土耳其KVKK隐私通知与明示同意的区别：核心规则详解

在土耳其开展业务的企业，往往对《个人数据保护法》（KVKK，Kişisel Verilerin Korunması Kanunu，第6698号法律）所规定的合规义务存在误解。最常见的错误，是将隐私通知（aydınlatma metni）与明示同意书（açık rıza formu）视为可以互换的文件——甚至将两者合并为同一份文件。然而，土耳其法律在这两种法律工具之间划定了清晰的界限：一旦违反，企业将面临个人数据保护委员会（Kişisel Verileri Koruma Kurulu）的行政罚款和执法程序。

理解两项不同义务

在了解具体规则之前，有必要先明白为何法律将"通知"与"同意"界定为根本不同的概念。

隐私通知（aydınlatma）是一项无论以何种方式处理数据均须履行的义务。根据KVKK第10条，任何在收集个人数据时的数据控制者（veri sorumlusu），须在收集数据的当时向数据主体（ilgili kişi）告知以下信息：谁在收集数据、数据将用于何种目的、数据可能被转移给哪些方及原因、数据以何种方式收集，以及处理数据所依据的法律基础。该义务是无条件的——无论处理数据是为了履行合同、遵守法定义务，还是基于法律规定的其他任何事由，均须履行。

明示同意（açık rıza）则是完全不同的概念。它仅仅是KVKK第5条规定的六种处理个人数据合法依据之一。其余依据包括：法律规定须处理、为履行合同须处理，以及基于数据控制者正当利益须处理。若其他合法依据中有任何一项适用，则根本无需取得同意。但若您确实以同意为依据，该同意必须是自由给予的、具体明确的、且建立在充分知情的基础之上。

分离原则

《履行告知义务的原则和程序公告》（Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ，2018年3月10日《官方公报》）第5条第(f)款明确规定：当数据处理以明示同意为依据时，告知义务的履行与取得同意的程序必须分开进行。 以一份文件同时涵盖二者，不符合法律要求。

在实践中，这意味着：

• 隐私通知应作为独立文件存在——数据主体在被要求作出任何承诺之前，应能独立阅读并理解该文件。
• 同意请求须在告知之后，通过明显区别于通知的独立机制或表格提出。
• 必须就每一项具体处理目的分别取得同意；一揽子"同意所有条款"的勾选框不满足法律要求。
• 以提供服务为条件强制要求用户给予同意——在不存在其他合法依据的情况下——是有问题的，因为在这种压力下获得的同意并非真正出于自由意志。

同一公告还明确规定（第5条第(e)款），数据控制者须承担已履行告知义务的举证责任。若无法提供书面记录证明已完成告知，将极难应对数据主体的投诉。

有效隐私通知的必备内容

KVKK第10条规定了最低内容要求。合规的隐私通知须明确说明：

• 数据控制者及其代表的身份信息
• 数据处理目的
• 数据可能被转移的接收方类别及转移目的
• 数据收集方式及所依据的法律基础
• 数据主体依据KVKK第11条享有的权利

上述公告还增加了通俗语言要求。处理目的描述含糊或采用兜底表述——例如仅笼统地称"用于商业活动"而不作进一步说明——不符合法律规定。处理目的必须具体、清晰且合法正当。

易受KVKK审查的常见违规情形

安塔利亚乃至全国各地的零售、酒店、电子商务及专业服务业企业，普遍面临以下共性问题：

• 单一文件捆绑：一份表格要求用户"阅读并接受隐私通知即视为同意数据处理"，将通知与同意合并于同一行为之中
• 预先勾选的同意框（önceden işaretlenmiş onay kutuları）：同意必须是主动且有意识的选择；默认勾选的复选框不满足自由给予的标准
• 笼统目的描述：使用宽泛的措辞，可能涵盖企业将来可能开展的任何数据处理活动
• 全有或全无式同意：使用户无法在不同意全部数据处理类型（包括可选类型）的情况下使用服务
• 无告知记录：若无法证明已履行告知义务，将无法应对数据主体投诉

对于在安塔利亚运营并服务国际客户的企业——无论是物业管理公司、酒店，还是专业服务机构——上述要求适用于每一个收集个人数据的业务场景。

执法与罚款

根据KVKK第18条，未履行第10条规定的告知义务，将被处以5,000至100,000土耳其里拉的行政罚款。拒不执行委员会决定的，罚款额为25,000至1,000,000里拉；未向VERBİS（Veri Sorumluları Sicili，数据控制者注册系统）登记的，罚款额为20,000至1,000,000里拉。执法框架已由第7499号法律更新，该法律于2024年3月2日正式生效，上述罚款现亦可向行政法院提起诉讼。

外国企业同样不能豁免。若某企业处理土耳其境内人员的个人数据——通过境内分支机构、面向土耳其用户的网站或移动应用程序——则无论该企业在何处注册成立，KVKK均对其适用。有关更广泛合规背景，请参阅我们的土耳其KVKK合规指南；若您的合规风险来源于线上平台，请参阅我们的电商与Cookie合规指南。

常见问题解答

问：我们网站上已有隐私政策，这是否足够？

不一定。在线隐私政策有助于满足告知要求，但时机和方式同样重要。KVKK第10条要求在数据收集时点履行告知义务，而非仅在网站某处予以公示。若数据通过注册表单收集，隐私通知须随该表单一同呈现，而非隐藏于其他链接之中。

问：我们能否对多个处理目的使用同一个同意复选框？

不能。每一项以明示同意为依据的处理目的，均须单独取得具体描述的同意。一个涵盖全部内容的"我同意处理我的数据"通用勾选框，在KVKK框架下不具有法律效力。

问：我们以合同为依据处理数据，而非以同意为依据。我们仍需提供隐私通知吗？

是的。第10条规定的告知义务适用于所有个人数据处理活动，与所依据的法律基础无关。当您以合同履行为依据时，无需取得同意——但仍须发出合规的隐私通知，并在其中注明"合同履行"为您的法律依据。

问：外国公司在土耳其收到KVKK罚款后应如何处理？

应立即寻求法律援助。依据2024年修正案，KVKK委员会作出的罚款决定可向行政法院提起诉讼，但须严格遵守程序性期限。对于涉及跨境数据流转的企业，我们关于KVKK跨境数据传输的文章同样具有参考价值。

Mona Hukuk 如何为您提供帮助

我们团队为在安塔利亚及土耳其各地开展业务的企业提供数据处理合规咨询服务，涵盖现行隐私通知审查、独立同意机制起草，以及在委员会执法程序中代理客户等事项。无论您是外国投资者、本地企业，还是拥有土耳其用户的国际平台，正确区分并分离通知义务与同意机制，是合规工作的首要基础。

请发送电子邮件至 contact@monahukuk.com 或拨打 +90 (242) 606 14 32 安排安塔利亚咨询。