【加拿大隐私法】法案C-27:加拿大重新对联邦隐私法进行全面修改，提出新的人工智能立法

2020年11月，联邦政府提出了C-11法案，对加拿大的隐私环境进行了重大改变，该法案提议废除现行联邦私营部门隐私法《个人信息保护和电子文件法》(“PIPEDA”)中与个人信息相关的条款，并以新的隐私和数据法律框架取而代之。

C-11法案最终未能成为法律，部分原因是2021年将举行联邦选举。

然而，在2022年6月16日——在去年的选举和一段时间的悬念之后——联邦政府在下议院提出了C-27法案，重新启用了C-11法案。题为《2022年数字宪章实施法案》的法案C-27保留了法案C-11的核心元素，包括其以下提议:

• 颁布消费者隐私保护法(“CPPA”)，该法案将取代PIPEDA中题为“私营部门个人信息的保护”的第1部分，[1]和
• 颁布《个人信息和数据保护法庭法案》(“PIDPTA”)，该法案设立了一个行政法庭，审理对加拿大隐私专员根据《加拿大隐私保护法案》所作某些决定的上诉，并对违反《加拿大隐私保护法案》某些条款的行为施加惩罚，或者相反地，允许上诉，并在这样做的时候，用自己的裁决、命令或决定代替专员的决定。

尽管有这些相似之处，但C-11法案和C-27法案之间仍有显著差异。C-27法案的一个关键新方面是它如何处理人工智能(“AI”);虽然C-11法案通过其关于自动化决策的拟议条款解决了与AI使用相关的某些问题，但C-27法案将通过其制定《人工智能和数据法案》(“AIDA”)以规范AI系统的提议，在这一框架上进行极大扩展。

C-27法案是全球推动加强世界各地隐私法规的一部分，这一趋势始于2018年5月25日生效的欧盟《通用数据保护条例》(“GDPR”)，其中还包括魁北克省的新隐私立法第64号法案。有关第64号法案的更多信息，请参考我们此前发表于2022年4月27日和2020年6月19日的文章。

本文主要关注C-27号法案和C-11号法案之间的关键区别。要深入了解根据C-11法案首次提出的修改，请参阅我们之前的文章。

消费者隐私保护法

CCPA保留了加拿大隐私专员扩大后的权力，以及在违规情况下的严厉处罚。这些包括:

• 行政罚款，最高为全球总收入的3%或1000万美元;
• 增加对某些严重违法行为的罚款，最高罚款为全球总收入5%或2500万美元中最高者;
• 赋予加拿大隐私专员审计和下达命令的权力;和
• 对因违反CPPA而造成损失的组织提出损害赔偿的私人诉讼权利。

C-27号法案提出了以下额外的关键修改:

• 未成年人的个人信息被明确认为是敏感的个人信息，因此可能会对其使用的适当目的、所需同意的性质(即明示vs默示)、保留期限、采取的安全保障措施、违规通知和撤销识别等方面施加更严格的要求;
• 对同意的“商业活动”豁免包括一个附加的例外情况:在特定条件下，组织可以在个人不知情或不同意的情况下，为一项活动的目的收集或使用个人的个人信息，该组织在该活动中拥有的“合法利益”超过了对个人的潜在不利影响;
• 定义了“匿名化”一词，并明确了匿名化的信息不受CPPA约束;
• 它澄清了除少数例外情况外，“取消身份识别”的信息是个人信息，但扩大了取消身份识别的信息可用于重新识别个人的情况;
• 要求组织在确定保留期时考虑个人信息的敏感性，并随时提供有关这些保留期的信息;
• 安全保障措施必须包括合理的措施，以验证与个人信息有关的个人的身份;
• 要求各组织应个人请求处理个人信息(可包括匿名化)，但仅在某些情况下，且该请求在其他方面不属于增强的例外清单;和
• 虽然使用自动化决策系统的组织必须像之前的C-11法案一样，对系统对个人的预测、建议或决定提供解释，但必须提供这种解释的情况仅限于那些可能对个人产生重大影响的情况。在适用的情况下，在解释中必须解决的因素已经扩展到包括所使用的个人信息的类型，其来源，以及导致预测、建议或决定的原因或主要因素。

人工智能和数据法案

C-27法案的一个新特点是提议颁布《人工智能与数据法案》(“AIDA”)。AIDA是加拿大第一部规范AI系统创建和使用的联邦法律，将对不遵守规定的行为进行处罚。AIDA的既定目的是:

• 通过建立适用于全加拿大的AI系统的设计、开发和使用的共同要求，规范AI系统中的国际和跨省贸易和商业，以及
• 禁止与AI系统相关的某些行为，这些行为可能对个人或其利益造成严重伤害。AIDA将“伤害”定义为(a)对个人的身体或心理伤害，(b)对个人财产的损害，或(c)对个人的经济损失。

AIDA将“人工智能系统”定义为一种技术系统，它通过使用遗传算法、神经网络、机器学习或其他技术，自主或部分自主地处理与人类活动相关的数据，以生成内容或做出决策、建议或预测。

AIDA下对AI的监管聚焦于开展“受监管活动”的组织，这意味着(a)为设计、开发或使用AI系统的目的，处理或提供任何与人类活动有关的数据供使用，或(b)设计、开发或提供使用AI系统或管理其操作。

开展任何受监管的活动和处理或提供匿名数据供使用的组织必须就数据的匿名化方式以及匿名数据的使用或管理制定措施。

AIDA对一般的人工智能系统和那些专门被称为“高影响系统”的人工智能系统都提出了监管要求。现有的“高影响系统”的定义是模糊的，将通过监管建立的标准来解决。截至本文发表，这些法规仍在起草中。

所有负责AI系统的组织都将被要求评估该AI系统是否是一个高影响系统。当AI系统满足高影响系统的定义时，责任人必须:

• 制定措施，以识别、评估和减轻使用该系统可能导致的伤害或有偏见输出的风险;
• 制定措施，以监测缓解措施的遵守情况以及这些缓解措施的有效性;
• 在系统可供使用或组织正在管理系统运行的情况下，在公共网站上发布系统的通俗说明，其中包括规定的内容;和
• 如果使用该系统导致或可能导致实质性损害，应通知工业部长(或其他指定的部长)。

此外，《AIDA》为部长提供了广泛的命令制定权和审计权。此外，《AIDA》还授权部长指定一名人工智能和数据专员，其职责将是协助《AIDA》的管理和执行。

除了行政处罚之外，AIDA还将引入包括巨额罚款和对不遵守行为的潜在监禁在内的犯罪行为。一般来说，违反《AIDA》的组织一经起诉，最高可被处以1000万美元和全球总收入3%中较大者的罚款。此外，《AIDA》还规定了更高级别的违禁活动，其违反行为包括:

• 处理或使用AI系统中非法获取的个人信息;
• 造成严重身心伤害或重大财产损失的AI系统;或
• 欺骗公众并造成重大经济损失的人工智能系统。

此类严重违法行为将导致罚款，最高可达2500万美元，并处全球总收入的5%。

下一个步骤

由于C-27法案仅处于二读阶段，在该法案通过议会的过程中，可能会有更多的辩论和潜在的修订。在本届议会会议中重新提出隐私改革立法是一个明确的信号，表明联邦政府致力于对加拿大隐私法进行全面改革，此前Québec省通过了第64号法案进行了修改。

如果法案通过，C-27号法案将在总督议会命令确定的日期生效，尽管C-27号法案的每一部分也包含了具体的生效条款。

投稿人:Wendy Wagner, Chris Oates和Naïm Alexandre Antaki。

本文：