anonym.legal

By · Last updated 2026-06-05

Quay lại BlogGDPR & Tuân Thủ

OPC Canada: Từ PIPEDA Đến Bill C-27

OPC Canada thực thi PIPEDA trong khi Quốc hội xem xét Đạo luật AI và Dữ liệu của Bill C-27. Canada vẫn giữ quyết định đầy đủ GDPR EU đang trong vòng xem xét năm 2026.

June 5, 202610 phút đọc
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

OPC Canada: Từ PIPEDA Đến Bill C-27

Văn phòng Ủy viên Quyền Riêng Tư Canada (OPC) đang giám sát một giai đoạn chuyển đổi quan trọng trong luật bảo mật Canada. Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử (PIPEDA) — luật bảo mật khu vực tư nhân liên bang Canada có hiệu lực từ năm 2001 — đang được thay thế bởi Đạo luật Bảo vệ Quyền Riêng Tư Người Tiêu Dùng (CPPA) theo Bill C-27, đồng thời cũng tạo ra Đạo luật Trí tuệ Nhân tạo và Dữ liệu (AIDA) mới. Quá trình chuyển đổi lập pháp này diễn ra trong khi quyết định đầy đủ GDPR EU của Canada đang được xem xét vào năm 2026.

Bối Cảnh Bảo Mật Hiện Tại Của Canada

PIPEDA quản lý việc xử lý thông tin cá nhân của khu vực tư nhân trong các ngành được liên bang quản lý và ở các tỉnh không có luật tương tự. Alberta, British Columbia và Quebec có luật bảo mật khu vực tư nhân cấp tỉnh riêng. Luật 25 của Quebec (thực hiện theo từng giai đoạn 2022-2023) là luật cấp tỉnh gần với GDPR nhất, yêu cầu đánh giá tác động quyền riêng tư và bổ nhiệm cán bộ quyền riêng tư.

Thực thi của OPC: OPC điều tra hơn 400 khiếu nại PIPEDA trong năm 2024, với các lệnh ràng buộc chống lại Tim Hortons (thu thập dữ liệu vị trí không có sự đồng ý) và một số nhà khai thác ứng dụng sức khỏe là các hành động thực thi quan trọng nhất năm 2024.

Tư cách đầy đủ EU: Canada vẫn giữ quyết định đầy đủ GDPR EU — được cấp năm 2001 theo khuôn khổ đầy đủ ban đầu. Điều này cho phép dữ liệu cá nhân EU chuyển sang Canada mà không cần biện pháp bảo vệ bổ sung (SCC, BCR). Tuy nhiên, Ủy ban Châu Âu đang tiến hành xem xét vào năm 2026, và tư cách đầy đủ này không được đảm bảo sẽ tồn tại sau xem xét, dựa trên bối cảnh pháp luật giám sát đang phát triển của Canada.

Bill C-27: Khuôn Khổ Đề Xuất Mới

Bill C-27 đang được tiến hành qua Quốc hội với ba thành phần:

Đạo luật Bảo vệ Quyền Riêng Tư Người Tiêu Dùng (CPPA): Thay thế PIPEDA với:

  • Yêu cầu giới hạn mục đích và tối thiểu hóa dữ liệu (gần hơn với GDPR so với PIPEDA)
  • Yêu cầu đồng ý có ý nghĩa
  • Thực thi được nâng cao đáng kể — OPC có thể áp đặt hình phạt hành chính lên đến 3% doanh thu toàn cầu hoặc 10 triệu CAD, tùy mức nào lớn hơn
  • Quyền chuyển dữ liệu
  • Yêu cầu minh bạch về ra quyết định tự động

Đạo luật Trí tuệ Nhân tạo và Dữ liệu (AIDA):

  • Giám sát dựa trên rủi ro cho các hệ thống AI (AI tác động cao yêu cầu đánh giá bắt buộc)
  • Yêu cầu minh bạch cho các quyết định tự động ảnh hưởng đến cá nhân
  • Cấm các hệ thống AI được thiết kế để gây hại

Đạo luật Tòa án Thông tin và Bảo vệ Dữ liệu Cá nhân: Tạo ra một tòa án mới để xét xử kháng cáo lệnh của OPC — giảm chu trình điều tra khiếu nại-Tòa án Liên bang hiện tại.

Mã Định Danh Quốc Gia Canada

SIN (Số Bảo Hiểm Xã hội): Số 9 chữ số được cấp cho tất cả cư dân Canada để truy cập việc làm và phúc lợi xã hội. Định dạng XXX-XXX-XXX, với chữ số kiểm tra sử dụng thuật toán Luhn. SIN là mã định danh nhạy cảm nhất của Canada — xuất hiện trong hồ sơ lao động, tài liệu thuế và đăng ký phúc lợi.

Số thẻ y tế cấp tỉnh: Canada có 13 tỉnh và vùng lãnh thổ, mỗi nơi có hệ thống đánh số thẻ y tế riêng. Số y tế cấp tỉnh không được chuẩn hóa ở cấp liên bang:

  • OHIP (Ontario): Số 10 chữ số + mã phiên bản 2 chữ cái
  • AHCIP (Alberta): Số Sức khỏe Cá nhân 9 chữ số
  • Thẻ Dịch vụ BC (British Columbia): PHN 10 chữ số
  • RAMQ (Quebec): Chữ-số 12 ký tự (định dạng HHH-AAAA-MMDD mã hóa chữ cái đầu họ, ngày sinh)
  • Các tỉnh khác: định dạng khác nhau

Công cụ PII Canada phải xử lý ít nhất 13 định dạng thẻ y tế cấp tỉnh khác nhau để tuân thủ đầy đủ PIPEDA/CPPA.

Mã số Doanh nghiệp CRA: Mã Số Doanh nghiệp (BN) 9 chữ số do Cơ quan Thuế Canada cấp cho tất cả doanh nghiệp Canada. Định dạng NNNNNNNNN.

Xử Lý Song Ngữ: Tiếng Anh và Tiếng Pháp

Canada là quốc gia chính thức song ngữ — tiếng Anh và tiếng Pháp. Các tổ chức hoạt động ở cấp liên bang hoặc trong bối cảnh song ngữ xử lý tài liệu bằng cả hai ngôn ngữ, thường trong cùng một tài liệu (ví dụ các mẫu chính phủ liên bang song ngữ).

Yêu cầu PII song ngữ:

  • Tên: Tên tiếng Pháp bao gồm các ký tự é, è, ê, ë, à, â, î, ô, û, ç, œ. Các mô hình NLP không xử lý đúng ký tự có dấu tiếng Pháp sẽ gặp lỗi trong nhận dạng thực thể ngôn ngữ Pháp.
  • Địa chỉ: Địa chỉ Quebec sử dụng quy ước tiếng Pháp ("Rue", "Avenue", "Boulevard", "Chemin"). Mô hình phân tích địa chỉ phải xử lý định dạng địa chỉ tiếng Pháp.
  • Số RAMQ: Định dạng số y tế Quebec mã hóa chữ cái đầu họ — một mã định danh tiếng Pháp đòi hỏi phát hiện có nhận thức về tiếng Pháp.

Quyền Đầy Đủ EU Của Canada: Rủi Ro Năm 2026

Quyết định đầy đủ năm 2001 của Canada là quyết định đầy đủ EU đầu tiên từng được cấp. Nó đã vượt qua nhiều lần xem xét. Nhưng cuộc xem xét năm 2026 diễn ra trong bối cảnh khác:

  • Luật an ninh mạng C-26 của Canada (2024) yêu cầu cơ sở hạ tầng quan trọng báo cáo sự cố mạng cho Cơ quan An toàn Thông tin Liên lạc (CSE) — cơ quan tình báo tín hiệu Canada. Cuộc xem xét đầy đủ sẽ đánh giá liệu quyền truy cập của CSE vào dữ liệu sự cố có mâu thuẫn với luật giám sát của GDPR hay không.
  • Canada chưa thực hiện CPPA hoặc AIDA của Bill C-27, nghĩa là xem xét diễn ra theo PIPEDA — một luật mà Ủy ban trước đây đã lưu ý có điểm yếu trong thực thi.

Các tổ chức sử dụng quyết định đầy đủ GDPR của Canada làm cơ sở chuyển dữ liệu EU-Canada nên theo dõi cuộc xem xét năm 2026. Nếu quyết định đầy đủ bị tạm đình chỉ hoặc thu hồi, việc triển khai SCC hoặc BCR ngay lập tức sẽ được yêu cầu.

Đối với các tổ chức có hoạt động tại Canada: phát hiện SIN với xác thực Luhn, xử lý PII song ngữ tiếng Anh/Pháp và hỗ trợ ít nhất số y tế OHIP của Ontario và RAMQ của Quebec là các yêu cầu tuân thủ PII Canada cơ bản.

Nguồn Tham Khảo

Các Bài viết Liên quan

GDPR & Tuân Thủ

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Tuân Thủ

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Tuân Thủ

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Sẵn sàng bảo vệ dữ liệu của bạn?

Bắt đầu ẩn danh PII với 285+ loại thực thể trên 48 ngôn ngữ.

Bắt đầu Dùng Thử Miễn PhíXem Tính Năng

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.