Что на самом деле требует Закон 25 Квебека

Закон 25 вносит поправки в существующий закон Квебека о конфиденциальности в частном секторе (Закон о защите персональной информации в частном секторе) и приближает его к европейскому GDPR, сохраняя при этом отчётливо канадские черты. Основные требования, которые затрагивают издателей и цифровых операторов:

• Явное, детальное согласие перед сбором или использованием персональной информации для любой цели, выходящей за рамки первоначально раскрытой.
• Назначенный сотрудник по конфиденциальности (по умолчанию — высший руководитель, если только полномочия формально не делегированы), чьё имя и контакты должны быть опубликованы на сайте.
• Обязательные оценки воздействия на конфиденциальность (PIA) перед запуском любого проекта, связанного с персональной информацией, особенно трансграничных передач или новых технологий.
• Уведомление об утечке в Комиссию по доступу к информации (CAI) и затронутым лицам, когда утечка представляет риск серьёзного вреда.
• Права физических лиц, включая доступ, исправление, удаление, переносимость и — уникально — право быть проинформированным об автоматизированном принятии решений и запросить рассмотрение человеком.

Орган правоприменения — Комиссия по доступу к информации Квебека (CAI), которая в течение 2025 года выдала официальные уведомления о расследовании множеству международных издателей и платформ. В отличие от некоторых регуляторов, CAI продемонстрировала готовность преследовать неканадские организации, обслуживающие жителей Квебека.

Специфика согласия на файлы cookie: строже GDPR в ключевых областях

Закон 25 не использует слово «cookie» напрямую, но его определение технологии, которая идентифицирует, определяет местоположение или профилирует лицо, охватывает файлы cookie, пиксели, снятие отпечатков и идентификаторы мобильных SDK. Раздел 8.1 — критическое положение: любая такая технология, активированная по умолчанию, должна быть отключена по умолчанию и требовать активного согласия для включения.

Никаких предварительно отмеченных флажков, никакого подразумеваемого согласия

Эта формулировка строже европейской рамки ePrivacy в одном конкретном аспекте: согласие должно быть не только opt-in, но и базовая технология должна быть технически отключена до предоставления согласия. Баннер cookie, который загружает аналитику до того, как пользователь нажмёт «принять», нарушает Закон 25, даже если сам баннер технически корректен. Издатели должны внедрять подлинную загрузку скриптов с гейтингом по согласию, подобную Google Consent Mode v2 в расширенном режиме — базовый режим, как правило, недостаточен.

Персонализация на основе профиля требует отдельного согласия

Если вы используете файлы cookie для построения профиля пользователя для персонализированной рекламы, Закон 25 трактует это как отдельную цель, требующую собственного слоя согласия, в дополнение к базовому согласию на размещение файлов cookie. Единая кнопка «принять всё», объединяющая хранение, аналитику и персонализацию, находится под риском — регулятор Квебека обозначил предпочтение детальным переключателям по каждой цели.

Трансграничные передачи: требование PIA

Квебек — единственная канадская провинция, которая требует формальной оценки воздействия на конфиденциальность перед передачей персональной информации за пределы Квебека — включая в остальную Канаду, в Соединённые Штаты и в европейские центры обработки данных. PIA должна оценивать:

• Чувствительность задействованных данных.
• Цель и необходимость передачи.
• Правовую базу юрисдикции назначения.
• Действующие договорные и технические гарантии.

Для издателей это чаще всего затрагивает аналитику, управление тегами, логи CDN и данные рекламного сервера, поступающие в инфраструктуру США. PIA на адекватность для Квебека не блокирует эти передачи, но требует документированной оценки и — что критично — письменного подтверждения от принимающей стороны, что данные будут защищены по эквивалентным принципам. Стандартные контракты SaaS, размещённых в США, редко включают эту формулировку по умолчанию и должны быть изменены.

Уведомления об автоматизированном принятии решений

Раздел 12.1 Закона 25 уникален для североамериканского права: если бизнес использует персональную информацию для принятия решения исключительно на основе автоматизированной обработки, он должен:

• Информировать лицо во время или до принятия решения.
• По запросу объяснить использованную персональную информацию, причины и основные факторы, приведшие к решению.
• Предоставить возможность подать замечания человеку-рецензенту.

Для adtech это охватывает программатическое принятие решений по запросам ставок, динамическое ценообразование, оценку мошенничества и любое ранжирование контента с помощью ИИ. Издатели редко контролируют эти алгоритмы напрямую — они полагаются на SSP и DSP — но Закон 25 трактует издателя как совместно ответственную сторону, когда решение использует данные, собранные издателем. Добавление краткого раскрытия об автоматизированном решении в ваше уведомление о конфиденциальности — минимально жизнеспособный шаг соответствия.

Практический чек-лист соответствия на 2026 год

Шаг 1: картируйте квебекский трафик и потоки данных

Используйте IP-геолокацию в вашей аналитике для оценки объёма посетителей из Квебека. Даже если Квебек составляет менее 5 % вашей аудитории, штраф в 4 % оборота делает игнорирование непропорционально рискованным. Картируйте каждый файл cookie, пиксель и SDK, срабатывающий для квебекских пользователей, и то, куда поступают его данные.

Шаг 2: разверните CMP с гейтингом по согласию

Ваша CMP должна поддерживать настоящую блокировку на уровне скриптов, а не косметическое закрытие баннера. FlexyConsent и другие сертифицированные Google CMP предлагают специфичные для Квебека гео-правила, которые сочетают логику Закона 25 с более широкими сигналами Consent Mode v2 и GPP US-national. Предварительно настроенный режим Квебека должен по умолчанию отключать все несущественные категории.

Шаг 3: назначьте и опубликуйте сотрудника по конфиденциальности

Если у вашей организации нет канадского присутствия, ваш CEO или эквивалентное лицо по умолчанию является сотрудником по конфиденциальности, если только вы формально не делегируете это в письменном виде. Опубликуйте имя и электронную почту в вашем уведомлении о конфиденциальности — CAI проверяет это при первой инспекции.

Шаг 4: завершите PIA перед новыми проектами

Каждый новый поставщик, каждая новая трансграничная передача, каждая новая технология отслеживания требуют документированной PIA. Шаблонные PIA от CAI принимаются; вам не нужно индивидуальное юридическое заключение для рутинной аналитики или контрактов CDN.

Шаг 5: обновите ваше уведомление о конфиденциальности

Квебек требует конкретных раскрытий: контакт сотрудника по конфиденциальности, категории собираемой персональной информации, сроки хранения, сторонние получатели, направления трансграничных передач и практики автоматизированных решений. Общее уведомление GDPR почти никогда не удовлетворяет Закону 25 без существенных дополнений.

Как Закон 25 Квебека взаимодействует с PIPEDA и его будущее

PIPEDA, федеральный закон Канады о конфиденциальности, применяется к коммерческой деятельности по всей Канаде — но Закон 25 Квебека имеет приоритет в пределах Квебека, поскольку провинция была объявлена существенно аналогичной для целей конфиденциальности в частном секторе. На практике это означает, что операции в Квебеке по умолчанию регулируются Законом 25, а PIPEDA применяется только к деятельности, пересекающей провинциальные границы.

Канада также модернизирует PIPEDA через предлагаемый Закон о защите конфиденциальности потребителей (CPPA). Если CPPA будет принят в его нынешней форме, он приблизит остальную Канаду к модели Квебека — явное согласие, ощутимые штрафы, федеральный уполномоченный по конфиденциальности с правом издавать предписания и прозрачность автоматизированных решений. Издатели, которые строят свой стек вокруг Закона 25 Квебека сегодня, будут хорошо позиционированы для федеральных изменений завтра.

Короткая версия: Закон 25 Квебека — не провинциальный курьёз. Это шаблон того, куда движется канадская конфиденциальность, и самый агрессивный режим конфиденциальности в Америках. Издатели, рекламодатели и SaaS-поставщики, обслуживающие канадский трафик, должны рассматривать соответствие Закону 25 как приоритет 2026 года, а не как будущий проект.