魁北克第25号法律(第64号法案):2026年出版商Cookie同意与隐私完全指南
北美大多数隐私讨论都以加利福尼亚州为起点和终点,但这种框架已经过时。魁北克的第25号法律(前身为第64号法案)如今的处罚力度已超越CCPA、CPRA及所有美国州法——最高可达2500万加元或全球年营业额的4%,以较高者为准。第25号法律的最终阶段于2024年9月22日生效,引入了完整的数据可携带权,并在2025年及2026年持续加大执法力度。任何拥有魁北克流量的出版商、SaaS平台或广告技术供应商,现在都面临与GDPR同等级别的合规义务——在跨境传输和自动化决策通知等特定领域,要求甚至比GDPR本身更为严格。
魁北克第25号法律的实际要求
第25号法律修订了魁北克现行私营部门隐私法(私营部门个人信息保护法),使其更加贴近欧洲GDPR,同时保留了鲜明的加拿大特色。影响出版商和数字运营商的核心要求包括:
- 在收集或使用个人信息用于原始披露目的以外的任何目的之前,必须取得明确、细化的同意。
- 指定隐私官(除非正式授权,默认由最高级别高管担任),其姓名和联系方式必须在网站上公开发布。
- 在启动任何涉及个人信息的项目之前,尤其是跨境传输或新技术项目,必须强制完成隐私影响评估(PIA)。
- 当数据泄露存在造成严重伤害风险时,须向Commission d'accès à l'information(CAI,魁北克信息访问委员会)及受影响个人进行泄露通知。
- 个人权利,包括访问、更正、删除、数据可携带,以及——特别是——知情权(了解自动化决策)及申请人工审查的权利。
执法机构为Commission d'accès à l'information du Québec(CAI),该机构在2025年全年向多家国际出版商和平台发出了正式调查通知。与部分监管机构不同,CAI已表现出追究服务魁北克居民的非加拿大实体的意愿。
Cookie同意细则:在关键领域比GDPR更严格
第25号法律并未直接使用"cookie"一词,但其对识别、定位或分析个人档案的技术的定义,涵盖了Cookie、像素、指纹识别及基于SDK的移动标识符。第8.1条是关键条款:任何此类默认激活的技术必须默认禁用,并需要用户主动同意方可开启。
不得预先勾选,不得默示同意
这一规定在某一具体方面比GDPR的ePrivacy框架更为严格:不仅同意必须采用选择加入方式,相关技术还必须在获得同意之前处于技术禁用状态。若Cookie横幅在用户点击接受之前就已加载分析脚本,即使横幅本身在技术上是正确的,也违反了第25号法律。出版商必须实施真正的同意门控脚本加载,类似于高级模式下的Google Consent Mode v2——基础模式通常不能满足要求。
基于档案的个性化需要单独同意
如果您使用Cookie构建用户档案用于个性化广告,第25号法律将其视为需要独立同意层的不同目的,叠加于Cookie放置的基础同意之上。将存储、分析和个性化捆绑在一起的单一"全部接受"按钮存在合规风险——魁北克监管机构已发出信号,倾向于按目的提供细化的单独开关。
跨境传输:PIA要求
魁北克是加拿大唯一一个在将个人信息传输出魁北克之前要求正式进行隐私影响评估的省份——包括传输至加拿大其他省份、美国及欧洲数据中心。PIA必须评估:
- 所涉及数据的敏感程度。
- 传输的目的和必要性。
- 目的地司法管辖区的法律框架。
- 已到位的合同和技术保障措施。
对于出版商而言,这最常影响流向美国基础设施的分析数据、标签管理、CDN日志和广告服务器数据。魁北克充分性PIA不会阻止这些传输,但需要书面评估记录,以及——关键是——来自接收方的书面确认,证明数据将受到等效原则的保护。美国标准托管SaaS合同通常默认不包含此类条款,需要进行修订。
自动化决策通知
第25号法律第12.1条在北美法律中具有独特性:如果企业使用个人信息做出完全基于自动化处理的决定,则必须:
- 在决定作出时或之前通知当事人。
- 应要求说明所使用的个人信息、决策原因及导致该决定的主要因素。
- 为当事人提供向人工审查员提交意见的机会。
在广告技术领域,这涵盖了对竞价请求的程序化决策、动态定价、欺诈评分,以及任何AI辅助的内容排名。出版商很少直接控制这些算法——他们依赖SSP和DSP——但第25号法律在决策使用出版商收集的数据时,将出版商视为共同责任方。在隐私通知中添加简短的自动化决策披露是最低限度的合规措施。
2026年实用合规清单
第一步:梳理魁北克流量和数据流
在您的分析平台中使用IP地理定位来估算魁北克访客量。即使魁北克在您的受众中占比不足5%,4%营业额的罚款也使忽视它的风险不成比例地高。梳理针对魁北克用户触发的每个Cookie、像素和SDK,以及其数据的去向。
第二步:部署同意门控CMP
您的CMP必须支持真正的脚本级拦截,而非仅仅关闭横幅。FlexyConsent和其他经Google认证的CMP提供魁北克特定地理规则,将第25号法律逻辑与更广泛的Consent Mode v2和GPP美国全国信号相结合。预配置的魁北克模式应将所有非必要类别默认设为关闭。
第三步:任命并公布隐私官
如果您的组织在加拿大没有实体存在,除非您正式以书面形式委托,否则您的CEO或同等职位将默认担任隐私官。在您的隐私通知中公布其姓名和电子邮件——CAI在首次检查时会核查此项。
第四步:在新项目启动前完成PIA
每个新供应商、每次新的跨境传输、每项新的跟踪技术都需要有书面记录的PIA。CAI提供的PIA模板是被接受的;常规分析或CDN合同无需定制法律意见。
第五步:更新隐私通知
魁北克要求具体披露以下内容:隐私官联系方式、所收集个人信息的类别、保留期限、第三方接收方、跨境传输目的地,以及自动化决策实践。通用的GDPR通知几乎无法满足第25号法律的要求,必须进行实质性补充。
魁北克第25号法律与PIPEDA及未来走向的关系
PIPEDA是加拿大的联邦隐私法,适用于加拿大各地的商业活动——但魁北克的第25号法律在魁北克境内优先适用,因为该省已被认定在私营部门隐私目的上与联邦法律实质相似。实际上,这意味着魁北克的运营默认适用第25号法律,PIPEDA仅适用于跨越省界的活动。
加拿大还在通过拟议中的Consumer Privacy Protection Act(CPPA,消费者隐私保护法)对PIPEDA进行现代化改造。若CPPA以现有形式通过,将推动加拿大其他地区向魁北克模式靠拢——明确同意、有实质意义的处罚、拥有命令权的联邦隐私专员,以及自动化决策透明度。今天围绕魁北克第25号法律构建技术栈的出版商,将为明天的联邦变化做好充分准备。
简而言之:魁北克第25号法律并非一项地方性规定,而是加拿大隐私立法走向的模板,也是美洲最严格的隐私制度。服务于加拿大流量的出版商、广告商和SaaS供应商应将第25号法律合规视为2026年的优先事项,而非留待未来处理的项目。