Undang-Undang 25 Quebec (Rang Undang-Undang 64): Panduan Lengkap Persetujuan Kuki dan Privasi untuk Penerbit pada 2026
Kebanyakan perbincangan privasi Amerika Utara bermula dan berakhir dengan California. Rangka pemikiran itu sudah lapuk. Undang-Undang 25 Quebec, yang sebelum ini dikenali sebagai Rang Undang-Undang 64, kini mengenakan penalti yang melampaui CCPA, CPRA, dan setiap undang-undang negeri AS — sehingga CAD $25 juta atau 4% daripada pusing ganti seluruh dunia, yang mana lebih tinggi. Fasa terakhir Undang-Undang 25 berkuat kuasa pada 22 September 2024, memperkenalkan hak mudah alih data penuh, dan penguatkuasaan telah dipertajam sepanjang 2025 dan memasuki 2026. Mana-mana penerbit, platform SaaS, atau vendor adtech yang mempunyai trafik Quebec kini berdepan dengan kewajipan setara GDPR — sering kali lebih menuntut daripada GDPR itu sendiri dalam kawasan tertentu seperti pemindahan rentas sempadan dan notis pembuatan keputusan automatik.
Apa yang sebenarnya diperlukan oleh Undang-Undang 25 Quebec
Undang-Undang 25 meminda undang-undang privasi sektor swasta sedia ada Quebec (Act Respecting the Protection of Personal Information in the Private Sector) dan menghampirkannya dengan GDPR Eropah sambil mengekalkan ciri-ciri unik Kanada. Keperluan teras yang mempengaruhi penerbit dan pengendali digital adalah:
- Persetujuan eksplisit dan terperinci sebelum mengumpul atau menggunakan maklumat peribadi untuk sebarang tujuan di luar yang didedahkan pada asalnya.
- Pegawai Privasi yang dilantik (eksekutif berpangkat tertinggi secara lalai, melainkan didelegasikan secara rasmi) yang nama dan hubungannya mesti diterbitkan di laman web.
- Penilaian Impak Privasi (PIA) wajib sebelum melancarkan sebarang projek yang melibatkan maklumat peribadi, terutamanya pemindahan rentas sempadan atau teknologi baharu.
- Pemberitahuan pelanggaran kepada Commission d'accès à l'information (CAI) dan individu yang terjejas apabila pelanggaran itu menimbulkan risiko kecederaan serius.
- Hak individu termasuk akses, pembetulan, pemadaman, mudah alih, dan — secara unik — hak untuk dimaklumkan tentang pembuatan keputusan automatik dan meminta semakan manusia.
Badan penguatkuasaan ialah Commission d'accès à l'information du Québec (CAI), yang telah mengeluarkan notis penyiasatan rasmi kepada beberapa penerbit dan platform antarabangsa sepanjang 2025. Tidak seperti sesetengah pengawal selia, CAI telah menunjukkan kesediaan untuk menyiasat entiti bukan Kanada yang melayani penduduk Quebec.
Spesifik persetujuan kuki: lebih ketat daripada GDPR dalam kawasan utama
Undang-Undang 25 tidak menggunakan perkataan "kuki" secara langsung, tetapi definisinya tentang teknologi yang mengenal pasti, mencari lokasi, atau membuat profil seseorang individu merangkumi kuki, piksel, cap jari, dan pengecam mudah alih berasaskan SDK. Seksyen 8.1 adalah peruntukan kritikal: mana-mana teknologi sedemikian yang diaktifkan secara lalai mesti dilumpuhkan secara lalai dan memerlukan persetujuan aktif untuk dihidupkan.
Tiada kotak pra-tanda, tiada persetujuan tersirat
Bahasa ini lebih ketat daripada rangka kerja ePrivacy GDPR dalam satu cara tertentu: bukan sahaja persetujuan mesti opt-in, tetapi teknologi yang mendasari mesti dilumpuhkan secara teknikal sehingga persetujuan diberikan. Banner kuki yang memuatkan analitik sebelum pengguna mengklik terima melanggar Undang-Undang 25 walaupun banner itu sendiri betul secara teknikal. Penerbit mesti melaksanakan pemuatan skrip berpagar persetujuan yang tulen, serupa dengan Google Consent Mode v2 dalam mod lanjutan — mod asas umumnya tidak mencukupi.
Pemperibadian berasaskan profil memerlukan persetujuan berasingan
Jika anda menggunakan kuki untuk membina profil pengguna bagi pengiklanan diperibadikan, Undang-Undang 25 menganggap itu sebagai tujuan berbeza yang memerlukan lapisan persetujuan tersendiri, di atas persetujuan asas untuk penempatan kuki. Satu butang "terima semua" yang menggabungkan penyimpanan, analitik, dan pemperibadian berisiko — pengawal selia Quebec telah memberi isyarat keutamaan untuk togel per-tujuan yang terperinci.
Pemindahan rentas sempadan: keperluan PIA
Quebec ialah satu-satunya wilayah Kanada yang memerlukan Penilaian Impak Privasi formal sebelum memindahkan maklumat peribadi ke luar Quebec — termasuk ke seluruh Kanada, ke Amerika Syarikat, dan ke pusat data Eropah. PIA mesti menilai:
- Kepekaan data yang terlibat.
- Tujuan dan keperluan pemindahan.
- Rangka kerja undang-undang bidang kuasa destinasi.
- Perlindungan kontraktual dan teknikal yang ada.
Bagi penerbit, ini paling biasa mempengaruhi analitik, pengurusan tag, log CDN, dan data pelayan iklan yang mengalir ke infrastruktur AS. PIA kecukupan-Quebec tidak menyekat pemindahan ini, tetapi memerlukan penilaian yang didokumentasikan dan — secara kritikal — pengesahan bertulis daripada pihak penerima bahawa data akan dilindungi di bawah prinsip yang setara. Kontrak SaaS berpangkalan di AS yang standard jarang memasukkan bahasa ini secara lalai dan mesti dipinda.
Notis pembuatan keputusan automatik
Seksyen 12.1 Undang-Undang 25 adalah unik dalam undang-undang Amerika Utara: jika perniagaan menggunakan maklumat peribadi untuk membuat keputusan berdasarkan semata-mata pemprosesan automatik, ia mesti:
- Memaklumkan individu pada atau sebelum keputusan dibuat.
- Atas permintaan, menerangkan maklumat peribadi yang digunakan, sebab-sebabnya, dan faktor-faktor utama yang membawa kepada keputusan.
- Memberikan peluang untuk mengemukakan pemerhatian kepada penyemak semula manusia.
Bagi adtech, ini merangkumi pembuatan keputusan programatik mengenai permintaan bida, penetapan harga dinamik, pemarkahan penipuan, dan sebarang pemeringkatan kandungan berbantuan AI. Penerbit jarang mengawal algoritma ini secara langsung — mereka bergantung kepada SSP dan DSP — tetapi Undang-Undang 25 menganggap penerbit sebagai pihak yang bertanggungjawab bersama apabila keputusan menggunakan data yang dikumpul oleh penerbit. Menambah pendedahan keputusan automatik yang ringkas kepada notis privasi anda ialah langkah pematuhan minimum yang boleh dilaksanakan.
Senarai semak pematuhan praktikal untuk 2026
Langkah 1: Petakan trafik Quebec dan aliran data
Gunakan geolokasi IP dalam analitik anda untuk menganggar jumlah pelawat Quebec. Walaupun Quebec kurang daripada 5% daripada khalayak anda, penalti 4% daripada pusing ganti menjadikannya tidak seimbang berisiko untuk diabaikan. Petakan setiap kuki, piksel, dan SDK yang menyala untuk pengguna Quebec dan ke mana data mereka berlabuh.
Langkah 2: Sebarkan CMP berpagar persetujuan
CMP anda mesti menyokong penyekatan peringkat skrip yang sebenar, bukan pelepasan banner kosmetik. FlexyConsent dan CMP bersijil Google lain menawarkan peraturan geo khusus Quebec yang menggandingkan logik Undang-Undang 25 dengan isyarat Consent Mode v2 dan GPP US-national yang lebih luas. Mod Quebec pra-konfigurasi harus menetapkan semua kategori bukan penting kepada mati secara lalai.
Langkah 3: Lantik dan terbitkan Pegawai Privasi
Jika organisasi anda tidak mempunyai kehadiran di Kanada, CEO atau yang setara dengan anda ialah Pegawai Privasi secara lalai melainkan anda mendelegasikan secara rasmi secara bertulis. Terbitkan nama dan e-mel dalam notis privasi anda — CAI menyemak ini pada pemeriksaan pertama.
Langkah 4: Lengkapkan PIA sebelum projek baharu
Setiap vendor baharu, setiap pemindahan rentas sempadan baharu, setiap teknologi penjejakan baharu memerlukan PIA yang didokumentasikan. PIA templat daripada CAI diterima; anda tidak memerlukan pendapat undang-undang tersuai untuk analitik rutin atau kontrak CDN.
Langkah 5: Kemas kini notis privasi anda
Quebec memerlukan pendedahan khusus: kenalan Pegawai Privasi, kategori maklumat peribadi yang dikumpul, tempoh pengekalan, penerima pihak ketiga, destinasi pemindahan rentas sempadan, dan amalan keputusan automatik. Notis GDPR generik hampir tidak pernah memenuhi Undang-Undang 25 tanpa tambahan yang material.
Bagaimana Undang-Undang 25 Quebec berinteraksi dengan PIPEDA dan masa depan Undang-Undang 25
PIPEDA, undang-undang privasi persekutuan Kanada, terpakai kepada aktiviti komersial di seluruh Kanada — tetapi Undang-Undang 25 Quebec mengambil keutamaan dalam Quebec kerana wilayah itu telah diisytiharkan hampir serupa untuk tujuan privasi sektor swasta. Dalam praktiknya ini bermakna operasi Quebec lalai kepada Undang-Undang 25 dan PIPEDA hanya terpakai kepada aktiviti yang merentasi sempadan wilayah.
Kanada juga memodenkan PIPEDA melalui Consumer Privacy Protection Act (CPPA) yang dicadangkan. Jika CPPA lulus dalam bentuk semasanya, ia akan menghampirkan seluruh Kanada dengan model Quebec — persetujuan eksplisit, penalti bermakna, Pesuruhjaya Privasi persekutuan dengan kuasa membuat perintah, dan ketelusan keputusan automatik. Penerbit yang membina tindanan mereka di sekitar Undang-Undang 25 Quebec hari ini akan berada dalam kedudukan yang baik untuk perubahan persekutuan esok.
Versi ringkasnya: Undang-Undang 25 Quebec bukan keanehan wilayah. Ia adalah templat ke mana privasi Kanada menuju dan rejim privasi paling agresif di Benua Amerika. Penerbit, pengiklan, dan vendor SaaS yang melayani trafik Kanada harus menganggap pematuhan Undang-Undang 25 sebagai keutamaan 2026, bukan projek masa hadapan.