Што на самой справе патрабуе Закон 25 Квебека

Закон 25 уносіць папраўкі ў існуючы закон Квебека аб прыватнасці ў прыватным сектары (Закон аб абароне персанальнай інфармацыі ў прыватным сектары) і набліжае яго да еўрапейскага GDPR, захоўваючы пры гэтым выразна канадскія рысы. Асноўныя патрабаванні, якія закранаюць выдаўцоў і лічбавых аператараў:

• Відавочная, дэталёвая згода перад зборам або выкарыстаннем персанальнай інфармацыі для любой мэты, якая выходзіць за межы першапачаткова раскрытай.
• Прызначаны супрацоўнік па прыватнасці (па змаўчанні — вышэйшы кіраўнік, калі толькі паўнамоцтвы фармальна не дэлегаваны), чыё імя і кантакты павінны быць апублікаваны на сайце.
• Абавязковыя ацэнкі ўплыву на прыватнасць (PIA) перад запускам любога праекта, звязанага з персанальнай інфармацыяй, асабліва трансгранічных перадач або новых тэхналогій.
• Апавяшчэнне аб уцечцы у Камісію па доступе да інфармацыі (CAI) і закранутым асобам, калі ўцечка ўяўляе рызыку сур'ёзнай шкоды.
• Правы фізічных асоб, уключаючы доступ, выпраўленне, выдаленне, пераноснасць і — унікальна — права быць праінфармаваным аб аўтаматызаваным прыняцці рашэнняў і запытаць разгляд чалавекам.

Орган правапрымянення — Камісія па доступе да інфармацыі Квебека (CAI), якая на працягу 2025 года выдала афіцыйныя апавяшчэнні аб расследаванні мноству міжнародных выдаўцоў і платформ. У адрозненне ад некаторых рэгулятараў, CAI прадэманстравала гатоўнасць пераследаваць неканадскія арганізацыі, якія абслугоўваюць жыхароў Квебека.

Спецыфіка згоды на файлы cookie: строжэй GDPR у ключавых абласцях

Закон 25 не выкарыстоўвае слова «cookie» напрамую, але яго вызначэнне тэхналогіі, якая ідэнтыфікуе, вызначае месцазнаходжанне або прафілюе асобу, ахоплівае файлы cookie, пікселі, зняцце адбіткаў і ідэнтыфікатары мабільных SDK. Раздзел 8.1 — крытычнае палажэнне: любая такая тэхналогія, актываваная па змаўчанні, павінна быць адключана па змаўчанні і патрабаваць актыўнай згоды для ўключэння.

Ніякіх папярэдне адзначаных сцяжкоў, ніякай падразумяванай згоды

Гэтая фармулёўка строжэй еўрапейскай рамкі ePrivacy у адным канкрэтным аспекце: згода павінна быць не толькі opt-in, але і базавая тэхналогія павінна быць тэхнічна адключана да прадастаўлення згоды. Банер cookie, які загружае аналітыку да таго, як карыстальнік націсне «прыняць», парушае Закон 25, нават калі сам банер тэхнічна карэктны. Выдаўцы павінны ўкараняць сапраўдную загрузку скрыптаў з гейтынгам па згодзе, падобную да Google Consent Mode v2 у пашыраным рэжыме — базавы рэжым, як правіла, недастатковы.

Персаналізацыя на аснове профілю патрабуе асобнай згоды

Калі вы выкарыстоўваеце файлы cookie для пабудовы профілю карыстальніка для персаналізаванай рэкламы, Закон 25 трактуе гэта як асобную мэту, якая патрабуе ўласнага слоя згоды, у дадатак да базавай згоды на размяшчэнне файлаў cookie. Адзіная кнопка «прыняць усё», якая аб'ядноўвае захоўванне, аналітыку і персаналізацыю, знаходзіцца пад рызыкай — рэгулятар Квебека абазначыў перавагу дэталёвым пераключальнікам па кожнай мэце.

Трансгранічныя перадачы: патрабаванне PIA

Квебек — адзіная канадская правінцыя, якая патрабуе фармальнай ацэнкі ўплыву на прыватнасць перад перадачай персанальнай інфармацыі за межы Квебека — уключаючы ў астатнюю Канаду, у Злучаныя Штаты і ў еўрапейскія цэнтры апрацоўкі дадзеных. PIA павінна ацэньваць:

• Адчувальнасць задзейнічаных дадзеных.
• Мэту і неабходнасць перадачы.
• Прававую базу юрысдыкцыі прызначэння.
• Дзеючыя дагаворныя і тэхнічныя гарантыі.

Для выдаўцоў гэта найчасцей закранае аналітыку, кіраванне тэгамі, логі CDN і дадзеныя рэкламнага сервера, якія паступаюць у інфраструктуру ЗША. PIA на адэкватнасць для Квебека не блакіруе гэтыя перадачы, але патрабуе дакументаванай ацэнкі і — што крытычна — пісьмовага пацвярджэння ад прымаючага боку, што дадзеныя будуць абаронены па эквівалентных прынцыпах. Стандартныя кантракты SaaS, размешчаных у ЗША, рэдка ўключаюць гэтую фармулёўку па змаўчанні і павінны быць зменены.

Апавяшчэнні аб аўтаматызаваным прыняцці рашэнняў

Раздзел 12.1 Закона 25 унікальны для паўночнаамерыканскага права: калі бізнес выкарыстоўвае персанальную інфармацыю для прыняцця рашэння выключна на аснове аўтаматызаванай апрацоўкі, ён павінен:

• Інфармаваць асобу падчас або да прыняцця рашэння.
• Па запыце растлумачыць выкарыстаную персанальную інфармацыю, прычыны і асноўныя фактары, якія прывялі да рашэння.
• Прадаставіць магчымасць падаць заўвагі чалавеку-рэцэнзенту.

Для adtech гэта ахоплівае праграматычнае прыняцце рашэнняў па запытах ставак, дынамічнае цэнаўтварэнне, ацэнку махлярства і любое ранжыраванне кантэнту з дапамогай ШІ. Выдаўцы рэдка кантралююць гэтыя алгарытмы напрамую — яны абапіраюцца на SSP і DSP — але Закон 25 трактуе выдаўца як сумесна адказны бок, калі рашэнне выкарыстоўвае дадзеныя, сабраныя выдаўцом. Дадаванне кароткага раскрыцця аб аўтаматызаваным рашэнні ў вашае апавяшчэнне аб прыватнасці — мінімальна жыццяздольны крок адпаведнасці.

Практычны чэк-ліст адпаведнасці на 2026 год

Крок 1: картаграфуйце квебекскі трафік і патокі дадзеных

Выкарыстоўвайце IP-геалакацыю ў вашай аналітыцы для ацэнкі аб'ёму наведвальнікаў з Квебека. Нават калі Квебек складае менш за 5 % вашай аўдыторыі, штраф у 4 % абароту робіць ігнараванне непрапарцыйна рызыкоўным. Картаграфуйце кожны файл cookie, піксель і SDK, які спрацоўвае для квебекскіх карыстальнікаў, і тое, куды паступаюць яго дадзеныя.

Крок 2: разгарніце CMP з гейтынгам па згодзе

Ваша CMP павінна падтрымліваць сапраўдную блакіроўку на ўзроўні скрыптаў, а не касметычнае закрыццё банера. FlexyConsent і іншыя сертыфікаваныя Google CMP прапануюць спецыфічныя для Квебека гео-правілы, якія спалучаюць логіку Закона 25 з больш шырокімі сігналамі Consent Mode v2 і GPP US-national. Папярэдне наладжаны рэжым Квебека павінен па змаўчанні адключаць усе несутнасныя катэгорыі.

Крок 3: прызначце і апублікуйце супрацоўніка па прыватнасці

Калі ў вашай арганізацыі няма канадскай прысутнасці, ваш CEO або эквівалентная асоба па змаўчанні з'яўляецца супрацоўнікам па прыватнасці, калі толькі вы фармальна не дэлегуеце гэта ў пісьмовай форме. Апублікуйце імя і электронную пошту ў вашым апавяшчэнні аб прыватнасці — CAI правярае гэта пры першай інспекцыі.

Крок 4: завяршыце PIA перад новымі праектамі

Кожны новы пастаўшчык, кожная новая трансгранічная перадача, кожная новая тэхналогія адсочвання патрабуюць дакументаванай PIA. Шаблонныя PIA ад CAI прымаюцца; вам не патрэбна індывідуальнае юрыдычнае заключэнне для руцінай аналітыкі або кантрактаў CDN.

Крок 5: абнавіце вашае апавяшчэнне аб прыватнасці

Квебек патрабуе канкрэтных раскрыццяў: кантакт супрацоўніка па прыватнасці, катэгорыі збіранай персанальнай інфармацыі, тэрміны захоўвання, старонния атрымальнікі, накірункі трансгранічных перадач і практыкі аўтаматызаваных рашэнняў. Агульнае апавяшчэнне GDPR амаль ніколі не задавальняе Закон 25 без істотных дапаўненняў.

Як Закон 25 Квебека ўзаемадзейнічае з PIPEDA і яго будучыня

PIPEDA, федэральны закон Канады аб прыватнасці, прымяняецца да камерцыйнай дзейнасці па ўсёй Канадзе — але Закон 25 Квебека мае прыярытэт у межах Квебека, паколькі правінцыя была абвешчана істотна аналагічнай для мэт прыватнасці ў прыватным сектары. На практыцы гэта азначае, што аперацыі ў Квебеку па змаўчанні рэгулююцца Законам 25, а PIPEDA прымяняецца толькі да дзейнасці, якая перасякае правінцыйныя межы.

Канада таксама мадэрнізуе PIPEDA праз прапанаваны Закон аб абароне прыватнасці спажыўцоў (CPPA). Калі CPPA будзе прыняты ў яго цяперашняй форме, ён наблізіць астатнюю Канаду да мадэлі Квебека — відавочная згода, адчувальныя штрафы, федэральны ўпаўнаважаны па прыватнасці з правам выдаваць прадпісанні і празрыстасць аўтаматызаваных рашэнняў. Выдаўцы, якія будуюць свой стэк вакол Закона 25 Квебека сёння, будуць добра пазіцыянаваны для федэральных змен заўтра.

Кароткая версія: Закон 25 Квебека — не правінцыйны кур'ёз. Гэта шаблон таго, куды рухаецца канадская прыватнасць, і самы агрэсіўны рэжым прыватнасці ў Амерыках. Выдаўцы, рэкламадаўцы і SaaS-пастаўшчыкі, якія абслугоўваюць канадскі трафік, павінны разглядаць адпаведнасць Закону 25 як прыярытэт 2026 года, а не як будучы праект.