一、魁省隐私法的大框架
在魁北克，隐私保护不是“建议”，而是“硬规定”。只要你在魁省经营，不管是开餐馆、网店、补习班，还是注册公司，哪怕你是自雇，基本都要遵守《私营部门个人信息保护法》。这部法律因为“第25号法案”（俗称“法案25”）在 2021–2024 年分阶段升级，现在的版本可以说是北美最严格的之一。

只要你收集别人的名字、电话、地址、微信号、订单、甚至 CCTV 里的影像，你就得守这套规矩。

二、法案25带来的大变化

1. 必须有“隐私负责人”
   默认是老板，你也可以指定别人。但联系方式要放在网站上，万一出问题，客户知道找谁。
2. 要有清楚的隐私政策
   比如餐馆做会员卡、微信群点餐，要告诉客人：收了哪些信息、用来干嘛、会保存多久、能不能撤回同意。不能埋在一堆复杂条款里，要白纸黑字写清楚。
3. 同意更严格
   以前很多商家习惯把“隐私条款”藏在合同里，现在不行。客户必须单独、明确勾选同意。14岁以下孩子的信息，更要家长签字才行。
4. 跨境传输要评估
   如果你把数据传给中国的供应商、香港的客服，或用美国的云服务，法律要求你做“隐私影响评估”，要确认对方能保证数据安全，还要有书面合同。
5. 数据泄露必须通报
   比如把客户名单发错群，或者系统被黑。要先评估风险，如果可能造成严重损害，必须向监管机构（CAI）和受影响的人通报。即使风险不大，也要在公司内部留档。
6. 算法决策要透明
   比如你用自动筛选租客或自动定价软件，结果直接决定“租不租、价多少”。现在法律规定，客户有权知道“为什么”，还可以要求人工复核。
7. 个人新权利

• “可携带权”：客户可以要求把自己的数据导出来，带到另一家公司。
• “被遗忘权”：在一定条件下，客户可以要求搜索引擎不再显示某些结果，或要求网站删掉某些信息。

8. 罚得很重
   最高可以罚到 2500 万加元，或者全球营业额的 4%。哪怕你是小公司，也不能掉以轻心。

三、普通人（个人）能用的权利

• 你可以问企业：收了我什么信息，为什么用，存多久。
• 你可以要副本，也可以要求更正或删除。
• 你可以随时撤回同意。
• 如果被算法判了“拒绝贷款”或“租客不合格”，你有权要求解释和人工复核。
• 你可以要求“带走数据”，比如从一个健身房转去另一个健身房。
• 你觉得隐私被侵犯，可以先找企业，如果没结果，可以直接投诉到 CAI。

你不再是“信息的受害者”，而是“信息的主人”。

四、华人常见场景举例

1. 开餐馆/网店的老板

• 顾客电话、地址、微信号，都算个人信息。
• 做抽奖、拼团，必须单独写清楚“收集目的”，不能乱发给第三方。
• CCTV 装可以，但做人脸识别黑名单就危险了，监管机构会盯得很紧。
• 一旦顾客信息泄露，别装没事，要主动通报。

2. 房东和租客

• 房东想查信用记录，必须征得租客同意。
• 如果用“黑名单”软件拒租，要给解释和人工复核。
• 租客退租后，资料要及时销毁。

3. 诊所、补习班、移民中介

• 这些行业收的是“敏感信息”。必须有特别清晰的同意书，跨境传输时还要评估和签合同。

4. 微信群运营

• 不管是商家群还是租房群，收集的客户资料都算个人信息。最好群公告里写一句“本群仅用于订单/通知，信息不会外传”，避免误会。