अनुपालन21 अप्रैल, 2026 | FlexyConsent

क्यूबेक कानून 25 (बिल 64): 2026 में प्रकाशकों के लिए कुकी सहमति और गोपनीयता की संपूर्ण गाइड

उत्तरी अमेरिका की अधिकतर गोपनीयता चर्चाएं कैलिफोर्निया से शुरू और खत्म होती हैं। वह दृष्टिकोण पुराना हो चुका है। क्यूबेक का कानून 25, जो पहले बिल 64 के नाम से जाना जाता था, अब ऐसे दंड लागू करता है जो CCPA, CPRA और हर अमेरिकी राज्य कानून को पीछे छोड़ देते हैं — CAD $2.5 करोड़ या विश्वव्यापी कारोबार का 4%, जो भी अधिक हो। कानून 25 का अंतिम चरण 22 सितंबर 2024 को लागू हुआ, जिसमें पूर्ण डेटा पोर्टेबिलिटी अधिकार पेश किया गया, और 2025 और 2026 में प्रवर्तन और कड़ा हुआ है। क्यूबेक ट्रैफ़िक वाले किसी भी प्रकाशक, SaaS प्लेटफ़ॉर्म या adtech विक्रेता को अब GDPR-स्तर की बाध्यताओं का सामना करना पड़ता है — अक्सर सीमा-पार स्थानांतरण और स्वचालित निर्णय लेने की सूचनाओं जैसे विशिष्ट क्षेत्रों में GDPR से भी अधिक कठोर।

क्यूबेक कानून 25 वास्तव में क्या आवश्यक है

कानून 25 क्यूबेक के मौजूदा निजी क्षेत्र के गोपनीयता कानून (Act Respecting the Protection of Personal Information in the Private Sector) में संशोधन करता है और इसे यूरोपीय GDPR के करीब लाता है, साथ ही स्पष्ट रूप से कनाडाई विशेषताओं को बनाए रखता है। प्रकाशकों और डिजिटल ऑपरेटरों को प्रभावित करने वाली मुख्य आवश्यकताएं हैं:

प्रवर्तन निकाय Commission d'accès à l'information du Québec (CAI) है, जिसने 2025 के दौरान कई अंतरराष्ट्रीय प्रकाशकों और प्लेटफार्मों को औपचारिक जांच नोटिस जारी किए हैं। कुछ नियामकों के विपरीत, CAI ने क्यूबेक के निवासियों की सेवा करने वाली गैर-कनाडाई संस्थाओं का पीछा करने की इच्छा दिखाई है।

कुकी सहमति की विशिष्टताएं: प्रमुख क्षेत्रों में GDPR से अधिक सख्त

कानून 25 सीधे "कुकी" शब्द का उपयोग नहीं करता, लेकिन किसी व्यक्ति को पहचानने, स्थित करने या प्रोफाइल करने वाली तकनीक की इसकी परिभाषा में कुकीज़, पिक्सेल, फिंगरप्रिंटिंग और SDK-आधारित मोबाइल पहचानकर्ता शामिल हैं। धारा 8.1 महत्वपूर्ण प्रावधान है: कोई भी ऐसी तकनीक जो डिफ़ॉल्ट रूप से सक्रिय हो, डिफ़ॉल्ट रूप से अक्षम होनी चाहिए और चालू करने के लिए सक्रिय सहमति की आवश्यकता होती है।

कोई पूर्व-चेक किए गए बॉक्स नहीं, कोई निहित सहमति नहीं

यह भाषा एक विशिष्ट तरीके से GDPR के ePrivacy ढांचे से अधिक सख्त है: न केवल सहमति opt-in होनी चाहिए, बल्कि अंतर्निहित तकनीक तकनीकी रूप से अक्षम होनी चाहिए जब तक सहमति नहीं दी जाती। एक कुकी बैनर जो उपयोगकर्ता के स्वीकार पर क्लिक करने से पहले एनालिटिक्स लोड करता है, वह कानून 25 का उल्लंघन करता है, भले ही बैनर खुद तकनीकी रूप से सही हो। प्रकाशकों को वास्तविक सहमति-गेटेड स्क्रिप्ट लोडिंग लागू करनी होगी, Google Consent Mode v2 के उन्नत मोड के समान — बेसिक मोड आमतौर पर अपर्याप्त है।

प्रोफ़ाइल-आधारित व्यक्तिगतकरण के लिए अलग सहमति की आवश्यकता है

यदि आप व्यक्तिगत विज्ञापन के लिए उपयोगकर्ता प्रोफ़ाइल बनाने के लिए कुकीज़ का उपयोग करते हैं, तो कानून 25 इसे एक अलग उद्देश्य के रूप में मानता है जिसके लिए अपनी स्वयं की सहमति परत की आवश्यकता होती है, कुकी प्लेसमेंट के लिए बेसलाइन सहमति के ऊपर। एकल "सभी स्वीकार करें" बटन जो स्टोरेज, एनालिटिक्स और व्यक्तिगतकरण को एक साथ बंडल करता है, जोखिम में है — क्यूबेक के नियामक ने प्रति-उद्देश्य विस्तृत टॉगल की प्राथमिकता संकेत दी है।

सीमा-पार स्थानांतरण: PIA आवश्यकता

क्यूबेक एकमात्र कनाडाई प्रांत है जो क्यूबेक के बाहर व्यक्तिगत जानकारी स्थानांतरित करने से पहले औपचारिक गोपनीयता प्रभाव आकलन की आवश्यकता करता है — जिसमें कनाडा के बाकी हिस्से, संयुक्त राज्य अमेरिका और यूरोपीय डेटा सेंटर शामिल हैं। PIA का मूल्यांकन करना होगा:

प्रकाशकों के लिए, यह सबसे अधिक एनालिटिक्स, टैग प्रबंधन, CDN लॉग और अमेरिकी बुनियादी ढांचे में जाने वाले एड सर्वर डेटा को प्रभावित करता है। क्यूबेक-पर्याप्तता PIA इन स्थानांतरणों को नहीं रोकती, लेकिन दस्तावेज़ीकृत मूल्यांकन और — महत्वपूर्ण रूप से — प्राप्तकर्ता पक्ष से लिखित पुष्टि की आवश्यकता होती है कि डेटा समकक्ष सिद्धांतों के तहत सुरक्षित किया जाएगा। मानक यूएस-होस्टेड SaaS अनुबंधों में यह भाषा डिफ़ॉल्ट रूप से शायद ही कभी शामिल होती है और इसे संशोधित किया जाना चाहिए।

स्वचालित निर्णय लेने की सूचनाएं

कानून 25 की धारा 12.1 उत्तरी अमेरिकी कानून में अद्वितीय है: यदि कोई व्यवसाय विशेष रूप से स्वचालित प्रसंस्करण पर आधारित निर्णय लेने के लिए व्यक्तिगत जानकारी का उपयोग करता है, तो उसे:

Adtech के लिए, यह बोली अनुरोधों पर प्रोग्रामेटिक निर्णय लेना, गतिशील मूल्य निर्धारण, धोखाधड़ी स्कोरिंग और AI-सहायता प्राप्त सामग्री रैंकिंग को कवर करता है। प्रकाशक शायद ही कभी इन एल्गोरिदम को सीधे नियंत्रित करते हैं — वे SSPs और DSPs पर निर्भर होते हैं — लेकिन कानून 25 प्रकाशक को संयुक्त जिम्मेदार पार्टी के रूप में मानता है जब निर्णय प्रकाशक द्वारा एकत्र किए गए डेटा का उपयोग करता है। अपनी गोपनीयता सूचना में एक संक्षिप्त स्वचालित-निर्णय प्रकटीकरण जोड़ना न्यूनतम व्यवहार्य अनुपालन कदम है।

2026 के लिए व्यावहारिक अनुपालन चेकलिस्ट

चरण 1: क्यूबेक ट्रैफ़िक और डेटा प्रवाह का मानचित्रण करें

क्यूबेक आगंतुक मात्रा का अनुमान लगाने के लिए अपने एनालिटिक्स में IP जियोलोकेशन का उपयोग करें। भले ही क्यूबेक आपके दर्शकों का 5% से कम हो, 4%-टर्नओवर जुर्माना इसे नजरअंदाज करना असंगत रूप से जोखिम भरा बनाता है। क्यूबेक उपयोगकर्ताओं के लिए फायर होने वाली प्रत्येक कुकी, पिक्सेल और SDK और उसका डेटा कहां जाता है, का मानचित्रण करें।

चरण 2: एक सहमति-गेटेड CMP तैनात करें

आपके CMP को सच्ची स्क्रिप्ट-स्तरीय ब्लॉकिंग का समर्थन करना होगा, कॉस्मेटिक बैनर बर्खास्तगी नहीं। FlexyConsent और अन्य Google-प्रमाणित CMP क्यूबेक-विशिष्ट भू-नियम प्रदान करते हैं जो कानून 25 लॉजिक को व्यापक Consent Mode v2 और GPP US-राष्ट्रीय संकेतों के साथ जोड़ते हैं। पूर्व-कॉन्फ़िगर क्यूबेक मोड को सभी गैर-आवश्यक श्रेणियों को डिफ़ॉल्ट रूप से बंद करना चाहिए।

चरण 3: एक गोपनीयता अधिकारी नियुक्त करें और प्रकाशित करें

यदि आपके संगठन की कोई कनाडाई उपस्थिति नहीं है, तो आपके CEO या समकक्ष डिफ़ॉल्ट रूप से गोपनीयता अधिकारी हैं जब तक आप लिखित रूप में औपचारिक रूप से प्रत्यायोजित नहीं करते। नाम और ईमेल अपनी गोपनीयता सूचना में प्रकाशित करें — CAI पहली निरीक्षण में यह जांचता है।

चरण 4: नए प्रोजेक्टों से पहले PIA पूरा करें

हर नए विक्रेता, हर नए सीमा-पार स्थानांतरण, हर नई ट्रैकिंग तकनीक के लिए दस्तावेज़ीकृत PIA की आवश्यकता है। CAI से टेम्पलेट PIA स्वीकार की जाती हैं; नियमित एनालिटिक्स या CDN अनुबंधों के लिए आपको कस्टम कानूनी राय की आवश्यकता नहीं है।

चरण 5: अपनी गोपनीयता सूचना अपडेट करें

क्यूबेक को विशिष्ट प्रकटीकरण की आवश्यकता है: गोपनीयता अधिकारी का संपर्क, एकत्र की गई व्यक्तिगत जानकारी की श्रेणियां, प्रतिधारण अवधि, तृतीय-पक्ष प्राप्तकर्ता, सीमा-पार स्थानांतरण गंतव्य और स्वचालित-निर्णय प्रथाएं। एक सामान्य GDPR सूचना लगभग कभी भी सामग्री परिवर्धन के बिना कानून 25 को संतुष्ट नहीं करती।

क्यूबेक कानून 25 PIPEDA और कानून 25 के भविष्य के साथ कैसे इंटरैक्ट करता है

PIPEDA, कनाडा का संघीय गोपनीयता कानून, पूरे कनाडा में वाणिज्यिक गतिविधि पर लागू होता है — लेकिन क्यूबेक का कानून 25 क्यूबेक के भीतर प्रधानता रखता है क्योंकि प्रांत को निजी क्षेत्र की गोपनीयता उद्देश्यों के लिए मूलतः समान घोषित किया गया है। व्यवहार में इसका अर्थ है कि क्यूबेक के संचालन डिफ़ॉल्ट रूप से कानून 25 पर निर्भर करते हैं और PIPEDA केवल उन गतिविधियों पर लागू होता है जो प्रांतीय रेखाओं को पार करती हैं।

कनाडा प्रस्तावित Consumer Privacy Protection Act (CPPA) के माध्यम से PIPEDA को भी आधुनिक बना रहा है। यदि CPPA अपने वर्तमान रूप में पास होता है, तो यह बाकी कनाडा को क्यूबेक के मॉडल के करीब लाएगा — स्पष्ट सहमति, सार्थक दंड, आदेश-बनाने की शक्ति के साथ एक संघीय गोपनीयता आयुक्त और स्वचालित-निर्णय पारदर्शिता। जो प्रकाशक आज क्यूबेक कानून 25 के आसपास अपना स्टैक बनाते हैं, वे कल के संघीय परिवर्तनों के लिए अच्छी तरह से तैनात होंगे।

संक्षेप में: क्यूबेक कानून 25 एक प्रांतीय जिज्ञासा नहीं है। यह उस टेम्पलेट का है जहां कनाडाई गोपनीयता जा रही है और अमेरिका में सबसे आक्रामक गोपनीयता व्यवस्था है। कनाडाई ट्रैफ़िक की सेवा करने वाले प्रकाशकों, विज्ञापनदाताओं और SaaS विक्रेताओं को 2026 की प्राथमिकता के रूप में कानून 25 अनुपालन का उपचार करना चाहिए, न कि भविष्य के प्रोजेक्ट के रूप में।

← ब्लaderegistrdelays delays सभी पढ़ें →