Hvað Quebec lög 25 krefjast í raun

Lög 25 breyta núverandi persónuverndarlögum einkageirans í Quebec (Act Respecting the Protection of Personal Information in the Private Sector) og færa þau nær evrópsku GDPR á meðan þau halda sérstæðum kanadíska einkennum. Helstu kröfur sem hafa áhrif á útgefendur og stafræna rekstraraðila eru:

• Skýrt, nákvæmt samþykki áður en persónuupplýsingar eru safnaðar eða notaðar í öðrum tilgangi en upphaflega tilkynntum.
• Tilnefndur persónuverndarfulltrúi (hæsti stjórnandinn sjálfgefið, nema formlega framselt) þar sem nafn og tengiliðaupplýsingar verður að birta á vefsíðunni.
• Skyldubundnar persónuverndarmatsgerðir (PIA) áður en ráðist er í verkefni sem fela í sér persónuupplýsingar, sérstaklega þverlanda flutningar eða nýja tækni.
• Tilkynning um brot til Commission d'accès à l'information (CAI) og til þeirra sem verða fyrir áhrifum þegar brotið felur í sér hættu á alvarlegum skaða.
• Einstaklingsréttindi þ.m.t. aðgangur, leiðrétting, eyðing, gagnafærsla, og — einstætt — réttur til að vera upplýstur um sjálfvirkar ákvarðanir og krefjast mannlegrar endurskoðunar.

Eftirlitsaðilinn er Commission d'accès à l'information du Québec (CAI), sem hefur gefið út formlegar rannsóknartilkynningar til margra alþjóðlegra útgefenda og vettvangs allan árið 2025. Ólíkt sumum eftirlitsaðilum hefur CAI sýnt vilja til að sækja eftir einingum utan Kanada sem þjóna Quebec-íbúum.

Sérstaklegt um samþykki smákaka: strangara en GDPR á lykilsviðum

Lög 25 nota ekki orðið „smákaka" beint, en skilgreining þeirra á tækni sem auðkennir, staðsetur eða gerir prófíl af einstaklingi nær yfir smákökur, pixla, fingrafar og SDK-undirstaðnar farsímaauðkenni. Kafli 8.1 er lykilákvæðið: slík tækni sem er virkjuð sjálfgefið verður að vera óvirk sjálfgefið og krefjast virkrar samþykkis til að kveikja á henni.

Engar forhakkaðar gátreitir, engt óbeint samþykki

Þessi orðalag er strangara en GDPR ePrivacy-ramma á einn tiltekinn hátt: ekki aðeins verður samþykki að vera opt-in, heldur verður undirliggjandi tækni að vera tæknilega óvirk þar til samþykki er veitt. Smákakaborði sem hleður greiningu áður en notandinn smellir á samþykkja brýtur lög 25 jafnvel þótt borðinn sjálfur sé tæknilega réttur. Útgefendur verða að innleiða raunverulega samþykkistengda hleðslu scripts, svipað og Google Consent Mode v2 í ítarlegum ham — grunnhamur er almennt ófullnægjandi.

Prófílundirstaða sérstilling krefst sérstaks samþykkis

Ef þú notar smákökur til að byggja upp notendaprófíl fyrir persónulegar auglýsingar, meðhöndlar lög 25 það sem sérstakan tilgang sem krefst eigin samþykkilags, ofan á grunnsamþykkið fyrir staðsetningu smákaka. Einn „samþykkja allt" hnappur sem pakkað saman geymslu, greiningu og sérstillingu er í hættu — eftirlitsaðili Quebec hefur gefið til kynna ósk um nákvæmar tilgangsmiðaðar rofar.

Þverlanda flutningar: krafan um PIA

Quebec er eina kanadíska héraðið sem krefst formlegrar persónuverndarmatsgerðar áður en persónuupplýsingar eru fluttar utan Quebec — þ.m.t. til annarra hluta Kanada, til Bandaríkjanna og til evrópskra gagnageymsla. PIA verður að meta:

• Næmni gagnanna sem um ræðir.
• Tilgang og nauðsyn flutningsins.
• Lagalegt umhverfi áfangastaðsins.
• Samningslegar og tæknilegar verndarráðstafanir sem eru til staðar.

Fyrir útgefendur hefur þetta oftast áhrif á greiningu, taggastjórnun, CDN-skrár og auglýsingaþjóngögn sem streyma til bandarískrar innviðar. Quebec-fullnægjandi PIA stöðvar ekki þessa flutningana, en krefst skjalfestrar mats og — sem er gagnrýnt — skriflegrar staðfestingar frá móttakanda á að gögnin verði vernduð samkvæmt sambærilegum meginreglum. Staðlaðir SaaS-samningar á vegum Bandaríkjanna fela sjaldan þessa orðalagningu sjálfgefið og þarf að breyta þeim.

Tilkynningar um sjálfvirkar ákvarðanir

Kafli 12.1 í lögum 25 er einstæður í norður-ameríkurétti: ef fyrirtæki notar persónuupplýsingar til að taka ákvörðun eingöngu byggða á sjálfvirkri vinnslu, verður það að:

• Tilkynna einstaklingnum við eða áður en ákvörðunin er tekin.
• Að beiðni, útskýra persónuupplýsingarnar sem notaðar voru, ástæðurnar og helstu þættirnir sem leiddu til ákvörðunarinnar.
• Veita tækifæri til að leggja fram athugasemdir til mannlegs endurskoðanda.

Fyrir adtech nær þetta yfir forritunarlegar ákvarðanir um tilboðsbeiðnir, kvikt verðlag, svikastigmat og allar AI-studdar efnisskipulag. Útgefendur stjórna sjaldan þessum reikniritum beint — þeir reiða sig á SSP og DSP — en lög 25 meðhöndla útgefandann sem sameiginlega ábyrga aðila þegar ákvörðunin notar gögn sem útgefandinn safnaði. Að bæta stuttri sjálfvirkri-ákvörðunar-yfirlýsingu við friðhelgistilkynninguna þína er lágmarks hæfur fylgniþrep.

Hagnýtur fylgni-gátlisti fyrir 2026

Skref 1: Kortleggðu Quebec-umferð og gagnaflæði

Notaðu IP-landfræðilega staðsetningu í greiningu þinni til að meta magn Quebec-gesta. Jafnvel þótt Quebec sé minna en 5% af áhorfendum þínum gerir 4%-af-veltu-refsing það óhóflega áhættusamt að hunsa. Kortlegðu sérhverja smákaka, pixla og SDK sem kviknar fyrir Quebec-notendur og hvert gögnin lenda.

Skref 2: Settu upp samþykkistengda CMP

CMP þitt verður að styðja raunverulega hindrun á skriptstigi, ekki snyrtilega yfirgáfu borðans. FlexyConsent og aðrar Google-vottuðar CMP bjóða upp á Quebec-sértækar landfræðilegar reglur sem para saman lög 25 rökfræði við víðari Consent Mode v2 og GPP US-national merki. Forstillt Quebec-ham ætti sjálfgefið að slökkva á öllum ónauðsynlegum flokkum.

Skref 3: Skipaðu og birtu persónuverndarfulltrúa

Ef stofnun þín hefur enga kanadíska viðveru, er forstjóri þinn eða jafngildi persónuverndarfulltrúi sjálfgefið nema þú framselur formlega skriflega. Birtu nafnið og tölvupóstinn í persónuverndartilkynningunni þinni — CAI athugar þetta við fyrsta skoðun.

Skref 4: Ljúktu PIA áður en ráðist er í ný verkefni

Sérhver nýr söluaðili, sérhver nýr þverlanda flutningur, sérhver ný rakningartækni þarf skjalfesta PIA. Sniðmát PIA frá CAI eru samþykkt; þú þarft ekki sérstaka lagaálit fyrir venjulegar greiningar eða CDN-samninga.

Skref 5: Uppfærðu persónuverndartilkynninguna þína

Quebec krefst sértækra upplýsingagjafar: tengiliðaupplýsingar persónuverndarfulltrúa, flokkar persónuupplýsinga sem safnað er, varðveislutímabil, þriðju aðila viðtakendur, þverlanda flutningaáfangastaðir og sjálfvirkar ákvarðanaaðferðir. Almenn GDPR-tilkynning uppfyllir næstum aldrei lög 25 án efnisskiptinga.

Hvernig Quebec lög 25 virka saman við PIPEDA og framtíð laga 25

PIPEDA, alríkislög Kanada um persónuvernd, gildir um viðskiptastarfsemi um allt Kanada — en lög 25 í Quebec ganga framar í Quebec vegna þess að héraðið hefur verið lýst verulega líkt að því er varðar persónuvernd einkageirans. Í reynd þýðir þetta að Quebec-starfsemi er sjálfgefið samkvæmt lögum 25 og PIPEDA gildir aðeins um starfsemi sem fer yfir héraðslínu.

Kanada er einnig að nútímavæða PIPEDA í gegnum hið fyrirhugaða Consumer Privacy Protection Act (CPPA). Ef CPPA nær fram að ganga í núverandi formi mun það færa restina af Kanada nær líkani Quebec — skýrt samþykki, þýðingarmiklar refsingar, alríkis persónuverndarumboðsmaður með reglugerðarvald og gagnsæi sjálfvirkra ákvarðana. Útgefendur sem byggja upp stafl sinn í kringum Quebec lög 25 í dag munu vera vel í stakk búnir fyrir alríkisbreytingar á morgun.

Stutt útgáfa: Quebec lög 25 eru ekki héraðleg sérviska. Það er sniðmátið fyrir þangað sem kanadísk persónuvernd er að fara og árásargjarnasta persónuverndarkerfið á Ameríku. Útgefendur, auglýsendur og SaaS-söluaðilar sem þjóna kanadískri umferð ættu að meðhöndla fylgni við lög 25 sem 2026-forgangsverkefni, ekki framtíðarverkefni.