魁北克法律25(第64号法案):2026年出版商Cookie同意与隐私完全指南
北美大多数隐私讨论都以加州为起点和终点,但这种框架已经过时。魁北克的法律25(前身为第64号法案)如今的处罚力度已超越CCPA、CPRA及所有美国州法——最高可达2500万加元或全球营业额的4%,以较高者为准。法律25的最终阶段于2024年9月22日生效,引入了完整的数据可携带权,且在2025年及2026年的执法力度持续加强。任何拥有魁北克流量的出版商、SaaS平台或广告技术供应商,现在都面临与GDPR同等的义务——在跨境传输和自动化决策通知等特定领域,要求甚至比GDPR本身更高。
魁北克法律25的实际要求
法律25修订了魁北克现行私营部门隐私法(私营部门个人信息保护法),使其更接近欧洲GDPR,同时保留了独特的加拿大特征。影响出版商和数字运营商的核心要求包括:
- 明确、细化的同意,在收集或使用个人信息用于原始披露目的之外的任何目的之前必须获取。
- 指定隐私官(默认由最高级别高管担任,除非正式授权他人),其姓名和联系方式须在网站上公布。
- 在启动任何涉及个人信息的项目之前,尤其是跨境传输或新技术项目,须强制完成隐私影响评估(PIA)。
- 当数据泄露存在造成重大损害风险时,须向Commission d'accès à l'information(CAI,魁北克信息访问委员会)及受影响个人进行泄露通知。
- 个人权利,包括访问、更正、删除、可携带权,以及——独特地——知情权(了解自动化决策)及申请人工审查的权利。
执法机构为Commission d'accès à l'information du Québec(CAI),该机构在整个2025年向多家国际出版商和平台发出了正式调查通知。与部分监管机构不同,CAI已表现出追究服务魁北克居民的非加拿大实体的意愿。
Cookie同意细则:在关键领域比GDPR更严格
法律25并未直接使用"cookie"一词,但其对识别、定位或分析个人档案的技术的定义,涵盖了Cookie、像素、指纹识别及基于SDK的移动标识符。第8.1条是关键条款:任何此类默认激活的技术必须默认禁用,并需要主动同意才能开启。
不得预先勾选,不得默示同意
这一表述在某一具体方面比GDPR的ePrivacy框架更严格:不仅同意必须采用选择加入方式,相关技术还必须在获得同意之前处于技术禁用状态。如果Cookie横幅在用户点击接受之前就加载了分析脚本,即使横幅本身技术上正确,也违反了法律25。出版商必须实施真正的同意门控脚本加载,类似于高级模式下的Google Consent Mode v2——基础模式通常不够。
基于档案的个性化需要单独同意
如果您使用Cookie构建用户档案用于个性化广告,法律25将其视为需要独立同意层的不同目的,叠加于Cookie放置的基础同意之上。将存储、分析和个性化捆绑在一起的单一"全部接受"按钮存在风险——魁北克监管机构已发出信号,倾向于按目的细化切换。
跨境传输:PIA要求
魁北克是唯一一个在将个人信息传输出魁北克之前要求正式进行隐私影响评估的加拿大省份——包括传输至加拿大其他省份、美国及欧洲数据中心。PIA必须评估:
- 所涉及数据的敏感程度。
- 传输的目的和必要性。
- 目的地司法管辖区的法律框架。
- 已落实的合同和技术保障措施。
对于出版商而言,这最常影响流向美国基础设施的分析数据、标签管理、CDN日志和广告服务器数据。魁北克充分性PIA不会阻止这些传输,但需要书面评估,以及——关键是——来自接收方的书面确认,说明数据将受到等效原则的保护。美国标准托管SaaS合同通常默认不包含此类语言,需要修订。
自动化决策通知
法律25第12.1条在北美法律中具有独特性:如果企业使用个人信息做出完全基于自动化处理的决定,则必须:
- 在决定作出时或之前通知当事人。
- 应要求说明所使用的个人信息、原因及导致该决定的主要因素。
- 提供向人工审查员提交意见的机会。
在广告技术领域,这涵盖了对竞价请求的程序化决策、动态定价、欺诈评分,以及任何AI辅助的内容排名。出版商很少直接控制这些算法——他们依赖SSP和DSP——但法律25在决策使用出版商收集的数据时,将出版商视为共同责任方。在隐私通知中添加简短的自动化决策披露是最低限度的合规步骤。
2026年实用合规清单
第一步:映射魁北克流量和数据流
在您的分析平台中使用IP地理定位来估算魁北克访客量。即使魁北克占您受众的比例不足5%,4%营业额的罚款也使忽视它的风险不成比例地高。绘制针对魁北克用户触发的每个Cookie、像素和SDK,以及其数据的流向。
第二步:部署同意门控CMP
您的CMP必须支持真正的脚本级拦截,而非表面化的横幅关闭。FlexyConsent和其他经Google认证的CMP提供魁北克特定地理规则,将法律25逻辑与更广泛的Consent Mode v2和GPP美国全国信号配对。预配置的魁北克模式应将所有非必要类别默认设为关闭。
第三步:任命并公布隐私官
如果您的组织在加拿大没有存在,除非您正式以书面形式授权,否则您的CEO或同等职务担任默认隐私官。在您的隐私通知中公布姓名和电子邮件——CAI在首次检查时会核查此项。
第四步:在新项目前完成PIA
每个新供应商、每次新的跨境传输、每项新的追踪技术都需要有书面记录的PIA。CAI的PIA模板是被接受的;常规分析或CDN合同不需要定制法律意见。
第五步:更新您的隐私通知
魁北克要求具体披露:隐私官联系方式、所收集个人信息的类别、保留期限、第三方接收方、跨境传输目的地,以及自动化决策实践。通用的GDPR通知几乎从不满足法律25的要求,需要实质性补充。
魁北克法律25与PIPEDA及法律25未来的互动
PIPEDA是加拿大的联邦隐私法,适用于加拿大各地的商业活动——但魁北克的法律25在魁北克境内优先适用,因为该省已被认定为在私营部门隐私目的上实质相似。实际上,这意味着魁北克的运营默认适用法律25,PIPEDA仅适用于跨越省界的活动。
加拿大也正在通过拟议中的Consumer Privacy Protection Act(CPPA,消费者隐私保护法)对PIPEDA进行现代化改造。如果CPPA以当前形式通过,它将使加拿大其他地区更接近魁北克的模式——明确同意、有实质意义的处罚、拥有命令权的联邦隐私专员,以及自动化决策透明度。今天围绕魁北克法律25构建技术栈的出版商,将为明天的联邦变化做好准备。
简而言之:魁北克法律25不是一个省级小事。它是加拿大隐私方向的模板,也是美洲最具攻击性的隐私制度。服务于加拿大流量的出版商、广告主和SaaS供应商应将法律25合规视为2026年的优先事项,而非未来的项目。