قانون كيبيك 25 (مشروع القانون 64): الدليل الكامل لموافقة ملفات تعريف الارتباط والخصوصية للناشرين في 2026
تبدأ معظم محادثات الخصوصية في أمريكا الشمالية وتنتهي بكاليفورنيا. هذا الإطار أصبح قديمًا. يفرض قانون 25 الخاص بكيبيك، المعروف سابقًا بـ Bill 64، عقوبات تتخطى CCPA وCPRA وكل قانون أمريكي على مستوى الولايات — تصل إلى 25 مليون دولار كندي أو 4% من حجم الأعمال العالمي، أيهما أعلى. دخلت المرحلة النهائية من قانون 25 حيز التنفيذ في 22 سبتمبر 2024، مُدخِلةً حق قابلية نقل البيانات الكامل، وقد اشتدّ التطبيق خلال 2025 وحتى 2026. أي ناشر أو منصة SaaS أو مورّد تقنية إعلانية يملك حركة مرور من كيبيك يواجه الآن التزامات على مستوى GDPR — وهي في مجالات بعينها كنقل البيانات عبر الحدود وإشعارات اتخاذ القرار الآلي أكثر تطلبًا من GDPR نفسه.
ما الذي يتطلبه قانون كيبيك 25 فعليًا
يُعدّل قانون 25 قانون الخصوصية القائم في القطاع الخاص بكيبيك (Act Respecting the Protection of Personal Information in the Private Sector) ويُقرّبه من GDPR الأوروبي مع الحفاظ على سمات كندية مميزة. المتطلبات الجوهرية التي تؤثر على الناشرين والمشغّلين الرقميين هي:
- موافقة صريحة وتفصيلية قبل جمع المعلومات الشخصية أو استخدامها لأي غرض يتجاوز ما أُفصح عنه في الأصل.
- مسؤول الخصوصية المُعيَّن (أعلى مسؤول تنفيذي بصفة افتراضية، ما لم يُفوَّض رسميًا) الذي يجب نشر اسمه وبيانات الاتصال الخاصة به على الموقع الإلكتروني.
- تقييمات أثر الخصوصية (PIAs) الإلزامية قبل إطلاق أي مشروع يتضمن معلومات شخصية، ولا سيما عمليات النقل عبر الحدود أو التقنيات الجديدة.
- إشعار الاختراق إلى Commission d'accès à l'information (CAI) وإلى الأفراد المتضررين عندما يشكّل الاختراق خطر إصابة خطيرة.
- الحقوق الفردية بما تشمل الوصول والتصحيح والحذف وقابلية النقل، وبشكل فريد — الحق في الإخطار بشأن اتخاذ القرار الآلي وطلب مراجعة بشرية.
الجهة التنفيذية هي Commission d'accès à l'information du Québec (CAI)، التي أصدرت إشعارات تحقيق رسمية لعدد من الناشرين والمنصات الدولية خلال 2025. وخلافًا لبعض الجهات التنظيمية، أبدت CAI استعدادًا لملاحقة الكيانات غير الكندية التي تخدم سكان كيبيك.
تفاصيل موافقة ملفات تعريف الارتباط: أكثر صرامة من GDPR في مجالات رئيسية
لا يستخدم قانون 25 كلمة "ملف تعريف الارتباط" مباشرةً، لكن تعريفه للـتقنية التي تُعرّف أو تُحدد موقع أو تبني ملفات تعريف للأفراد يشمل ملفات تعريف الارتباط والبيكسلات وبصمات الأصابع والمعرّفات المحمولة المستندة إلى SDK. المادة 8.1 هي الحكم الجوهري: أي تقنية من هذا القبيل تُفعَّل افتراضيًا يجب تعطيلها افتراضيًا والاشتراط بموافقة نشطة لتشغيلها.
لا مربعات اختيار مُحدَّدة مسبقًا، ولا موافقة ضمنية
هذه الصياغة أشد صرامة من إطار ePrivacy الخاص بـ GDPR في جانب واحد محدد: لا يجب أن تكون الموافقة انسحابية فحسب، بل يجب أن تكون التقنية الأساسية معطّلة تقنيًا حتى تُمنح الموافقة. يُخالف قانون 25 لافتة ملفات تعريف الارتباط التي تُحمّل التحليلات قبل أن ينقر المستخدم على قبول، حتى لو كانت اللافتة نفسها صحيحة تقنيًا. يجب على الناشرين تطبيق تحميل النصوص المشروطة بالموافقة بشكل حقيقي، على غرار Google Consent Mode v2 في وضع advanced — فالوضع الأساسي غير كافٍ في الغالب.
التخصيص المستند إلى الملف التعريفي يستلزم موافقة منفصلة
إذا كنت تستخدم ملفات تعريف الارتباط لبناء ملف تعريفي للمستخدم بغرض الإعلانات المُخصَّصة، يعامل قانون 25 ذلك باعتباره غرضًا متمايزًا يستلزم طبقة موافقة خاصة به فوق الموافقة الأساسية على وضع ملفات تعريف الارتباط. زرّ "قبول الكل" الواحد الذي يجمع التخزين والتحليلات والتخصيص في خطر — لقد أشار منظّم كيبيك إلى تفضيل التبديلات التفصيلية لكل غرض.
النقل عبر الحدود: اشتراط PIA
كيبيك هي المقاطعة الكندية الوحيدة التي تشترط إجراء تقييم أثر الخصوصية رسميًا قبل نقل المعلومات الشخصية خارج كيبيك — بما يشمل سائر أنحاء كندا والولايات المتحدة ومراكز البيانات الأوروبية. يجب أن يُقيّم PIA:
- حساسية البيانات المعنية.
- الغرض من النقل وضرورته.
- الإطار القانوني للولاية القضائية المستقبِلة.
- الضمانات التعاقدية والتقنية المعتمدة.
بالنسبة للناشرين، يؤثر هذا في الغالب على التحليلات وإدارة العلامات وسجلات CDN وبيانات خادم الإعلانات التي تتدفق إلى البنية التحتية الأمريكية. لا يُعيق PIA الملاءمة الخاص بكيبيك هذه النقلات، لكنه يستلزم تقييمًا موثقًا وبشكل حاسم تأكيدًا خطيًا من الطرف المستلم بأن البيانات ستُحمى وفق مبادئ مكافئة. نادرًا ما تتضمن عقود SaaS الأمريكية القياسية هذه الصياغة افتراضيًا وينبغي تعديلها.
إشعارات اتخاذ القرار الآلي
المادة 12.1 من قانون 25 فريدة في القانون الأمريكي الشمالي: إذا استخدم أي نشاط تجاري معلومات شخصية لاتخاذ قرار يستند حصريًا إلى المعالجة الآلية، فيجب عليه:
- إخطار الفرد عند اتخاذ القرار أو قبله.
- عند الطلب، شرح المعلومات الشخصية المستخدمة والأسباب والعوامل الرئيسية التي أدت إلى القرار.
- إتاحة الفرصة لتقديم ملاحظات إلى مراجع بشري.
في مجال تقنية الإعلانات، يشمل ذلك اتخاذ القرار الآلي على طلبات تقديم العروض والتسعير الديناميكي وتسجيل الاحتيال وأي ترتيب للمحتوى بمساعدة AI. نادرًا ما يتحكم الناشرون في هذه الخوارزميات مباشرةً — إذ يعتمدون على SSPs وDSPs — لكن قانون 25 يعامل الناشر باعتباره طرفًا مسؤولًا مشتركًا عندما يستخدم القرار بيانات جمعها الناشر. إضافة إفصاح موجز عن القرار الآلي في إشعار الخصوصية هو الحد الأدنى لخطوة الامتثال الممكنة.
قائمة التحقق العملية للامتثال في 2026
الخطوة 1: رسم خريطة حركة مرور كيبيك وتدفقات البيانات
استخدم تحديد الموقع الجغرافي بالـ IP في تحليلاتك لتقدير حجم زوار كيبيك. حتى لو كانت كيبيك تمثّل أقل من 5% من جمهورك، فإن عقوبة 4% من حجم الأعمال تجعل تجاهلها أمرًا عالي المخاطر بشكل غير متناسب. ضع خريطة لكل ملف تعريف ارتباط وبيكسل وSDK يُشغَّل لمستخدمي كيبيك وإلى أين تنتهي بياناته.
الخطوة 2: نشر CMP مشروط بالموافقة
يجب أن يدعم CMP الخاص بك الحظر الحقيقي على مستوى النص، لا مجرد إغلاق اللافتة الجمالي. تقدّم FlexyConsent وغيرها من CMPs المعتمدة من Google قواعد جغرافية خاصة بكيبيك تُقرن منطق قانون 25 مع إشارات Consent Mode v2 وGPP الأمريكية الوطنية الأوسع. يجب أن يُعطّل وضع كيبيك المُهيَّأ مسبقًا جميع الفئات غير الأساسية افتراضيًا.
الخطوة 3: تعيين مسؤول الخصوصية ونشر بياناته
إذا لم يكن لمؤسستك وجود كندي، فإن رئيسك التنفيذي أو ما يعادله هو مسؤول الخصوصية افتراضيًا ما لم تُفوّض رسميًا كتابةً. انشر الاسم والبريد الإلكتروني في إشعار الخصوصية — تتحقق CAI من ذلك عند أول فحص.
الخطوة 4: إكمال PIA قبل المشاريع الجديدة
كل مورّد جديد وكل نقل عبر الحدود وكل تقنية تتبع جديدة تستلزم PIA موثقًا. نماذج PIAs الصادرة عن CAI مقبولة؛ لا تحتاج إلى رأي قانوني مخصص لعمليات التحليلات أو عقود CDN الروتينية.
الخطوة 5: تحديث إشعار الخصوصية
تشترط كيبيك إفصاحات محددة: بيانات الاتصال بمسؤول الخصوصية وفئات المعلومات الشخصية المجمّعة وفترات الاحتفاظ والمستلمين من الأطراف الثالثة ووجهات النقل عبر الحدود وممارسات اتخاذ القرار الآلي. إشعار GDPR العام لا يُرضي قانون 25 في الغالب دون إضافات جوهرية.
كيف يتفاعل قانون كيبيك 25 مع PIPEDA ومستقبل القانون 25
يسري PIPEDA، قانون الخصوصية الفيدرالي الكندي، على النشاط التجاري في جميع أنحاء كندا — لكن قانون كيبيك 25 يسود داخل كيبيك لأن المقاطعة أُعلنت مماثلة بصورة جوهرية لأغراض خصوصية القطاع الخاص. في الواقع العملي، يعني هذا أن عمليات كيبيك تعمل افتراضيًا وفق قانون 25 ولا يسري PIPEDA إلا على الأنشطة التي تتجاوز الحدود الإقليمية.
تُحدّث كندا أيضًا PIPEDA من خلال Consumer Privacy Protection Act (CPPA) المقترح. إذا اجتاز CPPA بصيغته الحالية، فسيُقرّب باقي كندا من نموذج كيبيك — موافقة صريحة وعقوبات ذات معنى ومفوّض فيدرالي للخصوصية بصلاحيات إصدار أوامر وشفافية اتخاذ القرار الآلي. الناشرون الذين يبنون بنيتهم التحتية حول قانون كيبيك 25 اليوم سيكونون في وضع جيد لمواجهة التغييرات الفيدرالية غدًا.
الخلاصة: قانون كيبيك 25 ليس فضولًا إقليميًا. إنه النموذج الذي تسير نحوه الخصوصية الكندية وأكثر أنظمة الخصوصية عدوانية في الأمريكتين. ينبغي للناشرين والمعلنين ومورّدي SaaS الذين يخدمون حركة المرور الكندية أن يتعاملوا مع الامتثال لقانون 25 باعتباره أولوية 2026 لا مشروعًا مستقبليًا.