2024年修正案後的KVKK框架

KVKK是土耳其最主要的數據保護法律，修正後的文本現在是參考基準。一直沿用2024年修正案前版本的發布商，所依據的已是過時的框架。

2024年修正案的主要變化

最核心的變化是對第9條的重寫，該條款規範了國際數據傳輸。修正前的制度眾所周知難以滿足——幾乎所有跨境數據流動都需要明示同意或逐案獲得委員會授權，這對任何現代廣告技術架構來說都是不可操作的。修正後的第9條引入了三級傳輸機制：委員會的充分性認定、包含標準合同條款在內的適當保護措施，以及在特殊情形下的例外條款。這終於使土耳其的數據傳輸制度與GDPR模式接軌，令程序化廣告的國際合規無需再逐供應商向委員會提交申請。

未有變化的部分

核心定義、合法處理依據、數據主體權利，以及針對敏感數據的明示同意標準，均保持不變。土耳其明示同意的要求，在實踐中若有分別的話，比GDPR的標準更為嚴格，而這亦正是大多數發布商合規差距的所在。

VERBIS登記系統

超過一定規模門檻的數據控制者——包括大多數大規模處理土耳其個人資料的境外控制者——必須在數據控制者登記系統（VERBIS）進行登記。登記時須披露處理活動、法律依據及傳輸機制。許多境外發布商過去曾繞過VERBIS登記；委員會已在2025年和2026年發出信號，對此將採取更積極的態度。

KVKK下的個人資料範圍

KVKK對個人資料的定義寬泛，與GDPR高度對應。個人資料是指與已識別或可識別自然人相關的任何信息，委員會的指引一貫將Cookie、廣告標識符、IP地址和設備指紋在能夠直接或通過合理方式與用戶關聯時，認定為個人資料。

敏感個人資料

KVKK列舉的敏感類別比GDPR更為寬泛：明確包括種族、民族、政治觀點、哲學信仰、宗教、教派、外貌、社團或基金會成員資格、健康狀況、性生活、刑事定罪、保安措施，以及生物特徵數據和基因數據。處理上述任何一類數據，均需要明示同意——不是模糊或打包式的同意，而是針對具體敏感處理活動的專項、知情、自願同意。

為何與Cookie相關

僅儲存會話ID的Cookie屬於基礎個人資料。而用於構建如自由派選民或虔誠宗教社群等受衆細分的Cookie，在土耳其定義下即為敏感個人資料——所需的同意配置是「非明示同意不可」。針對涉及KVKK敏感類別的受衆細分定向投放的發布商，不應將這些細分納入一般廣告同意的範疇下運行。

2026年KVKK下的Cookie同意

委員會在過去兩年中對Cookie的立場持續收緊。當前指引明確無誤：處理個人資料的Cookie及跟蹤技術，除非對用戶主動請求的服務絕對必要，否則均需獲得同意。

有效明示同意的四要素

土耳其明示同意須滿足以下條件：

• 指向特定事項——涵蓋未來不特定處理活動的概括性同意無效
• 知情——用戶了解處理哪些數據、為何目的、由誰處理、保留多長時間
• 自願給予——用戶拒絕時不會被拒絕其原本有權享受的服務
• 通過明確肯定性行為表達——預先勾選、默示同意及滾動視為同意，均屬無效

合規CMP的樣態

針對土耳其流量配置的CMP，在2026年應呈現：

• 在任何非必要Cookie觸發前顯示醒目橫幅，對土耳其用戶默認以土耳其語（Türkçe）顯示
• 接受、拒絕與自定義選項視覺權重對等——委員會已專門指出拒絕按鈕不如接受按鈕顯眼的橫幅設計違規
• 按用途分項的精細化開關：分析、廣告、個性化、跨境傳輸，以及任何敏感類別處理
• 在初始選擇後提供持久且易於訪問的撤回同意機制
• 提供土耳其語Aydınlatma Metni（私隱聲明），披露控制者身份、目的、接收方、保留期限及權利
• 針對任何敏感類別處理，提供獨立且有明確標識的明示同意流程（açık rıza），須通過專屬操作觸發

同意記錄

控制者須維護同意記錄——誰在何時、對何事、通過何種界面表達了同意。KVKK委員會已在若干執法行動中援引同意日誌不充分的問題，可導出的帶時間戳日誌是基本預期。

2024年第9條下的跨境傳輸

2024年修正案引入了三級傳輸框架，與GDPR的做法一脈相承。明確哪種層級適用於哪類數據流，是2026年境外發布商最常見的合規盲區。

第一級——充分性認定

委員會可認定某國、某國際組織或某國某行業提供充分保護。向充分性認定目的地的傳輸無需額外機制即可進行。截至2026年初，委員會正在逐步發布充分性認定，但尚未對美國作出整體性認定。

第二級——適當保護措施

在缺乏充分性認定的情況下，可基於適當保護措施進行傳輸。修正案明確列明了經委員會批准的標準合同條款、集團內部傳輸的約束性企業規則，以及委員會批准的行為準則或認證機制。委員會的標準合同條款於2024年發布，是大多數發布商的主要運作機制。

第三級——例外條款

針對偶發性傳輸、合同履行所需傳輸，或用戶已明示同意的傳輸，存在有限例外。這些例外不可作為持續程序化數據流的主要法律依據。

對發布商的實際影響

典型的程序化廣告架構在每次競價中會向數十家境外供應商發送Cookie衍生數據。每一筆這樣的數據流都構成跨境傳輸。2026年的可行方案是與每家國際處理者簽訂委員會批准的標準合同條款，並在Aydınlatma Metni及VERBIS登記信息中記錄傳輸機制。仍沿用修正前「每次傳輸單獨獲取明示同意」邏輯的發布商，既在合規風險上過度暴露，又在變現機會上未能充分利用。

數據主體權利

土耳其數據主體享有與GDPR相同的全套權利，通過KVKK框架加以落實：

• 了解其數據是否正在被處理的權利
• 查閱被處理數據的權利
• 更正不準確數據的權利
• 在處理不再具有正當理由時，申請刪除或匿名化的權利
• 了解數據已被披露給哪些第三方的權利
• 對產生不利影響的自動化決策提出異議的權利
• 因非法處理導致損害的賠償權利

回應時限

控制者必須在30天內回應數據主體的請求。若控制者的回應不充分，數據主體可向KVKK委員會申訴，委員會有60天的決定窗口期。在30天時限內完成端到端處理的運營準備——包括操作手冊、工具和土耳其語回應範本——是境外發布商的常見短板。

2026年的罰款與執法態勢

KVKK委員會在最初幾年相對沉寂，但已顯著加大執法力度。2025年的罰款總額是該法生效以來最高的一年，2026年走勢相近。

行政罰款

行政罰款每年隨通貨膨脹調整。截至2026年，最嚴重違規行為的上限超過每次違規TRY 4000萬，數據安全失職、通知義務違規、VERBIS登記缺失及違反委員會決定等情形另有獨立上限。在2025年的若干行動中，境外控制者已被處以上限級別的罰款。

聲譽風險

委員會在其官網上公布執法決定摘要。境外發布商被處罰的案例屢屢登上土耳其科技媒體，公開KVKK決定所帶來的聲譽損失，通常遠高於罰款本身。

執法重點

委員會2025年及2026年初的執法行動集中於幾類反複出現的問題：缺失或模糊的Cookie同意、不充分的Aydınlatma Metni、境外控制者未在VERBIS登記，以及沿用修正前框架的非法跨境傳輸。

2026年土耳其流量合規審查清單

• 對土耳其用戶以土耳其語提供CMP橫幅，接受、拒絕和自定義選項視覺權重對等
• 同意目的分項細化，任何敏感類別處理須通過獨立明示同意流程進行
• 同意日誌帶時間戳、可導出，並在處理期限加審計餘量期間內保留
• Aydınlatma Metni以土耳其語提供，全面披露控制者、處理者、目的、保留期限及權利
• 達到門檻的控制者須完成VERBIS登記並保持最新狀態
• 跨境傳輸依據2024年標準合同條款或其他有效的第9條機制，並在Aydınlatma Metni中記錄該機制
• 數據主體請求工作流可在30天內完成端到端處理，並以土耳其語回應
• 已審查供應商清單，移除未使用或冗餘的供應商以降低風險敞口

2026年展望

土耳其的數據保護制度在形式上已與歐洲框架接軌，執法力度亦在迅速追趕。2024年修正案消除了現代國際廣告技術的最大結構性障礙——舊有的傳輸制度——委員會在此後兩年將重心放在了其餘法律條款的執法上。擁有GDPR級別同意架構的發布商，只需進行相對有限的調整，即可滿足土耳其合規要求：土耳其語CMP和私隱聲明、如適用則完成VERBIS登記、使用2024年標準傳輸條款，以及對更廣泛的敏感數據類別保持審慎。此前將土耳其視為執法較寬鬆市場的發布商，將發現2026年的代價高於2025年，而2027年的代價又將高於2026年。這一差距若得到優先重視，數週內即可彌補——而它理應成為優先事項。