Закон 25 на Квебек (Законопроект 64): Пълното ръководство за съгласие за бисквитки и поверителност за издатели през 2026 г.
Повечето разговори за поверителност в Северна Америка започват и завършват с Калифорния. Тази рамка е остаряла. Законът 25 на Квебек, известен преди като Bill 64, вече налага санкции, надминаващи CCPA, CPRA и всеки американски щатски закон — до 25 милиона канадски долара или 4% от световния оборот, в зависимост от това кое е по-голямо. Последната фаза на Закон 25 влезе в сила на 22 септември 2024 г., въвеждайки пълно право на преносимост на данни, а прилагането се засили през 2025 г. и до 2026 г. Всеки издател, SaaS платформа или доставчик на рекламни технологии с квебекски трафик сега се изправя пред задължения от ниво GDPR — нерядко по-взискателни от самия GDPR в конкретни области като трансгранични прехвърляния и уведомления за автоматизирано вземане на решения.
Какво всъщност изисква Закон 25 на Квебек
Закон 25 изменя съществуващия квебекски закон за поверителност в частния сектор (Act Respecting the Protection of Personal Information in the Private Sector) и го сближава с европейския GDPR, като запазва отличителни канадски особености. Основните изисквания, засягащи издателите и дигиталните оператори, са:
- Изрично, детайлно съгласие преди събиране или използване на лична информация за каквато и да е цел, различна от първоначално оповестената.
- Назначен Служител по поверителността (по подразбиране най-висшестоящият изпълнителен директор, освен ако не е официално делегиран), чието име и данни за контакт трябва да бъдат публикувани на уебсайта.
- Задължителни Оценки на въздействието върху поверителността (PIA) преди стартиране на всеки проект, включващ лична информация, особено трансгранични прехвърляния или нови технологии.
- Уведомление за нарушение до Commission d'accès à l'information (CAI) и засегнатите лица, когато нарушението представлява риск от сериозна вреда.
- Индивидуални права, включително достъп, коригиране, изтриване, преносимост и — уникално — правото да бъде информиран за автоматизирано вземане на решения и да поиска преглед от човек.
Правоприлагащият орган е Commission d'accès à l'information du Québec (CAI), който е издал официални уведомления за разследване на множество международни издатели и платформи през 2025 г. За разлика от някои регулатори, CAI е показал готовност да преследва неканадски субекти, обслужващи жители на Квебек.
Специфики на съгласието за бисквитки: по-строго от GDPR в ключови области
Закон 25 не използва директно думата „бисквитка", но неговото определение за технология, която идентифицира, локализира или профилира дадено лице, обхваща бисквитки, пиксели, пръстови отпечатъци и мобилни идентификатори, базирани на SDK. Член 8.1 е критичната разпоредба: всяка подобна технология, активирана по подразбиране, трябва да бъде деактивирана по подразбиране и да изисква активно съгласие за включване.
Без предварително отметнати полета, без подразбиращо се съгласие
Този текст е по-строг от рамката ePrivacy на GDPR в един конкретен аспект: не само трябва съгласието да е opt-in, но основната технология трябва да бъде технически деактивирана до предоставяне на съгласие. Банер за бисквитки, зареждащ анализи преди потребителят да кликне „приемам", нарушава Закон 25, дори ако самият банер е технически правилен. Издателите трябва да внедрят истинско зареждане на скриптове, обусловено от съгласие, подобно на Google Consent Mode v2 в режим advanced — основният режим обикновено е недостатъчен.
Персонализацията, базирана на профили, изисква отделно съгласие
Ако използвате бисквитки за изграждане на потребителски профил за персонализирана реклама, Закон 25 третира това като отделна цел, изискваща собствен слой за съгласие върху базовото съгласие за поставяне на бисквитки. Един бутон „приемам всичко", обединяващ съхранение, анализ и персонализация, е изложен на риск — регулаторът на Квебек е сигнализирал предпочитание към детайлни превключватели за всяка цел.
Трансгранични прехвърляния: изискването за PIA
Квебек е единствената канадска провинция, изискваща официална Оценка на въздействието върху поверителността преди прехвърляне на лична информация извън Квебек — включително към останалата част на Канада, Съединените щати и европейски центрове за данни. PIA трябва да оцени:
- Чувствителността на въпросните данни.
- Целта и необходимостта от прехвърлянето.
- Правната рамка на юрисдикцията на местоназначение.
- Договорните и техническите предпазни мерки, въведени в сила.
За издателите това най-често засяга анализите, управлението на тагове, регистрационните файлове на CDN и данните от рекламния сървър, преминаващи към американска инфраструктура. Оценката PIA за квебекска адекватност не блокира тези прехвърляния, но изисква документирана оценка и — критично — писмено потвърждение от получаващата страна, че данните ще бъдат защитени при равностойни принципи. Стандартните американски SaaS договори рядко включват тази формулировка по подразбиране и трябва да бъдат изменени.
Уведомления за автоматизирано вземане на решения
Член 12.1 на Закон 25 е уникален в севернрамериканското право: ако бизнес използва лична информация за вземане на решение базирано изключително на автоматизирана обработка, той трябва:
- Да информира лицето при или преди вземането на решението.
- При поискване, да обясни използваната лична информация, причините и основните фактори, довели до решението.
- Да предостави възможност за подаване на наблюдения до човешки рецензент.
За рекламните технологии това обхваща програмното вземане на решения при заявки за наддаване, динамичното ценообразуване, оценяването на измами и всяко класиране на съдържание с помощта на AI. Издателите рядко контролират тези алгоритми директно — те разчитат на SSP и DSP — но Закон 25 третира издателя като съвместно отговорна страна, когато решението използва данни, събрани от издателя. Добавянето на кратко оповестяване за автоматизирани решения към уведомлението за поверителност е минималната жизнеспособна стъпка за съответствие.
Практически контролен списък за съответствие за 2026 г.
Стъпка 1: Картографирайте квебекския трафик и потоците от данни
Използвайте IP геолокация в анализите си, за да оцените обема на квебекски посетители. Дори ако Квебек е под 5% от вашата аудитория, санкцията от 4% от оборота я прави непропорционално рискована за игнориране. Картографирайте всяка бисквитка, пиксел и SDK, задействани за квебекски потребители, и където данните им попадат.
Стъпка 2: Внедрете CMP, обусловен от съгласие
Вашият CMP трябва да поддържа истинско блокиране на ниво скрипт, а не козметично отхвърляне на банера. FlexyConsent и други сертифицирани от Google CMP предлагат специфични за Квебек географски правила, свързващи логиката на Закон 25 с по-широки сигнали на Consent Mode v2 и GPP за национално ниво в САЩ. Предварително конфигурираният квебекски режим трябва да изключи по подразбиране всички несъществени категории.
Стъпка 3: Назначете и публикувайте Служител по поверителността
Ако организацията ви няма канадско присъствие, вашият изпълнителен директор или еквивалентът е Служителят по поверителността по подразбиране, освен ако не делегирате официално в писмен вид. Публикувайте името и имейла в уведомлението за поверителност — CAI го проверява при първата инспекция.
Стъпка 4: Завършете PIA преди нови проекти
Всеки нов доставчик, всяко ново трансгранично прехвърляне, всяка нова технология за проследяване изисква документирана PIA. Шаблонните PIA от CAI са приети; не ви е необходимо специализирано правно становище за рутинни анализи или договори за CDN.
Стъпка 5: Актуализирайте уведомлението за поверителност
Квебек изисква конкретни оповестявания: данните за контакт на Служителя по поверителността, категориите събирана лична информация, периодите на съхранение, получателите от трети страни, дестинациите за трансгранично прехвърляне и практиките за автоматизирано вземане на решения. Общото уведомление за GDPR почти никога не удовлетворява Закон 25 без съществени допълнения.
Как Закон 25 на Квебек взаимодейства с PIPEDA и бъдещето на Закон 25
PIPEDA, федералният закон за поверителност на Канада, се прилага за търговска дейност в цяла Канада — но Законът 25 на Квебек има предимство в рамките на Квебек, тъй като провинцията е обявена за значително сходна за целите на поверителността в частния сектор. На практика това означава, че квебекските операции по подразбиране следват Закон 25, а PIPEDA се прилага само за дейности, пресичащи провинциалните граници.
Канада също модернизира PIPEDA чрез предложения Consumer Privacy Protection Act (CPPA). Ако CPPA бъде приет в сегашната си форма, той ще доближи останалата част на Канада до модела на Квебек — изрично съгласие, значителни санкции, федерален Комисар по поверителността с правомощия за издаване на разпореждания и прозрачност при автоматизирано вземане на решения. Издателите, изграждащи стека си около Закон 25 на Квебек днес, ще бъдат добре позиционирани за федерални промени утре.
Накратко: Законът 25 на Квебек не е провинциална особеност. Той е шаблонът за посоката, в която върви канадската поверителност, и най-агресивният режим за поверителност в Америките. Издателите, рекламодателите и SaaS доставчиците, обслужващи канадски трафик, трябва да третират съответствието с Закон 25 като приоритет за 2026 г., а не като бъдещ проект.