加拿大隐私法正在经历深刻变革。隐私专员办公室(OPC)目前依据PIPEDA开展执法工作。C-27法案一旦通过,将以更严格的规则取代PIPEDA。加拿大与欧盟的数据传输协议也将于2026年接受审查。以下是您需要了解的核心内容。
加拿大现行隐私法律
PIPEDA是加拿大私营部门隐私保护的主要法律,自2001年起正式生效,适用于受联邦监管行业的企业,以及尚未制定本省隐私法的省份内的企业。
三个省份制定了各自的隐私法律:阿尔伯塔省、不列颠哥伦比亚省和魁北克省。
其中魁北克省的《第25号法》最为严格,于2022年至2023年分阶段实施,要求开展隐私影响评估并任命隐私官,其严格程度远超旧版PIPEDA,与欧盟GDPR更为接近。
OPC在2024年处理了逾400件PIPEDA投诉,并对Tim Hortons在未经同意的情况下收集位置数据的行为发出具有约束力的命令。同年,多家健康应用程序运营商也相继收到整改命令。
C-27法案:三部新法律
C-27法案正在议会审议进程中,包含三个组成部分。
**《消费者隐私保护法》(CPPA)**将取代PIPEDA,主要变化包括:
- 目的限制和数据最小化要求。
- 更严格的同意规则。
- 罚款最高可达全球营业额的3%或1000万加元,以较高者为准。
- 数据可携带权。
- 自动化决策披露要求。
**《人工智能与数据法》(AIDA)**新增AI监管规则:
- 基于风险的AI系统监管框架。
- 高影响力AI系统须进行强制性风险评估。
- 影响个人的AI系统须进行信息披露。
- 禁止开发以造成伤害为目的的AI系统。
**《个人信息与数据保护裁判法》**设立新的上诉机构,取代现行的联邦法院程序。
有关加拿大与其他隐私法律的横向比较,请参阅我们的全球隐私合规指南。
加拿大个人身份信息:检测要点
加拿大文件包含独特的身份标识类型,您的工具须全面支持。
**SIN(社会保险号码):**9位数字,格式为XXX-XXX-XXX,使用Luhn算法校验。SIN出现在税务表格、薪资记录和福利文件中,是加拿大最敏感的个人身份信息。
**各省医疗卡号码:**加拿大共有13个省和地区,各地格式不同,无联邦统一标准。主要格式:
- 安大略省OHIP:10位数字加两位字母代码。
- 阿尔伯塔省AHCIP:9位个人健康号码。
- 不列颠哥伦比亚省服务卡:10位个人健康号码。
- 魁北克省RAMQ:12位字符,编码了姓名首字母和出生日期。
完整合规须支持全部13种省级格式。
**CRA商业号码:**9位数字,由加拿大税务局颁发。
双语个人身份信息:英语与法语
加拿大为官方双语国家,联邦表格常在同一页面混用两种语言。
法语个人身份信息有其特殊要求:
- **姓名:**法语姓名使用带变音符号的字母,工具若忽略变音符号将造成漏检。
- **地址:**魁北克地址使用法语词汇——Rue(街)、Avenue(大道)、Boulevard(林荫大道)、Chemin(小路),解析器须支持这些格式。
- **RAMQ号码:**魁北克医疗号码编码了姓氏首字母,检测须具备法语感知能力。
有关印度DPDPA如何处理多语言个人身份信息,请参阅 /blog/dpdpa-india-privacy-law-technical-compliance-2025。
2026年欧盟充分性认定风险
加拿大的欧盟充分性认定决定始于2001年,是欧盟委员会颁发的第一份充分性决定,历次审查均顺利通过。
2026年的审查情况有所不同,存在两个突出问题。
其一:加拿大《C-26网络安全法》(2024年)要求关键基础设施企业向通信安全局(CSE)报告网络事件。CSE是加拿大的信号情报机构。欧盟委员会将审查CSE访问相关数据是否与GDPR存在冲突。
其二:加拿大仍在PIPEDA框架下运行。欧盟委员会已指出PIPEDA执法力度较弱,而CPPA尚未生效。
一旦充分性认定被暂停或撤销,所有欧加数据传输须立即切换至标准合同条款(SCC)或约束性公司规则(BCR)。请立即着手规划,等待最终决定为时已晚。
有关充分性认定风险对企业造成影响的案例,请参阅我们的GDPR罚款指南。
最低合规要求
在加拿大开展业务的组织,技术合规基线如下:
- 具备Luhn算法校验的SIN检测。
- 支持英语和法语双语个人身份信息处理。
- 安大略省OHIP医疗卡检测。
- 魁北克省RAMQ医疗卡检测。
- 支持全部13个省级格式,为CPPA合规做好准备。