阿尔伯塔省隐私专员Diane McLeod今天向加拿大国会下议院公共安全委员会提交了一份针对省级《Personal Information Protection Act》(PIPA,个人信息保护法)的修订建议报告。报告共62页,核心一句话:"2003年制定的法案,已经无法应对2026年企业数据泄漏的真实节奏。"她特别提到上个月曝光的阿省选民名单泄漏事件——超过34万阿省居民姓名、地址、出生年份被未授权外泄到一家小型营销分析公司服务器,发现到通报中间隔了整整11天。

新规四大要点

McLeod建议的修订包括四个核心条款:第一,泄漏事件发生后48小时内强制通知专员办公室和受影响个人;第二,最高罚款由现行的10万加元升至500万加元或全球年营收4%二者中较高者,对标欧盟GDPR;第三,引入董事个人责任条款——故意隐瞒或拖延通报的董事最高可处3年禁令;第四,扩大"个人信息"定义,纳入cookie ID、设备指纹、地理位置数据

卡尔加里大学法学院教授Emily Laidlaw对本站分析说,PIPA从2003年生效至今未做实质性大修,"22年间数据流转模式翻天覆地,从纸质档案到云端实时同步,原法案的'合理时限'已经无法定义"。Laidlaw指出,本省如果能在今年内通过修订,有望与魁北克Law 25一起成为联邦层面GDPR对标方案的标杆候选,"这对本省企业全球竞争力反而是利好"。

省检察总长Amery表态考虑立法

阿省检察总长Mickey Amery今早在埃德蒙顿省议会大楼回应记者提问时表态,省府"正在认真考虑"将McLeod的建议纳入秋季立法日程。Amery说:"选民名单事件给我们敲响了警钟,单靠现行最高10万的罚款,对一家上亿营收的企业根本不构成约束力。"消息一出,卡城本地隐私律师Nicholas Wright对本站表示,省内排队咨询PIPA合规框架的中型企业过去48小时增加了大约三倍。

PIPA修订核心条款

  • 泄漏通知:48小时内强制通知专员办公室与受影响个人
  • 最高罚款:由10万加元 → 500万加元(或全球年营收4%)
  • 董事责任:故意隐瞒最高可处3年董事禁令
  • 个人信息扩展:纳入cookie ID、设备指纹、地理位置
  • 触发事件:阿省选民名单泄漏,34万人受影响,11天才通报
  • 预计立法窗口:2026年秋季省议会会期

卡城华人企业协会担忧合规成本上升

卡尔加里华人企业协会(CCBA)秘书长梁伟祥今天对本站表示,协会会员中有大量电商、餐饮、地产中介等中小企业,"听到500万罚款脑子第一反应是'我做不下去了'"。梁伟祥说,协会本周已经预约下周三在卡城东北Calgary Marlborough Mall社区中心举办免费PIPA合规讲座,邀请律师Wright主讲。

Wright给本地华人小企业的建议是:先做三件最便宜的事。第一,把客户数据放在加拿大本土云服务(如AWS Canada、Microsoft Azure加拿大区域),不要继续用美国服务器;第二,制定一份简单的两页中文事件响应程序,明确"谁负责、何时通知、通知谁";第三,为收集cookie ID的网站加一个明显的Cookie同意横幅。Wright说:"90%的合规问题,做完这三件就能避免。"

下一步看什么

McLeod的报告将在5月14日由国会公共安全委员会公开听证。如果阿省政府本月内表态推动立法,最快秋季会期将出现一读议案,正式生效预计在2027年初。本站会跟进McLeod在5月14日的国会听证现场表态,对于本省华人小企业主,最实在的事就是这周把客户数据从美国服务器迁回加拿大区域——这件事不会因为修订延期而失去价值。