Управление Комиссара по конфиденциальности Канады (OPC) курирует значительный переход в канадском законодательстве о конфиденциальности. Закон о защите персональной информации и электронных документах (PIPEDA) — федеральный закон Канады о конфиденциальности в частном секторе, действующий с 2001 года, — заменяется Законом о защите конфиденциальности потребителей (CPPA) в рамках Билля C-27, который также создаст новый Закон об искусственном интеллекте и данных (AIDA). Этот законодательный переход происходит на фоне проверки решения ЕС об адекватности Канады по GDPR в 2026 году.
Текущий ландшафт конфиденциальности Канады
PIPEDA регулирует обработку персональной информации в частном секторе в федерально регулируемых отраслях и в провинциях без существенно аналогичного законодательства. Альберта, Британская Колумбия и Квебек имеют собственные провинциальные законы о конфиденциальности в частном секторе. Закон 25 Квебека (поэтапное внедрение в 2022–2023 годах) наиболее близок к GDPR: он требует оценки воздействия на конфиденциальность и назначения офицера по конфиденциальности.
Правоприменение OPC: В 2024 году OPC рассмотрело более 400 жалоб по PIPEDA. Наиболее значимыми мерами правоприменения 2024 года стали обязательные предписания против Tim Hortons (сбор геолокационных данных без согласия) и ряда операторов медицинских приложений.
Адекватность ЕС: Канада сохраняет решение ЕС об адекватности по GDPR, выданное в 2001 году в рамках первоначальной системы. Это означает, что персональные данные ЕС могут передаваться в Канаду без дополнительных мер защиты (SCC, BCR). Однако в 2026 году Европейская комиссия проводит проверку, и сохранение адекватности не гарантировано с учётом развивающегося канадского законодательства в сфере надзора.
Билль C-27: предлагаемая новая система
Билль C-27 проходит через парламент и включает три компонента:
Закон о защите конфиденциальности потребителей (CPPA): Заменяет PIPEDA:
- Требования ограничения цели и минимизации данных (ближе к GDPR, чем PIPEDA)
- Требования значимого согласия
- Значительно усиленное правоприменение — OPC получает право налагать административные штрафы до 3% от глобальной выручки или CAD $10 млн, в зависимости от того, что больше
- Право на переносимость данных
- Требования прозрачности в части автоматизированного принятия решений
Закон об искусственном интеллекте и данных (AIDA):
- Надзор за системами ИИ на основе оценки рисков (высокорисковый ИИ требует обязательной оценки)
- Требования прозрачности для автоматизированных решений, затрагивающих физических лиц
- Запрет на системы ИИ, предназначенные для причинения вреда
Закон о трибунале по персональной информации и защите данных: Создаёт новый трибунал для рассмотрения апелляций на решения OPC — сокращая текущий цикл рассмотрения жалоб через Федеральный суд.
Канадские национальные идентификаторы
SIN (номер социального страхования): 9-значный номер, присваиваемый всем жителям Канады для трудоустройства и получения социальных льгот. Формат XXX-XXX-XXX, с контрольной цифрой по алгоритму Луна. SIN — наиболее чувствительный канадский идентификатор: фигурирует в трудовых договорах, налоговых документах и при оформлении льгот.
Провинциальные номера медицинских карт: В Канаде 13 провинций и территорий, каждая из которых имеет собственную систему нумерации медицинских карт. Провинциальные номера не стандартизированы на федеральном уровне:
- OHIP (Онтарио): 10-значный номер + 2-буквенный код версии
- AHCIP (Альберта): 9-значный Личный номер здоровья
- BC Services Card (Британская Колумбия): 10-значный PHN
- RAMQ (Квебек): 12-значный буквенно-цифровой номер в формате HHH-AAAA-MMDD, кодирующий инициалы фамилии и дату рождения
- Другие провинции: различные форматы
Канадский инструмент PII должен поддерживать не менее 13 различных провинциальных форматов медицинских карт для обеспечения полного соответствия PIPEDA/CPPA.
Бизнес-номер CRA: 9-значный бизнес-номер (BN), выдаваемый Агентством по доходам Канады всем канадским компаниям. Формат NNNNNNNNN.
Двуязычная обработка: английский и французский
Канада официально двуязычна — английский и французский языки. Организации, работающие на федеральном уровне или в двуязычном контексте, обрабатывают документы на обоих языках, нередко в одном документе (например, двуязычные федеральные бланки).
Требования к двуязычной обработке персональных данных:
- Имена: Французские имена включают символы é, è, ê, ë, à, â, î, ô, û, ç, œ. Модели NLP, некорректно обрабатывающие акцентированные символы французского языка, дают ошибки при распознавании сущностей в текстах на французском.
- Адреса: Адреса в Квебеке используют французские обозначения («Rue», «Avenue», «Boulevard», «Chemin»). Модели разбора адресов должны поддерживать франкоязычные форматы.
- Номера RAMQ: Формат медицинского номера Квебека кодирует инициалы фамилии — это французскоязычный идентификатор, требующий обнаружения с учётом французского языка.
Адекватность ЕС для Канады: риск 2026 года
Решение об адекватности Канады 2001 года было первым в истории ЕС. Оно пережило несколько проверок. Однако проверка 2026 года проходит в иных условиях:
- Канадское законодательство о кибербезопасности C-26 (2024) обязывает объекты критической инфраструктуры сообщать о киберинцидентах в Службу безопасности коммуникаций (CSE) — канадское агентство разведки сигналов. В рамках проверки адекватности будет оцениваться, создаёт ли доступ CSE к данным об инцидентах конфликт с законодательством о надзоре в части GDPR.
- Канада ещё не приняла CPPA или AIDA по Биллю C-27, то есть проверка проходит в условиях действия PIPEDA — закона, в части правоприменения которого Комиссия ранее отмечала слабые места.
Организациям, использующим решение ЕС об адекватности Канады как основание для передачи данных ЕС–Канада, следует следить за проверкой 2026 года. В случае приостановки или отмены адекватности потребуется незамедлительное внедрение SCC или BCR.
Для организаций с операциями в Канаде: обнаружение SIN с проверкой по алгоритму Луна, двуязычная англо-французская обработка персональных данных, а также поддержка хотя бы провинциальных номеров OHIP (Онтарио) и RAMQ (Квебек) — базовые требования канадского соответствия в области PII.
Источники: