储会话ID的Cookie属于基础个人数据。而用于构建如自由派选民或虔诚宗教社区等受众细分的Cookie，在土耳其定义下即为敏感个人数据——所需的同意配置是"非明示同意不可"。针对涉及KVKK敏感类别的受众细分定向投放的发布商，不应将这些细分纳入一般广告同意的范围下运行。

2026年KVKK下的Cookie同意

委员会在过去两年中对Cookie的立场持续收紧。当前指引明确无误：处理个人数据的Cookie及跟踪技术，除非对用户主动请求的服务绝对必要，否则均需获得同意。

有效明示同意的四要素

土耳其明示同意须满足以下条件：

• 指向特定事项——涵盖未来不特定处理活动的概括性同意无效
• 知情——用户了解处理哪些数据、为何目的、由谁处理、保留多长时间
• 自愿给予——用户拒绝时不会被拒绝其原本有权享受的服务
• 通过明确肯定性行为表达——预先勾选、默示同意及滚动视为同意，均属无效

合规CMP的样态

针对土耳其流量配置的CMP，在2026年应呈现：

• 在任何非必要Cookie触发前显示醒目横幅，对土耳其用户默认以土耳其语（Türkçe）显示
• 接受、拒绝与自定义选项视觉权重对等——委员会已专门指出拒绝按钮不如接受按钮显眼的横幅设计违规
• 按用途分项的精细化开关：分析、广告、个性化、跨境传输，以及任何敏感类别处理
• 在初始选择后提供持久且易于访问的撤回同意机制
• 提供土耳其语Aydınlatma Metni（隐私声明），披露控制者身份、目的、接收方、保留期限及权利
• 针对任何敏感类别处理，提供独立且有明确标识的明示同意流程（açık rıza），须通过专属操作触发

同意记录

控制者须维护同意记录——谁在何时、对何事、通过何种界面表达了同意。KVKK委员会已在若干执法行动中援引同意日志不充分的问题，可导出的带时间戳日志是基本预期。

2024年第9条下的跨境传输

2024年修正案引入了三级传输框架，与GDPR的做法一脉相承。明确哪种层级适用于哪类数据流，是2026年境外发布商最常见的合规盲区。

第一级——充分性认定

委员会可认定某国、某国际组织或某国某行业提供充分保护。向充分性认定目的地的传输无需额外机制即可进行。截至2026年初，委员会正在逐步发布充分性认定，但尚未对美国作出整体性认定。

第二级——适当保护措施

在缺乏充分性认定的情况下，可基于适当保护措施进行传输。修正案明确列明了经委员会批准的标准合同条款、集团内部传输的约束性企业规则，以及委员会批准的行为准则或认证机制。委员会的标准合同条款于2024年发布，是大多数发布商的主要运作机制。

第三级——例外条款

针对偶发性传输、合同履行所需传输，或用户已明示同意的传输，存在有限例外。这些例外不可作为持续程序化数据流的主要法律依据。

对发布商的实际影响

典型的程序化广告架构在每次竞价中会向数十家境外供应商发送Cookie衍生数据。每一笔这样的数据流都构成跨境传输。2026年的可行方案是与每家国际处理者签订委员会批准的标准合同条款，并在Aydınlatma Metni及VERBIS注册信息中记录传输机制。仍沿用修正前"每次传输单独获取明示同意"逻辑的发布商，既在合规风险上过度暴露，又在变现机会上未能充分利用。

数据主体权利

土耳其数据主体享有与GDPR相同的全套权利，通过KVKK框架加以落实：

• 了解其数据是否正在被处理的权利
• 查阅被处理数据的权利
• 更正不准确数据的权利
• 在处理不再具有正当理由时，申请删除或匿名化的权利
• 了解数据已被披露给哪些第三方的权利
• 对产生不利影响的自动化决策提出异议的权利
• 因非法处理导致损害的赔偿权利

回应时限

控制者必须在30天内回应数据主体的请求。若控制者的回应不充分，数据主体可向KVKK委员会申诉，委员会有60天的决定窗口期。在30天时限内完成端到端处理的运营准备——包括操作手册、工具和土耳其语回应模板——是境外发布商的常见短板。

2026年的处罚与执法态势

KVKK委员会在最初几年相对沉寂，但已显著加大执法力度。2025年的罚款总额是该法生效以来最高的一年，2026年走势相近。

行政罚款

行政罚款每年随通货膨胀调整。截至2026年，最严重违规行为的上限超过每次违规TRY 4000万，数据安全失职、通知义务违规、VERBIS注册缺失及违反委员会决定等情形另有独立上限。在2025年的若干行动中，境外控制者已被处以上限级别的罚款。

声誉风险

委员会在其官网上公布执法决定摘要。境外发布商被处罚的案例屡屡登上土耳其科技媒体，公开KVKK决定所带来的声誉损失，通常远高于罚款本身。

执法重点

委员会2025年及2026年初的执法行动集中于几类反复出现的问题：缺失或模糊的Cookie同意、不充分的Aydınlatma Metni、境外控制者未在VERBIS注册，以及沿用修正前框架的非法跨境传输。

2026年土耳其流量合规审查清单

• 对土耳其用户以土耳其语提供CMP横幅，接受、拒绝和自定义选项视觉权重对等
• 同意目的分项细化，任何敏感类别处理须通过独立明示同意流程进行
• 同意日志带时间戳、可导出，并在处理期限加审计余量期间内保留
• Aydınlatma Metni以土耳其语提供，全面披露控制者、处理者、目的、保留期限及权利
• 达到门槛的控制者须完成VERBIS注册并保持最新状态
• 跨境传输依据2024年标准合同条款或其他有效的第9条机制，并在Aydınlatma Metni中记录该机制
• 数据主体请求工作流可在30天内完成端到端处理，并以土耳其语回应
• 已审查供应商清单，移除未使用或冗余的供应商以降低风险敞口

2026年展望

土耳其的数据保护制度在形式上已与欧洲框架接轨，执法力度也在迅速追赶。2024年修正案消除了现代国际广告技术的最大结构性障碍——旧有的传输制度——委员会在此后两年将重心放在了其余法律条款的执法上。拥有GDPR级别同意架构的发布商，只需进行相对有限的调整，即可满足土耳其合规要求：土耳其语CMP和隐私声明、如适用则完成VERBIS注册、使用2024年标准传输条款，以及对更广泛的敏感数据类别保持审慎。此前将土耳其视为执法较宽松市场的发布商，将发现2026年的代价高于2025年，而2027年的代价又将高于2026年。这一差距若得到优先重视，数周内即可弥补——而它理应成为优先事项。