土耳其生物特征数据处理：KVKK生物数据合规全解析

办公室门口的指纹扫描仪、酒店入住时的人脸识别、替代考勤卡的掌静脉读取器——生物特征技术正在土耳其各行各业迅速普及。然而，在未充分了解相关法律规则的情况下部署此类技术的企业，正在承担巨大的法律风险。土耳其《个人数据保护法》（Kişisel Verilerin Korunması Kanunu，KVKK）将生物特征数据列为最敏感的个人信息类别之一，而规范其处理的法律规则比大多数企业所意识到的更为严格。对于在安塔利亚或土耳其其他地区经营的外资企业和投资者而言，从第一天起便做到合规至关重要。

KVKK框架下的生物特征数据界定

KVKK本身并未对生物特征数据作出定义，但该法第6条将生物特征数据与遗传数据列入特殊类别个人数据（özel nitelikli kişisel veri）清单——与健康记录、种族或民族来源、宗教信仰及性生活信息同属一个保护层级。土耳其法院借鉴欧盟《通用数据保护条例》（GDPR）的定义填补了立法空白：生物特征数据是指通过对个人生理、心理或行为特征进行特定技术处理而获得的个人信息，例如指纹模板、面部几何特征、虹膜扫描或声纹，且此类信息能够唯一识别特定个人。

在实践层面，这一范畴涵盖指纹考勤终端、用于门禁或身份核验的人脸识别系统、视网膜扫描仪、掌静脉读取器，以及任何处理生物特征模板而非仅处理照片或密码的系统。只要某项技术通过人体生物特征识别特定个人，在土耳其法律框架下几乎必然属于生物特征数据处理。

一般禁止原则及其法定例外

KVKK第6条确立了一条明确的基本规则：处理特殊类别个人数据属于禁止行为。仅当以下法定情形之一成立时，相关处理方可合法进行。根据2024年第7499号法律修正案，现行法定情形包括：

• 数据主体自由给予、具体、知情的明确同意（açık rıza）
• 明确法律授权——须有具体法律明文许可该处理行为
• 当事人无法表达同意时的生命紧急必要情形
• 当事人已自行公开的数据
• 设立、行使或保护某项权利的必要情形
• 由负有保密义务的专业人员出于医疗保健、预防医学或公共卫生目的进行处理
• 履行劳动关系、职业健康与安全及社会保障领域法律义务的必要情形

即便上述法定情形之一成立，KVKK第6条第4款还附加了进一步要求：处理行为还须符合个人数据保护委员会（Kişisel Verilerin Korunması Kurulu）规定的安全措施。委员会规定的措施涵盖技术保障，包括生物特征模板加密、严格访问控制、审计日志及员工培训。这些措施是在实体法律依据之外的叠加要求，而非对其的替代。

如需全面了解KVKK的运作机制，请参阅我们关于土耳其KVKK合规的专题文章。

职场生物特征采集与比例原则审查

土耳其生物特征数据争议最集中的领域是职场考勤与门禁管理。雇主部署指纹扫描仪和掌静脉读取器，用于追踪工作时长和限制人员进入。土耳其法院——尤其是国务委员会（Danıştay）——多次审查此类案件，形成了一致的基本原则：生物特征系统不仅须通过同意审查，更须通过比例原则审查。

在2022年的一项裁决中，Danıştay第十二庭撤销了一项要求公务员使用指纹读取器进行考勤的行政命令。法院认定既无明确法律依据，亦无出于真实意愿的同意。更关键的是，法院进一步指出：即便已获得同意，雇主仍须证明采集生物特征数据具有必要性，且不存在侵扰性更低的替代手段。法院注意到，身份证和密码系统同样能够实现相同目的——这使得指纹扫描仪在KVKK第4条规定的数据最小化和比例原则下构成过度处理。

2023年Danıştay在一起掌静脉扫描仪案件中得出了相同结论。法院指出，当雇主尝试更简单的方法时，其效果完全可行。在此基础上再部署生物特征识别属于过度行为——因而违法。

这一判例传递了明确信号：便利性和效率不构成采集生物特征数据的正当理由。如果侵扰性更低的手段能够达到同等目的，土耳其法律可能要求优先采用该手段。

处理生物特征数据前的合规义务

无论您经营的是酒店、工厂、住宅物业，还是在安塔利亚设有办公室的跨国企业，合规清单均保持一致：

• 确立法律依据。 确认是否存在明确同意或法律条款授权相关处理。同意须出于真实意愿——不得将其附加于劳动合同，也不得以此作为进入建筑物的前提条件。
• 适用比例原则审查。 以书面形式记录生物特征数据采集的必要性，以及为何不存在能够实现相同目的且侵扰性更低的替代方案。
• 在采集任何数据前起草详尽的隐私声明。 关于隐私声明与明确同意的区别，请参阅我们关于KVKK隐私声明与同意的专题文章。
• 落实委员会规定的安全措施——包括加密、访问控制、审计追踪及保存期限限制。
• 设定保存期限，并在处理目的实现后删除或匿名化生物特征记录。
• 如符合条件，在VERBİS登记注册。生物特征数据处理须作为独立的高敏感性处理活动单独申报。关于VERBİS的详细信息，请参阅我们的VERBİS数据控制者登记指南。

常见问题解答

问：土耳其雇主能否强制要求员工进行指纹扫描考勤？

通常不可以——除非存在明确的法律依据或真实出于自愿的同意，且即便如此，也只有在生物特征系统确有必要性和符合比例原则的情况下方可实施。当存在替代手段时，法院已在技术上存在同意的情形下仍撤销了指纹扫描要求。

问：酒店使用人脸识别是否符合KVKK？

可以，但须满足以下条件：客人在事前提供知情、自愿的明确同意——不得将其隐藏于服务条款之中——且酒店须符合委员会的安全标准。面部数据不得用于所声明目的以外的任何用途。

问：外资企业是否须遵守KVKK关于生物特征数据的规定？

是的。KVKK适用于任何处理在土耳其境内个人数据的组织，无论该组织在何地注册。凡在土耳其拥有员工或客户的外资企业，均须全面遵守KVKK。

问：非法处理生物特征数据将承担何种法律后果？

个人数据保护委员会可处以行政处罚。无法律依据处理特殊类别个人数据还可能依据土耳其《刑法典》引发刑事责任。

Mona Hukuk如何为您提供帮助

我们的团队为安塔利亚的企业、开发商及国际投资者提供全方位的KVKK合规咨询服务，涵盖生物特征系统的合法化设计、同意架构搭建、隐私声明起草及委员会规定安全措施的落实。我们同时代理客户出席个人数据保护委员会的投诉和调查程序。

请发送电子邮件至 contact@monahukuk.com 或拨打 +90 (242) 606 14 32 安排安塔利亚咨询。