anonym.legal

By · Last updated 2026-06-05

블로그로 돌아가기GDPR 및 준수

캐나다 OPC: PIPEDA에서 Bill C-27으로

캐나다 OPC는 PIPEDA를 집행하는 동시에 의회에서 Bill C-27의 AI 및 데이터법을 심의 중입니다. 캐나다는 2026년 검토 대상인 EU GDPR 적정성 결정을 유지하고 있습니다.

June 5, 202610 분 읽기
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

캐나다의 개인정보 보호법이 변화하고 있습니다. 개인정보 보호위원회(OPC)는 현재 PIPEDA를 집행합니다. Bill C-27은 PIPEDA를 더욱 강력한 규정으로 대체할 예정입니다. 캐나다의 EU 데이터 이전 협정도 2026년에 검토 대상이 됩니다. 핵심 내용을 정리합니다.

캐나다 현행 개인정보 보호법

PIPEDA는 캐나다의 민간 부문 주요 개인정보 보호법입니다. 2001년부터 시행되었으며, 연방 규제 산업의 기업과 자체 개인정보 보호법이 없는 주의 기업에 적용됩니다.

세 개 주는 자체 법률을 보유합니다: 앨버타, 브리티시컬럼비아, 퀘벡입니다.

퀘벡의 25호 법(Law 25)이 가장 엄격합니다. 2022년과 2023년에 단계적으로 시행되었으며, 개인정보 영향평가와 지정 개인정보 보호 책임자를 요구합니다. 기존 PIPEDA보다 EU GDPR에 훨씬 가깝습니다.

OPC는 2024년에 400건 이상의 PIPEDA 민원을 처리했습니다. Tim Hortons에는 동의 없는 위치 데이터 수집에 대해 구속력 있는 명령을 내렸으며, 여러 건강 앱 운영사도 같은 해 명령을 받았습니다.

Bill C-27: 세 가지 새로운 법률

Bill C-27은 의회 심의 중입니다. 세 부분으로 구성됩니다.

소비자 개인정보 보호법(CPPA) — PIPEDA 대체:

  • 목적 제한 및 데이터 최소화 규정.
  • 강화된 동의 요건.
  • 전 세계 매출의 3% 또는 CAD $1,000만 중 더 큰 금액까지의 제재금.
  • 데이터 이동권.
  • 자동화된 결정에 관한 공개 의무.

인공지능 및 데이터법(AIDA) — AI 규정 추가:

  • AI 시스템에 대한 위험 기반 규정.
  • 고위험 AI에 대한 위험 검토 의무.
  • 사람에게 영향을 미치는 AI의 공개 의무.
  • 해를 끼치기 위해 개발된 AI 금지.

개인정보 및 데이터 보호 심판소법 — 새로운 항소 기구 신설. 기존 연방 법원 절차를 대체합니다.

캐나다와 다른 개인정보 보호법의 비교는 글로벌 개인정보 보호 컴플라이언스 가이드를 참조하세요.

캐나다 PII: 감지해야 할 항목

캐나다 파일에는 고유한 ID 유형이 포함됩니다. 도구는 이 모두를 처리해야 합니다.

SIN(사회보험번호): 9자리. 형식: XXX-XXX-XXX. Luhn 검사를 사용합니다. SIN은 세금 신고서, 급여 기록, 급여 파일에 등장하며, 캐나다에서 가장 민감한 ID입니다.

주별 건강보험 카드 번호: 캐나다에는 13개 주·준주가 있으며, 각각 다른 형식을 사용합니다. 연방 표준이 없습니다. 주요 형식:

  • 온타리오 OHIP: 10자리 + 2자리 문자 코드.
  • 앨버타 AHCIP: 9자리 개인 건강번호(PHN).
  • BC 서비스 카드: 10자리 PHN.
  • 퀘벡 RAMQ: 12자리 — 성의 이니셜과 생년월일 인코딩.

컴플라이언스 도구는 13개 모든 형식을 지원해야 합니다.

CRA 사업자 번호: 캐나다 국세청이 발급하는 9자리 번호입니다.

이중 언어 PII: 영어와 프랑스어

캐나다는 공식 이중 언어 국가입니다. 연방 양식에는 두 언어가 한 페이지에 혼용되는 경우가 많습니다.

프랑스어 PII에는 고유한 처리가 필요합니다:

  • 이름: 프랑스어 이름에는 악센트 문자가 사용됩니다. 악센트를 처리하지 못하는 도구는 개체를 놓칩니다.
  • 주소: 퀘벡 주소에는 Rue, Avenue, Boulevard, Chemin 같은 프랑스어 용어가 사용됩니다. 파서가 이를 처리해야 합니다.
  • RAMQ 번호: 퀘벡의 건강번호는 성의 이니셜을 인코딩합니다. 감지 시 프랑스어 인식이 필요합니다.

인도 DPDPA가 다국어 PII를 어떻게 처리하는지는 인도 DPDPA의 다국어 PII 처리를 참조하세요.

2026년 EU 적정성 위험

캐나다의 EU 적정성 결정은 2001년에 내려졌습니다. 유럽 집행위원회가 최초로 부여한 적정성 결정입니다. 지금까지의 모든 검토를 통과했습니다.

2026년 검토는 다릅니다. 두 가지 사안이 주목됩니다.

첫째: 캐나다의 C-26 사이버보안법(2024)은 핵심 기업이 사고를 CSE에 신고하도록 요구합니다. CSE는 캐나다의 신호정보 기관입니다. 유럽 집행위원회는 CSE의 해당 데이터 접근이 GDPR과 충돌하는지 검토할 것입니다.

둘째: 캐나다는 여전히 PIPEDA 체제하에 있습니다. 집행위원회는 PIPEDA의 집행력이 약하다고 지적해 왔습니다. CPPA는 아직 발효되지 않았습니다.

적정성이 정지되거나 취소되면, 모든 EU-캐나다 이전은 즉시 표준계약조항(SCC) 또는 구속력 있는 기업 규칙(BCR)으로 전환해야 합니다.

지금 준비를 시작하세요. 결정을 기다리는 것은 늦습니다.

적정성 위험이 기업에 미친 영향 사례는 GDPR 제재금 가이드를 참조하세요.

최소 컴플라이언스 요구사항

캐나다 사업장이 있는 기업의 기술적 기준선:

  1. Luhn 검사를 포함한 SIN 감지.
  2. 영어·프랑스어 이중 언어 PII 처리.
  3. 온타리오 OHIP 건강보험 카드 감지.
  4. 퀘벡 RAMQ 건강보험 카드 감지.
  5. CPPA 완전 준비를 위한 13개 주 모든 형식 지원.

출처

관련 기사

GDPR 및 준수

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 및 준수

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 및 준수

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

데이터 보호를 시작할 준비가 되셨나요?

48개 언어로 285개 이상의 엔티티 유형으로 PII 익명화를 시작하세요.

무료 체험 시작기능 보기

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.