กฎหมาย Quebec ฉบับที่ 25 (ร่างกฎหมาย 64): คู่มือฉบับสมบูรณ์ว่าด้วยการยินยอมคุกกี้และความเป็นส่วนตัวสำหรับผู้เผยแพร่ในปี 2026
การสนทนาเรื่องความเป็นส่วนตัวในอเมริกาเหนือส่วนใหญ่เริ่มต้นและสิ้นสุดที่แคลิฟอร์เนีย มุมมองดังกล่าวล้าสมัยแล้ว กฎหมาย 25 ของ Quebec ซึ่งเดิมรู้จักกันในชื่อร่างกฎหมาย 64 ปัจจุบันกำหนดบทลงโทษที่เกินกว่า CCPA, CPRA และกฎหมายของรัฐสหรัฐฯ ทุกฉบับ — สูงถึง 25 ล้านดอลลาร์แคนาดา หรือ 4% ของรายได้ทั่วโลก แล้วแต่จำนวนใดจะสูงกว่า ระยะสุดท้ายของกฎหมาย 25 มีผลบังคับใช้เมื่อวันที่ 22 กันยายน 2024 โดยแนะนำสิทธิ์การโอนข้อมูลแบบเต็มรูปแบบ และการบังคับใช้ได้เข้มงวดขึ้นตลอดปี 2025 และต่อเนื่องถึงปี 2026 ผู้เผยแพร่ แพลตฟอร์ม SaaS หรือผู้ขาย adtech ทุกรายที่มีการเข้าชมจาก Quebec ต้องเผชิญกับข้อผูกพันในระดับ GDPR — มักเรียกร้องมากกว่าตัว GDPR เองในพื้นที่เฉพาะเจาะจง เช่น การโอนข้ามพรมแดนและประกาศการตัดสินใจโดยอัตโนมัติ
กฎหมาย Quebec 25 ต้องการอะไรจริงๆ
กฎหมาย 25 แก้ไขกฎหมายความเป็นส่วนตัวภาคเอกชนที่มีอยู่ของ Quebec (พระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในภาคเอกชน) และนำมันเข้าใกล้ GDPR ของยุโรปมากขึ้น โดยรักษาลักษณะเฉพาะของแคนาดาไว้ ข้อกำหนดหลักที่ส่งผลกระทบต่อผู้เผยแพร่และผู้ดำเนินการดิจิทัลได้แก่:
- การยินยอมที่ชัดเจนและละเอียด ก่อนการรวบรวมหรือใช้ข้อมูลส่วนบุคคลสำหรับวัตถุประสงค์ใดๆ นอกเหนือจากที่เปิดเผยไว้เดิม
- เจ้าหน้าที่ความเป็นส่วนตัวที่ได้รับการแต่งตั้ง (ผู้บริหารระดับสูงสุดตามค่าเริ่มต้น เว้นแต่มอบหมายอย่างเป็นทางการ) ซึ่งต้องเผยแพร่ชื่อและข้อมูลติดต่อบนเว็บไซต์
- การประเมินผลกระทบความเป็นส่วนตัว (PIA) ที่บังคับใช้ก่อนเริ่มต้นโครงการใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยเฉพาะการโอนข้ามพรมแดนหรือเทคโนโลยีใหม่
- การแจ้งเตือนการละเมิด ต่อ Commission d'accès à l'information (CAI) และต่อบุคคลที่ได้รับผลกระทบเมื่อการละเมิดก่อให้เกิดความเสี่ยงต่อการบาดเจ็บร้ายแรง
- สิทธิ์ของบุคคล รวมถึงการเข้าถึง การแก้ไข การลบ การโอนย้าย และ — อย่างเป็นเอกลักษณ์ — สิทธิ์ที่จะได้รับแจ้งเกี่ยวกับการตัดสินใจโดยอัตโนมัติ และขอให้มนุษย์ตรวจสอบ
หน่วยงานบังคับใช้คือ Commission d'accès à l'information du Québec (CAI) ซึ่งได้ออกประกาศสอบสวนอย่างเป็นทางการต่อผู้เผยแพร่และแพลตฟอร์มระหว่างประเทศหลายรายตลอดปี 2025 ต่างจากผู้กำกับดูแลบางราย CAI ได้แสดงความเต็มใจที่จะดำเนินคดีกับนิติบุคคลที่ไม่ใช่ชาวแคนาดาซึ่งให้บริการผู้อยู่อาศัยใน Quebec
ข้อมูลเฉพาะเจาะจงเรื่องการยินยอมคุกกี้: เข้มงวดกว่า GDPR ในพื้นที่สำคัญ
กฎหมาย 25 ไม่ได้ใช้คำว่า "คุกกี้" โดยตรง แต่คำจำกัดความของเทคโนโลยีที่ระบุตัวตน ระบุตำแหน่ง หรือสร้างโปรไฟล์บุคคลครอบคลุมคุกกี้ พิกเซล การพิมพ์ลายนิ้วมือ และตัวระบุมือถือที่ใช้ SDK มาตรา 8.1 เป็นบทบัญญัติที่สำคัญ: เทคโนโลยีดังกล่าวใดๆ ที่เปิดใช้งานโดยค่าเริ่มต้นจะต้องปิดใช้งานโดยค่าเริ่มต้นและต้องได้รับการยินยอมอย่างแข็งขันเพื่อเปิด
ไม่มีกล่องที่ถูกเลือกล่วงหน้า ไม่มีการยินยอมโดยนัย
ถ้อยคำนี้เข้มงวดกว่ากรอบ ePrivacy ของ GDPR ในวิธีเฉพาะเจาะจงหนึ่งวิธี: ไม่เพียงแต่การยินยอมจะต้องเป็น opt-in เท่านั้น แต่เทคโนโลยีพื้นฐานจะต้องปิดใช้งานในทางเทคนิคจนกว่าจะได้รับการยินยอม แบนเนอร์คุกกี้ที่โหลดการวิเคราะห์ก่อนที่ผู้ใช้จะคลิกยอมรับละเมิดกฎหมาย 25 แม้ว่าแบนเนอร์เองจะถูกต้องในทางเทคนิค ผู้เผยแพร่ต้องใช้การโหลดสคริปต์ที่ขึ้นอยู่กับการยินยอมอย่างแท้จริง คล้ายกับ Google Consent Mode v2 ในโหมดขั้นสูง — โหมดพื้นฐานโดยทั่วไปไม่เพียงพอ
การปรับเปลี่ยนตามโปรไฟล์ต้องการการยินยอมแยกต่างหาก
หากคุณใช้คุกกี้เพื่อสร้างโปรไฟล์ผู้ใช้สำหรับการโฆษณาแบบปรับแต่ง กฎหมาย 25 ถือว่านั่นเป็นวัตถุประสงค์เฉพาะที่ต้องการชั้นการยินยอมของตัวเอง เพิ่มเติมจากการยินยอมพื้นฐานสำหรับการวางคุกกี้ ปุ่ม "ยอมรับทั้งหมด" เพียงปุ่มเดียวที่รวมการจัดเก็บ การวิเคราะห์ และการปรับแต่งอาจมีความเสี่ยง — ผู้กำกับดูแลของ Quebec ได้ส่งสัญญาณถึงความชอบสำหรับสวิตช์สลับตามวัตถุประสงค์แบบละเอียด
การโอนข้ามพรมแดน: ข้อกำหนด PIA
Quebec เป็นจังหวัดแคนาดาเดียวที่ต้องการการประเมินผลกระทบความเป็นส่วนตัวอย่างเป็นทางการก่อนโอนข้อมูลส่วนบุคคลออกนอก Quebec — รวมถึงพื้นที่อื่นๆ ของแคนาดา สหรัฐอเมริกา และศูนย์ข้อมูลในยุโรป PIA ต้องประเมิน:
- ความละเอียดอ่อนของข้อมูลที่เกี่ยวข้อง
- วัตถุประสงค์และความจำเป็นของการโอน
- กรอบทางกฎหมายของเขตอำนาจศาลปลายทาง
- มาตรการป้องกันตามสัญญาและทางเทคนิคที่มีอยู่
สำหรับผู้เผยแพร่ สิ่งนี้มักส่งผลกระทบต่อการวิเคราะห์ การจัดการแท็ก บันทึก CDN และข้อมูลเซิร์ฟเวอร์โฆษณาที่ไหลไปยังโครงสร้างพื้นฐานของสหรัฐฯ PIA ความเพียงพอของ Quebec ไม่ได้บล็อกการโอนเหล่านี้ แต่ต้องมีการประเมินที่บันทึกไว้ และ — ที่สำคัญอย่างยิ่ง — การยืนยันเป็นลายลักษณ์อักษรจากฝ่ายรับว่าข้อมูลจะได้รับการปกป้องภายใต้หลักการที่เทียบเท่า สัญญา SaaS มาตรฐานที่โฮสต์ในสหรัฐฯ แทบไม่เคยรวมถ้อยคำนี้ตามค่าเริ่มต้นและจะต้องแก้ไข
ประกาศการตัดสินใจโดยอัตโนมัติ
มาตรา 12.1 ของกฎหมาย 25 มีเอกลักษณ์เฉพาะในกฎหมายอเมริกาเหนือ: หากธุรกิจใช้ข้อมูลส่วนบุคคลเพื่อตัดสินใจโดยอาศัยการประมวลผลอัตโนมัติแต่เพียงอย่างเดียว จะต้อง:
- แจ้งให้บุคคลทราบ ณ เวลาหรือก่อนที่จะมีการตัดสินใจ
- ตามคำร้องขอ อธิบายข้อมูลส่วนบุคคลที่ใช้ เหตุผล และปัจจัยหลักที่นำไปสู่การตัดสินใจ
- ให้โอกาสในการส่งข้อสังเกตต่อผู้ตรวจสอบที่เป็นมนุษย์
สำหรับ adtech สิ่งนี้ครอบคลุมการตัดสินใจตามโปรแกรมเกี่ยวกับคำขอราคาประกวด การกำหนดราคาแบบไดนามิก การให้คะแนนการฉ้อโกง และการจัดอันดับเนื้อหาที่ใช้ AI ผู้เผยแพร่แทบไม่ได้ควบคุมอัลกอริทึมเหล่านี้โดยตรง — พวกเขาพึ่งพา SSP และ DSP — แต่กฎหมาย 25 ถือว่าผู้เผยแพร่เป็นฝ่ายที่รับผิดชอบร่วมเมื่อการตัดสินใจใช้ข้อมูลที่ผู้เผยแพร่รวบรวม การเพิ่มการเปิดเผยการตัดสินใจอัตโนมัติสั้นๆ ในประกาศความเป็นส่วนตัวของคุณเป็นขั้นตอนการปฏิบัติตามกฎระเบียบขั้นต่ำที่เป็นไปได้
รายการตรวจสอบการปฏิบัติตามกฎระเบียบจริงสำหรับปี 2026
ขั้นตอนที่ 1: แมปการเข้าชมและการไหลของข้อมูลใน Quebec
ใช้การระบุตำแหน่งทางภูมิศาสตร์ IP ในการวิเคราะห์ของคุณเพื่อประมาณจำนวนผู้เยี่ยมชมจาก Quebec แม้ว่า Quebec จะน้อยกว่า 5% ของผู้ชมของคุณ แต่โทษปรับ 4% ของรายได้ทำให้การเพิกเฉยมีความเสี่ยงที่ไม่สมส่วน แมปคุกกี้ พิกเซล และ SDK ทุกตัวที่เริ่มทำงานสำหรับผู้ใช้ Quebec และที่ที่ข้อมูลของมันไปถึง
ขั้นตอนที่ 2: ปรับใช้ CMP ที่ขึ้นอยู่กับการยินยอม
CMP ของคุณต้องรองรับการบล็อกระดับสคริปต์จริง ไม่ใช่การปิดแบนเนอร์ตกแต่ง FlexyConsent และ CMP อื่นๆ ที่ได้รับการรับรองจาก Google มีกฎทางภูมิศาสตร์เฉพาะสำหรับ Quebec ที่จับคู่ตรรกะกฎหมาย 25 กับสัญญาณ Consent Mode v2 และ GPP US-ระดับชาติในวงกว้างขึ้น โหมด Quebec ที่กำหนดค่าล่วงหน้าควรตั้งค่าเริ่มต้นหมวดหมู่ที่ไม่จำเป็นทั้งหมดเป็นปิด
ขั้นตอนที่ 3: แต่งตั้งและเผยแพร่เจ้าหน้าที่ความเป็นส่วนตัว
หากองค์กรของคุณไม่มีสถานะตัวแทนในแคนาดา CEO หรือเทียบเท่าของคุณคือเจ้าหน้าที่ความเป็นส่วนตัวตามค่าเริ่มต้น เว้นแต่คุณจะมอบหมายอย่างเป็นทางการเป็นลายลักษณ์อักษร เผยแพร่ชื่อและอีเมลในประกาศความเป็นส่วนตัวของคุณ — CAI ตรวจสอบสิ่งนี้ในการตรวจสอบครั้งแรก
ขั้นตอนที่ 4: ดำเนินการ PIA ก่อนโครงการใหม่
ผู้ขายรายใหม่ทุกราย การโอนข้ามพรมแดนรายการใหม่ทุกรายการ เทคโนโลยีการติดตามใหม่ทุกอย่างต้องมี PIA ที่บันทึกไว้ แม่แบบ PIA จาก CAI ได้รับการยอมรับ คุณไม่จำเป็นต้องมีความเห็นทางกฎหมายที่กำหนดเองสำหรับการวิเคราะห์ตามปกติหรือสัญญา CDN
ขั้นตอนที่ 5: อัปเดตประกาศความเป็นส่วนตัวของคุณ
Quebec ต้องการการเปิดเผยข้อมูลเฉพาะ: ข้อมูลติดต่อของเจ้าหน้าที่ความเป็นส่วนตัว หมวดหมู่ของข้อมูลส่วนบุคคลที่รวบรวม ระยะเวลาการเก็บรักษา ผู้รับบุคคลที่สาม ปลายทางการโอนข้ามพรมแดน และแนวปฏิบัติการตัดสินใจอัตโนมัติ ประกาศ GDPR ทั่วไปแทบไม่เคยตอบสนองกฎหมาย 25 โดยไม่มีการเพิ่มเติมที่เป็นสาระสำคัญ
กฎหมาย Quebec 25 มีปฏิสัมพันธ์กับ PIPEDA และอนาคตของกฎหมาย 25 อย่างไร
PIPEDA กฎหมายความเป็นส่วนตัวของรัฐบาลกลางแคนาดา ใช้กับกิจกรรมเชิงพาณิชย์ทั่วแคนาดา — แต่กฎหมาย 25 ของ Quebec มีความสำคัญเหนือกว่าภายใน Quebec เนื่องจากจังหวัดได้รับการประกาศว่ามีความคล้ายคลึงกันอย่างมากสำหรับวัตถุประสงค์ด้านความเป็นส่วนตัวของภาคเอกชน ในทางปฏิบัติหมายความว่าการดำเนินงานของ Quebec เป็นค่าเริ่มต้นตามกฎหมาย 25 และ PIPEDA ใช้กับกิจกรรมที่ข้ามแนวจังหวัดเท่านั้น
แคนาดายังปรับปรุง PIPEDA ให้ทันสมัยผ่านConsumer Privacy Protection Act (CPPA) ที่เสนอ หาก CPPA ผ่านในรูปแบบปัจจุบัน จะนำส่วนที่เหลือของแคนาดาเข้าใกล้โมเดลของ Quebec มากขึ้น — การยินยอมที่ชัดเจน บทลงโทษที่มีความหมาย ผู้บัญชาการความเป็นส่วนตัวของรัฐบาลกลางที่มีอำนาจออกคำสั่ง และความโปร่งใสในการตัดสินใจอัตโนมัติ ผู้เผยแพร่ที่สร้างระบบของตนรอบๆ กฎหมาย Quebec 25 วันนี้จะได้รับตำแหน่งที่ดีสำหรับการเปลี่ยนแปลงระดับรัฐบาลกลางในวันพรุ่งนี้
สรุปสั้นๆ: กฎหมาย Quebec 25 ไม่ใช่ความอยากรู้อยากเห็นระดับจังหวัด มันคือแม่แบบสำหรับทิศทางของความเป็นส่วนตัวของแคนาดาและระบอบความเป็นส่วนตัวที่ก้าวร้าวที่สุดในทวีปอเมริกา ผู้เผยแพร่ ผู้ลงโฆษณา และผู้ขาย SaaS ที่ให้บริการการเข้าชมจากแคนาดาควรถือว่าการปฏิบัติตามกฎหมาย 25 เป็นลำดับความสำคัญของปี 2026 ไม่ใช่โครงการในอนาคต