土耳其金融科技处罚:第6493号法律下的行政罚款与刑事责任
土耳其对金融科技企业采取双轨并行的处罚机制:依据第6493号法律第27条对公司本身处以行政罚款,同时依据第28条至第36条对经营管理者追究个人刑事责任,而土耳其共和国中央银行(TCMB)既是唯一的监管机构,也是刑事追诉的"把关人"。对于一家支付机构或电子货币机构而言,缴纳罚款并不能终结一份刑事卷宗,外国护照也无法庇护一名被点名的董事。本文将解析这两条轨道、当前的金额标准,以及当监管机构开始接触时,外国创始人或董事会成员应立即采取的行动。
法律框架:第6493号法律以及究竟谁在监管金融科技
土耳其金融科技监管的核心支柱是第6493号法律(Law No. 6493),即《支付与证券结算系统、支付服务及电子货币机构法》(Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun)。该法律管辖持牌支付机构、电子货币机构,以及负责清算与结算交易的各类系统。如果您的业务在土耳其涉及资金转移、发行电子货币或经营支付系统,那么这部法律就界定了您可以做什么,以及越线后会发生什么。
如今由一家机构统一主导监管。自2020年1月1日起,对支付服务、支付机构和电子货币机构的发牌与监督权力归属于土耳其共和国中央银行(TCMB / CBRT)。在该日期之前,这些权力属于银行监管与监督局(BDDK / BRSA),许多较旧的指南仍把 BDDK 称为金融科技监管机构——这已经过时。如今 TCMB 是唯一对支付与电子货币机构发牌、实施监督、并决定是否可对其管理人员开启刑事卷宗的机构。只有在依据第5411号银行法(Bankacılık Kanunu)出现银行牌照交叠的情形时,BDDK 才会重新介入。
该框架以两条平行轨道运行:针对机构的行政处罚,以及针对管理该机构之自然人的刑事责任。理解这两条轨道彼此独立,是任何外国高管最重要的一点认知。公司可以缴纳行政罚款,但其董事仍可能就同一底层行为被追究刑事责任。与监管机构达成和解并不能消除个人的刑事风险敞口。如果您仍处于实体设立阶段,那么如何搭建公司架构、厘清谁担任需要持牌资格的职务,正是从第一天起就正确地设立并取得土耳其金融科技实体牌照的一部分。
第27条下的行政罚款
第6493号法律第27条以"违反法规与决定"为标题,是主要的行政制裁条款。它针对的是作为法人的机构本身,而非个人,也是外国运营者在日常监管中最常遇到的处罚。
罚款如何计算
该条文先设定一个基础金额区间,然后在其之上叠加一项"反获利"规则:
- 法定基础区间:法律条文中未经重估的数字为每项违规40,000至900,000土耳其里拉(TRY)。这些金额依据税务重估机制(yeniden değerleme)每年重估,因此2026年实际适用的数字高于法定基数。在评估风险敞口之前,请向 TCMB 核实当前经重估后的区间。
- "获利规则":若机构因违规获得不法利益或造成损失,罚款不得低于该金额的两倍。对于在罚款作出之前实施的重复违规,罚款加倍;而当重复违规又再次产生利益或损失时,下限升至该利益或损害的三倍。这些倍数可使实际处罚远高于名义区间,其设计意图就是消除任何把罚款视为"经营成本"的动机。
书面答辩权与异议救济途径
行政制裁并非在沉默中作出。在罚款最终确定之前,机构会获得一个窗口期——通常为一个月——以提交陈述其立场的书面答辩。一份有理有据、证据充分的答辩可以减轻或撤销处罚。如果罚款被确认,可向行政法院(idare mahkemesi)提起异议;依据《行政诉讼程序法》(İYUK 2577),提起此类异议的标准期限为自送达之日起六十日。行政罚款同时受《违警行为法》(Kabahatler Kanunu 5326)总体框架的约束,该法律规定了金钱行政处罚的作出与异议方式。
高管的个人刑事责任(第28至36条)
这正是外国管理者风险敞口最大、却最缺乏准备的地方。第6493号法律并不止于对公司罚款;它创设了落在自然人身上的刑事犯罪——董事会成员、经理、有权签字人,以及视行为而定的其他人员。持有外国护照或身在国外担任董事,并不能使您免于一份土耳其刑事卷宗。
土耳其法律将刑事责任视为个人责任:依据《土耳其刑法典》(TCK 5237)第20条,只有自然人可受刑事处罚,而法人(公司本身)则面临 TCK 第60条下的保安处分,例如吊销牌照或没收财产。这正是双轨设计背后的原理——公司缴纳行政罚款并面临保安处分;而行为背后的人面临牢狱之灾。
法律条文所列出的核心罪名及其刑期幅度如下:
| 罪名 | 条文 | 有期徒刑 | 司法罚金 | 是否需 TCMB 移送? |
|---|---|---|---|---|
| 未经授权的经营活动(无牌照经营) | 第28条 | 1–3年 | 最高5,000日 | 是 |
| 妨碍监督/拒不提供信息 | 第29条 | 3个月–3年 | 最高1,500日 | 是 |
| 信息安全与记录保存违规 | 第31条 | 1–3年 | 500–1,500日 | 否——允许直接控告 |
| 违反保密义务 | 第32条 | 1–3年 | 最高1,000日 | 适用一般规则 |
| 挪用侵占(职务侵占) | 第36条 | 6–12年(加重情形:最低12年) | 最高5,000日 | 适用一般规则 |
有几点值得特别指出。未经授权的经营活动(第28条)是核心罪名——它涵盖在未取得法律所要求的 TCMB 牌照的情况下提供支付服务、发行电子货币或经营支付系统,包括在牌照尚未获批之前或牌照被吊销之后从事经营。挪用侵占(第36条)是该法律中最严重的罪名:侵占托付给机构的资金可处六至十二年有期徒刑,在其加重形式下升至最低十二年,并附带不少于损失三倍的赔偿义务。它与 TCK 5237 中的侵占罪(zimmet)相对应,但六至十二年的刑期幅度是该法律自身的规定。
追诉的把关人:第37条
第6493号法律最重要的程序特征之一——同时也是对机构及其员工的一项真正保护——体现在第37条。对于该条所涵盖的罪名,公诉检察官不能依职权主动提起刑事案件。他们首先需要来自 TCMB 的正式书面申请。
在实务中,TCMB 扮演把关人的角色:没有监管移送,对受把关罪名就不会启动追诉。这道过滤机制意义重大,因为它给了机构一个在事项进入刑事法院之前先在监管层面解决问题的机会。
重要的例外
把关机制并非涵盖一切。虽然第28条和第29条牢牢处于过滤机制之内,但第31条带有直接控告的例外:受影响方或利害关系方可以就信息安全与记录保存违规直接提出控告,无需等待 TCMB 的申请。对于一家处理大量客户数据的金融科技企业而言,这意味着仅仅一名受损客户即可启动刑事程序。因此,数据安全合规并不只是一项监管打勾的事项;它是直接的刑事风险管理,并且与土耳其机构如今所面临的更广泛的网络安全义务与数据泄露风险密切相关。
第31条义务的来源:TCMB 二级法规
第31条转化为刑事风险的那些信息安全与记录保存义务并非凭空而来。它们详细规定于 TCMB 的二级立法中——主要是《支付服务与电子货币发行、支付服务提供商及支付机构条例》,以及配套的关于支付与电子货币机构的《信息系统通告》(Bilgi Sistemleri Tebliği)。这些规范文件设定了机构必须达到的数据留存、系统安全与外包标准。
这对刑事风险敞口有着具体的影响:违反写入 TCMB 条例的某项义务,可能成为构成第31条罪名的事实基础。由于大量信息系统工作被委托给供应商和云服务商,您在服务提供商与外包合同中所约定的条款,会直接影响一旦发生泄露时谁承担风险,以及辩护如何举证。第32条下的保密义务同样延伸至这些第三方供应商。
它如何与反洗钱规则相交叉
土耳其的金融科技责任很少孤立存在。支付与电子货币机构在土耳其的反洗钱(AML)制度下属于负有义务的主体(obliged parties),受 MASAK(金融犯罪调查委员会)依据《预防犯罪所得清洗法》第5549号法律(Law No. 5549)监督。客户尽职调查、可疑交易报告或记录保存方面的失误,可产生其自身的行政罚款,并可能引发刑事侦查。
在涉嫌洗钱的情形下,相关行为还可能触及《土耳其刑法典》(TCK 5237)——第282条下的资产清洗罪,以及涉及欺骗时的土耳其刑法下的诈骗罪(第157至158条)。因此,一次金融科技合规失误可能迅速从一桩第6493号法律事项,扩展为横跨 TCMB 监管、MASAK/反洗钱义务与一般刑法的多法律责任敞口。这正是为何在监管机构首次接触之时即获得专门辩护如此重要。
一个实例分析:一次审查,两份平行卷宗
用一个匿名化的单一情景最容易理解这两条轨道。假设一支 TCMB 监督团队审查一家支付机构后发现:其部分服务在牌照尚未完全到位之前就已上线,而且某一账册中的客户资金对不上账。
- 行政卷宗:该机构收到通知,并获得约一个月的窗口期,依据第27条提交书面答辩。如违规被确认,公司将面临经重估后40,000至900,000土耳其里拉区间内的罚款——若其从该行为中获利,则不低于该利益的两倍。随后公司可依据 İYUK 2577 在60日内将罚款诉至行政法院。
- 刑事卷宗:同样的事实可产生一条独立的刑事轨道。牌照前的经营活动指向第28条(未经授权的经营活动,1–3年),而账册短缺则可作为可能的挪用侵占依第36条(6–12年)加以审查。就第28条这一支而言,检察官需先取得 TCMB 的书面申请;第36条这一支则适用一般规则。
一次审查,两份卷宗,两条时间线——而且刑事轨道中被点名的个人,与缴纳罚款的法人并非同一主体。从收到第一份通知起就协调好两方面的应对,正是防止一个行政问题演变成个人问题的关键。
外国董事会成员面临的跨境现实
本领域我们的读者大多是身处土耳其境外的外国高管,而他们心照不宣的问题很简单:究竟有什么能在境外触及到我?坦率的答案是:距离会降低风险,但并不能消除风险。
- 传唤与陈述:土耳其的侦查可以传唤被点名的个人前往作陈述(ifade)。不到场可能促使检察官或法院升级措施,包括签发一旦您入境即生效的强制措施。
- 入境与出行措施:在刑事卷宗已开启的情况下,实务上的关键夹点是抵达土耳其,以及法院可能对其权力可及之人施加的出境禁令(yurt dışı çıkış yasağı)。一名入境的董事会成员可能会发现一项措施正等着他。
- 管辖与司法协助:法律冲突问题由《国际私法与国际民事诉讼程序法》(MÖHUK 5718)规范,而跨境执行则取决于司法互助以及任何适用的引渡安排,这些因国家与罪行而异。这些问题高度依赖具体事实,绝不应在任一方向上想当然。
如果您从境外担任董事或签字人职务,厘清自身风险敞口的恰当时机是在卷宗开启之前,而非传唤到来之后。清晰的公司治理与董事职责划分可以使个人避开第28至36条所划出的火力线。
外国运营者的实用合规与辩护步骤
对于外资持有的支付与电子货币企业而言,目标是把事项控制在行政层面,并在刑事卷宗一旦开启时保护被点名的个人。实用的措施包括:
- 建立有完整审计轨迹、记录在案的内部控制,以便能在一个月的窗口期内迅速为第27条下的书面答辩举证。
- 鉴于客户可以在没有监管过滤的情况下直接控告,应将第31条的信息安全义务——以及作为其基础的 TCMB 条例与信息系统通告——视为刑事风险的优先事项。
- 厘清谁担任有权签字人与董事会职务,并就其在第28至36条下的个人刑事风险敞口对这些人员进行说明告知。
- 为第6493号法律与 MASAK/第5549号法律两方面的目的,维护一套干净、可随时检索的记录保存系统。
- 在 TCMB 或 MASAK 一旦接触时——也就是在作出任何陈述之前——立即委托专门的刑事辩护律师。
如果您的机构已收到通知、书面答辩要求,或任何移送检察机关的迹象,请勿独自应对。请用中文写信给 Lexin Legal——我们以中文与您沟通往来;如有需要,可另行安排翻译陪同会议或庭审(需另行付费)。我们将协助评估您的行政与刑事风险敞口,并在机构辩护与任何被个别点名高管的立场之间进行协调。我们的法律服务以英语和土耳其语提供。
常见问题
在土耳其,谁监管金融科技与支付机构?
自2020年1月1日起,土耳其共和国中央银行(TCMB / CBRT)是依据第6493号法律对支付机构、电子货币机构和支付系统发牌并实施监督的唯一机构。这些权力自银行监管与监督局(BDDK / BRSA)移交而来,BDDK 仅在出现第5411号法律下的银行牌照交叠时仍具相关性。把 BDDK 称为金融科技监管机构的较旧指南已经过时。
哪部土耳其法律规范金融科技处罚?
主要法律是第6493号法律,即《支付与证券结算系统、支付服务及电子货币机构法》。它由中央银行(TCMB)执行,既规定了行政罚款(第27条),也规定了刑事罪名(第28至36条)。第5549号法律(MASAK)下的反洗钱义务往往平行适用,严重违法行为还可能触及第5237号《土耳其刑法典》。
在土耳其,金融科技罚款可以有多高?
第6493号法律第27条设定了每项违规40,000至900,000土耳其里拉的基础区间,但这些数字每年重估(2026年重估率为25.49%),因此实际适用的金额高于法定基数。若机构从违规中获利,罚款不得低于该利益的两倍,重复违规时升至三倍。请向 TCMB 核实当前经重估后的区间,而不要依赖历史数字。
在土耳其未经牌照经营支付服务会有什么后果?
在未取得所要求的 TCMB 牌照的情况下经营支付服务、发行电子货币或经营支付系统,构成第6493号法律第28条下的未经授权经营活动。它可处一至三年有期徒刑,外加最高5,000日的司法罚金,且经营场所可被关闭两至六个月或永久关闭。检察官只有在 TCMB 依据第37条提交书面申请之后,才能提起该案件。
外国董事会因土耳其金融科技企业的违规行为承担刑事责任吗?
会。第6493号法律第28至36条为董事会成员、经理和有权签字人创设了个人刑事罪名,不论其国籍如何。未经授权的经营活动(第28条)可处一至三年,挪用侵占(第36条)可处六至十二年。依据《土耳其刑法典》第20条,刑事责任属于个人责任,因此外国护照并不能提供免于土耳其刑事程序的豁免。
缴纳行政罚款就能终结此事吗?
未必。第27条下的行政处罚针对机构,而第28至36条下的刑事责任针对个人。同一行为可能既导致对公司的罚款,又导致对责任人的另案刑事追诉。与 TCMB 达成和解并不能消除个人的刑事风险敞口。
什么是第37条的追诉把关机制?
对于未经授权的经营活动(第28条)、妨碍监督(第29条)以及记录保存或信息安全违规(第31条),检察官在没有中央银行(TCMB)书面申请的情况下不能提起刑事案件。这道过滤机制使机构得以先在监管层面解决问题。关键的例外是第31条的信息安全罪名——受影响方可以在没有 TCMB 移送的情况下直接控告。
