魁北克法律25(第64號法案):2026年出版商Cookie同意與私隱完全指南
北美大多數私隱討論都以加州作為起點同終點,但呢種框架已經過時。魁北克嘅法律25(前身為第64號法案)而家嘅懲罰力度已超越CCPA、CPRA及所有美國州法——最高可達2500萬加元或全球營業額嘅4%,以較高者為準。法律25嘅最終階段於2024年9月22日生效,引入咗完整嘅數據可攜帶權,而且喺2025年及2026年嘅執法力度持續加強。任何有魁北克流量嘅出版商、SaaS平台或廣告科技供應商,而家都面臨同GDPR相若嘅義務——喺跨境傳輸同自動化決策通知等特定範疇,要求甚至比GDPR本身更高。
魁北克法律25嘅實際要求
法律25修訂咗魁北克現行私營部門私隱法(私營部門個人資料保護法),使其更接近歐洲GDPR,同時保留咗獨特嘅加拿大特色。影響出版商同數字營運商嘅核心要求包括:
- 明確、細化嘅同意,喺收集或使用個人資料用於原始披露目的以外嘅任何目的之前必須取得。
- 指定私隱主任(預設由最高級別高管擔任,除非正式授權他人),其姓名同聯絡方式須喺網站上公佈。
- 喺啟動任何涉及個人資料嘅項目之前,尤其係跨境傳輸或新技術項目,須強制完成私隱影響評估(PIA)。
- 當數據外洩存在造成嚴重傷害風險時,須向Commission d'accès à l'information(CAI,魁北克資訊存取委員會)及受影響個人進行外洩通知。
- 個人權利,包括查閱、更正、刪除、可攜帶權,以及——獨特地——知情權(了解自動化決策)及申請人工審查嘅權利。
執法機構為Commission d'accès à l'information du Québec(CAI),該機構喺整個2025年向多家國際出版商同平台發出咗正式調查通知。同部分監管機構唔同,CAI已表現出追究服務魁北克居民嘅非加拿大實體嘅意願。
Cookie同意細則:喺關鍵領域比GDPR更嚴格
法律25並無直接使用「cookie」呢個詞,但其對識別、定位或分析個人檔案嘅技術嘅定義,涵蓋咗Cookie、像素、指紋識別及基於SDK嘅移動標識符。第8.1條係關鍵條款:任何此類預設啟動嘅技術必須預設禁用,並需要主動同意先可以開啟。
唔得預先剔選,唔得默示同意
呢個表述喺某一具體方面比GDPR嘅ePrivacy框架更嚴格:唔單止同意必須採用選擇加入方式,相關技術仲必須喺獲得同意之前處於技術禁用狀態。如果Cookie橫幅喺用戶點擊接受之前就載入咗分析腳本,即使橫幅本身技術上正確,都違反咗法律25。出版商必須實施真正嘅同意門控腳本載入,類似於進階模式下嘅Google Consent Mode v2——基礎模式通常係唔夠嘅。
基於檔案嘅個性化需要單獨同意
如果您使用Cookie建立用戶檔案用於個性化廣告,法律25將其視為需要獨立同意層嘅不同目的,疊加於Cookie放置嘅基礎同意之上。將儲存、分析同個性化捆綁喺一齊嘅單一「全部接受」按鈕存在風險——魁北克監管機構已發出信號,傾向於按目的細化切換。
跨境傳輸:PIA要求
魁北克係唯一一個喺將個人資料傳輸出魁北克之前要求正式進行私隱影響評估嘅加拿大省份——包括傳輸至加拿大其他省份、美國及歐洲數據中心。PIA必須評估:
- 所涉及數據嘅敏感程度。
- 傳輸嘅目的同必要性。
- 目的地司法管轄區嘅法律框架。
- 已落實嘅合約同技術保障措施。
對於出版商而言,呢個最常影響流向美國基礎設施嘅分析數據、標籤管理、CDN日誌同廣告服務器數據。魁北克充分性PIA唔會阻止呢啲傳輸,但需要書面評估,以及——關鍵係——來自接收方嘅書面確認,說明數據將受到等效原則嘅保護。美國標準托管SaaS合約通常預設唔包含呢類語言,需要修訂。
自動化決策通知
法律25第12.1條喺北美法律中具有獨特性:如果企業使用個人資料做出完全基於自動化處理嘅決定,則必須:
- 喺決定作出時或之前通知當事人。
- 應要求說明所使用嘅個人資料、原因及導致該決定嘅主要因素。
- 提供向人工審查員提交意見嘅機會。
喺廣告科技領域,呢個涵蓋咗對競價請求嘅程序化決策、動態定價、欺詐評分,以及任何AI輔助嘅內容排名。出版商很少直接控制呢啲算法——佢哋依賴SSP同DSP——但法律25喺決策使用出版商收集嘅數據時,將出版商視為共同責任方。喺私隱通知中加入簡短嘅自動化決策披露係最低限度嘅合規步驟。
2026年實用合規清單
第一步:映射魁北克流量同數據流
喺您嘅分析平台中使用IP地理定位嚟估算魁北克訪客量。即使魁北克佔您受眾嘅比例唔足5%,4%營業額嘅罰款都使忽視佢嘅風險不成比例地高。繪製針對魁北克用戶觸發嘅每個Cookie、像素同SDK,以及其數據嘅流向。
第二步:部署同意門控CMP
您嘅CMP必須支持真正嘅腳本級攔截,而非表面化嘅橫幅關閉。FlexyConsent同其他經Google認證嘅CMP提供魁北克特定地理規則,將法律25邏輯與更廣泛嘅Consent Mode v2同GPP美國全國信號配對。預配置嘅魁北克模式應將所有非必要類別預設設為關閉。
第三步:委任並公佈私隱主任
如果您嘅機構喺加拿大冇存在,除非您正式以書面形式授權,否則您嘅CEO或同等職務係預設私隱主任。喺您嘅私隱通知中公佈姓名同電郵——CAI喺首次檢查時會核查呢項。
第四步:喺新項目前完成PIA
每個新供應商、每次新嘅跨境傳輸、每項新嘅追蹤技術都需要有書面記錄嘅PIA。CAI嘅PIA範本係被接受嘅;常規分析或CDN合約唔需要定制法律意見。
第五步:更新您嘅私隱通知
魁北克要求具體披露:私隱主任聯絡方式、所收集個人資料嘅類別、保留期限、第三方接收方、跨境傳輸目的地,以及自動化決策實踐。通用嘅GDPR通知幾乎從唔滿足法律25嘅要求,需要實質性補充。
魁北克法律25與PIPEDA及法律25未來嘅互動
PIPEDA係加拿大嘅聯邦私隱法,適用於加拿大各地嘅商業活動——但魁北克嘅法律25喺魁北克境內優先適用,因為該省已被認定為喺私營部門私隱目的上實質相似。實際上,呢個意味住魁北克嘅營運預設適用法律25,PIPEDA只適用於跨越省界嘅活動。
加拿大亦正喺通過擬議中嘅Consumer Privacy Protection Act(CPPA,消費者私隱保護法)對PIPEDA進行現代化改造。如果CPPA以當前形式通過,佢將使加拿大其他地區更接近魁北克嘅模式——明確同意、有實質意義嘅懲罰、擁有命令權嘅聯邦私隱專員,以及自動化決策透明度。今日圍繞魁北克法律25構建技術棧嘅出版商,將為明日嘅聯邦變化做好準備。
簡而言之:魁北克法律25唔係一個省級小事。佢係加拿大私隱方向嘅模板,亦係美洲最具攻擊性嘅私隱制度。服務於加拿大流量嘅出版商、廣告商同SaaS供應商應將法律25合規視為2026年嘅優先事項,而非未來嘅項目。