土耳其新《网络安全法》第 7545 号:适用范围、基本原则及对外国企业的影响
土耳其《网络安全法》第 7545 号(Siber Güvenlik Kanunu)是该国首部独立成文的网络安全法律,自 2025 年 3 月 19 日起施行。它将网络安全视为国家安全的一部分,设立单一监管机构统一负责,并以企业在土耳其网络空间中的“活动与存在”作为适用标准,而非以注册地为准。本文介绍谁受其约束、核心原则、新设立的网络安全署、对外资企业新增的义务,以及刑事与行政处罚——后者最高可达 1 亿土耳其里拉,或年度毛销售收入的 5%。
第 7545 号法律是什么,为何重要
第 7545 号法律(Siber Güvenlik Kanunu,《网络安全法》)于 2025 年 3 月 12 日通过,并于在《官方公报》(第 32846 号)刊载当日,即 2025 年 3 月 19 日生效。它是土耳其首部全面、独立成文的网络安全法律。
在 7545 号法律出台之前,土耳其的网络安全规则较为零散:包括分行业的专门规则、散见各处的二级立法、《土耳其刑法典》(第 5237 号,TCK 第 243-246 条)中的计算机犯罪条款,以及《个人数据保护法》第 6698 号(KVKK,个人数据保护)下的数据保护制度。新法将政策制定、监督与执法集中到单一的国家级机构之下,并把网络安全定位为国家安全不可分割的组成部分。
对外国投资者而言,关键点在于“适用范围之广”:相关义务并不止于土耳其资本的公司。本法明确适用于在土耳其网络空间中开展运营、提供服务或保有存在的外国自然人与法人。
本法是否适用于贵公司?
第 7545 号法律的判断标准是“在土耳其网络空间中的活动与存在”,而非国籍或注册地。即便外国公司在土耳其没有办事处,只要其触及土耳其的网络、用户或数据,仍可能落入适用范围。可先用下表初步自查,再请律师确认贵公司的确切定位。
| 您的情形 | 在第 7545 号法律下的可能定位 |
|---|---|
| 您经营一家运营 IT 系统的土耳其子公司或分公司 | 作为受规制法人,属于适用范围内 |
| 您向土耳其境内客户销售 SaaS 或在线服务 | 很可能因在网络空间中的“存在与活动”而被纳入 |
| 您将数据托管在位于土耳其的服务器上 | 很可能被纳入 |
| 您为关键基础设施行业(见下文)供应或运营系统 | 纳入范围,并承担最重的义务 |
| 您仅依各自专门法律开展特定的情报或军事活动 | 被排除在本制度之外 |
本法涵盖公共机构、具有公共机构地位的职业团体、个人,以及在网络空间中活动的法人与非法人实体。如果您正在评估是否进入市场或进行重组,我们的团队可就设立或架构您的土耳其实体提供建议,让合规从第一天起即融入业务结构。
15 个关键基础设施行业
与关键基础设施相关的企业在本法下承担最为广泛的义务。网络安全委员会已于 2026 年 5 月 5 日正式确定关键基础设施行业。这 15 个行业为:
- 数字基础设施
- 数字服务
- 电子通信
- 能源
- 金融
- 食品与农业
- 制造业
- 公共服务
- 媒体与危机通信
- 邮政与货运
- 卫生健康
- 国防工业
- 水资源管理
- 交通运输
- 航天
本法背后的核心原则
第 7545 号法律中的各项原则,能帮助您预判监管机构将如何解读更为细化的规则。这些原则包括:
- 国家安全:网络安全被视为与土耳其国家安全不可分割。
- 制度化与可持续性:安全须内嵌于组织架构与流程之中,而非临时应付。
- 本土与国产化方案:鼓励使用本地研发、经授权的产品与服务。
- 共同责任:生态系统中的每一方都对其保护负有责任。
- 法治与基本权利:各项措施须保持合法、相称,并尊重隐私。
其中关于隐私与基本权利的原则,与 KVKK(第 6698 号法律)以及《土耳其宪法》的保护相互重叠。在实务中,您应将网络安全合规与个人数据合规一并推进。关于二者的重叠,可参阅我们关于KVKK(第 6698 号法律)数据保护制度如何影响贵公司的指南,并可进一步了解土耳其如何监管新兴技术的整体图景。
网络安全署与网络安全委员会
整个制度由一个国家级机构主导,即网络安全署(Siber Güvenlik Başkanlığı),它依据 2025 年 1 月 8 日第 177 号总统令设立,并直接隶属于总统府。土耳其首任网络安全署长于 2025 年 10 月 24 日获任命;宪法法院亦于 2025 年 6 月 3 日驳回了针对第 177 号总统令的违宪审查请求,该机构由此稳固确立。
其上设有网络安全委员会(Siber Güvenlik Kurulu),由共和国总统担任主席(总统未出席时由副总统主持),负责制定战略与政策。网络安全署的职权包括:
- 制定规范性文件、标准以及具有约束力的技术与行政要求;
- 对受规制实体进行检查与审计;
- 科处行政制裁与罚款;
- 对网络安全产品、服务及人员进行授权与认证;以及
- 认定关键基础设施并为其设定专门义务。
由此带来一个实务后果,即采购规则:公共机构与关键基础设施运营者只能使用经网络安全署授权或认证的产品与服务。外国供应商应提前规划该授权路径,并将其纳入董事会层面的战略考量。当网络安全影响到交易结构或投资风险时,我们的团队可为外国投资者提供公司与并购方面的法律建议。
企业的主要义务
具体义务依行业及关键基础设施身份而有所不同,但受规制组织应预期承担以下一组核心义务:
- 事件通报:应及时向网络安全署报告网络安全事件与漏洞(法定义务现已生效;具体格式、门槛与时限有待二级立法明确)。
- 安全措施:实施并持续维护与风险相称的技术与行政保障措施。
- 配合审计:保持系统可供检查,并向指派的检查人员提供其所需的访问权限、基础设施与信息。
- 使用经授权产品:公共机构与关键基础设施只能采购经网络安全署授权的网络安全产品与服务。
- 治理:将网络安全纳入董事会层面的风险监督,并配以书面政策与清晰的问责机制。
处罚:刑事刑罚与行政罚款
第 7545 号法律以刑事刑罚与行政罚款两类手段为其义务背书,因此不合规将带来严重风险敞口。刑事犯罪规定于第 16 条,与《土耳其刑法典》(第 5237 号,第 243-246 条)中既有的计算机犯罪并行适用。
第 16 条下的刑事犯罪
| 行为 | 刑罚 |
|---|---|
| 拒绝或妨碍向有关机关/检查人员提供其所要求的信息、文件、软件、数据或硬件 | 有期徒刑 1 至 3 年,并处 500 至 1,500 日司法罚金 |
| 未取得必要授权即从事受规制活动 | 有期徒刑 2 至 4 年,并处 1,000 至 2,000 日司法罚金 |
| 违反保密义务 | 有期徒刑 4 至 8 年 |
| 非法获取、泄露或披露关键公共服务相关数据 | 有期徒刑 3 至 5 年 |
| 对国家网络力量要素发动网络攻击 | 有期徒刑 8 至 12 年 |
| 留存、传输或出售此类攻击中所获数据 | 有期徒刑 10 至 15 年 |
第 16 条还规定了加重情节:行为人为公职人员的,刑罚加重三分之一;在有组织的情况下实施犯罪的,刑罚加重二分之一至一倍。具体的款项编号以及对多名行为人的处理,应在援引前对照现行法条予以核实。
行政罚款
网络安全署可科处递增的行政罚款,其中最高档次专门针对关键基础设施违规:
| 违规情形 | 罚款 |
|---|---|
| 个人违反配合检查义务 | 100,000 至 1,000,000 土耳其里拉 |
| 一般性违反法定义务 | 1,000,000 至 10,000,000 土耳其里拉 |
| 违反关键基础设施相关义务 | 10,000,000 至 100,000,000 土耳其里拉 |
| 商事公司妨碍审计/未尽配合检查人员的义务 | 最高可达年度毛销售收入的 5% |
第 7545 号法律与 KVKK 的关系
一起网络事件可能同时触发两套制度。二者彼此独立,各有监管机构、各有罚款,因此就同一事件,您可能在两套制度下同时负有义务。
| 第 7545 号法律(网络安全) | 第 6698 号法律(KVKK) | |
|---|---|---|
| 保护对象 | 网络空间与国家安全 | 个人数据与隐私 |
| 监管机构 | 网络安全署 | 个人数据保护局(KVKK) |
| 典型触发情形 | 网络事件、攻击、审计不配合 | 个人数据泄露或非法处理 |
| 执法手段 | 刑事刑罚 + 行政罚款(最高可达营业额的 5%) | 行政罚款 + TCK(刑法典)下另行的刑事责任 |
当一次攻击导致客户个人数据被泄露时,您可能需要分别依不同规则与时限,同时向网络安全署与 KVKK 主管机构进行通报。建议制定一套能同时满足两套制度要求的事件应对预案。关于数据保护一侧,请参阅我们关于如何应对 KVKK 合规的指南;关于威胁态势,请参阅我们对土耳其网络犯罪趋势与防御策略的概览。
尚待出台的内容与需要关注的要点
框架已经生效,但大量操作层面的细节尚未落地。请将合规视为一个动态目标,并定期重新核实最新状况。
- 关键基础设施清单:已于 2026 年 5 月 5 日正式确定(即上文 15 个行业)。
- 网络安全署的对外存在:官方网站已于 2026 年 5 月 14 日上线,提供报告表格与安全公告。
- 实施细则:用于规定门槛、报告格式、技术标准与审计程序的规章(yönetmelik)与通告(tebliğ),截至 2026 年年中仍未发布,已逾本法 2026 年 3 月 19 日的期限。
- 产品认证:网络安全产品的授权/认证路径预计将开放,并有一个更晚的法定时间节点(据报道为 2027 年 3 月 19 日);外国供应商应尽早准备相关文件。
外国企业应如何准备
统一且可执行的制度,改变了任何与土耳其有关联企业的合规格局。可先采取以下实务步骤:
- 评估您的活动与存在是否使您落入适用范围,以及是否触及 15 个关键基础设施行业之一。
- 将第 7545 号法律的义务与您的 KVKK(第 6698 号法律)合规方案及各行业监管规则相对照,弥补缺口并避免重复。
- 建立能够及时向网络安全署报告的事件检测与通报流程,并保留每次通报的证据。
- 就“经授权产品”要求审查您的技术供应链与合同,尤其是在您向关键基础设施销售或运营关键基础设施的情形下。
- 将网络安全列入董事会议程并配以书面治理,因为基于营业额的罚款与个人刑事责任使其成为一项战略风险,而非 IT 部门的脚注。
由于第 7545 号法律下的二级立法仍在发展之中,且结果取决于具体事实,在您据任何一般性指引行事之前,应由土耳其律师审查您的具体情况。用中文写信给 Lexin Legal——我们以中文与您沟通往来;如有需要,可另行安排翻译陪同会议或庭审(需另行付费)。欢迎咨询本所如何就《网络安全法》在您的土耳其业务中的适用提供协助,并了解我们为外国人与投资者提供的全面法律服务。
常见问题
土耳其《网络安全法》第 7545 号何时生效?
第 7545 号法律于 2025 年 3 月 12 日通过,并于在《官方公报》(第 32846 号)刊载当日,即 2025 年 3 月 19 日生效。它是土耳其首部专门、全面的网络安全法律。许多操作层面的细节仍取决于二级立法,而截至 2026 年年中,这些二级立法尚未发布。
第 7545 号法律是否适用于外国公司?
可能适用。本法的适用以“在土耳其网络空间中的活动与存在”为标准,而非以国籍为准。向土耳其客户提供服务、在土耳其托管数据,或开展与土耳其网络相连业务的外国公司,都可能落入适用范围;对于与 15 个被认定的关键基础设施行业相关的公司,义务最为沉重。
什么是网络安全署?
网络安全署(Siber Güvenlik Başkanlığı)是国家级监管机构,依据 2025 年 1 月 8 日第 177 号总统令设立,并隶属于总统府。它负责制定规则与标准、开展检查、科处罚款、对网络安全产品与服务进行授权,并认定关键基础设施。其上设有网络安全委员会,由共和国总统担任主席。
《网络安全法》下的处罚有哪些?
第 16 条规定的刑事刑罚,从 1 至 3 年(拒绝向检查人员提供其所要求的信息,并处司法罚金)一直到对国家网络力量发动网络攻击的 8 至 12 年,以及留存、传输或出售此类攻击所获数据的 10 至 15 年。行政罚款从针对个人的 100,000 土耳其里拉,到针对关键基础设施违规的 100,000,000 土耳其里拉;商事公司妨碍审计的,最高可达年度毛销售收入的 5%。
第 7545 号法律与土耳其的数据保护法是什么关系?
二者是彼此独立但相互重叠的制度,各有监管机构、各有罚款。第 7545 号法律下的网络安全义务,应与《个人数据保护法》第 6698 号(KVKK)下的个人数据义务一并管理。一起事件可能同时触发两套制度,且依不同规则与时限处理,因此最好制定一套协调统一的事件应对预案。
第 7545 号法律的实施细则是否已经出台?
尚未完全出台。15 个行业的关键基础设施清单已于 2026 年 5 月 5 日正式确定,网络安全署网站亦已于 2026 年 5 月 14 日上线,但用于规定门槛、报告格式与审计程序的详细规章与通告,截至 2026 年年中仍未发布,已逾本法 2026 年 3 月 19 日的期限。鉴于该领域变化迅速,您在据以行事前应核实最新状况。
