Quebec Law 25 (Bill 64): Ang Kumpletong Gabay sa Cookie Consent at Privacy para sa mga Publisher noong 2026
Karamihan sa mga talakayan sa privacy sa Hilagang Amerika ay nagsisimula at nagtatapos sa California. Napanahon na ang pananaw na iyon. Ang Law 25 ng Quebec, dating kilala bilang Bill 64, ay nagpapataw na ngayon ng mga parusa na lumalagpas sa CCPA, CPRA, at bawat batas ng estado sa Estados Unidos — hanggang CAD $25 milyon o 4% ng pandaigdigang kita, alinman ang mas mataas. Ang huling yugto ng Law 25 ay nagkabisa noong Setyembre 22, 2024, na nagpapakilala ng buong karapatang portability ng data, at ang pagpapatupad ay naging mas mahigpit sa buong 2025 at hanggang 2026. Anumang publisher, SaaS platform, o adtech vendor na may trapiko mula sa Quebec ay nahaharap na ngayon sa mga obligasyong katulad ng GDPR — kadalasang mas mahigpit pa sa GDPR mismo sa ilang partikular na lugar tulad ng mga cross-border transfer at mga abiso sa automated decision-making.
Ano talaga ang kinakailangan ng Quebec Law 25
Binabago ng Law 25 ang umiiral na batas sa privacy ng pribadong sektor ng Quebec (Act Respecting the Protection of Personal Information in the Private Sector) at inilalapit ito sa European GDPR habang pinapanatili ang mga natatanging katangiang Canadian. Ang mga pangunahing kinakailangan na nakakaapekto sa mga publisher at digital na operator ay:
- Malinaw, detalyadong pahintulot bago mangolekta o gumamit ng personal na impormasyon para sa anumang layunin na higit sa orihinal na ipinahayag.
- Isang itinalagang Privacy Officer (ang pinakamataas na ehekutibo bilang default, maliban kung pormalmenteng itinalaga) na ang pangalan at contact ay dapat na-publish sa website.
- Mandatory na Privacy Impact Assessments (PIA) bago ilunsad ang anumang proyektong kinasasangkutan ng personal na impormasyon, lalo na ang mga cross-border transfer o bagong teknolohiya.
- Abiso sa paglabag sa Commission d'accès à l'information (CAI) at sa mga apektadong indibidwal kapag ang paglabag ay nagdudulot ng panganib ng seryosong pinsala.
- Mga karapatan ng indibidwal kabilang ang pag-access, pagwawasto, pagtanggal, portability, at — natatangi — ang karapatang maabisuhan tungkol sa automated decision-making at humiling ng pagsusuri ng tao.
Ang enforcement body ay ang Commission d'accès à l'information du Québec (CAI), na naglabas ng mga pormal na abiso ng pagsisiyasat sa maraming internasyonal na publisher at platform sa buong 2025. Hindi tulad ng ilang regulator, ipinakita ng CAI ang pagpayag na ituloy ang mga hindi Canadian na entidad na naglilingkod sa mga residente ng Quebec.
Mga detalye ng cookie consent: mas mahigpit kaysa sa GDPR sa mga pangunahing lugar
Hindi direktang ginagamit ng Law 25 ang salitang "cookie", ngunit ang kahulugan nito ng teknolohiyang nagtatukoy, naglo-locate, o nagpo-profile sa isang indibidwal ay sumasaklaw sa mga cookie, pixel, fingerprinting, at mga SDK-based na mobile identifier. Ang Seksyon 8.1 ang kritikal na probisyon: anumang naturang teknolohiyang naka-activate bilang default ay dapat hindi paganahin bilang default at kailangang aktibong pahintulot para mabuksan.
Walang pre-ticked na kahon, walang implied na pahintulot
Ang lingguheng ito ay mas mahigpit kaysa sa ePrivacy framework ng GDPR sa isang partikular na paraan: hindi lamang kailangang opt-in ang pahintulot, kundi ang pinagbabatayan na teknolohiya ay dapat teknikal na hindi pinagana hanggang sa ibigay ang pahintulot. Ang isang cookie banner na naglo-load ng analytics bago pindutin ng user ang tanggapin ay lumalabag sa Law 25 kahit na ang banner mismo ay teknikal na tama. Dapat ipatupad ng mga publisher ang tunay na consent-gated script loading, katulad ng Google Consent Mode v2 sa advanced na mode — ang basic na mode ay kadalasang hindi sapat.
Ang profile-based na personalisasyon ay nangangailangan ng hiwalay na pahintulot
Kung gumagamit ka ng mga cookie upang bumuo ng user profile para sa personalized na advertising, itinuturing ng Law 25 ito bilang isang natatanging layunin na nangangailangan ng sariling layer ng pahintulot, sa ibabaw ng baseline na pahintulot para sa paglalagay ng cookie. Isang solong pindutang "tanggapin lahat" na nagsasama ng storage, analytics, at personalization ay nasa panganib — ipinakita ng regulator ng Quebec ang kagustuhan para sa mga granular na toggle para sa bawat layunin.
Mga cross-border transfer: ang kinakailangan ng PIA
Ang Quebec ang tanging lalawigan ng Canada na nangangailangan ng pormal na Privacy Impact Assessment bago ilipat ang personal na impormasyon sa labas ng Quebec — kabilang ang iba pang bahagi ng Canada, sa Estados Unidos, at sa mga European data center. Dapat suriin ng PIA ang:
- Ang sensitivity ng data na kasangkot.
- Ang layunin at pangangailangan ng paglipat.
- Ang legal na balangkas ng destinasyong jurisdiction.
- Ang mga kontraktwal at teknikal na proteksyon na nasa lugar.
Para sa mga publisher, kadalasang nakakaapekto ito sa analytics, tag management, CDN logs, at data ng ad server na dumadaloy sa US infrastructure. Ang Quebec-adequacy PIA ay hindi hinahadlangan ang mga paglilipat na ito, ngunit nangangailangan ng dokumentadong pagtatasa at — kritikal na — nakasulat na kumpirmasyon mula sa tumatanggap na partido na ang data ay protektado sa ilalim ng katumbas na mga prinsipyo. Ang mga karaniwang US-hosted na SaaS na kontrata ay bihirang maglaman ng ganitong wika bilang default at kailangang baguhin.
Mga abiso sa automated decision-making
Ang Seksyon 12.1 ng Law 25 ay natatangi sa batas ng Hilagang Amerika: kung gumagamit ang isang negosyo ng personal na impormasyon upang gumawa ng desisyon batay nang eksklusibo sa automated na pagproseso, kailangan nitong:
- Abisuhan ang indibidwal sa o bago gawin ang desisyon.
- Sa kahilingan, ipaliwanag ang personal na impormasyon na ginamit, ang mga dahilan, at ang mga pangunahing kadahilanan na humantong sa desisyon.
- Magbigay ng pagkakataon na magsumite ng mga obserbasyon sa isang human reviewer.
Para sa adtech, sinasaklaw nito ang programmatic decisioning sa mga bid request, dynamic pricing, fraud scoring, at anumang AI-assisted na pag-rank ng nilalaman. Bihirang direktang kontrolin ng mga publisher ang mga algorithm na ito — umaasa sila sa mga SSP at DSP — ngunit itinuturing ng Law 25 ang publisher bilang isang magkasamang responsableng partido kapag ang desisyon ay gumagamit ng data na nakolekta ng publisher. Ang pagdaragdag ng maikling automated-decision disclosure sa iyong privacy notice ay ang pinakamababang viable na hakbang sa pagsunod.
Praktikal na checklist ng pagsunod para sa 2026
Hakbang 1: Mag-map ng trapiko at daloy ng data ng Quebec
Gumamit ng IP geolocation sa iyong analytics upang matantya ang dami ng bisita ng Quebec. Kahit na ang Quebec ay mas mababa sa 5% ng iyong audience, ang 4%-ng-kita na parusa ay nagpapahiwatig na hindi sapat na i-ignore ito. I-map ang bawat cookie, pixel, at SDK na nagsisilbing apoy para sa mga user ng Quebec at kung saan napupunta ang data nito.
Hakbang 2: Mag-deploy ng consent-gated na CMP
Ang iyong CMP ay dapat sumusuporta sa tunay na pag-block sa antas ng script, hindi cosmetic na pag-dismiss ng banner. Ang FlexyConsent at iba pang Google-certified na CMP ay nag-aalok ng mga geo rule na espesipiko sa Quebec na pinagsama ang lohika ng Law 25 sa mas malawak na Consent Mode v2 at GPP US-national na mga signal. Ang pre-configured na Quebec mode ay dapat i-default ang lahat ng hindi-essential na kategorya sa off.
Hakbang 3: Mag-appoint at mag-publish ng Privacy Officer
Kung ang iyong organisasyon ay walang Canadian na presensya, ang iyong CEO o katumbas ay ang Privacy Officer bilang default maliban kung pormalmenteng i-delegate mo sa sulat. I-publish ang pangalan at email sa iyong privacy notice — sinusuri ito ng CAI sa unang inspeksyon.
Hakbang 4: Kumpletuhin ang PIA bago ang mga bagong proyekto
Bawat bagong vendor, bawat bagong cross-border transfer, bawat bagong tracking technology ay nangangailangan ng dokumentadong PIA. Tinatanggap ang template na PIA mula sa CAI; hindi mo kailangan ng custom na legal na opinyon para sa karaniwang analytics o mga kontrata ng CDN.
Hakbang 5: I-update ang iyong privacy notice
Nangangailangan ang Quebec ng mga tiyak na pagsisiwalat: ang contact ng Privacy Officer, mga kategorya ng personal na impormasyong nakolekta, mga panahon ng pagpapanatili, mga third-party na tatanggap, mga destinasyon ng cross-border transfer, at mga kasanayang automated-decision. Ang isang generic na abiso ng GDPR ay halos hindi kailanman nakakatugon sa Law 25 nang walang mga materyal na karagdagan.
Paano nakikipag-ugnayan ang Quebec Law 25 sa PIPEDA at ang mga kinabukasan ng Law 25
Ang PIPEDA, ang pederal na batas sa privacy ng Canada, ay naaangkop sa komersyal na aktibidad sa buong Canada — ngunit ang Quebec Law 25 ay nangunguna sa loob ng Quebec dahil ang lalawigan ay idineklara na malaki ang pagkakahawig para sa mga layunin ng privacy ng pribadong sektor. Sa praktika nangangahulugan ito na ang mga operasyon ng Quebec ay default sa Law 25 at ang PIPEDA ay naaangkop lamang sa mga aktibidad na tumatawid sa mga linya ng lalawigan.
Nagmo-modernize rin ang Canada ng PIPEDA sa pamamagitan ng iminungkahing Consumer Privacy Protection Act (CPPA). Kung ang CPPA ay lumipas sa kasalukuyang anyo nito, dadalhin nito ang natitirang Canada na mas malapit sa modelo ng Quebec — malinaw na pahintulot, makabuluhang parusa, isang pederal na Privacy Commissioner na may kapangyarihang mag-order, at transparency ng automated-decision. Ang mga publisher na nagtatayo ng kanilang stack sa paligid ng Quebec Law 25 ngayon ay magiging mahusay na nakaposisyon para sa mga pagbabago sa pederal bukas.
Ang maikli: Ang Quebec Law 25 ay hindi isang provincial na curiosity. Ito ang template para sa kung saan patutungo ang Canadian privacy at ang pinaka-agresibong rehimen ng privacy sa Americas. Ang mga publisher, advertiser, at SaaS vendor na naglilingkod sa Canadian na trapiko ay dapat tratuhin ang pagsunod sa Law 25 bilang isang prioridad sa 2026, hindi isang proyektong panghinaharap.