土耳其KVKK与2024年修正案:2026年发布商与广告商的Cookie同意、跨境传输及明示同意指南
土耳其的《个人数据保护法》(KVKK,Kanun No. 6698)自2016年起正式生效,但在过去十年的大部分时间里,它一直是GDPR的一个较为低调的"近亲"——结构上与GDPR相似,但在执法力度上明显较为温和。这一时代已经终结。2024年KVKK修正案于2024年3月12日在官方公报上发布,重构了跨境数据传输制度,以配合GDPR式的充分性认定及标准合同条款,而KVKK委员会(Kişisel Verileri Koruma Kurulu)也在整个2025年及进入2026年以来大幅加强了执法力度。对于任何处理土耳其用户数据的发布商、广告商或平台——无论是设在土耳其境内,还是从境外向土耳其市场提供服务——2026年是现代同意合规架构从"锦上添花"变为"基本要求"的一年。本指南将带您梳理修正后的法律内容、Cookie同意的实际要求、跨境传输的最新机制,以及委员会执法实践中的具体情况。
2024年修正案后的KVKK框架
KVKK是土耳其最主要的数据保护法律,修正后的文本现在是参考基准。一直沿用2024年修正案前版本的发布商,所依据的已是过时的框架。
2024年修正案的主要变化
最核心的变化是对第9条的重写,该条款规范了国际数据传输。修正前的制度众所周知难以满足——几乎所有跨境数据流动都需要明示同意或逐案获得委员会授权,这对任何现代广告技术架构来说都是不可操作的。修正后的第9条引入了三级传输机制:委员会的充分性认定、包含标准合同条款在内的适当保护措施,以及在特殊情形下的例外条款。这终于使土耳其的数据传输制度与GDPR模式接轨,令程序化广告的国际合规无需再逐供应商向委员会提交申请。
未变化的部分
核心定义、合法处理依据、数据主体权利,以及针对敏感数据的明示同意标准,均保持不变。土耳其明示同意的要求,在实践中若有区别的话,比GDPR的标准更为严格,而这也正是大多数发布商合规差距的所在。
VERBIS注册系统
超过一定规模门槛的数据控制者——包括大多数大规模处理土耳其个人数据的境外控制者——必须在数据控制者注册系统(VERBIS)进行登记。登记时须披露处理活动、法律依据及传输机制。许多境外发布商过去曾绕过VERBIS注册;委员会已在2025年和2026年发出信号,对此将采取更积极的态度。
KVKK下的个人数据范围
KVKK对个人数据的定义宽泛,与GDPR高度对应。个人数据是指与已识别或可识别自然人相关的任何信息,委员会的指引一贯将Cookie、广告标识符、IP地址和设备指纹在能够直接或通过合理方式与用户关联时,认定为个人数据。
敏感个人数据
KVKK列举的敏感类别比GDPR更为宽泛:明确包括种族、民族、政治观点、哲学信仰、宗教、教派、外貌、社团或基金会成员资格、健康状况、性生活、刑事定罪、安全措施,以及生物特征数据和基因数据。处理上述任何一类数据,均需要明示同意——不是模糊或打包式的同意,而是针对具体敏感处理活动的专项、知情、自愿同意。
为何与Cookie相关
仅存储会话ID的Cookie属于基础个人数据。而用于构建如自由派选民或虔诚宗教社区等受众细分的Cookie,在土耳其定义下即为敏感个人数据——所需的同意配置是"非明示同意不可"。针对涉及KVKK敏感类别的受众细分定向投放的发布商,不应将这些细分纳入一般广告同意的范围下运行。
2026年KVKK下的Cookie同意
委员会在过去两年中对Cookie的立场持续收紧。当前指引明确无误:处理个人数据的Cookie及跟踪技术,除非对用户主动请求的服务绝对必要,否则均需获得同意。
有效明示同意的四要素
土耳其明示同意须满足以下条件:
- 指向特定事项——涵盖未来不特定处理活动的概括性同意无效
- 知情——用户了解处理哪些数据、为何目的、由谁处理、保留多长时间
- 自愿给予——用户拒绝时不会被拒绝其原本有权享受的服务
- 通过明确肯定性行为表达——预先勾选、默示同意及滚动视为同意,均属无效
合规CMP的样态
针对土耳其流量配置的CMP,在2026年应呈现:
- 在任何非必要Cookie触发前显示醒目横幅,对土耳其用户默认以土耳其语(Türkçe)显示
- 接受、拒绝与自定义选项视觉权重对等——委员会已专门指出拒绝按钮不如接受按钮显眼的横幅设计违规
- 按用途分项的精细化开关:分析、广告、个性化、跨境传输,以及任何敏感类别处理
- 在初始选择后提供持久且易于访问的撤回同意机制
- 提供土耳其语Aydınlatma Metni(隐私声明),披露控制者身份、目的、接收方、保留期限及权利
- 针对任何敏感类别处理,提供独立且有明确标识的明示同意流程(açık rıza),须通过专属操作触发
同意记录
控制者须维护同意记录——谁在何时、对何事、通过何种界面表达了同意。KVKK委员会已在若干执法行动中援引同意日志不充分的问题,可导出的带时间戳日志是基本预期。
2024年第9条下的跨境传输
2024年修正案引入了三级传输框架,与GDPR的做法一脉相承。明确哪种层级适用于哪类数据流,是2026年境外发布商最常见的合规盲区。
第一级——充分性认定
委员会可认定某国、某国际组织或某国某行业提供充分保护。向充分性认定目的地的传输无需额外机制即可进行。截至2026年初,委员会正在逐步发布充分性认定,但尚未对美国作出整体性认定。
第二级——适当保护措施
在缺乏充分性认定的情况下,可基于适当保护措施进行传输。修正案明确列明了经委员会批准的标准合同条款、集团内部传输的约束性企业规则,以及委员会批准的行为准则或认证机制。委员会的标准合同条款于2024年发布,是大多数发布商的主要运作机制。
第三级——例外条款
针对偶发性传输、合同履行所需传输,或用户已明示同意的传输,存在有限例外。这些例外不可作为持续程序化数据流的主要法律依据。
对发布商的实际影响
典型的程序化广告架构在每次竞价中会向数十家境外供应商发送Cookie衍生数据。每一笔这样的数据流都构成跨境传输。2026年的可行方案是与每家国际处理者签订委员会批准的标准合同条款,并在Aydınlatma Metni及VERBIS注册信息中记录传输机制。仍沿用修正前"每次传输单独获取明示同意"逻辑的发布商,既在合规风险上过度暴露,又在变现机会上未能充分利用。
数据主体权利
土耳其数据主体享有与GDPR相同的全套权利,通过KVKK框架加以落实:
- 了解其数据是否正在被处理的权利
- 查阅被处理数据的权利
- 更正不准确数据的权利
- 在处理不再具有正当理由时,申请删除或匿名化的权利
- 了解数据已被披露给哪些第三方的权利
- 对产生不利影响的自动化决策提出异议的权利
- 因非法处理导致损害的赔偿权利
回应时限
控制者必须在30天内回应数据主体的请求。若控制者的回应不充分,数据主体可向KVKK委员会申诉,委员会有60天的决定窗口期。在30天时限内完成端到端处理的运营准备——包括操作手册、工具和土耳其语回应模板——是境外发布商的常见短板。
2026年的处罚与执法态势
KVKK委员会在最初几年相对沉寂,但已显著加大执法力度。2025年的罚款总额是该法生效以来最高的一年,2026年走势相近。
行政罚款
行政罚款每年随通货膨胀调整。截至2026年,最严重违规行为的上限超过每次违规TRY 4000万,数据安全失职、通知义务违规、VERBIS注册缺失及违反委员会决定等情形另有独立上限。在2025年的若干行动中,境外控制者已被处以上限级别的罚款。
声誉风险
委员会在其官网上公布执法决定摘要。境外发布商被处罚的案例屡屡登上土耳其科技媒体,公开KVKK决定所带来的声誉损失,通常远高于罚款本身。
执法重点
委员会2025年及2026年初的执法行动集中于几类反复出现的问题:缺失或模糊的Cookie同意、不充分的Aydınlatma Metni、境外控制者未在VERBIS注册,以及沿用修正前框架的非法跨境传输。
2026年土耳其流量合规审查清单
- 对土耳其用户以土耳其语提供CMP横幅,接受、拒绝和自定义选项视觉权重对等
- 同意目的分项细化,任何敏感类别处理须通过独立明示同意流程进行
- 同意日志带时间戳、可导出,并在处理期限加审计余量期间内保留
- Aydınlatma Metni以土耳其语提供,全面披露控制者、处理者、目的、保留期限及权利
- 达到门槛的控制者须完成VERBIS注册并保持最新状态
- 跨境传输依据2024年标准合同条款或其他有效的第9条机制,并在Aydınlatma Metni中记录该机制
- 数据主体请求工作流可在30天内完成端到端处理,并以土耳其语回应
- 已审查供应商清单,移除未使用或冗余的供应商以降低风险敞口
2026年展望
土耳其的数据保护制度在形式上已与欧洲框架接轨,执法力度也在迅速追赶。2024年修正案消除了现代国际广告技术的最大结构性障碍——旧有的传输制度——委员会在此后两年将重心放在了其余法律条款的执法上。拥有GDPR级别同意架构的发布商,只需进行相对有限的调整,即可满足土耳其合规要求:土耳其语CMP和隐私声明、如适用则完成VERBIS注册、使用2024年标准传输条款,以及对更广泛的敏感数据类别保持审慎。此前将土耳其视为执法较宽松市场的发布商,将发现2026年的代价高于2025年,而2027年的代价又将高于2026年。这一差距若得到优先重视,数周内即可弥补——而它理应成为优先事项。