加拿大 PIPEDA 合规性：数字企业隐私指南

加拿大针对私营部门组织的隐私框架——建立在《个人信息保护和电子文件法》(PIPEDA) 的基础上——正在经历自 2004 年该法生效以来最重大的变革。虽然 PIPEDA 仍然是联邦标准，但魁北克省第 25 号法律（《私营部门个人信息保护法》，于 2021 年至 2023 年进行改革）为加拿大省级隐私设定了新基准，拟议的联邦消费者隐私保护法(CPPA) 最终将用更强大、受 GDPR 影响的框架取代 PIPEDA。

了解加拿大当前的分层隐私框架（联邦 PIPEDA、魁北克省、阿尔伯塔省和不列颠哥伦比亚省的省级法律以及魁北克第 25 号法律）对于在加拿大消费者中运营或为加拿大消费者提供服务的任何数字企业都至关重要。

要点

• PIPEDA 适用于在商业活动过程中收集、使用或披露个人信息的私营部门组织 — 具有域外适用性
• 魁北克第 25 号法律（2023 年 9 月全面生效）比 PIPEDA 更严格，并具有类似 GDPR 的同意、权利和评估要求
• 十项公平信息原则（来自 CAN/CSA 标准 Q830）管理 PIPEDA 合规性
• PIPEDA 的强制违规通知要求在确定“重大损害的真实风险”后 72 小时内向 OPC 报告并通知个人
• 消费者隐私保护法 (CPPA) 最终将取代 PIPEDA — 监督颁布
• 隐私专员办公室 (OPC) 可以调查并建议合规，但不能直接处以罚款——C-27 号法案提议改变这一点
• 根据第 25 号法律，魁北克信息获取委员会 (CAI) 可处以最高可达全球营业额 4% 或 2500 万加元的罚款
• PIPEDA 下的同意必须是有意义的，但 PIPEDA 在适当的情况下承认明示和默示的同意

---

加拿大隐私框架概述

联邦：PIPEDA

PIPEDA（个人信息保护和电子文件法，2004 年）是加拿大联邦私营部门隐私法。它适用于：

• 联邦监管行业（银行、电信、省际交通、广播）的私营部门组织——无论哪个省
• 所有没有实质相似省级立法的省份的私营部门组织 — 用于在商业活动过程中收集、使用或披露的信息

豁免司法管辖区：魁北克省、艾伯塔省和不列颠哥伦比亚省的省级法律被认为与 PIPEDA 基本相似。在这些省份，PIPEDA 仍然适用于联邦监管的活动和跨省/跨境流动。魁北克省第 25 号法律在此基础上增加了进一步的要求。

省级法律

魁北克（《私营部门个人信息保护法》，第 25 号法律）：适用于在魁北克经营企业过程中收集个人信息的企业。第 25 号法律改革（分 2022 年至 2023 年分阶段实施）显着强化了魁北克省除 PIPEDA 之外的要求。

阿尔伯塔省（个人信息保护法 — PIPA）：与 PIPEDA 基本相似；适用于阿尔伯塔省私人组织的省级活动。

不列颠哥伦比亚省（个人信息保护法 — PIPA BC）：类似的框架；适用于 BC 省私人组织的省级活动。

安大略省、马尼托巴省、萨斯喀彻温省：没有实质上类似的省级法律 — PIPEDA 适用。

拟议的消费者隐私保护法 (CPPA)

C-27 法案（拟议立法，2022 年 6 月推出）将颁布《消费者隐私保护法》，将 PIPEDA 替换为：

• 受 GDPR 影响的同意要求
• 算法透明和自动化决策权
• 数据移动权
• 显着加大处罚力度：高达全球收入的 3% 或 1000 万加元（第一级）；全球收入的 5% 或 2500 万加元（二级）
• 独立的隐私法庭负责裁决 OPC 的决定
• 明确的儿童隐私保护

截至2026年初，CPPA尚未颁布。企业应监控立法进展并设计可在新框架颁布后适应的合规计划。

---

PIPEDA 的十大公平信息原则

PIPEDA 基于加拿大标准协会个人信息保护示范规范 (CAN/CSA Q830) 的十项原则：

PIPEDA 下的同意：原则 3 需要有意义的同意——个人必须了解他们同意的内容。同意可以是明示的（明确的、书面的或口头的）或暗示的（目的明显并且个人有合理的期望）。默示同意适用于不太敏感的信息和较低风险的用途。对于敏感信息和个人不期望的用途，需要明确同意。

OPC 始终认为，“捆绑同意”（一个复选框用于多种目的）和“视为同意”（以密集的条款和条件隐藏数据实践）并不构成有意义的同意。

---

魁北克法 25：更严格的要求

魁北克省第 25 号法律（个人信息保护立法条款现代化法案）代表了加拿大最重要的省级隐私改革。分三个阶段实施：

第 1 阶段（2022 年 9 月）：强制性违规通知、治理要求、隐私官指定、保留计划政策

第二阶段（2023 年 9 月）：隐私影响评估、新的个人权利（访问、更正、可移植性、反对分析）、同意标准、自动化决策的透明度要求

第 3 阶段（2023 年 9 月，续）：数据可移植权、去索引权（遗忘权）、跨境传输保护影响评估

PIPEDA 之外的关键法律 25 要求

隐私影响评估 (PIA)：在涉及收集、使用或交流个人信息的任何项目之前都需要进行。对于高风险项目，必须将 PIA 传达给 CAI。

跨境传输 PIA：在魁北克省境外传输个人信息之前，企业必须使用 CAI 制定的标准进行隐私保护影响评估。这必须考虑信息的敏感性、目的地司法管辖区的法律保护以及将用于保护信息的措施。

取消索引的权利（遗忘权）：在以下情况下，个人可以请求删除附加在其姓名上的传播个人信息的超链接：信息不再准确、该人是未成年人，或者没有合法的索引理由。

自动决策透明度：如果完全基于个人信息自动化处理做出的决策具有法律或重大影响，则个人必须被告知并有权请求人工审查。

同意标准：同意必须是明确的、自由的和知情的。必须针对每个特定目的提出请求。对于魁北克来说，默示同意通常是不够的，需要采取明确的平权行动。

处罚：对于严重违反第 25 号法律的行为，CAI 可处以最高 2500 万加元或全球营业额 4%（以较高者为准）的罚款。CAI 已开始执行并发布了第一个处罚决定。

---

PIPEDA 下的强制违规报告

当违反安全保障措施对个人造成“重大伤害的实际风险”时，PIPEDA（自 2018 年 11 月 1 日起生效）下的强制违规报告要求适用。

重大伤害包括：身体伤害、羞辱、声誉受损、失去就业、商业或专业机会、财务损失、身份盗窃、信用记录负面影响以及关系受损或失去信任。

报告要求：

1. 向 OPC 报告：在确定重大损害的实际风险后尽快报告。使用 OPC 的数据泄露报告表。

2. 通知受影响的个人：在 OPC 报告的同时，或在可行的情况下尽快通知。通知必须：

• 描述违规情况
• 确定涉及哪些个人信息
• 描述为解决违规问题而采取的步骤
• 解释受影响的个人可以采取哪些措施来保护自己
• 提供组织的联系信息

3. 通知其他组织：如果其他组织可能能够降低伤害风险（例如信用局、执法部门），请通知他们。

记录保存：将所有违规行为的记录（无论是否确定存在重大损害的真实风险）保留 24 个月。 OPC 可以请求这些记录。

魁北克省法律 25 违规要求：魁北克省自己的通知要求适用于魁北克省的企业。第 25 条法律要求在发现涉及个人信息且存在损害风险的机密事件后 72 小时内使用 CAI 规定的表格通知 CAI。

---

数据传输和责任

PIPEDA 的问责原则（原则 1）延伸至第三方数据处理：组织对其保管的个人信息负责，包括转移给第三方进行处理时的个人信息。与处理者签订的合同必须提供类似的保护。

跨境传输：PIPEDA 并不禁止跨境数据传输，但要求组织在海外传输时对其个人信息负责。使用合同协议来确保类似的保护。 OPC 指南建议记录数据可能传输到的国家/地区。

魁北克法律 25 跨境限制：魁北克实施了更严格的跨境传输框架，要求在任何省外传输之前进行书面的隐私影响评估，并考虑目的地保护、信息的敏感性和所应用的保障措施。

---

隐私管理计划

OPC 指南建议实施全面的隐私管理计划作为 PIPEDA 合规性的基础：

1.隐私治理：

• 指定一名具有适当权力和专业知识的隐私官
• 制定并实施隐私政策和程序
• 创建责任明确的隐私治理结构

2.风险管理：

• 对新的或修改后的程序、系统和活动进行隐私影响评估 (PIA)
• 维护隐私风险风险登记册
• 将隐私审查整合到产品开发和 IT 变更管理中

3.政策框架：

• 隐私政策（面向公众）
• 数据保留和处置政策
• 违规响应程序
• 第三方供应商管理政策
• 员工隐私政策

4.培训和意识：

• 对所有员工进行年度隐私培训
• 针对日常处理个人信息的人员进行针对特定角色的培训
• 新员工入职培训

5.监控和验证：

• 定期隐私审计
• 定期审查和更新 PIA
• 隐私政策的年度审查
• 监督 OPC、CAI 和省级隐私专员的监管指导

---

OPC 执行和投诉流程

OPC（加拿大隐私专员办公室）主要充当 PIPEDA 下的监察员 — 它调查投诉并提出建议，但不能直接处以罚款。尽管 OPC 可以向联邦法院申请执行其调查结果的法院命令，但当前 PIPEDA 并不强制要求遵守 OPC 建议。

投诉流程：

1. 个人向组织提交投诉（建议第一步）
2. 个人向 OPC 提交投诉（无需事先联系组织）
3. OPC尝试尽早解决；如果不成功，则进入正式调查
4. OPC 发布调查结果和建议
5. OPC 可以向联邦法院申请要求遵守的命令

法院命令可以包括改变做法、销毁信息、发布通知和支付损害赔偿金的要求。

OPC 根据拟议的 CPPA 扩大权力：C-27 法案将赋予 OPC 直接施加行政罚款的权力，并可通过隐私法庭强制执行。罚款将达到 2500 万美元，即全球收入的 5%。

---

PIPEDA/Law 25 合规检查表

• 确定联邦适用性（PIPEDA 与基于部门和省份的省级法律）
• 魁北克法 25 适用性评估（企业在魁北克经营过程中收集 PI）
• 指定并授权隐私官
• 隐私政策已发布、最新、可访问
• 收集仅限于合理必要的范围（原则 4）
• 已获得同意：表达敏感信息；对非敏感的有意义的暗示
• 维护同意记录
• 为新项目进行 PIA（第 25 条强制规定；OPC 建议采用 PIPEDA）
• 跨境转让评估完成（法25：跨省转让前需进行PIA）
• 处理器/供应商合同包括类似的保护要求
• 记录并实施数据保留计划
• 记录访问请求程序（30 天响应）
• 记录更正请求程序
• 记录违规响应程序（OPC 报告 + 个人通知）
• 保留违规记录（24 个月）
• 魁北克业务的 CAI 违规通知程序（72 小时初步）
• 员工培训已完成并记录在案
• 实施自动化决策透明度（第 25 条）

---

常见问题

PIPEDA 是否适用于我为加拿大客户提供服务的美国公司？

PIPEDA 适用于在商业活动过程中收集、使用或披露个人信息的组织。如果您的美国公司有一个为加拿大消费者提供服务并收集他们的个人信息的网站，PIPEDA 可能适用，特别是对于该信息的收集和使用。魁北克第 25 号法律适用于“在魁北克经营企业”的企业，其中可以包括维护一个可供魁北克居民出于商业目的访问的网站。 OPC 已调查非加拿大公司是否违反涉及加拿大居民数据的 PIPEDA 行为。

PIPEDA 和魁北克法 25 之间有什么区别？

魁北克省第 25 号法律在几个关键领域通常比 PIPEDA 更严格： (1) 同意：第 25 号法律要求对大多数处理进行明确、具体的同意 — PIPEDA 允许对非敏感信息进行默示同意； (2) 跨境传输：第 25 条要求在省外传输之前进行正式的隐私影响评估； PIPEDA 要求问责制，但没有规定评估格式； (3) 权利：第 25 条法律包括去索引、可移植性和反对分析的权利——PIPEDA 的权利更加有限； (4) 执行：第 25 号法律允许 CAI 处以最高 2500 万美元或全球营业额 4% 的罚款； PIPEDA 的 OPC 只能寻求法院命令； (5) 隐私影响评估：根据第 25 号法律，新项目必须进行； PIPEDA 推荐但非强制。

PIPEDA 下的电子邮件营销同意如何发挥作用？

PIPEDA 对电子邮件营销的同意还受与 PIPEDA 一起运作的加拿大反垃圾邮件立法 (CASL) 的管辖。 CASL 在发送商业电子消息之前需要明确同意，除非适用豁免（现有业务关系、事先明确同意）。必须选择明确同意（而不是预先选中的框）。根据 CASL，现有业务关系会在交易后 2 年内产生默示同意。根据 PIPEDA 原则 3，有意义的营销同意必须明确明确目的。在发生冲突时，CASL 对商业电子邮件的具体要求优先于 PIPEDA — 遵守 CASL 通常满足 PIPEDA 出于电子邮件营销目的的同意要求。

何时需要进行隐私影响评估 (PIA)？

根据 PIPEDA，OPC 强烈建议将 PIA 用于涉及个人信息的新程序或系统，但法律上不强制要求。根据魁北克省第 25 号法律，在开展任何涉及收集、交流或使用个人信息的项目之前，以及在魁北克省境外交流个人信息之前，必须强制执行 PIA。 CAI 发布 PIA 指南并提供模板。联邦政府部门还必须对使用加拿大人个人信息的项目进行 PIA。实际上，PIAs 应该成为涉及大量个人数据收集的任何新产品、功能或业务流程的标准做法。

魁北克第 25 号法律中的“被遗忘权”是什么？

魁北克法 25 包含取消索引的权利——有时称为被遗忘权或遗忘权。如果个人信息的传播存在以下情况，个人可以要求企业停止传播个人信息或取消索引附加在其姓名上的任何超链接： 对他们造成伤害并违反法律；过多、不相关或已成为非法收集的对象；不再与其收集目的相关；或者该人是未成年人。这与 GDPR 的删除权不同——它专门针对超链接的去索引，而不仅仅是删除基础数据。

---

后续步骤

加拿大的隐私环境比表面上看起来更加复杂——联邦 PIPEDA、魁北克第 25 号法律、省级 PIPA 法律以及拟议的 CPPA 改革创建了一个分层的合规环境。对于在加拿大有业务或用户的数字企业来说，建立一个满足 PIPEDA 作为基线和 Law 25 作为最高标准的全面隐私计划是最有效的方法。

ECOSIRE 的团队帮助企业满足加拿大隐私要求、设计注重隐私的数字平台，并实施满足 PIPEDA 和魁北克法 25 要求的同意管理系统。

了解更多：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。加拿大隐私法通过联邦立法和魁北克第 25 号法律的实施不断发展。请咨询合格的加拿大法律顾问，获取针对您的组织的具体建议。