为企业与个人解读土耳其的人工智能法规
截至 2026 年,土耳其仍没有一部单独的、专门针对人工智能的法律。相反,AI 是通过现有法律来加以规范的,其中最重要的一部是《个人数据保护法》第 6698 号(KVKK),它几乎覆盖任何接触个人数据的 AI 系统。如果您的产品或服务面向欧盟市场销售,欧盟《人工智能法案》也可能在您身处土耳其时对您产生约束力。本指南将解释当前的法律框架、您可能错过的 2024 与 2025 年重要变化,以及外国企业和个人现在应当采取的实务步骤。
2026 年土耳其有专门的人工智能法吗?
截至 2026 年,土耳其没有一部单独、全面的人工智能法律。土耳其没有相当于欧盟《人工智能法案》的生效立法。相反,AI 是通过已有的数据保护、合同、侵权责任、知识产权、消费者保护和刑事方面的法律来间接规范的,并就具体的 AI 情形逐案适用。
这并不意味着 AI 处于无监管状态。在土耳其部署 AI 系统的公司,必须遵守该系统所触及的每一部一般性法律。对外国企业来说,要点很简单:“没有 AI 法”不等于“没有义务”。义务藏在其他法律之中,而其中数部在 2024 和 2025 年都发生了重大变化。
由于这一领域变动迅速,任何 AI 部署都应当对照您上线当天有效的法律来核查。我们的技术、人工智能与网络安全团队可以确认这些规则如何适用于您的具体使用场景。
2025 年之后土耳其的 AI 政策方向
目前还没有具有约束力的 AI 法典,但土耳其已经确立了清晰的政策方向,而且在原战略周期结束后,这一方向得到了更新。
- 《国家人工智能战略 2021-2025》现已到期。该战略由总统府数字转型办公室与工业和技术部协调制定,设定了以人为本、可信、合乎伦理的原则,整体上与国际 AI 规范相一致。
- 一份更新的行动计划被发布以延续该战略,向各部委分配了数十项优先行动,包括构建土耳其本土的大语言模型、推动国家级 AI 立法、厘清 AI 生成内容的知识产权归属,以及投资数据中心与高性能计算。
- 一份更新的路线图如今强调数字主权与数据主权,主张将关键 AI 基础设施和数据置于本国管辖之下,并为下一代系统(如自主智能体 AI)做准备。
以上都不是有约束力的法律。但它告诉您土耳其正在朝哪个方向走,而这一方向与欧盟模式足够接近,以至于对任何面向土耳其市场的产品而言,按欧盟式的透明度与风险控制来设计,都是明智之举。
数据保护:AI 的实际操作规则手册
对土耳其的大多数 AI 系统而言,最为相关的一部法律是《个人数据保护法》第 6698 号(KVKK)。只要 AI 系统处理个人数据,它就适用——而这覆盖了绝大多数真实部署:聊天机器人、CRM 与人力资源工具、推荐引擎、人脸识别等等。
第 6698 号法下的核心义务
- 处理的合法依据。您需要明确同意,或法律规定的其他合法依据之一(普通数据见第 5 条,特殊类别数据见第 6 条)。第 7499 号法(2024 年 6 月 1 日生效)扩大了特殊类别数据的合法依据,因此对敏感数据而言,明确同意不再是唯一的现实路径。
- 目的限制与数据最小化。只为明确、正当的目的处理数据。
- 透明。必须告知数据主体其数据将如何被使用,包括在自动化决策与画像中的使用。
- 数据安全。必须采取适当的技术与组织措施来保护数据。
自动化决策与用户画像
对人进行打分、排序或筛选的 AI——例如用于筛选求职者或评估信用——会引发 KVKK 关于自动化决策与画像的特定关切。必须告知数据主体,处理必须有合法依据,且您应当能够解释其逻辑。同样的使用场景在欧盟《AI 法案》下也是典型的“高风险”触发因素,因此单单一个招聘工具,就可能同时受到两套监管制度的审视。
跨境数据传输:2024 年改了什么
对外国企业而言,近期最重大的变化是跨境传输制度。把个人数据输入境外托管的 AI 工具、云端模型或服务,在 KVKK 下属于跨境传输,而相关规则已被第 7499 号法彻底修订——该法修改了第 9 条(2024 年 3 月 12 日公布,2024 年 6 月 1 日生效)。配套的《传输条例》于 2024 年 7 月 10 日随后出台。
原先以同意为默认依据的模式已不复存在。现在是三层框架:
- 充分性决定。向个人数据保护委员会认定为“充分”的国家或行业进行传输。这类决定至少每四年重新评估一次。
- 适当保障措施。在没有充分性决定的情况下,您可以依赖某些保障措施,例如委员会公布的标准合同条款(SCC)、用于集团内部传输的约束性公司规则(BCR),或经委员会批准的书面承诺。
- 偶发的、个别性的例外。一小类一次性情形,例如对该特定传输的明确同意,或为履行合同所必需的传输。
对使用共享 AI 平台的跨境集团来说,这通常意味着要在约束性公司规则与标准合同条款之间作出选择,然后正确地记录并报备。我们帮助跨境集团及公司架构在第一次就把传输机制做对;您也可以阅读我们关于 GDPR 与土耳其数据保护合规的指南了解更多。
KVKK 生成式 AI 指南(2025 年 11 月 24 日)
在 2025 年 11 月 24 日,个人数据保护机关发布了《生成式人工智能与个人数据保护指南(15 问)》。它建立在该机关 2021 年关于 AI 与个人数据的早期建议之上,如今是关于监管机构期望如何处理生成式 AI 和大语言模型的最清晰官方信号。
该指南不是法律,但它在整个 AI 生命周期内设定了监管机构的期望,包括:
- 每一阶段都要有合法依据。收集训练数据、训练与微调模型、以及向用户部署,被视为各自独立的处理活动,每一项都需要依据第 6698 号法有其自身的合法依据。
- 可证成的留存期限。训练数据集不应被无限期保存;留存必须有限度、可证成。
- 透明与数据主体权利。个人对建立在其数据之上的系统仍保有权利,而您应当能够回应他们。
- 准确性与“幻觉”。AI 关于真实个人的不准确输出,被视为数据准确性问题,而不只是技术上的小毛病。
对外国公司而言,最常见的陷阱依旧不变:在没有先解决上文所述的合法依据与跨境传输规则之前,就把客户或员工数据推送到境外的 AI 工具中。
在土耳其用 ChatGPT 或生成式 AI 做生意合法吗?
合法。在土耳其将 ChatGPT 或其他生成式 AI 工具用于经营并未被禁止。真正重要的是您往里输入了什么数据,以及这些数据流向哪里。三个问题决定了您的使用是否合规:
- 您是否在输入个人数据?如果您把客户、员工或委托人的信息粘贴进提示词,KVKK 将全面适用。您需要有合法依据、保持透明,并对留存有可辩护的立场。
- 该工具是否托管在境外?大多数主流 AI 服务在土耳其境外处理数据,这使您的输入成为一次跨境传输。届时您需要充分性决定、适当保障措施(如已报备的标准合同条款),或一项有效的例外。
- 其输出是否可能造成损害?不准确、侵权或诽谤性的输出可能产生责任,这将在下一节讨论。
责任:AI 造成损害时谁来负责?
土耳其法律不赋予 AI 任何法律人格,因此 AI 系统本身不能成为责任主体。责任落在其背后的人和公司身上,依据一般法律承担。
- 合同责任。如果某个 AI 产品或服务未能按约定履行,提供方可能依据合同(第 6098 号 TBK)承担责任。
- 过错侵权责任。因过错致其 AI 造成损害的一方,可能依据 TBK 第 49 条的一般侵权规则承担赔偿责任。
- 产品与消费者责任。生产者可能因缺陷产品承担责任,而在使用者为消费者的情形下,《消费者保护法》第 6502 号还增加了相应义务。
- 刑事风险。滥用 AI——例如用于欺诈、诽谤或未经同意制作他人影像的深度伪造(deepfake)——可能触犯《土耳其刑法典》第 5237 号(TCK)下的罪名。
由于在缺乏约定时将由默认规则决定结果,与 AI 供应商和客户之间的合同应当清晰地在合同中分配责任、知识产权与保证。这是当今大多数企业能够设置的最有效的单一控制手段。
知识产权与 AI 输出
围绕 AI 的知识产权问题,主要由《知识与艺术作品法》第 5846 号(FSEK)与《工业产权法》第 6769 号(SMK)来规范。两个问题反复出现:
- AI 生成内容的归属。FSEK 保护带有“作者特征”的作品(即第 1/B 条中的 hususiyet,即独创性要求)。在没有有意义的人类创作投入的情况下、由 AI 自主生成的输出,可能落在著作权保护范围之外。如果您的企业计划拥有并许可 AI 产出的素材,这就是一项实实在在的商业风险。
- 训练数据与侵权。使用受著作权保护的文本、图像或代码来训练模型,可能引发侵权问题。请记录您训练数据的来源以及所依赖的许可。
由于这一领域仍未尘埃落定,合同应当明确写明谁拥有 AI 输出、谁承担第三方知识产权主张的风险。我们的知识产权团队可以构建这些条款,使您的权利不至于听天由命。
为何即便身处土耳其,欧盟《AI 法案》也很重要
欧盟《人工智能法案》(条例 (EU) 2024/1689)并非土耳其法律,但它具有实实在在的域外效力。一家位于土耳其的公司,如果将 AI 系统投放欧盟市场,或者其 AI 的输出在欧盟境内被使用,就可能落入其适用范围。对出口商和 SaaS 提供商而言,这可能意味着无论土耳其的立场多么宽松,都要遵守欧盟规则。
该法案分阶段适用。已确认、已生效的里程碑如下:
| 里程碑 | 状态 | 日期 |
|---|---|---|
| 禁止性 AI 行为的禁令与 AI 素养义务 | 已生效 | 2025 年 2 月 2 日 |
| 通用目的 AI(GPAI)模型的透明度义务 | 已生效 | 2025 年 8 月 2 日 |
| 高风险义务(附件三 独立系统) | 见下方说明 | 原定 2026 年 8 月 2 日 |
| 高风险义务(附件一 受监管产品) | 见下方说明 | 原定 2027 年 8 月 2 日 |
对外国企业而言,关键是现在就评估自己在欧盟的暴露面,而不是等待。鉴于土耳其已表明有意与欧盟模式靠拢,尽早建立符合欧盟标准的文档,可以降低未来合规的成本。我们就正是这类双重制度暴露面,为跨境集团及公司架构提供咨询。
即将到来:土耳其的 AI 法案与深度伪造法
两项立法动向告诉您土耳其的走向,而它们对本主题中“以及个人”这一半,与对企业一半同样重要。
- 基于风险的 AI 法案(2024 年 6 月 25 日提交)。一部仅八条的简短法案,建立在安全、透明、平等、问责与隐私的原则之上,采取基于风险的方法。它仍在委员会审议中,尚未成为法律。
- AI 生成内容/深度伪造法案(2025 年 11 月 7 日提交)。另一份更近期的草案,拟对多部法律(包括《土耳其刑法典》)进行修订,以应对 AI 生成内容。据报道,相关措施包括对“AI 系统”作出法定定义、强制对 AI 生成(深度伪造)内容加标识、更快的下架时限,以及行政处罚。
对于当下担心深度伪造欺诈、影像被滥用或被冒名顶替的个人而言,现有救济存在于《刑法典》第 5237 号以及民法之中(人格权,以及 TBK 下的侵权),而尚未存在于一部专门的 AI 法律之中。
AI 安全义务如何与《网络安全法》衔接
AI 系统并非孤立存在。当它们处理个人数据或运行关键服务时,安全义务也会从土耳其更广泛的网络框架中产生。《网络安全法》第 7545 号与 KVKK 的数据安全义务共同要求:围绕您的模型、训练数据与部署流水线,采取适当的技术与组织措施。
对外国企业而言,实务效果是:一次 AI 上线应当在一项工作中同时就数据保护、知识产权与网络安全进行审查,而不是把它们当作彼此独立的项目来对待。您也可以参阅我们关于网络犯罪趋势与网络安全策略的综述,了解这些风险正在如何演变。
为企业与个人提供的实务合规步骤
在一部专门的土耳其 AI 法律生效之前,一条合理的合规基线应包括:
- 梳理您的数据流。确认您的 AI 处理哪些个人数据、这些数据流向何处,然后与第 6698 号法(KVKK)对齐,尤其要关注 2024 年之后的跨境传输规则。
- 确定传输机制。如果数据离开土耳其,请在充分性决定、标准合同条款(并在 5 个工作日内报备)、约束性公司规则或一项有效例外之间作出选择,并将该选择记录在案。
- 为您的 AI 系统建档。保留关于目的、数据来源、留存、相关情况下的模型逻辑,以及人工监督的记录。这些是任何基于风险的框架的基本构件。
- 把合同做对。依据第 6098 号 TBK,在供应商与客户协议中分配责任、知识产权归属与保证。
- 核查欧盟暴露面。如果您的 AI 触及欧盟市场,现在就评估欧盟《AI 法案》,并跟踪当前的高风险时间表。
- 关注草案立法。土耳其的 AI 法案与深度伪造法案可能带来新的义务。
Lexin Legal 为外国公司与个人在土耳其的技术、数据保护、知识产权与商法事务提供咨询。我们仅以英语和土耳其语提供法律服务;对中文客户,我们以中文进行沟通往来,必要时还可另行安排中文翻译陪同会议(需另行付费)。如需探讨这些规则如何适用于您的 AI 项目,欢迎用中文写信给我们——请联系我们的团队,或了解我们的技术、人工智能与网络安全服务。
常见问题
在土耳其,人工智能是否受一部专门法律监管?
否。截至 2026 年,土耳其没有一部单独、专门的 AI 法律。AI 是通过现有法律间接规范的,主要包括《个人数据保护法》第 6698 号(KVKK)、《土耳其债务法》第 6098 号、知识产权法第 5846 号与第 6769 号、《消费者保护法》第 6502 号,以及《土耳其刑法典》第 5237 号。一部基于风险的 AI 法案与一部单独的深度伪造法案正在推进,但均尚未成为法律。
在土耳其用 ChatGPT 做生意合法吗?
合法。在土耳其将 ChatGPT 或其他生成式 AI 用于经营并未被禁止。法律问题来自您输入的数据。如果您输入个人数据,KVKK 即适用;又因为大多数 AI 工具托管在境外,您的输入通常构成一次跨境传输,需要充分性决定、已报备的标准合同条款,或一项有效例外。一份内部 AI 使用政策以及合适的供应商合同条款可降低风险。
在土耳其,对员工数据使用 AI 是否需要同意?
并非总是需要。明确同意是 KVKK 下的合法依据之一,但并非唯一;而且在雇佣关系中给出的同意可能难以依赖,因为它未必是自由作出的。往往另一项合法依据更为契合。无论依据为何,您都必须保持透明——尤其在 AI 对员工进行筛选、打分或画像时——并且应当能够解释自动化决策的逻辑。
土耳其的跨境数据传输规则如何影响境外托管的 AI 工具?
将个人数据发送到境外的 AI 工具或云端模型,在 KVKK 第 9 条下属于跨境传输——该条于 2024 年经第 7499 号法修订。您必须依赖三条路径之一:充分性决定;适当保障措施(例如委员会的标准合同条款,须在签署后 5 个工作日内向主管机关报备,或约束性公司规则);或一项狭义的偶发性例外。
土耳其的 AI 法何时生效?
目前没有确定日期。一部基于风险的 AI 法案于 2024 年 6 月 25 日提交议会,一部关于 AI 生成内容(包括深度伪造)的单独法案于 2025 年 11 月 7 日提交。二者仍处于立法进程中,尚未生效。请将它们视为方向信号,而非当下义务,并在依赖之前核查其状态。
欧盟《AI 法案》是否适用于土耳其的公司,以及自 2026 年起适用吗?
可能适用。欧盟《AI 法案》具有域外效力,因此位于土耳其的公司如果将 AI 系统投放欧盟市场,或其 AI 输出在欧盟被使用,就可能落入适用范围。禁止性行为规则自 2025 年 2 月 2 日起适用,GPAI 透明度义务自 2025 年 8 月 2 日起适用。主要的高风险义务原定自 2026 年 8 月 2 日起适用,但 2026 年的一项改革拟将其推迟;由于该推迟尚未最终确定,请在依赖之前确认当前最新日期。
在土耳其,AI 系统造成损害时谁来承担责任?
在土耳其,AI 没有法律人格,因此责任落在其背后的人和公司身上。视具体情形,这可能是合同责任、依据《债务法》第 6098 号第 49 条的过错侵权责任、依据第 6502 号法的产品或消费者责任,以及对深度伪造欺诈等滥用行为依据《刑法典》第 5237 号的刑事风险。清晰分配风险的合同是主要的实务保障。
在土耳其,由 AI 创作的内容受著作权保护吗?
土耳其著作权法(FSEK 第 5846 号)保护带有人类作者特征的作品,即所谓的 hususiyet(独创性)要求。在没有有意义的人类创作投入的情况下、由 AI 自主生成的输出,可能不享有同等保护。合同应当明确处理谁拥有 AI 生成内容,以及谁承担第三方知识产权主张的风险。
