퀘벡 법률 25호가 실제로 요구하는 것

법률 25호는 퀘벡의 기존 민간 부문 개인정보 보호법(Act Respecting the Protection of Personal Information in the Private Sector)을 개정하여 유럽 GDPR에 가깝게 만들면서 고유한 캐나다적 특성을 유지합니다. 퍼블리셔와 디지털 운영자에게 영향을 미치는 핵심 요건은 다음과 같습니다:

• 원래 공개된 목적 이외의 목적으로 개인정보를 수집하거나 사용하기 전 명시적이고 세분화된 동의.
• 웹사이트에 이름과 연락처가 공개되어야 하는 지정 개인정보 보호 책임자(공식적으로 위임되지 않는 한 기본적으로 최고위 임원).
• 개인정보와 관련된 모든 프로젝트, 특히 국경 간 이전이나 신기술을 시작하기 전 의무적인 개인정보 영향 평가(PIA).
• 침해로 인해 심각한 피해 위험이 발생할 경우 Commission d'accès à l'information(CAI)과 영향을 받은 개인에 대한 침해 통지.
• 열람, 정정, 삭제, 이동성을 포함하며, 독특하게는 자동화된 의사결정에 대해 통보받을 권리와 사람에 의한 검토를 요청할 권리를 포함한 개인의 권리.

집행 기관은 Commission d'accès à l'information du Québec(CAI)으로, 2025년 한 해 동안 여러 국제 퍼블리셔와 플랫폼에 공식 조사 통지를 발행했습니다. 일부 규제 기관과 달리, CAI는 퀘벡 주민에게 서비스를 제공하는 비캐나다 기업을 추적하려는 의지를 보여주었습니다.

쿠키 동의 세부사항: 주요 영역에서 GDPR보다 더 엄격

법률 25호는 "쿠키"라는 단어를 직접 사용하지 않지만, 개인을 식별, 위치 파악, 또는 프로파일링하는 기술에 대한 정의는 쿠키, 픽셀, 핑거프린팅, SDK 기반 모바일 식별자를 포함합니다. 제8.1조가 핵심 조항입니다: 기본적으로 활성화된 이러한 기술은 기본적으로 비활성화되어야 하며 켜려면 적극적인 동의가 필요합니다.

미리 선택된 체크박스 없음, 묵시적 동의 없음

이 문언은 특정 측면에서 GDPR의 ePrivacy 프레임워크보다 더 엄격합니다: 동의가 옵트인 방식이어야 할 뿐만 아니라, 기반 기술도 동의가 부여될 때까지 기술적으로 비활성화되어야 합니다. 사용자가 수락을 클릭하기 전에 분석 데이터를 로드하는 쿠키 배너는 배너 자체가 기술적으로 올바르더라도 법률 25호를 위반합니다. 퍼블리셔는 Google Consent Mode v2의 고급 모드와 유사한 진정한 동의 기반 스크립트 로딩을 구현해야 합니다. 기본 모드는 일반적으로 불충분합니다.

프로파일 기반 개인화에는 별도의 동의 필요

쿠키를 사용하여 개인화된 광고를 위한 사용자 프로필을 구축하는 경우, 법률 25호는 이를 쿠키 배치에 대한 기본 동의에 추가하여 자체적인 동의 레이어가 필요한 별도의 목적으로 취급합니다. 저장, 분석, 개인화를 묶는 단일 "모두 수락" 버튼은 위험합니다. 퀘벡 규제 당국은 목적별 세분화된 토글에 대한 선호를 시사했습니다.

국경 간 이전: PIA 요건

퀘벡은 퀘벡 외부로 개인정보를 이전하기 전에 공식적인 개인정보 영향 평가를 요구하는 유일한 캐나다 주입니다. 여기에는 캐나다 나머지 지역, 미국, 유럽 데이터 센터로의 이전이 포함됩니다. PIA는 다음을 평가해야 합니다:

• 관련 데이터의 민감도.
• 이전의 목적과 필요성.
• 목적지 관할권의 법적 프레임워크.
• 시행 중인 계약상 및 기술적 보호 조치.

퍼블리셔에게 이는 가장 일반적으로 미국 인프라로 흐르는 분석, 태그 관리, CDN 로그, 광고 서버 데이터에 영향을 미칩니다. 퀘벡 적정성 PIA는 이러한 이전을 차단하지 않지만 문서화된 평가와, 결정적으로, 수령 측이 데이터를 동등한 원칙에 따라 보호할 것이라는 서면 확인이 필요합니다. 표준 미국 호스팅 SaaS 계약에는 기본적으로 이 문언이 포함되는 경우가 거의 없으며 수정이 필요합니다.

자동화된 의사결정 고지

법률 25호 제12.1조는 북미 법률에서 독특합니다: 사업자가 자동화된 처리만을 기반으로 한 결정을 내리기 위해 개인정보를 사용하는 경우, 다음을 해야 합니다:

• 결정이 내려지는 시점 또는 그 전에 개인에게 통보.
• 요청 시 사용된 개인정보, 이유, 결정으로 이어진 주요 요인 설명.
• 사람 검토자에게 의견을 제출할 기회 제공.

애드테크의 경우, 이는 입찰 요청에 대한 프로그래매틱 의사결정, 동적 가격 책정, 사기 점수화, AI 지원 콘텐츠 순위 지정을 포함합니다. 퍼블리셔는 이러한 알고리즘을 직접 제어하는 경우가 거의 없고 SSP와 DSP에 의존하지만, 법률 25호는 결정이 퍼블리셔가 수집한 데이터를 사용할 때 퍼블리셔를 공동 책임자로 취급합니다. 개인정보 고지에 간단한 자동화된 의사결정 공시를 추가하는 것이 최소한의 실행 가능한 준수 단계입니다.

2026년을 위한 실용적인 준수 체크리스트

1단계: 퀘벡 트래픽 및 데이터 흐름 매핑

분석에서 IP 지리적 위치를 사용하여 퀘벡 방문자 수를 추정합니다. 퀘벡이 청중의 5% 미만이더라도, 매출의 4% 벌금은 무시하는 것을 불균형적으로 위험하게 만듭니다. 퀘벡 사용자를 위해 실행되는 모든 쿠키, 픽셀, SDK와 그 데이터가 어디에 저장되는지 매핑합니다.

2단계: 동의 기반 CMP 배포

CMP는 외관상의 배너 닫기가 아닌 진정한 스크립트 레벨 차단을 지원해야 합니다. FlexyConsent 및 기타 Google 인증 CMP는 법률 25호 로직을 더 넓은 Consent Mode v2 및 GPP US-national 신호와 결합하는 퀘벡 특정 지역 규칙을 제공합니다. 사전 구성된 퀘벡 모드는 모든 필수적이지 않은 카테고리를 기본적으로 꺼야 합니다.

3단계: 개인정보 보호 책임자 임명 및 공개

조직에 캐나다 내 사업장이 없는 경우, 서면으로 공식적으로 위임하지 않는 한 CEO 또는 이에 상응하는 사람이 기본 개인정보 보호 책임자입니다. 개인정보 고지에 이름과 이메일을 공개하세요. CAI는 첫 번째 검사 시 이를 확인합니다.

4단계: 새 프로젝트 전에 PIA 완료

모든 새 벤더, 모든 새 국경 간 이전, 모든 새 추적 기술에는 문서화된 PIA가 필요합니다. CAI의 템플릿 PIA가 허용됩니다. 일상적인 분석이나 CDN 계약에 대해서는 맞춤형 법적 의견이 필요하지 않습니다.

5단계: 개인정보 고지 업데이트

퀘벡은 구체적인 공개를 요구합니다: 개인정보 보호 책임자의 연락처, 수집하는 개인정보의 범주, 보존 기간, 제3자 수령인, 국경 간 이전 목적지, 자동화된 의사결정 관행. 일반적인 GDPR 고지는 중요한 추가 사항 없이는 법률 25호를 거의 충족하지 못합니다.

퀘벡 법률 25호와 PIPEDA의 상호작용 및 법률 25호의 미래

캐나다 연방 개인정보 보호법인 PIPEDA는 캐나다 전체의 상업 활동에 적용됩니다. 그러나 퀘벡의 법률 25호는 퀘벡 내에서 우선합니다. 이는 해당 주가 민간 부문 개인정보 보호 목적으로 실질적으로 유사하다고 선언되었기 때문입니다. 실제로 이는 퀘벡의 운영이 기본적으로 법률 25호를 따르며 PIPEDA는 주 경계를 넘는 활동에만 적용됨을 의미합니다.

캐나다는 또한 제안된 Consumer Privacy Protection Act(CPPA)를 통해 PIPEDA를 현대화하고 있습니다. CPPA가 현재 형태로 통과되면 캐나다의 나머지 지역을 퀘벡 모델에 가깝게 만들 것입니다. 명시적 동의, 의미 있는 벌금, 명령권을 가진 연방 개인정보 보호 위원, 자동화된 의사결정 투명성이 포함됩니다. 오늘날 퀘벡 법률 25호를 중심으로 스택을 구축하는 퍼블리셔는 내일의 연방 변화에 잘 대비하게 될 것입니다.

요약하면: 퀘벡 법률 25호는 단순한 지방의 특이사항이 아닙니다. 이는 캐나다 개인정보 보호가 향하는 방향의 템플릿이며 아메리카 대륙에서 가장 공격적인 개인정보 보호 체계입니다. 캐나다 트래픽에 서비스를 제공하는 퍼블리셔, 광고주, SaaS 벤더는 법률 25호 준수를 미래 프로젝트가 아닌 2026년 우선순위로 취급해야 합니다.