撰文：易和

在全球化经济活动日益频繁的今天,企业在日常运营中需要在国际范围内传输大量个人数据。土耳其《个人数据保护法》(6698号法,KVKK)与其他国家和国际数据保护法规一样,对跨境数据传输制定了严格的保护性规定。

土耳其个人数据保护机构与全球范围内的其他数据保护机构一样,对境外数据传输高度重视,监督、检查和指导企业个人数据跨境传输，根据法律法规对相关违规行为进行处置包括处以巨额行政罚款。2020年2月27日,土耳其个人数据保护理事会(Kurul)作出第2020/173号决定,对Amazon土耳其零售服务有限公司(Amazon Türkiye)处以总计120万土耳其里拉的行政罚款。这一案例(以下简称"Amazon案")在土耳其数据保护执法历史上具有重要意义,对诸多争议问题提供了详细的指导意见。

一、土耳其个人数据保护法律框架

1.1 土耳其个人数据保护法（KVKK）及其规范框架

土耳其宪法第20条第3款明文规定:"个人数据仅在法律规定情形或本人明示同意时才得以处理。"土耳其于2016年颁布《个人数据保护法》（KVKK）,这是该国首部系统性的个人数据保护法规。

该法的基本架构借鉴了欧盟95/46/EC指令(GDPR前身)和欧洲委员会108号公约的核心精神。KVKK及其配套规章对个人数据、数据控制者(veri sorumlusu)等核心概念作出了明确定义,并规定了数据处理的基本原则,包括合法性、公平性、目的限制、数据质量和安全性等。

1.2 数据主体明确同意的完整内涵

根据KVKK第5条第1款的规定,未经数据主体明确同意,个人数据不得被处理。在KVKK框架下,"明确同意"(açık rıza)被定义为"针对特定事项、在充分告知基础上自愿表示的同意"。

这一定义包含三个核心要素：特定性，即同意必须针对明确限定的处理活动；知情性，即数据主体必须获得充分的信息披露；自愿性，即同意必须基于自由意志作出

因此,将同意绑定于服务条款或登录行为等强制性操作,即使在填写页面时勾选,也被视为"被强加的同意"而无效。所谓"一揽子同意"(battaniye rıza)在法律上不被认可。

1.3 土耳其跨境数据传输的合规路径

KVKK第9条专门规定了跨境数据传输的合规要求。2024年修法后,土耳其引入了与GDPR类似的跨境保障机制,为数据控制者提供了合法跨境传输途径:

土耳其跨境数据传输合规，除了根据充分性清单国家，原则上就需要取得数据主体明确同意，并根据理事会批准的书面承诺书和标准合同。

在Amazon案发生的2020年,土耳其尚未发布任何国家或地区的"充分保护"认定清单,标准合同条款和企业约束规则机制也未完全建立。因此,当时跨境数据传输只能通过数据主体的明确同意和经KVKK特别许可实现（即两个条件应同时具备，才能进行跨境传输）。

值得注意的是, 理事会在最近的决定中强调,只有在真正不可避免的情况下——即所提供的服务在没有相关数据处理活动的情况下无法实现——才可以要求强制性同意。但即使在这种情况下,数据控制者也必须已经启动承诺书或企业约束规则的申请程序,并就此事项告知数据主体。这表明理事会的立场是:明确同意应作为常规性途径使用，只要有所提供服务在没有相关数据处理活动就无法实现，才可以要求强制性同意作为例外。

二、土耳其处罚Amazon案的事实背景与调查过程

2.1 投诉与调查启动

2019年4月,KVKK收到针对Amazon Türkiye的投诉,指控其存在以下违规行为:一是未获得用户对商业通信的明示同意；二是在网站上强制用户同意相关条款；三是可能将用户数据非法传输至境外。

基于这些指控,KVKK理事会于2019年5月16日启动了对Amazon的正式调查(决议2019/140)。

2.2 Amazon的数据处理活动

调查显示,Amazon土耳其平台主要收集并处理以下类型的数据:客户身份信息(姓名、地址、联系方式等)；支付信息；购物历史记录；技术数据(设备标识、浏览行为、Cookie等)。

根据Amazon的隐私声明,部分客户数据储存在欧盟云端服务器,并可能进一步传输至美国用于全球分析与服务器存储。Amazon声称在用户注册或下单环节通过点击操作使用户接受了《隐私声明》、《使用条款》和《Cookie声明》,并为已注册用户提供了电子营销通信的定制选项。

2.3 Amazon的抗辩理由

面对调查,Amazon提出了以下抗辩:

一是管辖权抗辩，认为投诉应由土耳其商务部依据《电子商务法》处理,而非KVKK的管辖范围。

二是透明度抗辩，认为所有注册或下单用户在界面上点击即被视为接受其《隐私声明》,平台允许用户随时调整是否接收营销邮件。

三是合规努力抗辩，认为Amazon正在与KVKK积极沟通,已提交跨境数据传输承诺书,违规指控缺乏实质证据。

四是告知充分抗辩，在"创建Amazon账户"页面明确显示"创建账户即表示您接受本隐私声明中规定的做法"。

然而,KVKK理事会经过详细审查后,并未采纳这些抗辩理由。

三、KVKK的核心认定

3.1 违反明确同意原则

理事会认定,Amazon通过以下方式"默认"取得同意的做法不符合KVKK要求:

第一,将同意绑定于服务条款。Amazon在用户注册和下单过程中,通过绑定服务条款来获取同意。用户点击"创建账户"按钮时,系统显示"创建账户即表示您接受本隐私声明",这种做法被理事会认定为"缺乏自由意志的强制同意"。

根据KVKK第5条第1款,数据处理需要独立、明确的明示同意。仅因用户点击注册或下单即假定同意所有处理项目,包括跨境传输、Cookie追踪、营销邮件等多项不同的处理活动,不符合"特定性"要求。

第二,通用隐私声明不能替代特定同意。理事会指出,像"隐私声明"这样涵盖所有流程的标准文本,不能替代针对具体处理活动的有效告知。数据主体应当就每项不同性质的处理活动(如跨境传输、营销通信、Cookie使用)分别获得充分信息并作出独立同意。

3.2 商业电子邮件发送违规

在商业电子邮件发送方面,Amazon未经用户单独同意而向注册用户及其联系人发送营销信息,违反了KVKK第5条的同意原则及第4条的合法、诚信原则。

理事会援引其2018年第119号原则决议明确:商业电子通信应基于独立明示同意。允许用户在注册后调整营销偏好设置,不能替代事前获取同意的法定要求。

3.3Cookie使用缺乏充分告知

理事会发现,Amazon网站在用户首次访问时即通过Cookie等技术进行数据处理,但未在入口阶段提供必要的隐私告知和选择机制。

根据Amazon自身的Cookie声明,如果用户不接受Cookie,甚至无法完成购物操作。这等于将Cookie接受与服务使用捆绑,违背了KVKK关于知情同意和处理必要性的要求。用户应当能够在充分了解Cookie用途的基础上自由选择是否接受,而不应被迫接受才能使用基本服务。

3.4 跨境传输的违规

关于跨境数据传输的认定是本案的核心问题。理事会的详细分析如下。

承诺书未获批准。调查显示,Amazon确实向KVKK提交了跨境数据传输承诺书,表示愿意履行监管要求。然而,在作出处罚决定时,该承诺书尚未获得理事会批准。

缺乏充分性决定。由于当时土耳其尚无被认定为"充分保护"的国家列表,Amazon无法依据这一路径进行跨境传输。

未取得有效的跨境同意。Amazon的隐私声明明确提及数据可转移至欧盟及美国,但在收集用户数据时并未取得单独的跨境传输同意。理事会强调,根据KVKK第9条第1款规定,未经明确同意,任何个人数据不得转移出境。

理事会特别指出,Amazon试图通过"创建账户即接受隐私声明"的方式一次性获取包括跨境传输在内的所有处理活动的同意,这是典型的"一揽子同意",属于隐含的意思表示而非明确同意。

明确同意的正确理解。理事会在判决中阐述,明确同意意味着数据主体对其数据的处理,根据自己的意愿或应对方要求而给予的许可。不针对特定事项或处理活动、具有一般性质的同意被称为"一揽子同意",在法律上无效。

对于跨境数据传输这样重要的处理活动,数据控制者必须:一是单独告知数据将被传输至哪些国家或地区；二是说明传输的具体目的和必要性；三是获得数据主体针对跨境传输的独立同意；四是不能将跨境传输同意与其他处理活动混为一谈。

四、处罚决定与司法确认

4.1 行政罚款

基于上述认定,KVKK理事会对Amazon Türkiye处以总计120万土耳其里拉（相当于人民币19.32万元）的行政罚款,具体构成如下:

其中110万里拉（相当于人民币17.71万元），是针对其违反第5条(未获同意处理)和第12条(未充分保障数据安全),主要针对非法跨境转移和未经同意发送营销邮件。

10万里拉（相当于人民币1.61万元），是针对比其违反第10条(未充分履行告知义务)。

处罚依据是KVKK第18条第1款第(1)(b)项和第(1)(a)项的罚金规定。理事会认为,这一处罚规模适当且具有警示意义,在当时是KVKK单次处罚中较高额度之一。

(注：本文中的汇率换算基于2026年1月16日的市场汇率（1 CNY ≈ 6.21 TRY）。然而，该处罚决定发生于2020年。自那时以来，土耳其里拉对人民币已大幅贬值（例如，2020年平均汇率约为1 CNY ≈ 1.08 TRY）。因此，处罚决定作出时的120万里拉，按当时汇率计算约合人民币111万元，其实际惩戒力度远高于按当前汇率计算得出的19.32万元人民币。)

4.2 司法程序与最终确认

Amazon对KVKK的处罚决定提起行政诉讼,案件由伊斯坦布尔刑事简易法庭受理。法庭委托专家进行技术评审。

2025年初的判决结果显示,法庭指定的专家报告认为KVKK的技术发现在程序和实体上均无瑕疵,罚款额度在法律规定范围内属于适当。基于专家意见,法官最终驳回了Amazon取消罚款的请求,维持了KVKK的处罚决定。

至此,对Amazon Türkiye的120万里拉罚款正式生效且无法再进一步上诉。

五、比较分析与国际视野

5.1 土耳其的其他高额处罚案例

Amazon案并非孤立事件。土耳其近年来对科技企业的数据保护执法日趋严格:

（近年来土耳其 KVKK 重大处罚案例）

与这些案例相比,Amazon案的独特性在于其集中关注"同意缺失"和"跨境传输"两大核心问题,而非数据泄露或儿童保护。这进一步突显了土耳其监管机构对跨境数据流动合规性的高度重视。

5.2 国际趋势的呼应

在国际层面,欧盟对类似问题也处罚严厉。例如,法国CNIL曾因未经同意投放个性化广告而对谷歌、亚马逊等处以高额罚款,合计近亿欧元。

这些案例共同反映了全球个人数据保护的以下趋势:一是同意机制的严格化:监管机构普遍拒绝接受"一揽子同意"或"强制同意"；二是跨境传输的特殊关注:跨境数据流动被视为高风险处理活动,需要额外的合规保障；三是执法力度的加强:罚款金额显著提高,形成有效威慑；四是国际标准的趋同:各国法律日益向GDPR等国际标准靠拢。

六、合规启示与实务建议

6.1 核心合规要点

Amazon案为数据控制者提供了以下重要启示:

第一,综合性地同意与特殊条件的分离式同意是必需的。数据控制者不能通过一个综合性的"隐私声明"一次性获取所有处理活动的同意。对于跨境传输、营销通信、Cookie使用等不同性质的处理活动,必须分别告知并获得独立同意。

第二,避免捆绑式强制性同意。不能将数据处理的同意作为提供服务的前提条件,除非该处理活动对于服务的实现确实不可或缺。即使在这种情况下,也应当启动承诺书或BCR程序,并明确告知用户。

第三,跨境传输需要特别关注关键环节的合规操作。对于将数据传输至境外的行为,必须:明确告知数据将被传输至哪些国家；说明传输的目的和必要性；获得单独的明确同意；考虑使用承诺书或BCR等替代机制

第四,充分的信息披露。像"隐私声明"这样涵盖所有流程的标准文本不能替代针对具体处理活动的充分告知。数据主体应当获知处理和传输的目的、获取方式、法律依据以及数据主体的权利。

6.2 实务操作建议

基于Amazon案的教训,建议数据控制者采取以下措施:

首先是审查现有同意机制。检查是否存在"一揽子同意"或"强制同意"的情况,及时调整为分离式、自愿式同意

其次，优化跨境传输合规路径。包括优先考虑申请标准合同条款或BCR；如依赖明确同意,确保单独获取且充分告知；关注土耳其充a分性决定清单的发布

三是完善Cookie告知。在用户首次访问时提供清晰的Cookie横幅,允许用户在充分了解的基础上选择接受或拒绝。

四是建立分层告知机制。提供简洁的隐私概览和详细的隐私政策,确保用户能够便捷地获取相关信息。

五是加强商业通信合规:对于营销邮件,必须事前获得独立同意,并提供便捷的退订机制。

七、对有意在土耳其投资的境外投资者的建议

基于本案的教训,我们为计划在土耳其开展业务的跨国企业提供以下战略性建议:

7.1 进入土耳其市场前的合规准备

第一,建立本地化的数据保护架构。外国投资者在进入土耳其市场前,应当组建专门的数据保护团队,熟悉KVKK的具体要求。不能简单地将其他市场(如欧盟)的合规方案直接移植,而应当根据土耳其法律的特殊要求进行本地化调整。

第二,提前规划跨境数据传输策略。如果业务模式涉及将土耳其用户数据传输至境外(如母公司服务器、全球数据中心),必须在业务启动前就制定清晰的合规路径:一是评估是否可以申请标准合同条款或BCR；二是如依赖明确同意,设计符合法律要求的同意机制；三是预留充足的时间与KVKK沟通并获得必要批准

第三,向VERBİS系统注册。根据《个人数据处理目录管理条例》,本地和境外数据控制者在处理前必须向控制者登记系统(VERBİS)注册,并维护处理活动记录。延迟注册可能导致如Meta案中的高额罚款。

7.2 持续业务运营中的合规重点

第一,重新设计用户同意流程。Amazon案最核心的教训是:必须为不同类型的数据处理活动分别获取同意。

以下几个常见模式需要特别注意:注册账户时应保持仅获取账户创建必需的基本处理同意；营销通信时须通过独立的勾选框获取商业邮件同意；Cookie使用:在首次访问时提供Cookie横幅,允许用户选择；跨境传输时应单独告知并获取跨境传输的明确同意。

第二,避免"服务捆绑式同意"。不要将数据处理同意作为使用服务的强制前提,除非该处理对服务实现确实不可或缺。

即使在不可避免的情况下,也应当：一是向KVKK提交承诺书或BCR申请；二是在隐私政策中明确说明为何该处理不可避免；三是告知用户正在申请替代性合规机制

第三,建立透明的信息披露机制。提供清晰、分层的隐私信息:简洁版用于在关键环节提供核心信息概览；详细版即完整的隐私政策,包含所有法定披露事项；针对性告知，在具体处理活动发生前进行专门说明。

7.3 建立持续合规与风险管理机制

第一,建立与KVKK的沟通机制。积极主动地与监管机构沟通,特别是在涉及复杂或创新业务模式时。Amazon案中,虽然Amazon提交了承诺书,但在获得批准前就开始跨境传输,导致违规认定。正确的做法是在获得正式批准后再启动相关业务。

第二,定期进行合规审计。土耳其数据保护法规仍在不断完善中。外国投资者应当每年至少进行一次全面的KVKK合规审计；关注充分性决定清单、标准合同条款等新机制的发布；及时调整业务流程以适应法律变化

第三,充分重视、积极准备应对监管调查。如收到KVKK的调查通知，首先应立即组建响应团队,包括法律顾问和技术专家；全面、及时地提供所需材料；避免使用"应由其他部门处理"等程序性抗辩,这在Amazon案中被证明无效；如有违规,积极整改并向监管机构展示改进措施。

7.4 战略性考量建议

第一,评估数据本地化的必要性。考虑到跨境传输的合规复杂性,某些业务模式下在土耳其建立本地数据中心可能是更优选择,这可以避免跨境传输的合规负担、提升数据处理的响应速度、展示对土耳其市场的长期承诺。

需要强调的是，必须全员培养数据保护意识，对所有员工,特别是产品、技术和营销团队进行KVKK培训。数据保护不仅是法务部门的责任,而应成为企业文化的一部分。

第二,建立区域性合规框架。对于在多个市场运营的跨国企业,建议建立涵盖土耳其在内的区域性合规框架，以识别各市场的共性要求和特殊要求，并可以在确保合规的前提下实现流程标准化，同时利用BCR等机制简化集团内部的数据流动。

为此有必要建立本地法律顾问网络。与熟悉土耳其数据保护法的本地律师事务所建立合作关系,确保能够及时获得专业建议和代理服务。

第三,投资于合规技术。部署隐私管理技术工具,如同意管理平台(Consent Management Platform）、数据映射和处理活动记录系统、自动化的隐私影响评估工具等。在产品和服务的设计阶段就落实"隐私设计"原则，纳入数据保护考量(Privacy by Design),而不是事后补救。这包括数据最小化即仅收集必要的数据；目的限制即明确每项数据的使用目的；透明度，即确保用户能够理解和控制其数据。

这些投资虽然在短期内增加成本,但可以显著降低长期合规风险和潜在罚款。

八、总结与思考

Amazon案体现了土耳其数据保护监管的执法决心和国际标准的趋同。理事会援引KVKK及国际数据保护原则,对缺乏明确同意和法定替代依据的数据处理行为进行了严格认定和处罚。案件的核心要义在于:明确同意必须是特定的、知情的和自愿的。数据控制者不能通过"一揽子同意"或"强制同意"的方式规避法律要求,特别是在跨境数据传输这样的高风险处理活动中。

随着土耳其法规的进一步完善,特别是充分性决定清单的发布和标准合同条款、企业约束规则机制的成熟,跨境数据传输的合规路径将更加多元和清晰。但无论如何,尊重数据主体的自主权、确保充分的信息披露和获取真实有效的同意,始终是数据保护合规的基石。

对于有意在土耳其投资的外国企业而言,Amazon案是一记警钟,但也是一份详尽的合规指南。成功的关键在于将数据保护视为战略性投资而非成本负担,在业务规划阶段就纳入合规考量,建立与监管机构的良性互动机制,并持续关注法律环境的演变。只有这样,才能在土耳其市场实现可持续发展,避免面临高额罚款乃至司法确认的法律后果。

土耳其作为连接欧亚的重要市场,其数据保护法律正日益成熟。对于准备充分、合规意识强的外国投资者而言,这个市场依然充满机遇。关键是要从Amazon等先行者的经验中学习,避免重蹈覆辙,以合规为基础构建长期竞争优势。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。