土耳其數據保護法速覽

楊欣欣　郭莉莉

摘? 要：本文對土耳其2016年頒布的《個人數據保護法》進行了介紹，對建立數據處理的強制性登記系統、對數據管控者的要求、數據泄露后的報告制度以及對于數據泄露的處罰等內容進行了分析。

關鍵詞：個人數據保護法;土耳其;歐盟;數據泄露;通用數據保護條例

Abstract： The 2016 Law on the Protection of Personal Data wasTurkey's first comprehensive law， based largely on EU data protection law， yet still different in some aspects. This paper gives a introduction of the Law in its mandatory registration system for data processors， legal obligations of data controllers， reporting system of the data processors and penalties for data breaches.

Keywords： Personal data protection law; Turkey： EU; Data breach; General data protection regulation

1 引言

在世界各國由政府信息公開向政府數據開放“轉型升級”的進程中，個人數據保護已成為各國政府和國際社會共同關注與高度重視的重大實踐議題。[1]

土耳其2016年頒布的《個人數據保護法》是土耳其第一部在互聯網時代建立個人數據處理標準做法和程序的綜合性法律。[2]土耳其的數據保護法不僅限于罰款和民事處罰，還可以針對數據泄露提起刑事訴訟。

2 土耳其數據保護法內容分析

2.1 預防數據泄露。《個人數據保護法》中的數據是指自然人的數據，而非公司或其他法人的數據。

土耳其的數據保護法主要基于歐盟指令95/46/EC（歐洲議會和歐盟理事會1995年10月24日關于涉及個人數據處理的個人保護以及此類數據自由流動的指令），適用于敏感和非敏感的個人信息。在土耳其法律中，敏感數據被定義為包括種族、民族、宗教、外貌、政治觀點、工會成員、健康、性生活和犯罪記錄等相關的數據。

與歐盟的一般數據保護條例不同的是，在土耳其，處理敏感和非敏感數據都需要獲得“明確同意”，未經特別同意不得進行進一步數據處理。在土耳其法律和歐盟的一般數據保護條例中，“同意”的定義有所不同。

2.2 數據處理強制登記。根據歐盟的《通用數據保護條例》，向當局登記不是強制性的，但土耳其目前正在推出數據處理的強制性登記系統。自2018年10月1日起，一些數據處理者被要求在土耳其的數據控制注冊信息系統注冊，包括雇員超過50人、年營業額超過2500萬土耳其里拉的土耳其常駐企業，以及處理特定類別數據的企業。居住在土耳其境外、其活動對土耳其產生影響的數據處理者也必須注冊，注冊截止日期為2019年9月30日。土耳其的數據控制注冊信息系統登記于2019年10月完成。

土耳其推出數據處理強制性登記新系統，目標是在土耳其的數據保護方面創造一個更加透明和安全的環境。位于土耳其境外的數據控制人員必須在土耳其境內指定并注冊數據保護代表。代表必須是居住在土耳其的土耳其公民或土耳其公司，他必須代表數據管控者與土耳其數據保護局（DPA）進行聯系。未進行任命和登記可能意味著罰款100萬土耳其里拉（按當前匯率計算為12.5萬英鎊）。

由土耳其境外的數據管理者所任命的代表，將行使其職責，負責與土耳其數據保護局進行溝通，如接發書信等。代表亦會協助數據使用者將任何數據申請送交數據管理者，同樣，也會將管理者的回復及時傳達回來。

數據管控者還必須準備一份數據保留和銷毀制度，以及數據處理清單。海外數據管理人員必須更廣泛地了解土耳其的數據保護法。一般來講，數據處理者有義務確保合法處理數據，目的明確，數據準確、及時，并且只保存必要長的時間。數據當事人必須被告知數據的使用目的、還轉交給誰用，以及當事人就該數據所享有的權利。

2.3 及時報告制度。土耳其的個人數據保護委員會成立于2017年。這個政府機構要求，提供電子通訊服務的公司一旦發生數據泄露，或其中的網絡及個人數據的安全受到威脅，要確保向大數據保護局報告。

法律規定，一旦發生數據泄露事件，數據處理方有義務向大數據保護局報告情況，并應盡快通知受影響的當事人。沒有具體的時間表，但有一家公司曾因在通知管理部門之前拖延了10個月而被罰款。如有需要，大數據保護局可將數據泄露的情況告知市民。除非在嚴格限制的情況下，未經數據當事人同意，個人資料不得轉移到土耳其境外。如果數據在土耳其境外的轉移將嚴重損害土耳其或數據當事人的利益，則需要獲得個人數據保護委員會的批準方能實施。

與歐盟的《通用數據保護條例》規定一樣，在通過電子方式發送商業信息之前，土耳其的數據當事人通常必須選擇“加入”以獲得信息，每一次這樣的聯系也必須提供一個簡單的方式方便選擇退出。在土耳其法律中，這些規則的一個重大例外是，可以在事先未經其同意的情況下，向從事商業貿易的商人發送商業信息。

2.4 罰款及刑事處罰。土耳其的數據保護法律規定，如果一家公司的個人數據被盜，或未經同意披露，將被處以最高為公司年凈銷售額3%的行政罰款。這為公司保持數據安全提供了強大的動力。

土耳其對數據泄露的處罰并不僅限于罰款?！缎谭ā芬幎艘驍祿孤抖赡茏蔚臈l款。非法收集個人資料的人可能會被監禁一至三年。如果非法收集的數據是敏感的，這項處罰將會加重。那些收集、非法發布或轉移個人數據的人可能會被監禁兩到四年。

如果公職人員濫用職權，或為獲取專業利益而犯法，可將罰款增加一半。即使未刪除在保留期過后合法收集的數據，也可能被處以一到兩年的監禁。一旦土耳其的數據控制注冊信息系統完全建立起來，監管機構的任務就會變得更簡單，屆時執法行動可能會增加。

3? 啟示

3.1 數據保護意識。據統計，土耳其是歐洲跨境電商增長最快的國家之一，2014年土耳其7700萬人口中網購人數占三分之一，交易額180億美元[3]。2015年11月，G20領導人峰會期間，中土兩國簽署了《關于加強海上絲綢之路建設，務實開展電子商務合作諒解備忘錄》，進一步加速推進了雙邊貿易的開展。2020年1—2月中國與土耳其雙邊貨物進出口額為309402.4萬美元，同比增長3.3%;其中中國對土耳其出口商品總值為256978.5萬美元，進口商品總值為52423.9萬美元[4]。阿里研究院預計，到 2020 年我國跨境電商交易規模將達到 12 萬億元，約占中國進出口總額的 37.6%[5]。中土之間的跨境電商貿易額也有望繼續攀升。

《土耳其數據保護法》連同歐盟的《通用數據保護條例》的出臺，勢必對跨國企業帶來一定的合規壓力。受影響的企業主要集中于需要進行大數據收集和控制的行業，例如金融、生命科學（尤其是健康類的行業）、交通、零售、電商等[6]。土耳其的數據保護制度雖然在很大程度上是基于歐盟法律，但是還有幾項不同的規定，這就要求在土耳其經營的中資企業要謹慎行事，無論是跨境電商，還是實體貿易，都要加強保護用戶數據信息，積極合規，尤其是要注意數據泄露有可能導致的刑事責任。

3.2 個人數據保護的重要性。郭維嘉和郭少友認為社會公眾對隱私傷害的隱憂表現為個人數據的公共存儲會影響人們聯系公共機構并尋求幫助的意愿。加拿大卡爾加里大學教授T.P.Keenan指出隱私侵害的不良后果之一是數據的不合理使用和不公平的產生。個人隱私安全問題關系到公眾對政府數據開放的認可度和接受度，也會影響政府數據的開放度 [2]。

3.3 個人數據保護制度的設計。2020年4月9日，《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》公布，“數據”作為五個要素之一被寫入文件。《意見》還提出要加快培育數據要素市場，推進公共機構數據資源統一匯聚和集中向社會開放[7]。伴隨著我國政府對于公共數據的公開，個人數據保護的問題也會隨之更加引人關注，制度設計也就成為個人數據保護的首要環節。

2020年即將出臺的《民法典》將單辟“隱私權和個人信息保護”一章，對私密信息和個人信息加以規定。不僅如此，2020年也是我國《個人信息保護法》制定的關鍵時間節點[5]。相比于歐盟的《通用數據保護條例》過嚴（強調公共利益）和美國的《隱私法案》《信息自由法》《愛國者法案》過寬（強調商業利益），出臺適合中國國情的個人數據保護法[6][8]顯得尤為重要。

參考文獻：

[1]陳朝兵，郝文強.國內外政府數據開放中的個人隱私保護述評.《圖書情報工作》[J].2020.4.29.

[2]Eren Can Ersoy.Examining Turkish law on data protection.Computer Fraud& Security[J].Volume 2019，Issue 9， September 2019，Page9-11.

[3]乾元坤和官網：中國與土耳其跨境電商簽約.www.qykh2009.com/prohelp_6866.html.

[4]華經產業研究院.[EB/OL].[2020-03-25].https：//www.huaon.com/channel/tradedata/603593.html.

[5]許可.2019全球數據與信息治理回顧與前瞻.網域前沿[J].2020（02）：79-83.

[6]徐偲彇，姚建華.“看不見”的國際傳播：跨境數據流動與中國應對.傳播策略[J].2019（06）：46-56.

[7]復旦DMG.推進政府數據開放被寫入中央文件，DMG為您解讀.[EB/OL].[2020-04-10].http：//www.dmg.fudan.edu.cn/？p=7725.

[8]夏文君，昭智.個人數據保護在歐美發展的新趨勢.科技文獻信息管理[J].2014（03）：61-64.

（作者單位：鄭州航空工業管理學院? ?來稿日期：2020-04-20）