土耳其网络犯罪:法律框架、处罚与网络安全策略
在土耳其,针对信息系统的网络犯罪主要依据《土耳其刑法》(Türk Ceza Kanunu,第5237号,第243至246条)追诉;当涉及个人数据时,则适用《个人数据保护法》(KVKK,第6698号)。本指南面向在土耳其投资、经营或居住的中国客户,说明各类犯罪行为、对应的刑罚、企业常常忽视的法定期限,以及外国人和外国公司在遭受网络攻击后用以自我保护或追回损失的实务步骤。
土耳其的网络犯罪概况
土耳其是本地区互联网渗透率最高的市场之一,这种高度联通也使其频繁成为攻击目标。外国投资者、外籍居民和跨国企业往往被重点针对,部分原因在于他们可能对当地的报案渠道和土耳其语的诈骗预警不够熟悉。
实务中最常见的事件类型包括:
- 网络钓鱼(phishing)与社会工程——伪造的银行邮件、短信(smishing)以及用于窃取登录凭据的克隆登录页面。
- 账户接管与支付卡欺诈——未经授权的转账、克隆银行卡以及网上银行被滥用。
- 勒索软件(ransomware)与敲诈——加密公司系统后索要赎金。
- 数据泄露——客户、员工或患者记录被窃取或外泄。
- 商业邮件诈骗(BEC)——伪造发票、改变收款账户的电汇——这是跨境贸易中反复出现的问题。
- 身份盗用——护照、税号(vergi numarası)或居留许可数据被滥用。
一起事件落入哪一类别非常重要,因为每一类都对应土耳其法律的不同条文和不同的救济途径。例如,被改道的供应商付款通常被认定为借助计算机实施的诈骗罪,而加密一家公司的服务器则属于干扰系统的犯罪。
土耳其法律如何对网络犯罪分类
土耳其法律将网络犯罪分为两类。直接(本来意义上的)信息犯罪直接针对信息系统本身,规定于《土耳其刑法》(第5237号 TCK)。间接信息犯罪则是诈骗、威胁、敲诈等普通犯罪,只是以技术作为实施工具。
信息系统犯罪(TCK 第243-246条)
- 第243条——未经授权侵入系统。未经授权侵入他人信息系统,或继续滞留其中,可处一年以下有期徒刑或司法罚金(adli para cezası)。若访问到系统内的数据或导致数据灭失,刑罚加重;针对银行或金融系统时刑罚亦加重。
- 第244条——干扰系统、破坏或更改数据。阻碍或破坏信息系统的运行,或销毁、更改数据或使其无法访问,处罚更重;若针对银行、信贷机构或公共机关所属系统实施,刑罚加重。勒索软件与蓄意破坏通常归入此条。
- 第245条——滥用银行卡或信用卡。使用他人银行卡或卡数据,处三年至六年有期徒刑并处司法罚金;制作或出售伪造卡,处三年至七年;使用伪造卡,处四年至八年。
- 第245/A条——违禁设备与程序。制造、进口、出售或仅仅持有为实施上述犯罪而设计的设备、程序、密码或安全代码,处一年至三年有期徒刑,并处最高五千日的司法罚金。该条是最直接针对恶意软件和黑客工具包的规定。
- 第246条——对法人的安全措施。当上述犯罪为某一法人带来不正当利益时,可对该法人本身适用专门的安全措施(güvenlik tedbirleri),与个人责任相分离。
个人数据犯罪(TCK 第135-140条)
非法记录个人数据(第135条)、非法获取或散布个人数据(第136条),以及在法律要求销毁时未予销毁(第138条),均为独立的犯罪。这些条文与下文所述的个人数据保护制度并行适用,因此一次泄露事件可能同时产生刑事与行政后果。
对于公司董事而言,第246条以及管理人员何时会承担个人责任这一更广泛的问题,已在我们关于公司高管刑事责任的文章中加以探讨。
网络犯罪一览:条文、刑罚与报案对象
下表仅供快速参考,不构成法律意见;具体适用的刑罚取决于案件事实、任何加重情节以及是否构成累犯。
| 事件 | 主要条文 | 典型刑罚 | 应联系的机关 |
|---|---|---|---|
| 黑客入侵/未经授权访问 | TCK 第243条 | 一年以下有期徒刑,或司法罚金 | 检察院/网络犯罪警察 |
| 勒索软件、蓄意破坏、删除数据 | TCK 第244条 | 有期徒刑;针对银行/公共系统时加重 | 检察院;若涉数据泄露则报 KVKK 机构 |
| 银行卡/网上银行欺诈 | TCK 第245条 | 三至六年(使用伪造卡四至八年) | 检察院;您的开户银行 |
| 恶意软件/黑客工具 | TCK 第245/A条 | 一至三年并处司法罚金 | 检察院 |
| 个人数据泄露 | TCK 第135-138条 + KVKK | 有期徒刑 + 行政罚款 | KVKK 机构 + 检察院 |
| 网络钓鱼/BEC(改道付款) | 诈骗,TCK 第157-158条 | 有期徒刑 + 司法罚金 | 检察院;您的开户银行 |
个人数据保护:第6698号 KVKK
土耳其《个人数据保护法》(Kişisel Verilerin Korunması Kanunu,第6698号,简称 KVKK)与欧盟《通用数据保护条例》(GDPR)相协调,但并不完全相同——合法处理依据、对明示同意的高度强调,以及新的跨境传输规则,在若干方面存在分歧。KVKK 本身不是刑事法律,但一次违规通常会触发并行的责任:个人数据保护机构(Kişisel Verileri Koruma Kurumu)的行政罚款、TCK 第135至140条下的刑事责任,以及民事赔偿请求。
在土耳其处理个人数据的任何企业,其核心义务包括:
- 在法律要求时向数据控制者登记系统(VERBİS)登记,并为每一项处理活动确定合法依据。
- 采取适当的技术与组织安全措施。
- 在发生泄露时通知委员会和受影响的当事人(期限见下文)。
- 在法定保存期限届满后,删除、销毁或匿名化数据。
罚款数额可观。KVKK 第18条规定的罚款上下限每年按重估率更新;未采取充分的数据安全措施,在2026年可处约 25.6 万至 1709 万土耳其里拉之间的罚款。对您所采取 KVKK 措施的充分书面记录,往往是将罚款控制在下限的决定性因素。数据保护罚款与金融行业处罚之间的相互关系,详见我们关于金融科技行政与刑事责任的指南。
个人数据跨境传输:外国公司必须了解的2024年改革
对一家外国公司而言,最具影响力的 KVKK 议题是将土耳其的个人数据传输至境外——传给母公司、云服务商或集团人力资源系统。这一领域被第7499号法律重新构建,该法全面修订了 KVKK 第9条并于2024年年中生效。它以一套结构化的、类似 GDPR 的层级机制,取代了过去逐案依赖明示同意的做法。
- 充分性决定(adequacy decision)。向委员会宣布达到充分保护水平的国家(或某一行业、组织)传输数据,无需额外保障即可进行。
- 适当保障措施。在没有充分性决定的情况下,可依据委员会批准的标准合同、适用于企业集团的有约束力的公司规则,或其他获认可的保障措施进行传输。
- 例外(克减)情形。在有限且明确界定的情形下(例如就一次性传输取得明示同意,或为履行合同所必需),传输可依据某项例外条款进行。
KVKK 还具有域外适用效力:身处土耳其境外、却处理土耳其境内人员个人数据的数据控制者,也可能落入本法范围。在最初阶段就把传输机制和供应商合同搭建妥当,远比在收到投诉之后再去补救更为经济;我们的团队会将这一工作与每一条跨境数据流背后的数据处理与供应商安全条款一并处理。
您应了解的互联网、证据与网络安全法律
还有若干法律影响着土耳其处理网络犯罪和网络侵害的方式:
- 第5651号法律(关于互联网发布的管理)规范内容下架、访问屏蔽,以及托管和接入服务提供者的责任——与诽谤、外泄内容和内容删除请求相关。
- 《刑事诉讼法》(Ceza Muhakemesi Kanunu,第5271号 CMK)规定了数字证据如何被扣押、检验和保全,以及受害人如何提出刑事控告(şikâyet)。
- 第7545号《网络安全法》自2025年3月19日起施行,建立了一套国家层面的框架,对金融、医疗、能源、电信等关键行业的运营者课以义务,由拥有审计和执法权的网络安全总署(Siber Güvenlik Başkanlığı)监督。其是否以及如何适用,取决于您所处的行业和经营活动。
- 《债法》(第6098号 TBK)是因过失处理数据或违反合同安全承诺而产生的赔偿请求的法律依据。
由于这些制度相互重叠,正确的策略取决于您是寻求救济的受害人,还是在事件发生后管理自身责任的企业。
如果您是网络犯罪的受害人,应当怎么做
迅速行动既能保全证据,也能保护您的法律选择。实务中的首要步骤:
- 确保账户安全。修改密码、启用双重验证,并立即通知您的开户银行——在数小时内采取行动时,银行有时能够追回或冻结一笔欺诈性转账,在 BEC 和银行卡欺诈案件中尤为如此。
- 保全证据。截图保存,连同完整邮件头(header)保存相关邮件,记录交易参考号和时间戳。不要删除任何内容。
- 提出刑事控告。控告(şikâyet)可向共和国检察院(Cumhuriyet Başsavcılığı)或警方网络犯罪部门提出。检察官可命令银行、平台和服务提供者交出数据。请注意,部分犯罪由检察机关依职权(re'sen)追诉,部分则取决于及时提出的控告,因此切勿拖延。
- 如个人数据已外泄,向个人数据保护机构通报。
- 通过民事途径追偿。在刑事轨道之外,您还可依第6098号 TBK 向责任方提起赔偿之诉,并通过土耳其的强制执行程序执行所获判决。
外国人可以在土耳其寻求上述全部救济,并有权获得庭审翻译。律师可凭授权委托书(vekâletname)提交并跟进控告,因此您无须留在土耳其境内。当损失是一笔被改道的付款或一笔未获清偿的债务时,我们负责追回资金与执行判决的团队可在刑事控告的同时追讨款项。
面向中国客户:您可以用中文写信给我们——我们以中文与您沟通往来;如有需要,我们可另行安排中文翻译陪同会议或庭审(需另行付费)。请注意,律师事务所的法律服务以英语和土耳其语提供。
在土耳其经营的企业的网络安全策略
预防远比诉讼便宜。在土耳其设有运营或拥有客户的公司,应当建立可辩护的合规与安全体系:
- 梳理并最小化数据。清楚掌握您持有哪些个人和金融数据、存放于何处、保存多久。
- 强化访问控制。实施强身份验证、最小权限原则,并对关键系统加以隔离。
- 培训员工。多数泄露始于一次点击;定期的网络钓鱼和 BEC 防范意识培训能显著降低风险。
- 制定事件响应预案。在事件发生之前——而非发生当下——预先确定由谁宣布事件、由谁在 72 小时内通报机构、由谁联系法律顾问。
- 谨慎拟定合同。与供应商和数据处理者清晰分配安全和泄露通报义务,并确认您的跨境传输机制已有书面记录。
- 留存合规记录。保存您所采取 KVKK 措施的记录;书面记录往往是降低行政罚款的决定性因素。
当这些犯罪可能为公司带来利益时,第246条的安全措施以及董事的责任风险,使其成为董事会层面的议题;我们将其作为公司合规与董事义务工作的一部分加以处理。对于落入第7545号《网络安全法》范围的行业,会产生额外义务,应当逐案评估。
Lexin Legal 如何提供协助
我们在网络事件的两端都为外国个人和公司提供法律服务:既为被指控信息系统犯罪的人进行辩护,也协助受害人追回损失、追究行为人。我们的工作涵盖刑事控告、数字证据、KVKK 合规与泄露应对、跨境传输架构搭建,以及相关的民事请求。当某人被指控黑客入侵或滥用银行卡犯罪时,由我们的土耳其刑事辩护律师承办辩护。
面向中国客户:我们以中文进行沟通往来;如有需要,可另行安排中文翻译陪同会议或庭审(需另行付费)。本所法律服务以英语和土耳其语提供。每一件案件均由具备资格的土耳其律师审核。本文仅为一般性信息,不构成法律意见,结果取决于各案的具体事实。如需就您的情况进行讨论,请与我们的团队联系。
常见问题
在土耳其,黑客入侵(未经授权访问系统)是犯罪吗?
是。未经授权侵入信息系统依据《土耳其刑法》(第5237号)第243条构成犯罪,可处一年以下有期徒刑或司法罚金;针对银行或金融系统时刑罚加重。干扰系统或更改数据依第244条另行处罚,制作或持有黑客工具则依第245/A条构成犯罪。
在土耳其,银行卡欺诈和使用恶意软件的刑罚是什么?
依据 TCK 第245条,使用他人银行卡或信用卡处三年至六年有期徒刑并处司法罚金,制作或出售伪造卡处三年至七年,使用伪造卡处四年至八年。制造或持有为实施网络犯罪而设计的设备或程序,依第245/A条处一年至三年有期徒刑,并处最高五千日的司法罚金。
在土耳其,我有多长时间通报数据泄露?
您必须自知悉个人数据泄露之时起 72 小时内向个人数据保护委员会通报,依据是解释 KVKK 第12条第5款的第2019/10号委员会决定。受影响的当事人也须在合理时间内被通知。错过 72 小时期限本身即构成独立的行政罚款事由;针对安全措施缺失的罚款在2026年可高达数百万土耳其里拉。
外国人可以向土耳其警方报案网络犯罪吗?
可以。外国人可向共和国检察院或警方网络犯罪部门提出刑事控告(şikâyet),并有权获得翻译。土耳其律师可凭授权委托书提交并跟进控告,因此您无须在整个过程中留在土耳其,同时还可并行提起民事赔偿请求。面向中国客户,本所以中文进行沟通往来;如有需要,可另行安排翻译陪同(需另行付费)。
外国公司还能将土耳其的个人数据传输到境外吗?
可以,但规则在2024年发生了变化。第7499号法律修订了 KVKK 第9条,要求具备充分性决定、适当保障措施(如委员会批准的标准合同或有约束力的公司规则),或一项获认可的例外情形。若您依赖标准合同,则必须自签署之日起 5 个工作日内向个人数据保护机构备案。
第7545号《网络安全法》适用于我的企业吗?
该法自2025年3月19日起施行,对金融、医疗、能源、电信等关键行业的运营者课以义务,由网络安全总署监督。其是否适用于您,取决于您所处的行业和经营活动,因此应当与土耳其律师逐案评估。
