Luật Quebec 25 thực sự yêu cầu gì

Luật 25 sửa đổi luật quyền riêng tư khu vực tư nhân hiện có của Quebec (Đạo luật về Bảo vệ Thông tin Cá nhân trong Khu vực Tư nhân) và đưa nó gần hơn với GDPR của châu Âu trong khi vẫn giữ các đặc điểm riêng của Canada. Các yêu cầu cốt lõi ảnh hưởng đến nhà xuất bản và nhà vận hành kỹ thuật số là:

• Đồng ý rõ ràng, chi tiết trước khi thu thập hoặc sử dụng thông tin cá nhân cho bất kỳ mục đích nào ngoài mục đích được tiết lộ ban đầu.
• Một Cán bộ Quyền riêng tư được chỉ định (mặc định là giám đốc điều hành cấp cao nhất, trừ khi được ủy quyền chính thức) có tên và thông tin liên hệ phải được đăng trên trang web.
• Bắt buộc Đánh giá Tác động Quyền riêng tư (PIA) trước khi triển khai bất kỳ dự án nào liên quan đến thông tin cá nhân, đặc biệt là chuyển dữ liệu xuyên biên giới hoặc công nghệ mới.
• Thông báo vi phạm cho Commission d'accès à l'information (CAI) và các cá nhân bị ảnh hưởng khi vi phạm gây ra nguy cơ thiệt hại nghiêm trọng.
• Quyền cá nhân bao gồm quyền truy cập, chỉnh sửa, xóa, chuyển dữ liệu và — đặc biệt — quyền được thông báo về việc ra quyết định tự động và yêu cầu xem xét của con người.

Cơ quan thực thi là Commission d'accès à l'information du Québec (CAI), đã gửi thông báo điều tra chính thức cho nhiều nhà xuất bản và nền tảng quốc tế trong suốt năm 2025. Khác với một số cơ quan quản lý, CAI đã thể hiện sẵn sàng truy cứu các tổ chức không phải của Canada phục vụ cư dân Quebec.

Chi tiết về đồng ý cookie: nghiêm ngặt hơn GDPR ở những điểm quan trọng

Luật 25 không sử dụng từ "cookie" trực tiếp, nhưng định nghĩa của nó về công nghệ nhận dạng, định vị hoặc lập hồ sơ cá nhân bao gồm cookie, pixel, lấy dấu vân tay và mã định danh di động dựa trên SDK. Điều 8.1 là quy định quan trọng: bất kỳ công nghệ nào như vậy mà được kích hoạt theo mặc định phải bị vô hiệu hóa theo mặc định và cần sự đồng ý chủ động để bật lên.

Không có ô tích sẵn, không có đồng ý ngầm

Ngôn ngữ này nghiêm ngặt hơn khung ePrivacy của GDPR theo một cách cụ thể: không chỉ đồng ý phải là opt-in, mà công nghệ cơ bản cũng phải bị vô hiệu hóa về mặt kỹ thuật cho đến khi đồng ý được cấp. Một banner cookie tải phân tích trước khi người dùng nhấn chấp nhận vi phạm Luật 25 ngay cả khi bản thân banner về mặt kỹ thuật là đúng. Các nhà xuất bản phải triển khai tải script có kiểm soát đồng ý thực sự, tương tự Google Consent Mode v2 ở chế độ nâng cao — chế độ cơ bản thường không đủ.

Cá nhân hóa dựa trên hồ sơ cần đồng ý riêng biệt

Nếu bạn sử dụng cookie để xây dựng hồ sơ người dùng cho quảng cáo được cá nhân hóa, Luật 25 coi đó là một mục đích riêng biệt yêu cầu lớp đồng ý riêng, thêm vào đồng ý cơ bản để đặt cookie. Một nút "chấp nhận tất cả" duy nhất gộp lưu trữ, phân tích và cá nhân hóa đang gặp rủi ro — cơ quan quản lý Quebec đã phát tín hiệu ưu tiên các nút gạt chi tiết theo từng mục đích.

Chuyển dữ liệu xuyên biên giới: yêu cầu PIA

Quebec là tỉnh Canada duy nhất yêu cầu Đánh giá Tác động Quyền riêng tư chính thức trước khi chuyển thông tin cá nhân ra ngoài Quebec — bao gồm cả phần còn lại của Canada, đến Hoa Kỳ và đến các trung tâm dữ liệu châu Âu. PIA phải đánh giá:

• Độ nhạy cảm của dữ liệu liên quan.
• Mục đích và sự cần thiết của việc chuyển dữ liệu.
• Khung pháp lý của khu vực pháp lý đích.
• Các biện pháp bảo vệ hợp đồng và kỹ thuật hiện có.

Đối với nhà xuất bản, điều này thường ảnh hưởng đến phân tích, quản lý thẻ, nhật ký CDN và dữ liệu máy chủ quảng cáo chảy đến cơ sở hạ tầng của Hoa Kỳ. PIA đủ điều kiện Quebec không chặn các chuyển dữ liệu này, nhưng yêu cầu đánh giá có tài liệu và — quan trọng là — xác nhận bằng văn bản từ bên nhận rằng dữ liệu sẽ được bảo vệ theo các nguyên tắc tương đương. Các hợp đồng SaaS tiêu chuẩn được lưu trữ tại Hoa Kỳ hiếm khi bao gồm ngôn ngữ này theo mặc định và phải được sửa đổi.

Thông báo về ra quyết định tự động

Điều 12.1 của Luật 25 là độc đáo trong luật Bắc Mỹ: nếu một doanh nghiệp sử dụng thông tin cá nhân để đưa ra quyết định dựa hoàn toàn vào xử lý tự động, doanh nghiệp đó phải:

• Thông báo cho cá nhân vào lúc hoặc trước khi quyết định được đưa ra.
• Theo yêu cầu, giải thích thông tin cá nhân được sử dụng, lý do và các yếu tố chính dẫn đến quyết định.
• Cung cấp cơ hội gửi ý kiến cho người xem xét là con người.

Đối với adtech, điều này bao gồm ra quyết định lập trình về yêu cầu đặt giá thầu, định giá động, chấm điểm gian lận và bất kỳ xếp hạng nội dung nào được hỗ trợ bởi AI. Nhà xuất bản hiếm khi kiểm soát trực tiếp các thuật toán này — họ dựa vào SSP và DSP — nhưng Luật 25 coi nhà xuất bản là bên đồng chịu trách nhiệm khi quyết định sử dụng dữ liệu do nhà xuất bản thu thập. Thêm một thông báo ngắn về ra quyết định tự động vào thông báo quyền riêng tư của bạn là bước tuân thủ tối thiểu khả thi.

Danh sách kiểm tra tuân thủ thực tế cho năm 2026

Bước 1: Lập bản đồ lưu lượng Quebec và luồng dữ liệu

Sử dụng định vị địa lý IP trong phân tích của bạn để ước tính khối lượng khách truy cập Quebec. Ngay cả khi Quebec chiếm chưa đến 5% khán giả của bạn, hình phạt 4% doanh thu khiến việc bỏ qua nó rủi ro không cân xứng. Lập bản đồ mỗi cookie, pixel và SDK kích hoạt cho người dùng Quebec và dữ liệu của nó đi đến đâu.

Bước 2: Triển khai CMP có kiểm soát đồng ý

CMP của bạn phải hỗ trợ chặn thực sự ở cấp độ script, không phải đóng banner mang tính hình thức. FlexyConsent và các CMP được Google chứng nhận khác cung cấp các quy tắc địa lý dành riêng cho Quebec kết hợp logic Luật 25 với các tín hiệu Consent Mode v2 và GPP US-quốc gia rộng hơn. Chế độ Quebec được cấu hình trước nên đặt tất cả các danh mục không cần thiết về mặc định là tắt.

Bước 3: Bổ nhiệm và công bố Cán bộ Quyền riêng tư

Nếu tổ chức của bạn không có sự hiện diện tại Canada, CEO hoặc tương đương của bạn là Cán bộ Quyền riêng tư mặc định trừ khi bạn ủy quyền chính thức bằng văn bản. Đăng tên và email trong thông báo quyền riêng tư của bạn — CAI kiểm tra điều này khi thanh tra lần đầu.

Bước 4: Hoàn thành PIA trước các dự án mới

Mỗi nhà cung cấp mới, mỗi lần chuyển dữ liệu xuyên biên giới mới, mỗi công nghệ theo dõi mới đều yêu cầu PIA có tài liệu. Các mẫu PIA từ CAI được chấp nhận; bạn không cần ý kiến pháp lý tùy chỉnh cho phân tích thông thường hoặc hợp đồng CDN.

Bước 5: Cập nhật thông báo quyền riêng tư của bạn

Quebec yêu cầu các tiết lộ cụ thể: liên hệ của Cán bộ Quyền riêng tư, các loại thông tin cá nhân được thu thập, thời gian lưu giữ, bên thứ ba nhận dữ liệu, đích đến chuyển dữ liệu xuyên biên giới và các thực tiễn ra quyết định tự động. Một thông báo GDPR chung hầu như không bao giờ đáp ứng Luật 25 mà không có các bổ sung quan trọng.

Luật Quebec 25 tương tác với PIPEDA và tương lai của Luật 25 như thế nào

PIPEDA, luật quyền riêng tư liên bang của Canada, áp dụng cho hoạt động thương mại trên khắp Canada — nhưng Luật 25 của Quebec có quyền ưu tiên trong Quebec vì tỉnh này được tuyên bố là về cơ bản tương tự cho mục đích quyền riêng tư khu vực tư nhân. Trên thực tế, điều này có nghĩa là các hoạt động ở Quebec mặc định theo Luật 25 và PIPEDA chỉ áp dụng cho các hoạt động vượt qua ranh giới tỉnh.

Canada cũng đang hiện đại hóa PIPEDA thông qua Consumer Privacy Protection Act (CPPA) được đề xuất. Nếu CPPA được thông qua ở dạng hiện tại, nó sẽ đưa phần còn lại của Canada gần hơn với mô hình của Quebec — đồng ý rõ ràng, hình phạt có ý nghĩa, Ủy viên Quyền riêng tư Liên bang có quyền ra lệnh và tính minh bạch trong ra quyết định tự động. Những nhà xuất bản xây dựng ngăn xếp của họ xung quanh Luật Quebec 25 ngày hôm nay sẽ được định vị tốt cho các thay đổi liên bang vào ngày mai.

Tóm tắt ngắn gọn: Luật Quebec 25 không phải là sự tò mò của một tỉnh. Đó là khuôn mẫu cho hướng đi của quyền riêng tư Canada và chế độ quyền riêng tư hung hãn nhất ở châu Mỹ. Nhà xuất bản, nhà quảng cáo và nhà cung cấp SaaS phục vụ lưu lượng truy cập Canada nên coi tuân thủ Luật 25 là ưu tiên năm 2026, không phải dự án tương lai.