正策动态

NEWS

正策新闻

正策关注｜加拿大数据隐私保护：主要法规与企业合规要点解读

日期：2026-01-27 作者：王江涛、冯希及

引言Introduce

加拿大的隐私法律体系正在经历一场深刻的现代化变革，从联邦层面的PIPEDA到魁北克省的25号法案，共同构建了一个日益严格的监管生态。本文将从加拿大隐私法法律框架出发，从联邦和省级双层次深入解析法律法规对于加拿大企业（包括出海加拿大的海外企业）在隐私保护方面的合规要求，并以TikTok案为例简要解读企业在商业活动中应加以注意的部分合规要点。

法律框架

作为一个联邦制国家，加之联邦与省两级政府管辖权限存在部分重叠，加拿大对个人信息的保护采用多元立法框架，由联邦、省和地区分别制定相关隐私法律。联邦统一框架之下，隐私保护的核心法律主要是于2000年正式立法的《个人信息保护与电子文件法》（Personal Information Protection and Electronic Documents Act，简称“PIPEDA”）和1983年议会通过的《隐私法》（Privacy Act）。

除部分省份的特殊规定外，所有在商业活动中收集、使用或披露个人信息的加拿大私营机构或企业均须遵守PIPEDA。阿尔伯塔省、不列颠哥伦比亚省和魁北克省均已制定本省私营领域隐私法律，这些法律被普遍认定为与PIPEDA实质相似，即阿尔伯塔省《个人信息保护法》、不列颠哥伦比亚省《个人信息保护法》以及魁北克省《关于私营部门个人信息保护的法案》（An Act respecting the protection of personal information in the private sector，简称“APPIPS”）。其中，于2021年至2024年间分阶段生效的魁北克省《个人信息保护立法条款现代化法案》（The Act to modernize legislative provisions as regards the protection of personal information，简称“Law 25”或“25号法案”）已对魁北克省相关法律进行了修订，引入了新的隐私保护要求。

加拿大隐私保护专员公署（Office of the Privacy Commissioner of Canada，简称“OPC”）指出，如果省级法规被认定为与联邦法实质相似，那么在该省内收集、使用或披露个人信息的企业遵守该省相应的隐私法律的情况下，通常可以被豁免适用PIPEDA。然而，当企业跨省或跨境传输个人信息时，PIPEDA仍然适用。

PIPEDA规制的是私营机构和企业，而《隐私法》则规制的是政府机关。《隐私法》规定了政府机关应如何收集、使用和披露个人信息，同时还赋予个人获取联邦政府所持有其个人信息的权利。

值得注意的是，一个简称为Bill C-27的法案正在经众议院委员会审议中，如果该法案最终得以通过，那么它将通过引入三部新法——《消费者隐私保护法》《个人信息与数据保护法庭法》以及《人工智能与数据法》（the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act）——来对PIPEDA进行全面的现代化改革。

PIPEDA主要内容解读

适用对象

PIPEDA适用于所有在商业活动中收集、使用或披露个人信息的私营组织（private-sector organization，下称“组织”）。其中，商业活动是指任何具有商业性质的特定交易、行为或任何商业角色做出的常规行为。在司法实践中，加拿大法院认为在判定某个行为是否构成商业活动的时候，不能只判断该行为是否是免费的，或是否存在对价，而应当在该组织整体商业模式的背景下进行综合考量。

联邦法院认定，PIPEDA适用于案涉活动与加拿大存在“真实和实质性联系”的情况。判定是否存在这种联系时，需要根据具体情况做出决定，应综合考虑（被处理信息的）个人的位置、收集个人信息的组织和处理个人信息的服务提供商等因素。此外，在411 Numbers HK Limited一案中，OPC判断是否与加拿大存在“真实和实质性联系”的考量因素包括：企业是否向加拿大居民推广其产品或服务、是否处理加拿大居民的个人信息，以及任何个人信息滥用或披露行为是否会对加拿大居民产生影响。也就是说，即使某个企业物理意义上并非位于加拿大境内，或服务器架设在海外，但如果被认定与加拿大存在“真实和实质性联系”，那么就可能受PIPEDA规制。

适用数据类型

PIPEDA适用于个人数据。个人数据包括任何形式的关于可识别个人的任何客观事实或主观评价信息，例如：年龄、姓名、证件号码、收入、族裔背景或血型；评价观点、考核记录、社会地位或纪律处分；员工档案、信用记录、贷款记录、医疗记录、消费者与商户纠纷，以及意向信息（例如消费或工作变动的意向）。但是，为员工工作联络目的而收集、使用或披露的商业联系信息（如员工姓名、职务、办公地址、电话号码或电子邮箱地址）、仅用于个人目的或仅限于新闻报道、文艺用途（artistic or literary purposes）的收集、使用或披露个人信息行为不适用PIPEDA。

适用数据使用行为

个人信息的所有处理行为均受PIPEDA规制。尽管PIPEDA并未明确定义和区分数据控制者与数据处理者，但数据控制者与数据处理者根据该法承担的责任义务略有不同。根据PIPEDA附录一“公平信息原则”，私营组织对其持有或保管的个人信息（包括已转由第三方进行处理的信息）承担责任，当这些个人信息交由第三方（类似于数据处理者这一概念）处理时，该组织应通过合同或其他方式确保这些个人信息在处理数据的第三方处获得同等水平的保护。可见，PIPEDA对持有或保管的个人信息的组织（类似于数据控制者这一概念）有额外要求。

数据合规义务——公平信息原则（Fair Information Principles）

整体而言，PIPEDA规定的数据合规义务包括但不限于：受PIPEDA管辖的组织在收集、使用或披露个人信息时，通常须获得信息主体的同意；原则上人们有权访问该组织所持有的其个人信息，并有权质疑信息的准确性；个人信息的用途仅限收集该信息时声明的目的，若企业拟将该信息用于其他目的，必须再次获取同意；个人信息必须通过适当的安全措施予以保护，等等。

PIPEDA附录一“公平信息原则”列举了十条确立关于个人信息收集、使用和披露以及个人信息访问权的基本原则，对涉及加拿大的出海企业至关重要。下文将针对这十条原则进行一一解读。

责任原则

除前文已经提及的数据控制者的额外要求以外，该原则要求组织指定专人负责数据合规事宜（组织内其他人员可代指定人员履行职责），该人员应确保企业遵守PIPEDA规定的十大基本原则。此外，组织应依要求公开该人员的身份。该原则还要求组织制定落实原则的内部政策，包括建立接收和处理投诉与咨询的程序、开展员工培训、编写相关数据合规政策的说明文件等等。

目的明确原则

组织应在收集个人信息时或收集前明确说明收集目的，并加以记录。组织仅收集为该目的所必需的信息。根据信息收集方式的不同，可通过口头或书面形式进行收集目的的说明。当已收集的个人信息用于先前未说明的目的时，应在使用前向该个人明确说明这个新的目的，且除非新目的为法律所要求，还应再次获得个人同意。

知情同意原则

收集、使用或披露个人信息均需获得个人的知情同意。请注意，在某些特定情况下，个人信息可在个人不知情或未同意的情况下被收集、使用或披露。例如，出于法律、医疗或安全原因，可能无法获取有意义的同意；当为侦查和预防诈骗或执法目的收集信息时，征求个人同意可能会破坏收集信息的目的；若对象为未成年人、重病患者或心智不全者，可能无法获取同意；与个人无直接关系的组织可能无法始终获得该人同意。此外，个人可在遵守法律或合同限制及合理告知的前提下随时撤回同意。组织应告知该人撤回同意可能产生的影响。

为获取有意义的同意（meaningful consent），企业和组织需要做到以下几点：目的的说明方式必须让个人能够合理理解信息将如何被使用或披露；不得要求个人同意收集、使用或披露超出实现（明确指定且正当的）目的所需范围的信息；在获取同意时，个人的合理预期也应纳入考量，等等。

PIPEDA对于获取同意的形式规定得比较灵活，但在确定同意的形式时，组织应考虑信息的敏感程度。虽然某些信息几乎总被视为个人敏感信息（例如健康与财务数据、民族与种族、政治观点、基因数据、具有唯一识别性的生物特征数据，以及宗教信仰等等），但任何信息都可能因具体情境而具有敏感性（比如普通杂志订购人的信息可能不是敏感信息，但是某些敏感题材杂志订购人的信息就可能构成敏感信息，总之，需要具体情况具体分析）。总的来说，并未针对敏感个人信息的处理设立额外规则，但相关义务的严格程度可能因所涉个人信息的敏感性而有所不同。

当涉及到敏感信息时，通常明示同意是必要的；当信息的敏感度较低时，通常获得个人的默示同意即可。

限制收集原则

个人信息的收集应限于组织已明确的目的所必需的范围内。信息的收集方式必须公平合法，不得通过误导或欺骗手段获取同意。

限制使用、披露和存储原则

在使用、披露和存储个人信息时，组织需要做到以下几点：个人信息的存储时间不得超过实现收集目的所需期限；组织应制定个人信息存储指南并建立相应实施程序，而且指南应包含最短与最长信息保留期限（组织可能需遵守关于保留期限的法定要求）；不再需要的个人信息应予以销毁、清除或匿名化处理，组织应制定指南并建立相关程序来规范个人信息的销毁工作。

准确性原则

个人信息的准确性、完整性和时效性应符合其使用目的所必需的程度。除非为满足信息收集目的所必需，否则组织不应例行更新个人信息。但持续使用的个人信息通常应保持准确与时效性，除非已明确设定对准确性的要求的限制。

安全保护措施原则

组织应根据个人信息敏感程度采取相应的安全保护措施（敏感度越高的信息应受到更严格的保护）。安全保护措施须能防范个人信息的丢失或被盗，以及未经授权的访问、披露、复制、使用或修改。措施的性质应根据组织收集信息的敏感程度、信息数量、分布情况、存储格式及储存方式而调整。

安全保护措施有：物理措施，如给文件柜上锁和限制进入办公区域；组织措施，如安全审查和设置基于“需者方知”原则的访问限制；技术措施，如使用密码和加密技术，等等。

开放性原则

组织应向个人清楚说明其管理个人信息的具体政策与管理措施。个人应能通过合理途径获取这些信息，且该信息应以通俗易懂的形式呈现。

公开的信息应包括：负责组织政策与措施并受理投诉或问询的人员姓名或职务，及地址；获取组织所持个人信息的途径；对组织所持个人信息类型的说明，包括其使用情况的概述；解释组织政策、标准或规范的资料的副本；以及向关联组织（如子公司）提供哪些个人信息。

个人访问原则

个人有权获知其个人信息的存在、使用及披露情况，并有权访问这些信息。个人有权质疑信息的准确性和完整性，并要求进行适当修正。请注意，个人访问权存在例外情形（但这些情形是有限的）——在某些情况下，组织可能无法提供其持有的全部个人信息，但组织应向个人说明拒绝访问的理由。例外情况包括：提供的信息会导致极高的成本、涉及他人的信息内容、因法律、安全或商业机密原因而无法披露的信息，以及受律师-客户特权或诉讼特权保护的信息。

此外，个人访问原则还要求组织做到以下几点：①组织应说明个人信息过去及当前的使用情况，并列出已披露信息的第三方清单。若无法提供实际披露信息的具体机构名单，则组织应提供可能已披露信息的机构清单。②组织应在合理时间内回应个人的请求，且需要个人承担的相关成本应最低或免费。组织应以通俗易懂的形式提供个人所请求的信息。③当个人成功证明其个人信息不准确或不完整时，组织应根据要求予以修正。

质疑合规原则

个人有权就组织对上述原则的遵守情况向指定负责人提出质疑。组织应对所有投诉进行调查。若投诉属实，组织应采取适当措施，且在必要时修订其政策并调整其措施。

数据跨境传输

尽管PIPEDA未明确要求组织告知个人其个人信息可能转移至境外，也未禁止跨境数据传输，但OPC在2020年9月更新的《企业隐私指南》中明确，所有在加拿大运营且在商业活动中处理个人信息跨境业务，无论其所在地为何省或地区，均须遵守PIPEDA。如前文所述，公平信息原则要求组织对其持有或保管的个人信息承担责任，当这些个人信息交由第三方处理时，该组织应通过合同或其他方式确保这些个人信息在处理数据的第三方处获得同等水平的保护。这一原则暗含对加拿大组织和境外接收个人数据的组织的双重跨境传输要求，即境外组织可能会被加拿大组织要求确保该信息获得同等水平的保护，而加拿大组织可能还需告知相关个人其信息正被转移至加拿大境外，且存在外国当局可能访问该信息的风险。

值得一提的是，根据GDPR，因为PIPEDA被认定具有“足够的保护水平”（adequate level of protection），加拿大与欧盟国家之间的数据传输无需遵守额外的保护义务。

需注意，尚在审议过程中的Bill C-27对数据跨境传输提出了新的要求。在目前版本的Bill C-27中，《消费者隐私保护法》第62条规定组织的对外隐私政策需明确说明是否进行任何可能产生合理可预见隐私影响的个人信息跨国转移或披露。如果该法在未来得以通过并生效，受规制的组织必须注意遵守该规定。

违反PIPEDA的后果

OPC作为PIPEDA的核心监管机构，负责监督PIPEDA的实施情况。PIPEDA项下的监督工具或途径有多种，包括投诉、合规协议*、审计等等。以下将简要介绍投诉这一主要途径。

如果组织存在违反PIPEDA要求的情况，个人或OPC均可主动发起投诉。当个人进行投诉时，OPC首先会判定该事项是否属于该法规制范围，投诉一旦受理，OPC将启动调查程序。在调查过程中，OPC可依职权进行下列活动：传唤相关人员作证，并要求其宣誓，同时要求其提交专员认为调查所需的任何记录与物品，其效力与方式等同于法庭记录；接收并采纳证据和信息；在满足案涉组织有关场所安全要求的前提下，在合理时间进入组织占用的任何场所（住宅除外），问询相关人员，并检查、复制或摘录场所内发现的、与调查相关的任何记录。OPC会在个人提交投诉或由OPC发起投诉之日起一年内，出具调查报告，内容包括：调查结论与建议；和解协议（如有）；可要求组织在指定时限内，就为落实报告建议已采取或拟采取的措施向OPC通报，或说明未采取/未计划采取此类措施的原因；可采取的救济途径（如有）。

投诉方在收到调查报告，或在被告知投诉调查已终止的情况下，可就投诉涉及的任何事项或报告提及的任何内容，向法院申请启动听证程序。对于非由OPC主动发起的投诉，OPC也可在获得当事人同意的前提下向法院申请听证程序。除可采取其他救济措施外，法院有权作出以下裁决：责令组织纠正其违法行为；要求组织发布关于为纠正其行为已采取或拟采取的任何措施的公告；判令向投诉方支付损害赔偿金，包括对精神损失的赔偿。PIPEDA项下可对违法组织处以最高10万加元的罚款。

*合规协议（Compliance Agreement）：为确保达到法律合规要求，OPC可与违反PIPEDA的组织签订合规协议并约定该组织应当采取的特定措施。

C-27号法案概览

消费者隐私保护法（“CPPA”）

在法律的适用对象及范围层面，CPPA与PIPEDA保持一致。其中，CPPA明确了其适用范围涵盖跨境收集、使用或披露的个人信息，这点在前文中也有所提及。值得注意的是，CPPA不适用于已匿名化的个人信息，已匿名化的个人信息是指对个人信息进行不可逆转且永久性的处理，以确保无论通过直接或间接方式均无法从该信息中识别任何个体。同时，CPPA对匿名化个人信息与去标识化个人信息作了区分，去标识化个人信息是指经处理后无法直接识别个体，但是个体被识别的风险仍存在的信息。

CPPA沿用了PIPEDA的若干核心要素，但区别在于，PIPEDA中的公平信息原则未采用常规立法语言表述，而CPPA通过采用标准立法文本的结构将这些原则直接融入法案正文，并且针对部分规定进行了细化。此外，CPPA对适用的组织施加了多项义务，包括制定隐私管理方案以及履行数据最小化义务。

值得一提的是，相较PIPEDA而言，CPPA大幅度提高了处罚力度。违法组织可被处以最高额为2500万加元或判决前一财年全球总营收的5%（以较高者为准）的罚款。如果Bill C-27得以通过并生效，违法情节严重的组织将面临更严苛的处罚。

个人信息与数据保护法庭法

该法案提议设立个人信息与数据保护法庭，该法庭将在CPPA的执行中发挥作用。具体而言，该法庭将审查OPC针对违反CPPA的行为所提出的处以行政罚款的建议。该法庭还将为组织和个人申请复核OPC的决定提供便捷渠道。

人工智能与数据法

《人工智能与数据法》设立了适用于加拿大境内人工智能系统设计、开发与使用的统一要求，同时禁止可能对个人造成严重伤害或损害其利益的特定人工智能系统相关行为（包括为设计、开发或使用人工智能系统而处理或提供人类活动相关数据的行为）。该法适用范围限于私营领域，主要针对涉及人工智能系统的国际及省际贸易与商业活动。

根据法规要求，人工智能系统责任人（即设计、开发或提供系统使用的主体）必须判定该系统是否属于高影响力系统，若为高影响力系统，责任人必须建立相应措施以识别、评估和降低因使用该系统可能导致的伤害风险或偏见性输出，同时需制定监控合规性及评估措施有效性的实施方案。其中，偏见性输出是指由人工智能系统生成的或作出的在没有正当理由的情况下，基于被相关法规禁止的歧视理由，直接或间接地对个人产生不利区分的内容、决策、建议或预测。

该法还明确禁止将非法获取的数据用于人工智能开发，同时，对人工智能的鲁莽部署（reckless deployment of AI）可能造成严重危害且存在欺诈意图导致重大经济损失的情况，亦予以明确禁止并规定相应罚则。

由以上三部法规组成的Bill C-27仍在审议中，我们将持续关注。

魁北克省25号法案概览

正如前文所述，阿尔伯塔省、不列颠哥伦比亚省和魁北克省均已制定本省私营领域隐私法律，这些法律被普遍认定为与PIPEDA实质相似，其中，魁北克省的25号法案，即Law 25，也称Bill 64，因其对本省现行法律进行了现代化修订且与PIPEDA相比起来对数据保护要求更加严格而备受关注，故在此简要介绍Law 25相较PIPEDA而言对隐私保护设定的主要的额外要求。

数据可携权

数据可携权是魁北克省隐私保护法律框架内既有的个人信息访问权的扩展和延伸，意味着个人有权要求组织将其电子化的特定个人信息传输给本人、其他自然人或组织。当组织传输个人信息时，必须采用“结构化且通用的技术格式”将信息传输给其他主体。这项权利旨在通过帮助个人更便捷地获取其他组织的服务，并且强化了个人对其信息的控制力。

数据隐私影响评估

在向魁北克省外传输个人信息之前，或凡实施涉及收集、使用、传输、保存或销毁个人信息的信息系统或电子服务交付系统的获取、开发或全面更新项目，均须进行隐私影响评估。数据隐私影响评估的实施应与所涉信息的敏感度、预期用途、信息数量与分布范围以及存储介质相适应。

自动决策知情权

企业如果完全基于对个人信息的自动化处理做出决策，则必须在告知该决策的同时或之前向相关个人明确告知这一事实。该个人应有权通过复核渠道提交意见陈述。

从TikTok案看企业隐私合规要点

2025年9月23日，加拿大隐私保护专员公署与魁北克、不列颠哥伦比亚省及阿尔伯塔省三省隐私监管机构发布对TikTok Pte. Ltd.的联合调查报告，认定TikTok采取的未成年人准入控制措施不足，导致其收集了大量儿童的敏感信息，并将该等信息用于广告定向与内容推荐等目的；TikTok获取成人用户同意的环节存在问题，包括但不限于平台的隐私政策未能清晰、全面地阐释与广告定向和内容个性化相关的部分操作以及TikTok未能充分说明其在视频/图像和音频分析场景下对用户生物识别信息的收集与使用等等；TikTok从青少年用户处获得的同意亦存在缺陷，比如TikTok未能以符合青少年普遍认知发展水平、易于理解的通俗语言，向其说明平台将如何收集和使用其个人信息来提供定向广告与个性化内容等等。也就是说，在以上方面，TikTok未能满足同意有效性、透明度及目的适格性的要求。

在该报告中，隐私监管机构提出了多项整改要求，比如：引入新的能有效防止未成年用户使用平台的增强型年龄验证机制；完善平台隐私政策，该政策应能更清晰地解释平台如何开展与定向广告和内容个性化相关的活动；禁止广告商向未成年用户进行定向广告投放，仅允许其使用语言和大致位置等通用类别进行广告投放；发布一份面向青少年的、通俗易懂的隐私政策摘要等等。

2025年11月，一名不列颠哥伦比亚省的用户代表所有在加拿大注册了TikTok账户的个人（包含儿童）起诉包括TikTok Pte. Ltd.在内的多个TikTok关联主体，认为TikTok未能就其数据处理向成年用户及青少年用户作出充分说明，也未能就使用包括年轻用户敏感数据在内的大量个人信息获取有效的同意，要求被告们赔偿损失。