土耳其數(shù)據(jù)保護法速覽

楊欣欣　郭莉莉

摘? 要：本文對土耳其2016年頒布的《個人數(shù)據(jù)保護法》進行了介紹，對建立數(shù)據(jù)處理的強制性登記系統(tǒng)、對數(shù)據(jù)管控者的要求、數(shù)據(jù)泄露后的報告制度以及對于數(shù)據(jù)泄露的處罰等內(nèi)容進行了分析。

關鍵詞：個人數(shù)據(jù)保護法;土耳其;歐盟;數(shù)據(jù)泄露;通用數(shù)據(jù)保護條例

Abstract： The 2016 Law on the Protection of Personal Data wasTurkey's first comprehensive law， based largely on EU data protection law， yet still different in some aspects. This paper gives a introduction of the Law in its mandatory registration system for data processors， legal obligations of data controllers， reporting system of the data processors and penalties for data breaches.

Keywords： Personal data protection law; Turkey： EU; Data breach; General data protection regulation

1 引言

在世界各國由政府信息公開向政府數(shù)據(jù)開放“轉(zhuǎn)型升級”的進程中，個人數(shù)據(jù)保護已成為各國政府和國際社會共同關注與高度重視的重大實踐議題。[1]

土耳其2016年頒布的《個人數(shù)據(jù)保護法》是土耳其第一部在互聯(lián)網(wǎng)時代建立個人數(shù)據(jù)處理標準做法和程序的綜合性法律。[2]土耳其的數(shù)據(jù)保護法不僅限于罰款和民事處罰，還可以針對數(shù)據(jù)泄露提起刑事訴訟。

2 土耳其數(shù)據(jù)保護法內(nèi)容分析

2.1 預防數(shù)據(jù)泄露?！秱€人數(shù)據(jù)保護法》中的數(shù)據(jù)是指自然人的數(shù)據(jù)，而非公司或其他法人的數(shù)據(jù)。

土耳其的數(shù)據(jù)保護法主要基于歐盟指令95/46/EC（歐洲議會和歐盟理事會1995年10月24日關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令），適用于敏感和非敏感的個人信息。在土耳其法律中，敏感數(shù)據(jù)被定義為包括種族、民族、宗教、外貌、政治觀點、工會成員、健康、性生活和犯罪記錄等相關的數(shù)據(jù)。

與歐盟的一般數(shù)據(jù)保護條例不同的是，在土耳其，處理敏感和非敏感數(shù)據(jù)都需要獲得“明確同意”，未經(jīng)特別同意不得進行進一步數(shù)據(jù)處理。在土耳其法律和歐盟的一般數(shù)據(jù)保護條例中，“同意”的定義有所不同。

2.2 數(shù)據(jù)處理強制登記。根據(jù)歐盟的《通用數(shù)據(jù)保護條例》，向當局登記不是強制性的，但土耳其目前正在推出數(shù)據(jù)處理的強制性登記系統(tǒng)。自2018年10月1日起，一些數(shù)據(jù)處理者被要求在土耳其的數(shù)據(jù)控制注冊信息系統(tǒng)注冊，包括雇員超過50人、年營業(yè)額超過2500萬土耳其里拉的土耳其常駐企業(yè)，以及處理特定類別數(shù)據(jù)的企業(yè)。居住在土耳其境外、其活動對土耳其產(chǎn)生影響的數(shù)據(jù)處理者也必須注冊，注冊截止日期為2019年9月30日。土耳其的數(shù)據(jù)控制注冊信息系統(tǒng)登記于2019年10月完成。

土耳其推出數(shù)據(jù)處理強制性登記新系統(tǒng)，目標是在土耳其的數(shù)據(jù)保護方面創(chuàng)造一個更加透明和安全的環(huán)境。位于土耳其境外的數(shù)據(jù)控制人員必須在土耳其境內(nèi)指定并注冊數(shù)據(jù)保護代表。代表必須是居住在土耳其的土耳其公民或土耳其公司，他必須代表數(shù)據(jù)管控者與土耳其數(shù)據(jù)保護局（DPA）進行聯(lián)系。未進行任命和登記可能意味著罰款100萬土耳其里拉（按當前匯率計算為12.5萬英鎊）。

由土耳其境外的數(shù)據(jù)管理者所任命的代表，將行使其職責，負責與土耳其數(shù)據(jù)保護局進行溝通，如接發(fā)書信等。代表亦會協(xié)助數(shù)據(jù)使用者將任何數(shù)據(jù)申請送交數(shù)據(jù)管理者，同樣，也會將管理者的回復及時傳達回來。

數(shù)據(jù)管控者還必須準備一份數(shù)據(jù)保留和銷毀制度，以及數(shù)據(jù)處理清單。海外數(shù)據(jù)管理人員必須更廣泛地了解土耳其的數(shù)據(jù)保護法。一般來講，數(shù)據(jù)處理者有義務確保合法處理數(shù)據(jù)，目的明確，數(shù)據(jù)準確、及時，并且只保存必要長的時間。數(shù)據(jù)當事人必須被告知數(shù)據(jù)的使用目的、還轉(zhuǎn)交給誰用，以及當事人就該數(shù)據(jù)所享有的權利。

2.3 及時報告制度。土耳其的個人數(shù)據(jù)保護委員會成立于2017年。這個政府機構要求，提供電子通訊服務的公司一旦發(fā)生數(shù)據(jù)泄露，或其中的網(wǎng)絡及個人數(shù)據(jù)的安全受到威脅，要確保向大數(shù)據(jù)保護局報告。

法律規(guī)定，一旦發(fā)生數(shù)據(jù)泄露事件，數(shù)據(jù)處理方有義務向大數(shù)據(jù)保護局報告情況，并應盡快通知受影響的當事人。沒有具體的時間表，但有一家公司曾因在通知管理部門之前拖延了10個月而被罰款。如有需要，大數(shù)據(jù)保護局可將數(shù)據(jù)泄露的情況告知市民。除非在嚴格限制的情況下，未經(jīng)數(shù)據(jù)當事人同意，個人資料不得轉(zhuǎn)移到土耳其境外。如果數(shù)據(jù)在土耳其境外的轉(zhuǎn)移將嚴重損害土耳其或數(shù)據(jù)當事人的利益，則需要獲得個人數(shù)據(jù)保護委員會的批準方能實施。

與歐盟的《通用數(shù)據(jù)保護條例》規(guī)定一樣，在通過電子方式發(fā)送商業(yè)信息之前，土耳其的數(shù)據(jù)當事人通常必須選擇“加入”以獲得信息，每一次這樣的聯(lián)系也必須提供一個簡單的方式方便選擇退出。在土耳其法律中，這些規(guī)則的一個重大例外是，可以在事先未經(jīng)其同意的情況下，向從事商業(yè)貿(mào)易的商人發(fā)送商業(yè)信息。

2.4 罰款及刑事處罰。土耳其的數(shù)據(jù)保護法律規(guī)定，如果一家公司的個人數(shù)據(jù)被盜，或未經(jīng)同意披露，將被處以最高為公司年凈銷售額3%的行政罰款。這為公司保持數(shù)據(jù)安全提供了強大的動力。

土耳其對數(shù)據(jù)泄露的處罰并不僅限于罰款?！缎谭ā芬?guī)定了因數(shù)據(jù)泄露而可能坐牢的條款。非法收集個人資料的人可能會被監(jiān)禁一至三年。如果非法收集的數(shù)據(jù)是敏感的，這項處罰將會加重。那些收集、非法發(fā)布或轉(zhuǎn)移個人數(shù)據(jù)的人可能會被監(jiān)禁兩到四年。

如果公職人員濫用職權，或為獲取專業(yè)利益而犯法，可將罰款增加一半。即使未刪除在保留期過后合法收集的數(shù)據(jù)，也可能被處以一到兩年的監(jiān)禁。一旦土耳其的數(shù)據(jù)控制注冊信息系統(tǒng)完全建立起來，監(jiān)管機構的任務就會變得更簡單，屆時執(zhí)法行動可能會增加。

3? 啟示

3.1 數(shù)據(jù)保護意識。據(jù)統(tǒng)計，土耳其是歐洲跨境電商增長最快的國家之一，2014年土耳其7700萬人口中網(wǎng)購人數(shù)占三分之一，交易額180億美元[3]。2015年11月，G20領導人峰會期間，中土兩國簽署了《關于加強海上絲綢之路建設，務實開展電子商務合作諒解備忘錄》，進一步加速推進了雙邊貿(mào)易的開展。2020年1—2月中國與土耳其雙邊貨物進出口額為309402.4萬美元，同比增長3.3%;其中中國對土耳其出口商品總值為256978.5萬美元，進口商品總值為52423.9萬美元[4]。阿里研究院預計，到 2020 年我國跨境電商交易規(guī)模將達到 12 萬億元，約占中國進出口總額的 37.6%[5]。中土之間的跨境電商貿(mào)易額也有望繼續(xù)攀升。

《土耳其數(shù)據(jù)保護法》連同歐盟的《通用數(shù)據(jù)保護條例》的出臺，勢必對跨國企業(yè)帶來一定的合規(guī)壓力。受影響的企業(yè)主要集中于需要進行大數(shù)據(jù)收集和控制的行業(yè)，例如金融、生命科學（尤其是健康類的行業(yè)）、交通、零售、電商等[6]。土耳其的數(shù)據(jù)保護制度雖然在很大程度上是基于歐盟法律，但是還有幾項不同的規(guī)定，這就要求在土耳其經(jīng)營的中資企業(yè)要謹慎行事，無論是跨境電商，還是實體貿(mào)易，都要加強保護用戶數(shù)據(jù)信息，積極合規(guī)，尤其是要注意數(shù)據(jù)泄露有可能導致的刑事責任。

3.2 個人數(shù)據(jù)保護的重要性。郭維嘉和郭少友認為社會公眾對隱私傷害的隱憂表現(xiàn)為個人數(shù)據(jù)的公共存儲會影響人們聯(lián)系公共機構并尋求幫助的意愿。加拿大卡爾加里大學教授T.P.Keenan指出隱私侵害的不良后果之一是數(shù)據(jù)的不合理使用和不公平的產(chǎn)生。個人隱私安全問題關系到公眾對政府數(shù)據(jù)開放的認可度和接受度，也會影響政府數(shù)據(jù)的開放度 [2]。

3.3 個人數(shù)據(jù)保護制度的設計。2020年4月9日，《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》公布，“數(shù)據(jù)”作為五個要素之一被寫入文件?！兑庖姟愤€提出要加快培育數(shù)據(jù)要素市場，推進公共機構數(shù)據(jù)資源統(tǒng)一匯聚和集中向社會開放[7]。伴隨著我國政府對于公共數(shù)據(jù)的公開，個人數(shù)據(jù)保護的問題也會隨之更加引人關注，制度設計也就成為個人數(shù)據(jù)保護的首要環(huán)節(jié)。

2020年即將出臺的《民法典》將單辟“隱私權和個人信息保護”一章，對私密信息和個人信息加以規(guī)定。不僅如此，2020年也是我國《個人信息保護法》制定的關鍵時間節(jié)點[5]。相比于歐盟的《通用數(shù)據(jù)保護條例》過嚴（強調(diào)公共利益）和美國的《隱私法案》《信息自由法》《愛國者法案》過寬（強調(diào)商業(yè)利益），出臺適合中國國情的個人數(shù)據(jù)保護法[6][8]顯得尤為重要。

參考文獻：

[1]陳朝兵，郝文強.國內(nèi)外政府數(shù)據(jù)開放中的個人隱私保護述評.《圖書情報工作》[J].2020.4.29.

[2]Eren Can Ersoy.Examining Turkish law on data protection.Computer Fraud& Security[J].Volume 2019，Issue 9， September 2019，Page9-11.

[3]乾元坤和官網(wǎng)：中國與土耳其跨境電商簽約.www.qykh2009.com/prohelp_6866.html.

[4]華經(jīng)產(chǎn)業(yè)研究院.[EB/OL].[2020-03-25].https：//www.huaon.com/channel/tradedata/603593.html.

[5]許可.2019全球數(shù)據(jù)與信息治理回顧與前瞻.網(wǎng)域前沿[J].2020（02）：79-83.

[6]徐偲彇，姚建華.“看不見”的國際傳播：跨境數(shù)據(jù)流動與中國應對.傳播策略[J].2019（06）：46-56.

[7]復旦DMG.推進政府數(shù)據(jù)開放被寫入中央文件，DMG為您解讀.[EB/OL].[2020-04-10].http：//www.dmg.fudan.edu.cn/？p=7725.

[8]夏文君，昭智.個人數(shù)據(jù)保護在歐美發(fā)展的新趨勢.科技文獻信息管理[J].2014（03）：61-64.

（作者單位：鄭州航空工業(yè)管理學院? ?來稿日期：2020-04-20）