加拿大 Guest WiFi 的 PIPEDA 合规指南
本指南为在 PIPEDA 下部署 Guest WiFi 的加拿大场所运营商提供了明确的技术和操作参考。它涵盖了 OPC 的有意义同意框架、问责原则、来自 Tim Hortons 和 Google WiFi 调查的执法先例,以及为满足即将根据 C-27 法案出台的《消费者隐私保护法》(CPPA) 所需的架构变更。IT 经理和合规负责人将找到可操作的 Captive Portal 设计规范、数据最小化要求,以及为应对 GDPR 规模罚款而进行未来准备的清晰路线图。
Listen to this guide
View podcast transcript
摘要
对于加拿大场所运营商和 IT 领导者而言,提供 Guest WiFi 不再仅仅是连接问题——它是一项关键的数据获取渠道。然而,监管环境对数据的收集和使用方式的要求日益严格。《个人信息保护和电子文件法》(PIPEDA)要求在获取用户数据前必须在 Captive Portal 获得“有意义的同意”。此外,随着即将出台的《消费者隐私保护法》(CPPA)将引入 GDPR 式的处罚(最高可达 2500 万加元或全球收入的 5%),合规性已成为董事会层面的风险管理重点。
本指南为在加拿大部署 Guest WiFi 解决方案的架构师和 IT 经理提供技术和操作路线图。我们将分析隐私专员办公室(OPC)的执法态势、分层同意的技术要求,以及应对即将到来的立法变化以确保网络架构经得起未来考验的可操作步骤。无论您是在 零售 、 酒店 还是 交通 行业运营,本文档都将把法律义务转化为具体的技术规范。
技术深入解析:PIPEDA 与 Captive Portal
PIPEDA 适用于在加拿大商业活动中收集、使用和披露个人信息。对于 WiFi Captive Portal,“个人信息”的范围超出了姓名和电子邮件地址;它包括设备 MAC 地址、位置分析和浏览行为。该法案围绕 Schedule 1 中载明的十项公平信息原则构建,其中原则 3(同意)、原则 2(确定目的)、原则 4(限制收集)和原则 1(问责制)与 Guest WiFi 部署最为直接相关。
有意义的同意义务
OPC 的《获取有意义的同意指南》由加拿大隐私专员办公室与阿尔伯塔省和不列颠哥伦比亚省隐私专员于 2018 年联合发布,从根本上改变了场所必须如何设计其引导流程。将数据收集实践埋藏在 5000 字的服务条款文件中,明确属于不合规行为。该指南确立了七项原则,其中三项对于 Captive Portal 设计至关重要。
第一,强调关键要素:启动页面必须显著展示所收集的数据类型、与谁共享、收集目的以及任何有意义的残余损害风险。诸如“服务改进”之类的模糊语言是不够的——目的必须具体,并能区分哪些是提供服务所必需的,哪些是可选的。
第二,细化选择:用户必须能够独立于主要服务(WiFi 接入)而选择加入或退出次要用途(营销、行为分析、分析)。将营销同意作为网络访问的条件直接违反了 PIPEDA 原则 3,因为这要求超出提供服务所必需的同意。
第三,动态透明:同意不是一次性事件。如果您更新了 WiFi 分析 引擎以跟踪新指标,或与新的第三方共享数据,您必须在变更生效前通知现有用户,并就新目的重新获取同意。
Tim Hortons 先例:位置分析的警示
2022 年,OPC 对 Tim Hortons 移动应用程序的联合调查(PIPEDA 调查结果 #2022-001)为每个场所 IT 团队必须了解的位置跟踪建立了一个里程碑式的先例。调查发现,该应用程序即使在关闭时也会收集精细的 GPS 数据——在不到五个月的时间内,一名用户的数据被收集了 2700 多次——据称用于定向广告,但这一目的从未真正实现。OPC 裁定,这种收集缺乏“合法需要”,并且获得的同意具有误导性,因为用户被告知数据仅在应用程序打开时收集。
对于部署 室内定位系统:UWB、BLE 和 WiFi 指南 的场所 IT 团队而言,教训很明确:您不能“以防万一”地过度收集位置数据。如果您的接入点探测未关联的 MAC 地址以生成客流热图,您必须使用旋转加密哈希在边缘匿名化这些数据,或者甚至在用户关联 SSID 之前就获得明确同意。OPC 将评估您声明的目的是否与实际用途相符,以及收集的数据量是否与所获得的利益成比例。
实施指南:构建合规的引导流程
部署符合 PIPEDA 的 Captive Portal 需要网络工程、法律和营销部门之间的协调。以下蓝图适用于在加拿大部署 Guest WiFi 的任何场所。
步骤 1:边缘数据最小化
配置您的 WLAN 控制器以丢弃不必要的负载数据。根据 2011 年 Google Street View 调查(PIPEDA 调查结果 #2011-001)确立的原则,捕获未加密网络的负载数据违反了 PIPEDA。确保您的 RADIUS 服务器和 Captive Portal 网关仅记录会话管理和明确同意的分析所需的属性。对于基于 MAC 地址的存在分析,在 AP 或控制器级别实施旋转哈希函数,以便原始 MAC 地址永远不会写入持久性存储。
步骤 2:分层 Captive Portal UI 架构
使用与 OPC 分层通知指南一致的三层方法设计启动页面。第 1 层(启动屏幕)提供清晰、简洁的语言摘要:收集哪些数据、谁处理这些数据以及用于什么目的。第 2 层提供细化的同意复选框——对于所有可选目的,默认未选中——涵盖营销通信、行为分析和任何超出服务交付所需的第三方数据共享。第 3 层提供完整隐私政策的超链接,该政策托管在一个安全、响应式的页面上,可从任何设备访问。如果您的营销团队需要帮助撰写简洁且法律上可靠的摘要,请考虑使用 生成式 AI 用于 Captive Portal 文案和创意 ,或者对于法语部署,使用 IA générative pour le texte et les créatifs de Captive Portal 。
步骤 3:API 集成与数据驻留
当将您的 Captive Portal 与 CRM 或营销自动化平台集成时,确保数据通过安全、加密的 API(最低 TLS 1.2,推荐 TLS 1.3)流动。对于加拿大部署,优先考虑提供本地数据驻留的供应商(例如,AWS Canada Central,ca-central-1),以降低跨境传输风险。这对于在魁北克省根据第 25 号法律运营的场所尤为关键,该法律要求在将个人信息传输到魁北克以外之前进行隐私影响评估(PIA),并规定接收管辖区提供同等级别的保护。
步骤 4:双语合规
对于在魁北克运营的场所,所有同意通知、隐私政策和数据主体权利信息必须同时提供英语和法语版本。这是第 25 号法律和《魁北克法语宪章》的要求。对于联邦场所(机场、火车站、联邦建筑),根据《官方语言法》,双语交付是基本期望。
步骤 5:隐私管理计划
PIPEDA 的问责原则(原则 1)要求贵组织指定一名隐私官,维护文件化的政策和程序,并能够应 OPC 的要求证明合规性。对于多站点运营商——例如,一个拥有 50 多个门店且每个门店都运行 Captive Portal 的全国性零售连锁店——这意味着一个集中的隐私管理计划(PMP),该计划统一覆盖所有站点,并包含同意事件、数据主体请求和保留计划的审计跟踪。
最佳实践与面向 C-27 法案 (CPPA) 的未来准备
虽然 C-27 法案——《消费者隐私保护法》——因 2025 年 1 月议会休会而停滞,但其核心原则代表了加拿大隐私法的必然未来。截至 2026 年初,一项包含许多 CPPA 条款的新联邦隐私法案预计将提交议会。审慎的做法是将 CPPA 级别的控制措施作为今天的实施目标。
最需要准备的变化如下。处罚升级是最直接的问题:CPPA 将引入最高 2500 万加元或全球年收入 5% 的罚款,这与 PIPEDA 目前最高 10 万加元的罚款相比是一次飞跃。强制性隐私影响评估将要求对高风险处理活动进行评估,包括位置分析、行为分析以及任何涉及敏感个人信息的处理。明确的数据可携权和删除权将要求自动化的流程,能够在规定的响应窗口内从所有系统(本地数据库、云控制器、下游 CRM)中清除用户记录。去标识化标准将变得更加规范;确保您的分析平台使用旋转盐对 MAC 地址进行哈希处理,并且重新识别在技术上不可行。
对于医疗场所运营商,WiFi 分析与患者数据的交集在 PIPEDA 和省级健康隐私立法下产生了额外的义务。请参阅我们的 医疗保健 行业指南,了解特定行业的部署考虑因素。
故障排除与风险缓解
故障模式:全有或全无门户。 许多传统的 Captive Portal 部署提供一个“我接受”按钮,将 WiFi 访问、营销同意和分析分析捆绑在一次点击中。这是对 PIPEDA 的直接违反,也是 OPC 在投诉中最常遇到的故障模式。缓解措施很简单:使用单独的、明确标签的复选框将网络身份验证与营销选择加入分离。网络访问应可在没有任何次要同意的情况下授予。
故障模式:静默 MAC 跟踪。 一些部署会记录经过场所但从未连接到 SSID 的设备的 MAC 地址,并使用这些数据生成客流分析。根据 PIPEDA,这构成在未经知晓或同意的情况下收集个人信息。缓解措施是在 AP 级别实施 MAC 随机化支持,并确保所有存在分析仪表板在存储前聚合和匿名化数据。未关联设备的原始 MAC 地址绝不能写入持久性存储。
故障模式:陈旧同意。 某场所部署了合规的 Captive Portal,六个月后又增加了新的分析集成,将会话数据发送给第三方广告平台。最初条款下同意的现有用户并未同意这一新的披露。这违反了 PIPEDA 要求在任何新目的之前获得同意的规定。缓解措施是实施一个同意版本系统,当数据处理活动发生重大变化时,触发对现有用户的重新同意提示。
故障模式:不足的第三方合同。 正如 Tim Hortons 调查所强调的,与第三方服务提供商使用模糊的合同语言——允许他们将数据用于自己的目的——并不构成充分的保护。确保与所有分析供应商、CRM 提供商和营销平台的数据处理协议包含对二次使用、数据保留限制和子处理者控制的明确限制。
投资回报与业务影响
合规不是成本中心——它是一种信任倍数,具有可衡量的商业成果。实施透明、以用户为中心的同意流程的场所始终报告更高的营销计划选择加入率,因为用户感觉能够控制自己的数据。一个设计良好、符合 PIPEDA 的 Captive Portal,能够清楚地解释价值交换——免费 WiFi 换取电子邮件地址和可选的营销同意——其转化率远高于在法律术语中埋藏同意的门户。
从风险缓解的角度来看,财务计算很简单。即使在 PIPEDA 目前最高 10 万加元的罚款下,一次 OPC 执法行动也会产生巨大的声誉损害和法律成本,远超合规部署的投资。在即将到来的 CPPA 制度下,财务风险会上升到威胁企业的水平。在企业级平台(如 Purple)上进行标准化,该平台提供集中式同意管理、审计跟踪和自动化的数据主体请求工作流,可以降低在多站点场所管理中隐私合规的运营开销,并提供 OPC 期望看到的文件化证据链。
对于考虑车联网和车载 WiFi 部署的交通运营商,同样的 PIPEDA 原则也适用。请参阅我们的指南: 您的企业车载 Wi Fi 解决方案指南 ,了解特定部署的考虑因素。
参考文献
[1] 加拿大隐私专员办公室。“个人信息保护和电子文件法 (PIPEDA)。” priv.gc.ca。
[2] 加拿大隐私专员办公室。“获取有意义的同意指南。” priv.gc.ca,2018 年 5 月。
[3] 加拿大隐私专员办公室。“PIPEDA 公平信息原则——Schedule 1。” priv.gc.ca。
[4] 加拿大隐私专员办公室。“关于 Tim Hortons 应用程序位置跟踪的联合调查(PIPEDA 调查结果 #2022-001)。” priv.gc.ca,2022 年 6 月。
[5] 加拿大隐私专员办公室。“调查结果报告:Google Inc. WiFi 数据收集(PIPEDA 调查结果 #2011-001)。” priv.gc.ca,2011 年。
[6] 魁北克信息获取委员会。“第 25 号法律:使有关个人信息保护的立法条款现代化的法案。” cai.gouv.qc.ca。
[7] 国际隐私专业人员协会。“2026 年加拿大隐私改革可能带来的影响。” iapp.org,2026 年 2 月。
Key Definitions
PIPEDA(个人信息保护和电子文件法)
加拿大的联邦私营部门隐私法,管辖商业活动中个人信息的收集、使用和披露。围绕 Schedule 1 中的十项公平信息原则构建。适用于除阿尔伯塔省、不列颠哥伦比亚省和魁北克省以外的所有省份,这些省份有实质上类似的省级立法。
任何提供 Guest WiFi 的加拿大场所的主要合规框架。IT 团队在设计 Captive Portal、配置分析平台以及响应数据主体请求时会遇到 PIPEDA。
有意义的同意
OPC 对 PIPEDA 下有效同意的标准,要求个人真正理解他们所同意的事项——具体包括:收集哪些数据、谁接收数据、收集目的以及任何有意义的损害风险。隐藏在冗长条款中的同意,或通过单个捆绑的“我接受”按钮获得的同意,不符合该标准。
Captive Portal 设计的核心合规要求。启动页面的每个 UI 元素都必须符合该标准。
Captive Portal
一种网络网关,拦截来自新关联 WiFi 客户端的 HTTP/HTTPS 流量,并将其重定向到网页,以在授予互联网访问之前进行身份验证、同意收集和/或支付。通常通过 WLAN 控制器重定向规则、DNS 欺骗或专用网关设备在技术上实现。
Guest WiFi 部署中收集同意的主要点。Captive Portal 的 UI 设计直接决定 PIPEDA 合规状态。
MAC 地址(媒体访问控制地址)
分配给网络接口控制器的 48 位硬件标识符,用于在数据链路层(第 2 层)唯一标识设备。根据 PIPEDA,MAC 地址是个人信息,因为它们可用于识别个人的设备,并进而识别其移动和行为。
在 WiFi 分析部署、基于探测的客流量计数和会话日志中遇到。必须匿名化或在明确同意下处理。
OPC(加拿大隐私专员办公室)
负责监督 PIPEDA 和《隐私法》遵守情况的独立联邦机构。OPC 调查投诉、进行审计、发布指南,并可向联邦法院申请执行其建议。当前 PIPEDA 规定的每次违规最高罚款为 100,000 加元。
IT 团队必须满足的主要监管机构。OPC 的调查结果公开发布,并作为合规解释的约束性先例。
CPPA(消费者隐私保护法)
作为 2022 年 C-27 法案一部分提出的 PIPEDA 替代法案。将引入 GDPR 规模的罚款(最高 2500 万加元或全球收入的 5%)、强制性隐私影响评估、明确的数据可携权和删除权,以及一个新的独立执行审裁处。C-27 法案因 2025 年 1 月议会休会而停滞;后续法案预计在 2026 年出台。
加拿大场所运营商的未来合规目标。IT 团队现在就应该开始实施 CPPA 级控制措施,以避免在立法通过时进行成本高昂的补救。
第 25 号法律(魁北克使有关个人信息保护的立法条款现代化的法案)
魁北克的省级隐私立法,施加了超出 PIPEDA 的要求。关键条款包括对新涉及个人信息的项目进行强制性隐私影响评估、对跨境数据传输的明确同意、法文同意通知,以及最高 2500 万加元或全球营业额 10% 的罚款。自 2023 年 9 月起全面生效。
适用于在魁北克运营的所有场所。IT 团队必须为任何魁北克部署实施增强的同意流程、双语通知和 PIA。
隐私影响评估 (PIA)
一种结构化的风险评估过程,在部署前评估新项目、系统或数据处理活动的隐私影响。识别数据流、评估对个人的风险,并记录缓解措施。目前是 PIPEDA 下的最佳实践;根据魁北克第 25 号法律,对涉及个人信息的新项目是强制性的;预计在 CPPA 下将作为联邦要求成为强制性。
在部署新的分析功能、位置跟踪系统或第三方数据集成之前需要。提供 OPC 在执法场景中期望看到的文件化证据链。
分层通知
一种同意架构,以多个细节层次呈现隐私信息:为普通用户提供简短、突出的摘要;为希望更多控制权的用户提供细化选项;以及为希望获得完整信息的用户提供完整的隐私政策。被 OPC 推荐为在数字环境中获取有意义的同意的首选方法。
所有符合 PIPEDA 的 Captive Portal 应实施的架构模式。直接解决了 OPC 的担忧,即隐藏在冗长条款中的信息对用户来说功能上不可见。
问责原则 (PIPEDA Schedule 1,原则 1)
要求组织对其控制下的个人信息负责,并必须指定一名个人(隐私官)对合规负责。包括实施政策和实践、培训员工,并能够应 OPC 的要求证明合规性。
支撑所有其他 PIPEDA 合规活动的组织治理要求。多站点场所运营商必须有涵盖所有地点的文件化隐私管理计划。
Worked Examples
一家位于多伦多的 300 间客房酒店希望提供免费 Guest WiFi,并利用注册数据推动重复预订和促销电子邮件活动。酒店目前的 Captive Portal 使用一个“我接受”按钮,链接到 4000 字的服务条款文件。IT 总监被要求评估合规风险,并在下一次 OPC 审计周期前重新设计流程。
现有的单按钮流程不合规,必须替换为三层架构。在 WLAN 控制器(例如 Cisco Catalyst Centre 或 Aruba Central)上,配置 Captive Portal 重定向到通过 HTTPS 托管的新启动页面。启动页面的第 1 层提供简洁语言摘要面板:“我们收集您的姓名、电子邮件地址和设备标识符以提供 WiFi 访问。我们与 Purple(我们的 WiFi 分析提供商)共享此数据。您可以选择接收我们的促销邮件。”第 2 层提供两个复选框:复选框 A(预先选中,强制性):“我同意 WiFi 使用条款和隐私政策。”复选框 B(未选中,可选):“我希望接收来自 [酒店名称] 的促销优惠和新闻。”第 3 层提供超链接“完整隐私政策”,在新标签页中打开完整的符合 PIPEDA 要求的政策。政策必须指定:收集的数据类别(姓名、电子邮件、MAC 地址、会话时间戳)、目的(提供 WiFi 接入;若选择加入则为营销)、第三方(Purple,邮件营销平台)、保留期限(营销 12 个月,会话日志 90 天)以及隐私联系电子邮件。酒店还必须配置其 CRM 集成,标记带有同意状态的记录,以便只有勾选了复选框 B 的用户才会收到营销通信。实施同意版本系统,以便如果酒店将来增加新的分析合作伙伴,现有用户会被提示重新同意。
蒙特利尔的一家大型购物中心运营商希望部署 WiFi 分析系统,以在 120,000 平方英尺的零售空间内生成区域级客流热图。拟议的系统使用来自未关联设备(即未连接到网络的手机)的 WiFi 探测请求来估计访客数量和停留时间。CTO 希望在采购前了解 PIPEDA 和魁北克第 25 号法律的合规要求。
该部署涉及在未经个人知晓或同意的情况下处理个人信息(根据 PIPEDA,MAC 地址是个人信息)。根据 PIPEDA 和魁北克第 25 号法律,这需要仔细的架构控制。合规方法如下:首先,在采购前进行隐私影响评估(PIA),这是第 25 号法律对任何涉及个人信息的新项目的要求。PIA 必须评估数据收集的必要性和相称性。其次,在接入点或控制器级别使用旋转加密哈希(例如,HMAC-SHA256,密钥每 24 小时轮换一次)对 MAC 地址进行匿名化处理。这确保了同一设备无法跨天跟踪,并且原始 MAC 地址永远不会写入持久性存储。第三,配置分析平台仅存储和显示聚合的区域级计数,而不是单个设备的轨迹。仪表板应显示诸如“区域 A:450 名访客,平均停留 8 分钟”之类的信息,而不是个人移动路径。第四,在所有入口处张贴清晰、可见的标牌,告知正在使用基于 WiFi 的分析进行客流量测量,并提供链接到完整隐私通知的二维码。这满足了“公开”原则并提供了建设性通知。第五,对于连接的 WiFi 网络(访客可加入的 SSID),实施如上文酒店场景所述的标准三层 Captive Portal。第 25 号法律关于法文同意通知的要求适用于所有 Captive Portal 文本。
一家在加拿大有 85 家门店的全国性零售连锁店正在为即将到来的 CPPA 制度做准备。他们目前的 PIPEDA 合规性是足够的,但 CTO 想了解需要哪些架构变更才能达到 CPPA 级别的要求,特别是围绕数据主体权利、去标识化和增加的罚款风险。
从 PIPEDA 过渡到 CPPA 合规需要三项主要的架构投入。首先,实施自动化的数据主体权利工作流。CPPA 引入了明确的数据可携权和删除权。该连锁店的 WiFi 平台必须公开一个 API 端点,当由经过验证的数据主体请求触发时,该端点可以:(a)以机器可读格式(JSON 或 CSV)导出与给定电子邮件地址或设备标识符相关的所有个人数据;(b)同时从本地 Captive Portal 数据库、云分析平台以及所有下游 CRM 和营销自动化系统中清除该记录。这必须在规定的 SLA 内完成——CPPA 提议的响应窗口为 30 天。其次,升级去标识化协议。当前 PIPEDA 关于去标识化数据的指导相对宽松。CPPA 将引入更高的标准:去标识化数据的处理方式必须使重新识别“不具有合理可预见性”。对于基于 MAC 的分析,这意味着实施旋转哈希密钥(如上所述),并确保分析平台不能被操作员用于重新识别个人。第三,对所有高风险处理活动进行强制性隐私影响评估。对于零售连锁店,这包括任何涉及位置分析、用于定向广告的行为分析或与广告技术平台共享数据的部署。PIA 应记录在案并保存,作为问责制的证据。该连锁店还应审查所有第三方数据处理协议,并更新它们以包含符合 CPPA 要求的条款,涵盖数据保留、子处理者限制和违规通知时间。
Practice Questions
Q1. 贵场所目前的 Captive Portal 收集姓名、电子邮件和设备 MAC 地址。启动页面有一个“连接 WiFi”按钮,点击即视为接受服务条款(包括同意接收营销邮件)。用户向 OPC 投诉。贵场所具体违反了 PIPEDA 的哪些规定,所需的最低限度补救措施是什么?
Hint: 考虑 PIPEDA 原则 1、2、3 和 4。重点关注同意的捆绑和所提供通知的充分性。
View model answer
该场所至少犯下了三项违规行为。首先,根据原则 3(同意),将营销同意与 WiFi 访问捆绑在一起是不合规的——不能要求用户同意营销作为接收服务的条件。其次,根据原则 2(确定目的),目的未在收集时明确标识;用户必须阅读完整的服务条款才能发现营销目的。第三,根据 OPC 2018 年指南,该同意不是“有意义的”,因为关键要素(收集什么数据、为什么收集、谁获取这些数据)未突出显示。最低限度补救措施:用三层架构重新设计门户,将营销同意分离为一个单独的未选中复选框,并在启动页面添加简洁语言摘要。该场所还必须实施同意版本系统,并更新其隐私管理计划文件。
Q2. 您是温哥华一家会议中心的 IT 总监。一家供应商提议部署 WiFi 分析系统,跟踪场馆内所有设备的 MAC 地址——包括那些从未连接到 WiFi 网络的设备——以为参展商生成会话级移动分析。供应商称数据是“去标识化”的,因为他们对 MAC 地址进行了哈希处理。这一部署是否符合 PIPEDA?如果不符合,还需要哪些额外控制?
Hint: 考虑单纯的哈希处理是否构成 PIPEDA 下的去标识化。思考静态哈希和旋转哈希之间的区别,以及重新识别风险的概念。
View model answer
该部署可能符合要求,但需要额外的控制。对 MAC 地址的静态哈希处理并不构成 PIPEDA 下的真正去标识化,因为同一设备总是产生相同的哈希值,从而允许跨会话跟踪,并且在哈希表被泄露或 MAC 地址已知的情况下,有可能重新识别。要实现真正的去标识化,哈希密钥必须定期轮换(例如,每 24 小时),以确保同一设备无法跨会话跟踪。此外,场馆必须在所有入口处张贴清晰可见的标牌,告知正在使用基于 WiFi 的分析,从而满足公开原则。分析平台必须仅存储和显示聚合的区域级数据,而不是单个设备轨迹。如果供应商打算与参展商(第三方)共享会话级数据,这构成个人信息的披露,需要从已连接网络的用户获得明确同意,或者进行鲁棒的匿名化,使重新识别“不具有合理可预见性”。强烈建议在部署前进行隐私影响评估。
Q3. 一家在安大略省、阿尔伯塔省和魁北克省都有物业的连锁酒店正在标准化其 Guest WiFi 平台。CTO 希望有一个在所有省份都能使用的单一同意流程。法律团队指出,魁北克的第 25 号法律施加了额外要求。设计一个最低可行的同意架构,既能满足安大略省和阿尔伯塔省的 PIPEDA,也能满足魁北克的第 25 号法律,并与即将出台的 CPPA 兼容。
Hint: 确定所有三个制度中的最高共同标准。考虑语言、PIA 要求、同意粒度和数据主体权利。
View model answer
最低可行架构应按照所有适用制度中的最高标准设计,这意味着将第 25 号法律作为基线。同意流程必须:(1)提供双语(英语和法语)启动页面,并包含简洁语言的适时摘要;(2)为 WiFi 接入条款、营销同意和分析分析提供单独的、默认未选中的复选框;(3)链接到以两种语言提供的完整隐私政策,指定数据类别、目的、第三方、保留期和数据主体权利联系方式;(4)支持数据主体权利的访问、更正和删除——具有自动化工作流,可在 30 天内从所有系统清除记录;(5)在边缘实施旋转哈希 MAC 匿名化。在魁北克部署系统之前,根据第 25 号法律进行隐私影响评估。为了与 CPPA 向前兼容,确保平台支持以机器可读格式导出数据可携权,并能生成所有同意事件的审计跟踪。这一单一架构满足了安大略省和阿尔伯塔省的 PIPEDA、魁北克第 25 号法律,并且当立法通过时,为 CPPA 合规做好了充分准备。
Q4. 在部署合规的 Captive Portal 六个月后,您的营销团队希望增加一个新的集成,将会话数据(电子邮件、访问频率、停留时间)发送给第三方程序化广告平台,用于再营销活动。现有用户同意了原始条款,但其中未提及该平台。在激活此集成之前,您在 PIPEDA 下的义务是什么?
Hint: 重点关注 PIPEDA 下的“新目的”要求以及 OPC 关于动态同意的指导。考虑什么构成隐私实践的重大变化。
View model answer
根据 PIPEDA,将个人信息与第三方广告平台共享用于再营销构成了原始同意中未预见的新目的。在激活集成之前,您必须:(1)更新您的隐私政策,披露新的第三方和再营销目的;(2)将您隐私实践的重大变化通知所有现有用户——这可以通过电子邮件发送给在 WiFi 注册时提供地址的用户;(3)在其数据与广告平台共享之前,从现有用户那里获取针对新目的的新同意——这意味着向他们呈现新的选择加入机会,而非假设其原始同意涵盖新用途;(4)确保不同意新目的的用户继续不受干扰地使用 WiFi 访问;(5)审查与广告平台的数据处理协议,确保其包含足够的保护措施,防止平台进行二次使用。在激活集成之前未能获得新的同意,将构成超出原始同意范围披露个人信息——这是对 PIPEDA 原则 3 的直接违反。