本服务面向哪些客户
我们服务的外国企业,其产品或收入是通过技术(而非实体门店)触达土耳其的。这包括:
- 向土耳其客户授权使用软件的软件供应商与 SaaS 服务商
- 拥有土耳其用户或卖家的在线市场、应用商店与平台
- 有数据流入或流出土耳其的云、托管与基础设施服务商
- 服务土耳其消费者的金融科技、加密资产与支付企业
- 其系统处理土耳其个人数据或做出相关决策的 AI 开发者与部署者
- 向土耳其市场销售的硬件、物联网与联网设备制造商
您无需在土耳其设立实体,也可能落入这些规则的管辖。许多义务是跟着用户或数据走的,而非跟着公司注册地走。只要土耳其境内居民能向您购买,或能向您上传数据,土耳其法律就可能已经适用于您。
土耳其科技、AI 与网络安全的法律框架
土耳其并没有单一的“科技法典”。您的义务来自多部法律的共同作用,而正确答案通常位于多部法律的交汇处:
- 网络安全法第7545号 —— 网络安全框架,以及网络安全总署(Siber Güvenlik Başkanlığı)与网络安全委员会。
- 电子商务法第6563号(经第7416号法修订)—— 中介服务提供者与电子商务服务提供者的义务、ETBİS 注册及电子商务许可制度。
- KVKK第6698号 —— 个人数据处理与跨境传输,由 KVKK 委员会监督。
- 土耳其债务法第6098号(TBK) —— 授权、开发与服务协议的合同法基础。
- 土耳其商法第6102号(TTK) —— 公司义务、不正当竞争与商业登记规则。
- 行业监管 —— 银行、支付、资本市场、电信与消费者规则在适用时叠加其上。
我们起草与谈判的 IT、软件及 SaaS 合同
合同是跨境科技风险胜负的关键所在。我们为支撑您土耳其业务的各类协议提供起草、审阅与谈判,其条款须能在土耳其法律下站得住脚,并在万一进入土耳其法院时经得起考验:
- 软件许可、订阅及 SaaS 条款、最终用户协议
- 软件开发、集成与维护合同,并设有清晰的验收与知识产权转让条款
- 云、托管与数据处理协议,包括符合 KVKK 要求的处理者条款
- 服务等级协议(SLA)、可用性承诺及违约救济
- 面向土耳其市场的分销、代理、转售与合作伙伴协议
- 技术转让、源代码托管(escrow)及白标安排
我们尤其关注准据法与争议解决条款、责任限制,以及知识产权与保密如何受到保护。与之相邻的更广泛起草工作,请参见我们的商事与技术合同服务;关于保护您的代码与品牌,请参见我们的软件知识产权、商标与许可保护工作。
电子商务与在线平台合规(第6563号法)
电子商务法第6563号经第7416号法大幅重塑,将在线业务划分为中介服务提供者(平台方)与电子商务服务提供者(卖方),并分别为其设定义务。随着您的交易量增长,义务会按层级递增。
- ETBİS 注册 —— 处于该制度范围内的企业须向贸易部办理注册。
- 透明与信息义务 —— 清晰的定价、卖家身份、投诉处理与合同条款。
- 电子商务许可制度 —— 适用于较大型平台,许可条件与规模挂钩。
- 分层义务 —— 随净交易额与交易笔数增加而递增,涵盖广告支出上限、数据共享、自有品牌限制等。
平台市场与反垄断问题常常会在同一场对话中出现,对于具有市场支配力的市场平台尤其如此。这些内容由我们的竞争与平台市场规则服务覆盖。关于支付与加密平台,请参阅我们关于土耳其加密与金融科技平台监管的指南。
数据保护与跨境数据传输(KVKK第6698号)
几乎每一家科技企业都会处理个人数据,而一旦数据离开土耳其,KVKK第9条即告适用。传输规则已由第7499号法(自2024年6月1日起施行)重写,从原先以“明示同意加授权”为默认的做法,转向一套结构化的、类似 GDPR 的机制。
您可以基于以下三种依据之一向境外传输个人数据:
- 充分性认定 —— 覆盖目的地国家、行业或组织。
- 适当保障措施 —— 标准合同条款(SCCs)、有约束力的公司规则(BCRs)或类似承诺。
- 例外情形 —— 适用于特定、有限的情形。
对于已对齐欧洲规则的集团而言,KVKK 与 GDPR 有重叠但并不完全相同,把两者当作一回事会带来实实在在的麻烦。我们关于GDPR 与 KVKK 在跨境数据上的对齐的指南,逐项说明了二者的分歧之处。
网络安全义务与事件响应(第7545号法)
网络安全法第7545号于2025年3月19日在《官方公报》(Resmî Gazete)公布,是土耳其首部专门的网络安全法。它设立了网络安全总署(Siber Güvenlik Başkanlığı)与网络安全委员会,并赋予其对范围内主体的广泛权力,尤其聚焦于关键基础设施。
在框架层面,范围内的企业可预期承担以下方面的义务:
- 安全措施,以及由网络安全总署进行的审计与检查
- 网络安全事件与漏洞的报告
- 网络安全领域某些交易与产品的审批要求
- 配合义务与记录保存
由于第7545号法下的多数次级法规在2026年仍在不断完善,部分义务的实际范围仍在成形之中。我们持续跟踪这些动态,并将其转化为针对您业务的具体方案。如需通俗易懂的概览,请阅读我们关于网络安全法第7545号详解的指南。
AI 治理、风险梳理与合规
截至2026年年中,土耳其尚无单一、全面的“人工智能法”生效。这并不意味着 AI 不受监管 —— 而是意味着 AI 受您本就必须遵守的现有法律治理:KVKK 下的数据保护、消费者保护规则、知识产权法以及行业特定监管。一部 AI 法律草案与一项国家战略正在推进中,立场可能发生变化。
对于在土耳其部署 AI 的外国企业而言,务实的工作是风险梳理,而非对照某一部单一法律打勾:
- 在您的 AI 处理个人数据之处,将其映射到 KVKK 义务,包括透明度与自动化决策方面的考量
- 通过软件知识产权、商标与许可保护来保护并许可模型、数据集与输出
- 在 AI 触及土耳其最终用户时的消费者法与广告法风险敞口
- 当您同时服务欧盟市场时,与《欧盟人工智能法案》(EU AI Act)对齐,使同一款产品能同时满足两套制度
我们基于真正生效的法律提供咨询意见,并指出待审议的法案可能改变格局之处。作为背景,请参见我们关于在土耳其应对 AI 监管的指南。
跨境操作机制:授权委托书、附加证明书与远程办理
您无需身处土耳其,我们也能代表您行事。本执业领域几乎所有事务都可远程办理,文件通过快递与安全渠道传送。
- 授权委托书(vekaletname) —— 您通过经公证的授权委托书授予权限,文件按需起草,以覆盖您事务所需的具体备案、注册及与监管机构的往来。
- 附加证明书(apostille) —— 对于《海牙取消认证要求公约》缔约国,一枚附加证明书印章即可认证您的文件以在土耳其使用;非缔约国则改用领事认证。
- 远程启动 —— 指示、KYC、合同审阅与监管往来均可通过电子邮件与视频完成。
如果您的策略指向本地落地 —— 设立土耳其公司、分公司或联络处 —— 我们可以设立土耳其公司或联络处,并按照您在数据、税务与运营方面的需求进行架构设计。许多科技企业在决定研发基地之前,还会权衡技术开发区(Teknopark)的激励政策。
争议、监管调查与处罚
当出现问题时,风险敞口会同时来自多个监管机构,每个机构都有自己的程序与处罚。我们在以下各方面为您抗辩与代理:
- KVKK 委员会 —— 对数据泄露、违法处理及跨境传输的调查,包括对投诉与审计的应对。
- 贸易部 —— 对第6563号法下电子商务义务的执法,包括 ETBİS 与许可问题。
- 网络安全总署 —— 检查,以及第7545号法下的行政与刑事风险敞口。
- 商事争议 —— 源自技术合同的争议,如拖欠付款、交付瑕疵、知识产权与保密违约。
共同点在于速度:监管机构的期限很短,而您第一份书面回复的质量,往往左右整个结果。我们准备的回复力求准确、完整,而非一味防守。当争议进入正式程序时,我们与商事与技术合同团队携手处理执行事宜。如需直接沟通,请联系我们。
外国科技企业常犯的风险与错误
对于刚进入土耳其的科技客户,同样可避免的错误一再出现:
- 认为“没有土耳其实体”就等于“不适用土耳其法律”。KVKK 与第6563号法下的义务可能跟着您的土耳其用户走,而非跟着您的注册办公地址。
- 把 KVKK 当作与 GDPR 完全相同。机制与时限均有不同,且5个工作日内备案 SCC 这一要求在 GDPR 中并无对应。
- 照搬美国或欧盟合同。土耳其的强制性规则在关键之处会优先于所选准据法,未经翻译与本地化调整的合同在此可能难以执行。
- 错过电子商务层级的变化。业务增长会把平台推过某个交易额门槛,触发企业从未规划过的新义务。
- 在次级规则落地前忽视网络安全。第7545号法下的处罚已经生效,即便详细法规仍在完善之中。
KVKK 与 GDPR:在跨境数据上的差异
我们的许多客户已在运行 GDPR 合规项目,想知道土耳其额外要求些什么。两套制度同源,但并不可互换。
| 要点 | 欧盟 GDPR | KVKK第6698号(土耳其) |
|---|---|---|
| 跨境传输依据 | 充分性认定、保障措施(SCCs/BCRs)、例外情形 | 充分性认定、保障措施(SCCs/BCRs)、例外情形(自第7499号法起,2024年6月1日施行) |
| SCC 备案 | 无须向监管机构备案 | 签署的 SCCs 须在5个工作日内向 KVKK 委员会备案 |
| 登记制度 | 无中央数据控制者登记 | 对范围内的数据控制者设有 VERBİS 数据控制者登记 |
| 主管监管机构 | 成员国数据保护机构(DPA)/ 欧洲数据保护委员会(EDPB) | KVKK 委员会(Kişisel Verileri Koruma Kurulu,个人数据保护委员会) |
把 GDPR 合规项目对齐到 KVKK,通常是弥补特定差距,而非从头开始。我们关于GDPR 与 KVKK 在跨境数据上的对齐的指南,逐行作了更深入的说明。
为何委托土耳其科技律师
土耳其的科技法律变化很快,且以土耳其语写就,包括决定一部法律实际如何“咬人”的那些次级法规。一支外国内部法务团队无论多强,都很难实时跟踪网络安全总署不断演变的规则、KVKK 委员会的决定以及贸易部的电子商务指引。
一位土耳其科技律师能给您翻译做不到的三样东西:原文语言的具有约束力的文本、其背后的监管实践,以及代表您在土耳其当局与法院进行备案、回应与代理的资格。我们将这些与以商业为先的视角相结合,使建议围绕您的交易与风险偏好展开,而非为合规而合规的抽象操作。
如何开始
启动很简单。您告诉我们您所构建的产品,以及它在何处触及土耳其;我们告诉您上述哪些法律适用、它们有何要求;然后我们就工作范围与一份授权委托书达成一致,以便我们能代表您行事。从那之后,无论工作是单份合同、一整套合规搭建,还是一次监管回应,您都将拥有一位单一的、具备土耳其执业资格的联系人远程负责到底。对中文客户,我们以中文与您沟通往来;如会议或庭审需要,我们可另行付费安排中文翻译陪同。第一步是一次咨询,详见下文。您可随时用中文写信给我们。
我们如何与您协作
初步咨询与范围界定
我们先就您的产品、它在何处触及土耳其,以及触发需求的事由(一份合同、一次上线、一条数据流,或一封监管机构来函)进行一次聚焦的通话。结束时,您将清楚知道哪些法律适用于您,以及接下来该做什么。
法律与合规评估
我们将您的活动对照第7545号法、第6563号法、KVKK 及您的合同进行映射,并产出一份按优先级排列的义务、差距与风险清单,让您明确哪些紧急、哪些可以稍后处理。
委托、授权委托书与附加证明书的安排
我们就书面工作范围与收费基础达成一致,随后安排经公证并附海牙附加证明书或领事认证的授权委托书,以便我们能代表您备案、注册及与监管机构往来,而您无需出行。
起草、备案与整改
我们起草或修订合同,准备 ETBİS、KVKK 及其他备案,在规定期限内完成标准合同条款的备案,并弥合评估所发现的合规差距。
监管往来与事件响应
若监管机构开启调查,或发生安全或数据事件,我们管理时间线、准备您的书面回复,并代表您在 KVKK 委员会、贸易部或网络安全总署面前进行交涉。
持续合规与监控
由于该领域持续变化,我们可就新的次级法规、门槛重新核定及 KVKK 委员会的决定向您提供更新,并随规则变动调整您的合同与备案。
常见问题
如果我们在土耳其没有办公室,土耳其科技法律会适用于我的公司吗?
有可能。KVKK 与电子商务法第6563号下的义务,往往跟着您的土耳其用户以及您处理的数据走,而非跟着您的注册地址走。只要土耳其境内居民能向您购买,或能向您上传数据,即便您没有本地实体,也可能负有土耳其法上的义务。一次简短的评估即可告诉您是否以及如何落入管辖范围。
网络安全法第7545号是什么,它影响哪些人?
第7545号法是土耳其首部专门的网络安全法,于2025年3月19日在《官方公报》公布。它设立了网络安全总署(Siber Güvenlik Başkanlığı)与网络安全委员会,并施加安全、报告与审批义务,尤其聚焦于关键基础设施。其大量详细的次级法规仍在完善之中,因此对于某一特定企业的确切适用范围,应逐案确认。
我可以把个人数据从土耳其传输到我境外的服务器吗?
可以,但只能基于 KVKK 第9条下的有效法律依据:充分性认定、适当保障措施(如标准合同条款或有约束力的公司规则),或某种例外情形。这些规则已由自2024年6月1日起施行的第7499号法重写。当您使用标准合同条款时,须在较短的期限内向 KVKK 委员会备案,因此在数据流转之前,该机制需要正确搭建到位。
KVKK 与 GDPR 有何不同?
两者结构相似,但并不完全相同。二者都允许通过充分性认定、保障措施与例外情形进行跨境传输,但 KVKK 要求已签署的标准合同条款须在5个工作日内向委员会备案——这在 GDPR 中并无对应;此外土耳其还运行 VERBİS 数据控制者登记。把 GDPR 合规项目对齐到 KVKK,通常是弥补特定差距,而非从头重建。
土耳其有人工智能法吗?
截至2026年年中,尚无单一、全面的人工智能法生效。AI 通过现有法律治理——KVKK、消费者保护、知识产权与行业监管——同时一部 AI 法律草案与国家战略正在推进。我们依据当前适用的规则就 AI 风险提供建议,并指出待审议法案可能改变您义务之处。若您同时服务欧盟,《欧盟人工智能法案》通常与同一款产品相关。
ETBİS 是什么,我需要注册吗?
ETBİS 是贸易部的电子商务信息系统。处于电子商务法第6563号制度范围内的企业,包括许多中介服务提供者与电子商务服务提供者,均须注册。您是否必须注册取决于您的角色与活动,我们会在您进入土耳其市场之前进行评估。
网络安全法第7545号下适用哪些处罚?
第7545号法规定的行政罚款可高达数百万里拉,对未取得所需交易审批的情形适用更高罚档;某些违法行为构成刑事犯罪,可处监禁并附加司法罚金。对公职人员、屡犯者及有组织团体,处罚可加重。由于罚款上限可能被重新核定,在依赖某一具体数字之前,应确认当前的确切金额。
你们能远程为我们办理,而无需我们前往土耳其吗?
可以。这项工作几乎全部可远程办理。您通过一份经公证的授权委托书授予我们权限,对海牙公约缔约国以附加证明书认证,其他情形则以领事认证完成。启动、合同审阅、备案与监管往来均通过电子邮件与视频处理。对中文客户,我们以中文与您沟通往来;如需要,可另行付费安排中文翻译。
你们会依据土耳其法律起草软件、SaaS 与云合同吗?
会。我们起草并谈判许可、订阅及 SaaS 条款、开发与维护协议、云与数据处理协议、SLA,以及转售或分销合同。我们重点关注准据法、责任限制、知识产权保护以及符合 KVKK 的数据条款,以使协议在土耳其法律下站得住脚。
我的平台在成长——额外的电子商务义务何时开始适用?
电子商务法第6563号设有随净交易额与交易笔数增加而递增的分层义务。里拉门槛会随时间重新核定,因此平台在成长过程中可能跨越某一层级,并承担围绕广告支出、数据共享、自有品牌活动与许可的新义务。我们会对照当前门槛监控您的状况,以免层级变化打您一个措手不及。
如果我们发生影响土耳其用户的数据泄露,会怎样?
您可能负有在紧迫期限内向 KVKK 委员会及受影响个人通知的义务,同时第7545号法下还可能产生单独的网络安全事件层面的问题。第一份书面回复在很大程度上决定结果,因此我们帮助您正确评估、记录并报告该事件,并在随后的任何调查中代理您。
《欧盟人工智能法案》如何影响在土耳其运营的企业?
《欧盟人工智能法案》本身并不约束在土耳其的活动,但若您同时在欧盟市场投放 AI 系统或影响欧盟用户,它即告适用。对于同时服务两个市场的企业,我们帮助设计一套既满足《欧盟人工智能法案》预期、又同时符合土耳其现有 AI 相关规则的合规方案,使您无须维护两套互不相干的项目。
我们应该设立土耳其公司,还是仅做远程销售?
这取决于您的数据流、税务状况、客户预期与增长规划。一些科技企业纯粹跨境运营;另一些则受益于土耳其公司、分公司或联络处,还有一些会考虑技术开发区针对研发的激励政策。我们评估各项取舍,若合理,便为您办理公司设立。
我们如何开始,费用是多少?
您从一次咨询开始,我们在其中确定哪些法律适用、您需要什么。随后我们就书面工作范围与一份与工作量相称的收费基础达成一致——无论是单份合同、合规搭建还是监管回应——再开始任何实质性工作。从那之后,您将拥有一位具备土耳其执业资格的联系人远程负责该事务。对中文客户,我们以中文沟通往来;如有需要,可另行安排翻译。
