Quebec قانون 25 (بل 64): 2026 میں ناشرین کے لیے کوکی رضامندی اور رازداری کا مکمل رہنما
شمالی امریکہ میں رازداری کے زیادہ تر مکالمے کیلیفورنیا سے شروع اور ختم ہوتے ہیں۔ یہ نقطہ نظر فرسودہ ہو چکا ہے۔ Quebec کا قانون 25، جو پہلے Bill 64 کے نام سے جانا جاتا تھا، اب ایسے جرمانے عائد کرتا ہے جو CCPA، CPRA اور ہر امریکی ریاستی قانون کو پیچھے چھوڑ دیتے ہیں — 25 ملین کینیڈین ڈالر یا عالمی کاروبار کا 4%، جو بھی زیادہ ہو۔ قانون 25 کا آخری مرحلہ 22 ستمبر 2024 کو نافذ ہوا، جس میں مکمل ڈیٹا پورٹیبلٹی کا حق متعارف کروایا گیا، اور نفاذ 2025 کے دوران اور 2026 میں مزید سخت ہو گیا ہے۔ Quebec سے ٹریفک رکھنے والا کوئی بھی ناشر، SaaS پلیٹ فارم، یا adtech وینڈر اب GDPR سطح کی ذمہ داریوں کا سامنا کر رہا ہے — اکثر مخصوص شعبوں جیسے سرحد پار منتقلی اور خودکار فیصلہ سازی کی اطلاعات میں خود GDPR سے بھی زیادہ مطالبہ کرنے والی۔
Quebec قانون 25 دراصل کیا تقاضا کرتا ہے
قانون 25 Quebec کے نجی شعبے کے موجودہ رازداری قانون (نجی شعبے میں ذاتی معلومات کے تحفظ کا ایکٹ) میں ترمیم کرتا ہے اور اسے یورپی GDPR کے قریب لاتا ہے، جبکہ منفرد کینیڈین خصوصیات کو برقرار رکھتا ہے۔ ناشرین اور ڈیجیٹل آپریٹرز پر اثر انداز ہونے والی بنیادی ضروریات یہ ہیں:
- ذاتی معلومات کو اصل میں ظاہر کردہ مقصد سے ہٹ کر کسی بھی مقصد کے لیے جمع کرنے یا استعمال کرنے سے پہلے واضح، تفصیلی رضامندی۔
- ایک نامزد رازداری افسر (بطور ڈیفالٹ اعلیٰ ترین درجے کا ایگزیکٹیو، جب تک باقاعدہ طور پر تفویض نہ کیا جائے) جس کا نام اور رابطہ ویب سائٹ پر شائع ہونا چاہیے۔
- ذاتی معلومات پر مشتمل کسی بھی پروجیکٹ کو شروع کرنے سے پہلے لازمی رازداری اثر تشخیص (PIA)، خاص طور پر سرحد پار منتقلی یا نئی ٹیکنالوجی کے لیے۔
- Commission d'accès à l'information (CAI) اور متاثرہ افراد کو خلاف ورزی کی اطلاع جب خلاف ورزی سنگین چوٹ کا خطرہ پیش کرتی ہو۔
- انفرادی حقوق بشمول رسائی، درستگی، حذف، پورٹیبلٹی، اور — منفرد طور پر — خودکار فیصلہ سازی کے بارے میں مطلع کیے جانے اور انسانی جائزے کی درخواست کرنے کا حق۔
نفاذ کا ادارہ Commission d'accès à l'information du Québec (CAI) ہے، جس نے 2025 کے دوران متعدد بین الاقوامی ناشرین اور پلیٹ فارمز کو باقاعدہ تحقیقاتی نوٹس جاری کیے۔ کچھ ریگولیٹرز کے برعکس، CAI نے Quebec کے رہائشیوں کی خدمت کرنے والی غیر کینیڈین اداروں کا پیچھا کرنے کی رضامندی ظاہر کی ہے۔
کوکی رضامندی کی تفصیلات: اہم شعبوں میں GDPR سے زیادہ سخت
قانون 25 براہ راست لفظ "cookie" استعمال نہیں کرتا، لیکن کسی فرد کی شناخت، مقام یا پروفائل بنانے والی ٹیکنالوجی کی تعریف کوکیز، پکسلز، فنگرپرنٹنگ، اور SDK پر مبنی موبائل شناختوں کو شامل کرتی ہے۔ سیکشن 8.1 اہم دفعہ ہے: ایسی کوئی بھی ٹیکنالوجی جو بطور ڈیفالٹ فعال ہو بطور ڈیفالٹ غیر فعال ہونی چاہیے اور چالو کرنے کے لیے فعال رضامندی درکار ہو۔
پہلے سے نشان زد خانے نہیں، مضمر رضامندی نہیں
یہ زبان ایک مخصوص طریقے سے GDPR کے ePrivacy فریم ورک سے زیادہ سخت ہے: نہ صرف رضامندی opt-in ہونی چاہیے، بلکہ بنیادی ٹیکنالوجی بھی رضامندی ملنے تک تکنیکی طور پر غیر فعال ہونی چاہیے۔ کوکی بینر جو صارف کے قبول پر کلک کرنے سے پہلے اینالٹکس لوڈ کرتا ہے وہ قانون 25 کی خلاف ورزی کرتا ہے چاہے بینر خود تکنیکی طور پر درست ہو۔ ناشرین کو حقیقی رضامندی سے مشروط اسکرپٹ لوڈنگ نافذ کرنی چاہیے، جو Google Consent Mode v2 کے اعلی موڈ سے ملتی جلتی ہو — بنیادی موڈ عام طور پر ناکافی ہے۔
پروفائل پر مبنی ذاتی سازی کے لیے علیحدہ رضامندی درکار ہے
اگر آپ ذاتی اشتہارات کے لیے صارف پروفائل بنانے کے لیے کوکیز استعمال کرتے ہیں، تو قانون 25 اسے ایک الگ مقصد کے طور پر مانتا ہے جس کے لیے کوکی پلیسمنٹ کی بنیادی رضامندی کے اوپر اپنی رضامندی کی پرت درکار ہے۔ ایک ہی "سب قبول کریں" بٹن جو اسٹوریج، اینالٹکس اور ذاتی سازی کو یکجا کرتا ہے خطرے میں ہے — Quebec کے ریگولیٹر نے فی مقصد تفصیلی ٹوگلز کی ترجیح کا اشارہ دیا ہے۔
سرحد پار منتقلی: PIA کی ضرورت
Quebec واحد کینیڈین صوبہ ہے جو Quebec سے باہر ذاتی معلومات منتقل کرنے سے پہلے ایک رسمی رازداری اثر تشخیص کا تقاضا کرتا ہے — جس میں کینیڈا کے باقی حصے، امریکہ اور یورپی ڈیٹا سینٹرز شامل ہیں۔ PIA کو درج ذیل کا جائزہ لینا چاہیے:
- شامل ڈیٹا کی حساسیت۔
- منتقلی کا مقصد اور ضرورت۔
- منزل کی دائرہ کار کا قانونی فریم ورک۔
- موجود معاہداتی اور تکنیکی حفاظتی اقدامات۔
ناشرین کے لیے، یہ اکثر اینالٹکس، ٹیگ مینجمنٹ، CDN لاگز، اور امریکی بنیادی ڈھانچے میں بہنے والے ایڈ سرور ڈیٹا کو متاثر کرتا ہے۔ Quebec مطابقت PIA ان منتقلیوں کو روکتی نہیں، لیکن دستاویزی تشخیص اور — اہم بات — وصول کنندہ فریق سے تحریری تصدیق درکار ہے کہ ڈیٹا کو مساوی اصولوں کے تحت محفوظ رکھا جائے گا۔ امریکہ میں میزبان معیاری SaaS معاہدوں میں شاذ و نادر ہی یہ زبان بطور ڈیفالٹ شامل ہوتی ہے اور انہیں ترمیم کی ضرورت ہوتی ہے۔
خودکار فیصلہ سازی کی اطلاعات
قانون 25 کا سیکشن 12.1 شمالی امریکہ کے قانون میں منفرد ہے: اگر کوئی کاروبار خصرًا خودکار پروسیسنگ پر مبنی فیصلہ لینے کے لیے ذاتی معلومات استعمال کرتا ہے، تو اسے:
- فیصلہ ہونے کے وقت یا اس سے پہلے فرد کو مطلع کرنا ہوگا۔
- درخواست پر، استعمال کی گئی ذاتی معلومات، وجوہات، اور فیصلے کی اہم وجوہ کی وضاحت کرنی ہوگی۔
- انسانی نظرثانی کار کو تبصرے پیش کرنے کا موقع دینا ہوگا۔
adtech کے لیے، یہ بولی کی درخواستوں پر پروگرامیٹک فیصلہ سازی، متحرک قیمت گذاری، فراڈ اسکورنگ، اور AI سے معاون مواد کی درجہ بندی کو شامل کرتا ہے۔ ناشرین شاذ و نادر ہی ان الگورتھمز کو براہ راست کنٹرول کرتے ہیں — وہ SSPs اور DSPs پر انحصار کرتے ہیں — لیکن قانون 25 ناشر کو مشترکہ ذمہ دار فریق کے طور پر مانتا ہے جب فیصلہ ناشر کے جمع کردہ ڈیٹا کا استعمال کرتا ہو۔ آپ کے رازداری نوٹس میں خودکار فیصلہ سازی کی مختصر افشاء شامل کرنا کم سے کم قابل عمل تعمیل کا قدم ہے۔
2026 کے لیے عملی تعمیل چیک لسٹ
مرحلہ 1: Quebec ٹریفک اور ڈیٹا فلوز کا نقشہ بنائیں
Quebec وزیٹر حجم کا تخمینہ لگانے کے لیے اپنے اینالٹکس میں IP جیولوکیشن استعمال کریں۔ چاہے Quebec آپ کے سامعین کا 5% سے کم ہو، ٹرن اوور پر 4% جرمانہ اسے نظرانداز کرنا غیر متناسب طور پر خطرناک بناتا ہے۔ ہر اس کوکی، پکسل، اور SDK کا نقشہ بنائیں جو Quebec صارفین کے لیے فائر ہوتی ہے اور اس کا ڈیٹا کہاں جاتا ہے۔
مرحلہ 2: رضامندی سے مشروط CMP نافذ کریں
آپ کی CMP کو اسکرپٹ سطح کی حقیقی بلاکنگ سپورٹ کرنی چاہیے، نہ کہ کاسمیٹک بینر برطرفی۔ FlexyConsent اور دیگر Google سرٹیفائیڈ CMPs Quebec کے لیے مخصوص جیو رولز پیش کرتی ہیں جو قانون 25 کی منطق کو Consent Mode v2 اور GPP US-قومی اشاروں کے ساتھ جوڑتی ہیں۔ پہلے سے ترتیب شدہ Quebec موڈ کو تمام غیر ضروری زمروں کو بطور ڈیفالٹ بند رکھنا چاہیے۔
مرحلہ 3: رازداری افسر مقرر کریں اور شائع کریں
اگر آپ کی تنظیم کی کینیڈا میں کوئی موجودگی نہیں ہے، تو آپ کے CEO یا اس کے مساوی شخص کو بطور ڈیفالٹ رازداری افسر سمجھا جائے گا جب تک کہ آپ تحریری طور پر باضابطہ طور پر تفویض نہ کریں۔ رازداری نوٹس میں نام اور ای میل شائع کریں — CAI پہلی جانچ پر یہ دیکھتا ہے۔
مرحلہ 4: نئے منصوبوں سے پہلے PIA مکمل کریں
ہر نئے وینڈر، ہر نئی سرحد پار منتقلی، ہر نئی ٹریکنگ ٹیکنالوجی کے لیے دستاویزی PIA درکار ہے۔ CAI کے ٹیمپلیٹ PIAs قابل قبول ہیں؛ معمول کی اینالٹکس یا CDN معاہدوں کے لیے آپ کو کسٹم قانونی رائے کی ضرورت نہیں۔
مرحلہ 5: اپنا رازداری نوٹس اپ ڈیٹ کریں
Quebec مخصوص انکشافات کا تقاضا کرتا ہے: رازداری افسر کا رابطہ، جمع کی گئی ذاتی معلومات کے زمرے، برقراری کی مدت، تیسرے فریق وصول کنندگان، سرحد پار منتقلی کی منازل، اور خودکار فیصلہ سازی کے طریقے۔ ایک عام GDPR نوٹس مادی اضافوں کے بغیر قانون 25 کو تقریباً کبھی پورا نہیں کرتا۔
Quebec قانون 25 PIPEDA اور قانون 25 کے مستقبل سے کیسے تعامل کرتا ہے
PIPEDA، کینیڈا کا وفاقی رازداری قانون، پورے کینیڈا میں تجارتی سرگرمیوں پر لاگو ہوتا ہے — لیکن Quebec کا قانون 25 Quebec کے اندر اولیت رکھتا ہے کیونکہ صوبے کو نجی شعبے کی رازداری کے مقاصد کے لیے کافی حد تک یکساں قرار دیا گیا ہے۔ عملی طور پر اس کا مطلب ہے کہ Quebec کے آپریشنز بطور ڈیفالٹ قانون 25 کے تابع ہیں اور PIPEDA صرف صوبائی حدود کے پار سرگرمیوں پر لاگو ہوتی ہے۔
کینیڈا مجوزہ Consumer Privacy Protection Act (CPPA) کے ذریعے PIPEDA کو بھی جدید بنا رہا ہے۔ اگر CPPA اپنی موجودہ شکل میں منظور ہو جاتا ہے، تو یہ کینیڈا کے باقی حصے کو Quebec کے ماڈل کے قریب لے آئے گا — واضح رضامندی، معنی خیز جرمانے، آرڈر دینے کی طاقت کے ساتھ وفاقی رازداری کمشنر، اور خودکار فیصلہ سازی کی شفافیت۔ ناشرین جو آج اپنا اسٹیک Quebec قانون 25 کے گرد بناتے ہیں وہ کل وفاقی تبدیلیوں کے لیے اچھی طرح سے تیار ہوں گے۔
مختصر نسخہ: Quebec قانون 25 کوئی صوبائی تجسس نہیں ہے۔ یہ اس سانچے کا نمونہ ہے جس سمت کینیڈین رازداری جا رہی ہے اور امریکہ میں سب سے جارحانہ رازداری نظام ہے۔ کینیڈین ٹریفک کی خدمت کرنے والے ناشرین، مشتہرین، اور SaaS وینڈرز کو قانون 25 کی تعمیل کو مستقبل کے منصوبے کے بجائے 2026 کی ترجیح سمجھنا چاہیے۔