انطباق21 آوریل 2026 | FlexyConsent

قانون ۲۵ کبک (لایحه ۶۴): راهنمای کامل رضایت کوکی و حریم خصوصی برای ناشران در ۲۰۲۶

اکثر بحث‌های حریم خصوصی در آمریکای شمالی با کالیفرنیا شروع و تمام می‌شود. این دیدگاه منسوخ شده است. قانون ۲۵ کبک، که پیش‌تر به عنوان لایحه ۶۴ شناخته می‌شد، اکنون جریمه‌هایی اعمال می‌کند که از CCPA، CPRA و هر قانون ایالتی آمریکا فراتر می‌رود — تا ۲۵ میلیون دلار کانادایی یا ۴٪ از گردش مالی جهانی، هر کدام که بیشتر باشد. مرحله نهایی قانون ۲۵ در ۲۲ سپتامبر ۲۰۲۴ اجرایی شد و حق قابلیت حمل کامل داده را معرفی کرد، و اجرا در سال ۲۰۲۵ و تا ۲۰۲۶ تیزتر شده است. هر ناشر، پلتفرم SaaS یا فروشنده adtech با ترافیک کبک اکنون با تعهدات سطح GDPR روبرو است — اغلب سخت‌تر از خود GDPR در زمینه‌های خاصی مانند انتقال‌های بین‌المللی و اطلاعیه‌های تصمیم‌گیری خودکار.

قانون ۲۵ کبک واقعاً چه می‌خواهد

قانون ۲۵ قانون حریم خصوصی موجود بخش خصوصی کبک (Act Respecting the Protection of Personal Information in the Private Sector) را اصلاح می‌کند و آن را به GDPR اروپایی نزدیک‌تر می‌کند در حالی که ویژگی‌های متمایز کانادایی را حفظ می‌کند. الزامات اصلی که بر ناشران و اپراتورهای دیجیتال تأثیر می‌گذارد عبارتند از:

رضایت صریح و دقیق قبل از جمع‌آوری یا استفاده از اطلاعات شخصی برای هر هدفی فراتر از آنچه ابتدا اعلام شده است.
یک افسر حریم خصوصی تعیین‌شده (به طور پیش‌فرض بالاترین مقام اجرایی، مگر اینکه رسماً تفویض شود) که نام و تماس او باید در وب‌سایت منتشر شود.
ارزیابی‌های تأثیر حریم خصوصی (PIA) اجباری قبل از راه‌اندازی هر پروژه‌ای که اطلاعات شخصی را دربرمی‌گیرد، به خصوص انتقال‌های بین‌المللی یا فناوری جدید.
اطلاع‌رسانی نقض به Commission d'accès à l'information (CAI) و افراد آسیب‌دیده زمانی که نقض خطر آسیب جدی ایجاد می‌کند.
حقوق فردی شامل دسترسی، اصلاح، حذف، قابلیت حمل، و — به‌طور منحصربه‌فرد — حق اطلاع از تصمیم‌گیری خودکار و درخواست بررسی انسانی.

نهاد اجرایی Commission d'accès à l'information du Québec (CAI) است که در طول سال ۲۰۲۵ اطلاعیه‌های تحقیق رسمی به چندین ناشر و پلتفرم بین‌المللی صادر کرده است. برخلاف برخی تنظیم‌کننده‌ها، CAI تمایل به پیگیری نهادهای غیرکانادایی که به ساکنان کبک خدمت می‌کنند نشان داده است.

جزئیات رضایت کوکی: سخت‌تر از GDPR در زمینه‌های کلیدی

قانون ۲۵ از کلمه «کوکی» مستقیماً استفاده نمی‌کند، اما تعریف آن از فناوری که فرد را شناسایی، مکان‌یابی یا پروفایل می‌کند کوکی‌ها، پیکسل‌ها، اثر انگشت و شناسه‌های موبایل مبتنی بر SDK را در بر می‌گیرد. بخش ۸.۱ حکم بحرانی است: هر چنین فناوری که به صورت پیش‌فرض فعال باشد باید به صورت پیش‌فرض غیرفعال باشد و برای فعال کردن نیاز به رضایت فعال داشته باشد.

بدون کادرهای پیش‌تیک‌شده، بدون رضایت ضمنی

این زبان از چارچوب ePrivacy GDPR در یک جنبه خاص سخت‌تر است: نه تنها رضایت باید opt-in باشد، بلکه فناوری زیربنایی باید به طور فنی غیرفعال باشد تا زمانی که رضایت داده شود. یک بنر کوکی که تجزیه‌وتحلیل را قبل از کلیک کاربر بر روی قبول بارگذاری می‌کند، قانون ۲۵ را نقض می‌کند، حتی اگر خود بنر از نظر فنی صحیح باشد. ناشران باید بارگذاری اسکریپت با دروازه رضایت واقعی را پیاده‌سازی کنند، مشابه Google Consent Mode v2 در حالت پیشرفته — حالت پایه معمولاً کافی نیست.

شخصی‌سازی مبتنی بر پروفایل نیاز به رضایت جداگانه دارد

اگر از کوکی‌ها برای ساختن پروفایل کاربر برای تبلیغات شخصی‌سازی‌شده استفاده می‌کنید، قانون ۲۵ آن را به عنوان یک هدف متمایز می‌بیند که لایه رضایت خاص خود را نیاز دارد، علاوه بر رضایت پایه برای قرار دادن کوکی. یک دکمه «همه را بپذیر» که ذخیره‌سازی، تجزیه‌وتحلیل و شخصی‌سازی را یکجا می‌کند در معرض خطر است — تنظیم‌کننده کبک تمایل به کلیدهای دقیق برای هر هدف نشان داده است.

انتقال‌های بین‌المللی: الزام PIA

کبک تنها استان کانادایی است که قبل از انتقال اطلاعات شخصی خارج از کبک — از جمله به بقیه کانادا، به ایالات متحده، و به مراکز داده اروپایی — یک ارزیابی تأثیر حریم خصوصی رسمی را الزامی می‌کند. PIA باید ارزیابی کند:

حساسیت داده‌های درگیر.
هدف و ضرورت انتقال.
چارچوب قانونی حوزه قضایی مقصد.
اقدامات حفاظتی قراردادی و فنی موجود.

برای ناشران، این بیشتر بر تجزیه‌وتحلیل، مدیریت برچسب، گزارشات CDN و داده‌های سرور تبلیغات که به زیرساخت آمریکا جاری می‌شود تأثیر می‌گذارد. یک PIA کفایت کبک این انتقال‌ها را مسدود نمی‌کند، اما ارزیابی مستند و — به طور بحرانی — تأیید کتبی از طرف دریافت‌کننده را نیاز دارد که داده‌ها تحت اصول معادل حفظ می‌شوند. قراردادهای SaaS استاندارد مستضیف در آمریکا به ندرت این زبان را به طور پیش‌فرض دارند و باید اصلاح شوند.

اطلاعیه‌های تصمیم‌گیری خودکار

بخش ۱۲.۱ قانون ۲۵ در قانون آمریکای شمالی منحصربه‌فرد است: اگر یک کسب‌وکار از اطلاعات شخصی برای اتخاذ تصمیمی که صرفاً بر اساس پردازش خودکار است استفاده کند، باید:

فرد را در زمان یا قبل از اتخاذ تصمیم مطلع کند.
با درخواست، اطلاعات شخصی مورد استفاده، دلایل و عوامل اصلی که به تصمیم منجر شدند را توضیح دهد.
فرصت ارائه نظرات به یک بازبین انسانی را فراهم کند.

برای adtech، این تصمیمات برنامه‌ریزی‌شده روی درخواست‌های پیشنهاد، قیمت‌گذاری پویا، امتیازدهی تقلب و رتبه‌بندی محتوا با کمک AI را در بر می‌گیرد. ناشران به ندرت مستقیماً این الگوریتم‌ها را کنترل می‌کنند — آن‌ها به SSP و DSP متکی هستند — اما قانون ۲۵ ناشر را به عنوان یک طرف مسئول مشترک هنگامی که تصمیم از داده‌هایی که ناشر جمع‌آوری کرده استفاده می‌کند می‌بیند. اضافه کردن یک افشاگری کوتاه تصمیم خودکار به اطلاعیه حریم خصوصی شما حداقل گام انطباق قابل اجرا است.

چک‌لیست انطباق عملی برای ۲۰۲۶

گام اول: ترافیک کبک و جریان‌های داده را نقشه‌برداری کنید

از geolocation IP در تجزیه‌وتحلیل خود برای تخمین حجم بازدیدکننده کبک استفاده کنید. حتی اگر کبک کمتر از ۵٪ از مخاطبان شما باشد، جریمه ۴٪-از-گردش‌مالی آن را نادیده گرفتن را غیرمتناسب پرخطر می‌کند. هر کوکی، پیکسل و SDK که برای کاربران کبک فعال می‌شود و داده‌هایش به کجا می‌رود را نقشه‌برداری کنید.

گام دوم: یک CMP با دروازه رضایت استقرار دهید

CMP شما باید از مسدودسازی واقعی در سطح اسکریپت پشتیبانی کند، نه رد کردن ظاهری بنر. FlexyConsent و دیگر CMPهای تأیید شده Google قوانین جغرافیایی خاص کبک ارائه می‌دهند که منطق قانون ۲۵ را با Consent Mode v2 گسترده‌تر و سیگنال‌های ملی GPP آمریکا جفت می‌کنند. حالت کبک از پیش پیکربندی‌شده باید همه دسته‌های غیرضروری را به طور پیش‌فرض خاموش کند.

گام سوم: یک افسر حریم خصوصی منصوب و منتشر کنید

اگر سازمان شما حضور کانادایی ندارد، مدیرعامل یا معادل آن به طور پیش‌فرض افسر حریم خصوصی است مگر اینکه رسماً به صورت کتبی تفویض کنید. نام و ایمیل را در اطلاعیه حریم خصوصی خود منتشر کنید — CAI این را در اولین بازرسی بررسی می‌کند.

گام چهارم: قبل از پروژه‌های جدید یک PIA کامل کنید

هر فروشنده جدید، هر انتقال بین‌المللی جدید، هر فناوری ردیابی جدید نیاز به PIA مستند دارد. PIA‌های قالب از CAI پذیرفته می‌شوند؛ برای تجزیه‌وتحلیل معمولی یا قراردادهای CDN نیازی به نظر حقوقی سفارشی ندارید.

گام پنجم: اطلاعیه حریم خصوصی خود را به‌روز کنید

کبک افشاگری‌های خاصی نیاز دارد: تماس افسر حریم خصوصی، دسته‌های اطلاعات شخصی جمع‌آوری‌شده، دوره‌های نگهداری، دریافت‌کنندگان طرف‌سوم، مقاصد انتقال بین‌المللی و رویه‌های تصمیم خودکار. اطلاعیه عمومی GDPR تقریباً هرگز قانون ۲۵ را بدون افزوده‌های مادی برآورده نمی‌کند.

قانون ۲۵ کبک چگونه با PIPEDA و آینده‌های قانون ۲۵ تعامل دارد

PIPEDA، قانون فدرال حریم خصوصی کانادا، بر فعالیت تجاری در سراسر کانادا اعمال می‌شود — اما قانون ۲۵ کبک در داخل کبک اولویت دارد زیرا استان برای اهداف حریم خصوصی بخش خصوصی به طور قابل‌توجهی مشابه اعلام شده است. در عمل این به این معنی است که عملیات کبک به طور پیش‌فرض به قانون ۲۵ رجوع می‌کند و PIPEDA فقط بر فعالیت‌هایی که از مرزهای استانی عبور می‌کنند اعمال می‌شود.

کانادا همچنین PIPEDA را از طریق Consumer Privacy Protection Act (CPPA) پیشنهادی مدرن‌سازی می‌کند. اگر CPPA در شکل فعلی خود تصویب شود، بقیه کانادا را به مدل کبک نزدیک‌تر خواهد کرد — رضایت صریح، جریمه‌های معنادار، یک کمیسیونر فدرال حریم خصوصی با قدرت صدور دستور، و شفافیت تصمیم خودکار. ناشرانی که امروز پشته خود را حول قانون ۲۵ کبک می‌سازند برای تغییرات فدرال فردا به خوبی قرار خواهند گرفت.

نسخه کوتاه: قانون ۲۵ کبک یک کنجکاوی استانی نیست. این الگوی جایی است که حریم خصوصی کانادا به آن می‌رود و تهاجمی‌ترین رژیم حریم خصوصی در قاره آمریکاست. ناشران، تبلیغ‌کنندگان و فروشندگان SaaS که ترافیک کانادایی را خدمت می‌دهند باید انطباق قانون ۲۵ را به عنوان اولویت ۲۰۲۶ در نظر بگیرند، نه یک پروژه آینده.