Paul Graham के लिए: कोई cookie banner कानून नहीं है
(amazingcto.com)cookie banner कानून न होने के बारे में
- Paul Graham ने सोचा कि EU ने cookie banner अनिवार्य किए हैं, लेकिन वास्तव में cookie banner के बारे में ऐसा कोई कानून मौजूद नहीं है.
- EU का कहना है कि व्यक्तिगत tracking, profiling और data sale के लिए consent ज़रूरी है.
- कंपनियाँ tracking न करके, या tracking नहीं चाहने वाले users के
Do Not Trackheader का सम्मान करके cookie banner से बच सकती हैं.
cookie consent के वैकल्पिक तरीके
- Browser, SSL icon की तरह tracking icon दे सकते हैं, और ऐसी जानकारी दिखा सकते हैं जिस पर user क्लिक करके consent दे सके.
- साइट के ऊपर एक छोटा banner दिखाकर cookie consent माँगा जा सकता है, या पेज के नीचे एक छोटा button रखकर "tracking के ज़रिए support" के लिए consent माँगा जा सकता है.
कंपनियों द्वारा cookie banner का उपयोग
- कंपनियाँ जानती हैं कि users tracking नहीं चाहते, लेकिन वे tracking करना चाहती हैं.
- इसलिए वे चाहती हैं कि user consent दे, और पेज के आधे हिस्से जितने बड़े cookie banner को ज़बरदस्ती दिखाकर content छिपा देती हैं और साइट का उपयोग बाधित करती हैं.
- वे ऐसे 'Dark UI Patterns' का इस्तेमाल करती हैं जो users को थका कर या भ्रमित करके consent दिला दें.
cookie banner की असलियत
- EU ने cookie banner अनिवार्य नहीं किए, लेकिन कंपनियाँ users की ज़िंदगी मुश्किल बना रही हैं.
- जब कंपनियाँ अब users के साथ चुपके से दुर्व्यवहार नहीं कर सकतीं, तो उन्होंने उसकी जगह उन्हें परेशान करने का तरीका चुन लिया.
privacy पर राय
- EU regulation हमेशा अच्छा हो, ऐसा नहीं है, लेकिन data privacy महत्वपूर्ण है, और लेखक ने 30 साल पहले PGP के लिए लड़ाई लड़ी थी और आगे भी लड़ते रहेंगे.
GN⁺ की राय
- cookie banner user experience को खराब करते हैं और वेबसाइट की accessibility को कम कर सकते हैं.
- users की data privacy की रक्षा करना महत्वपूर्ण है, लेकिन इसके लिए अपनाया गया तरीका user-friendly होना चाहिए.
- web developers को user consent लेने के बेहतर तरीके खोजने चाहिए, और यह web standards के विकास में योगदान दे सकता है.
- cookie banner की जगह ऐसे website design पर विचार किया जाना चाहिए जो users की privacy का सम्मान करे.
- तकनीकी रूप से
Do Not Trackheader के सम्मान जैसे mechanism लागू करना developers के लिए एक नई चुनौती हो सकती है, और यह users का भरोसा जीतने में मदद करेगा.
1 टिप्पणियां
Hacker News की रायें
कल्पना कीजिए एक ऐसे बाज़ार की, जहाँ कंपनियाँ ग्राहकों से छिपाकर ढेर सारी hidden fees जोड़ देती हैं, और यूज़र को बाद में पता चलने पर बुरा लगता है
जब कानून बदलकर कहता है कि “अगर fee पहले से नहीं बताई गई है तो उसे वसूला नहीं जा सकता”, तो बहुत-सी fees लेने वाली कंपनियाँ fees तो वैसी ही रखती हैं, लेकिन menu के हर page पर सबसे परेशान करने वाले तरीके से उन fees को पढ़वाने लगती हैं
फिर वे प्रचार करती हैं कि समस्या अत्यधिक fees नहीं हैं, न ही यह कि वे पहले उन्हें छिपाती थीं और कानून की वजह से अब बताना पड़ रहा है, बल्कि समस्या वह कानून है जो देर होने से पहले बताने के लिए मजबूर करता है
cookie banner भी मूल रूप से ऐसा ही है, और अभी cookie law को कोसने वालों में कुछ लोग हितों के टकराव की वजह से जानबूझकर गलत हैं, और कुछ इसलिए गलत हैं क्योंकि वे सच में उस पक्ष को समझते ही नहीं जिसका बचाव कर रहे हैं
इससे यह भी दिखता है कि कंपनियों और consumers के रिश्ते की हालत कैसी है, जहाँ ऐसे बुरे व्यवहार पर पहली प्रतिक्रिया “तुमने ही उसे ऐसा बनाया!” हो जाती है
आखिर में बुरे actor को छोड़कर हर किसी को दोषी जैसा माना जाता है
ज्यादा करीबी analogy यह होगी कि आप restaurant में जाएँ और आपको सभी dishes की allergy information वाली sheet पकड़ा दी जाए, और बैठाने से पहले आपसे कहलवाया जाए कि “मैं सहमत हूँ कि ये ingredients खाने में जाएंगे”
मैं मानता हूँ कि restaurant को वह जानकारी छिपानी नहीं चाहिए, और एक छोटा वर्ग वह जानकारी चाह सकता है, लेकिन क्या सब पर यह असुविधाजनक step थोपना चाहिए, यह अलग बात है। मांगने पर allergy information देने वाला मौजूदा वास्तविक तरीका भी ठीक काम करता था
ऐसी जानकारी जो सबके लिए मायने रखती हो और चौंकाने वाली हो, कंपनियों को बतानी चाहिए, लेकिन बहुत-सी चीजें ऐसी भी होती हैं जिनकी परवाह सिर्फ छोटा वर्ग करता है। cookies पर ही क्यों रुकें? अगर website server infrastructure विदेश में बना है तो popup, operating company का carbon emission average से अधिक है तो popup, headquarters food court का खाना kosher नहीं है तो popup भी अनिवार्य किया जा सकता है
cookies को बहुत गंभीरता से लेने वाला समूह binary size या JavaScript execution की परवाह करने वाले समूह जितने आकार का ही है। क्या JavaScript execution के लिए भी अनिवार्य popup दिखना चाहिए? website 10MB से बड़ी हो तो क्या पहले किसी हल्के page पर consent लेना चाहिए? समस्या यह है कि कैसे तय किया जाए कि कौन-सा व्यवहार popup warning के लायक है
cookie banner समस्या को market हल नहीं कर पाता और यह law खराब है, क्योंकि users असल में इसकी परवाह नहीं करते और बस चिढ़ते हैं
California में कानून है कि अगर business premises में ऐसे chemicals हो सकते हैं जो cancer पैदा कर सकते हैं, तो इसकी सूचना देनी होगी। इरादा अच्छा है, लेकिन threshold वास्तविक रूप से test की जा सकने वाली मात्रा से भी कम है, इसलिए लगभग हर property पर “यहाँ chemicals हो सकते हैं” वाला sign लगा होता है
warning बेकार है और बस परेशान करती है, और यह market forces की वजह से है; दूसरे शब्दों में कहें तो law ने ऐसा व्यवहार प्रोत्साहित किया है
session के लिए cookie इस्तेमाल करने की सूचना देना वैसा ही है जैसे यह बताना कि आप fork से खाना खाते हैं
समस्या यह है कि कुछ लोग उसी fork से लोगों को चुभोते हैं, इसलिए अब हर किसी को पहले से बताना पड़ रहा है कि वह fork कैसे इस्तेमाल करेगा। जबकि बस चुभोने की हरकत पर रोक लगा देनी चाहिए
ऊपर से मैं EU citizen भी नहीं हूँ और न ही EU-based website देख रहा हूँ, फिर भी मुझे लगातार cookie banners झेलने पड़ रहे हैं
KingOfCoders/amazingcto का यह कहना कि “cookie banner law जैसी कोई चीज़ नहीं है, बस track मत करो” technically सही है, लेकिन Paul Graham कानून की धाराओं की बात नहीं कर रहे थे
उनकी शिकायत को game theory के नजरिए से, यानी unintended consequences के उस नियम की तरह समझना चाहिए जो देखता है कि companies कानून पर वास्तव में कैसे प्रतिक्रिया देती हैं
blog post ने कानून के अच्छे इरादे पर focus किया, और PG के tweet ने वास्तविक परिणामों पर
समझ नहीं आता कि लोग सिर्फ EU को क्यों कोसते हैं और companies को क्यों नहीं
वास्तविक नतीजा यह है कि companies track करते रहना चाहती हैं, और hostile patterns व malicious compliance से users को धकेलकर “consent” देने पर मजबूर करती हैं
Paul Graham अब भी गलत हैं
लेख का मुद्दा यह था कि companies users की इच्छा के खिलाफ “consent” पाने के लिए जानबूझकर ऐसा करती हैं, और इसलिए कानून न तोड़ते हुए कानून तोड़ने जैसी बेहद पतली रेखा पर चलती हैं
सच कहें तो PG का tweet game theory से ज्यादा संबंधित नहीं है, बल्कि cookie banner दबाना पड़ने पर developed-world whining जैसा है। जटिल regulation और legislation के वास्तविक परिणामों का मूल्यांकन एक tweet के दायरे से बाहर है
अच्छा होगा Graham पहले यह तय करें कि वे आखिर कहना क्या चाहते हैं। क्या वे किसी खास EU representative का खंडन कर रहे हैं जो अच्छी regulation का दावा करता है? या उनका कहना है कि EU में शुरुआत से regulation करने की कोशिश करने की हिम्मत ही नहीं होनी चाहिए?
“अच्छा regulation करना” में regulation के संभावित नतीजों का अनुमान लगाने की क्षमता भी शामिल होती है
अगर आप ऐसा regulation बनाते हैं कि “कंपनियों को अब product मुफ्त में देना होगा। लेकिन वे customer की नाक को horn की तरह दबा सकती हैं”, तो बहुत लोगों की नाक दुखेगी
यहाँ भी मामला मिलता-जुलता है। लगभग हर वेबसाइट ads से पैसा कमाती है, या कम-से-कम site optimization के लिए user activity logs रखती है, और यह बदलने वाला नहीं है, इसलिए EU का बेवकूफाना regulation customers को थोड़ा और दर्द देता है
“site optimization के लिए user activity logs रखना” भी personal tracking की जरूरत नहीं रखता
लेकिन हर वेबसाइट को cookie banner की जरूरत नहीं होती। क्या GitHub काफी complex और user-optimized वेबसाइट नहीं है? https://github.blog/2020-12-17-no-cookie-for-you/
tracking नहीं > banner नहीं > सब ज्यादा खुश > जितने जरूरी ads हों, खुलकर दिखाइए
जिस क्षण किसी company को मुझे track करना पड़े, वह “website optimization” से ज्यादा कुछ कर रही होती है। वह मेरे data का इस्तेमाल मुझे कुछ बेचने के लिए कर रही है, या मेरा data third parties को बेच रही है
मुझे लगता है कि ऐसी चीजों के लिए अनुमति जरूरी होना अच्छा है
यह cookie law नहीं, बल्कि EU का एक प्रमुख anti-malware law भी है
सिद्धांत यह है कि third party द्वारा control किया गया कोई भी software जब internet के जरिए मेरे computer या phone में information लिखे या पढ़े, तो पहले से पर्याप्त explanation पर आधारित consent होना चाहिए
exceptions सिर्फ उन सीमित functions तक हैं जो user द्वारा मांगी गई service देने के लिए जरूरी storage/reading या load balancing जैसे कामों तक सीमित हैं। यह सिर्फ browser cookies ही नहीं, बल्कि webcam, microphone और Documents folder के contents पर भी लागू होता है
principle अपने-आप में उचित लगता है, लेकिन EU security checks/mandatory updates या privacy-respecting user metrics जैसी extra exceptions बनाने वाले reforms में deadlock में है। regulators भी व्यवहार में कुछ हद तक आंख मूंद रहे हैं, इसलिए कहना मुश्किल है कि EU regulation अच्छी तरह करता है
समाज कुल मिलाकर मूल, कई दशक पुराने law में bugs या overreach मानी जाने वाली चीजों को ठीक नहीं कर पा रहा है
legislation की दिलचस्प बात यह है कि law के unintended consequences की भी जिम्मेदारी होती है
service को न्यूनतम रूप से चलाने के लिए जरूरी data पर banner की जरूरत नहीं होती। क्योंकि उसके बिना site काम ही नहीं करेगी, इसलिए consent के शामिल होने की गुंजाइश भी नहीं है
legislation आम तौर पर हितों की लड़ाई होती है, और आदर्श रूप में legislator संकीर्ण private interests से टकराव होने पर public के overall interest की रक्षा करना चाहता है
अगर संकीर्ण interest वाला पक्ष powerful group हो, तो लड़ाई होना तय है, और अगर उनके पास regulation को उस harm से ज्यादा intrusive और annoying दिखाने का तरीका है जिसे वह मूल रूप से रोकना चाहता था, तो वे public opinion को अपनी तरफ मोड़ने के लिए उसका इस्तेमाल करेंगे
इसलिए legislators को भी ऐसी लड़ाई का अनुमान लगाना चाहिए, और उसके स्वरूप के लिए वे आंशिक रूप से जिम्मेदार हो सकते हैं, लेकिन पूरी तरह नहीं। private-interest forces जितनी मजबूत होंगी, regulation का सामना करने के तरीके खोजने की संभावना उतनी ज्यादा होगी
इस मामले में banner दिखाने वाली websites खुद को भी नुकसान पहुँचाती हैं। क्योंकि competitors को banner के बिना बेहतर experience देने का incentive मिलता है। यानी regulation competition की स्थिति में banner न दिखाने को valuable बना सकता है, इसलिए नतीजे देखने होंगे
cookies इस्तेमाल करना और लोगों के लिए experience unpleasant बनाना एक intentional choice है
legislators ने क्या foresee या intend किया था, यह कहना मुश्किल है, लेकिन मेरे हिसाब से cookie banners असल में a) अच्छे हैं, और b) उन companies की गलती हैं जो users के लिए बेहतर treatment की कल्पना नहीं कर पातीं
इन्हें अच्छा मानने की वजह यह है कि वे उन software users के लिए psychological annoyance पैदा करते हैं जो उनकी जरूरत से बचना या उन्हें ठीक से बनाना नहीं चाहते। उम्मीद है कि समय के साथ users के मन में यह धारणा बनेगी कि cookie banner वाली sites popup ads की तरह कुछ संदिग्ध और बेईमान हैं
आखिरकार मुझे लगता है कि यह law और भविष्य में इसके iterative/additional amendments न होने से बेहतर हैं। क्योंकि लोगों के data के misuse का level बेहद absurd है
pg शायद ad banners की बात कर रहे हैं, और अगर ऐसा है तो वे सही हैं। EU ने हमारी web experience खराब कर दी, जबकि ज्यादा खराब tracking करने वाले mobile apps को फायदा दिया
बड़ी समस्या यह है कि इस law ने कुछ भी ठीक नहीं किया, EU के बचे-खुचे online advertising business को तबाह कर दिया, और गलत चीज पर focus किया
European citizens ने शुरू में इस law की मांग नहीं की थी, और इससे बड़े मुद्दे मौजूद थे। इसे एक खास German interest group ने push किया, जिसमें ज्यादातर EU citizens की कोई दिलचस्पी नहीं थी
ad tracking ज्यादातर EU citizens की चिंता नहीं थी, और उनसे इस law के बारे में पूछा भी नहीं गया। इसके उलट internet और social media addiction ज्यादातर citizens की वास्तविक समस्या है
EU ने इस बेकार cookie banner issue पर इतनी energy और political capital खर्च कर दी कि addiction problem को हल करने के लिए क्षमता कम बची
जल्दबाजी में legislation हमेशा ऐसी चीजें पैदा करती है, और सबसे बुरी बात यह है कि ऐसे गलत decisions की कोई accountability नहीं होती। legislation को inspire करने वाले लोग election में दांव पर नहीं होते, और आने वाले European Parliament elections भी EU politics नहीं बल्कि domestic politics की proxy battle हैं
ऐसे political mismatch को कुछ बार point out करने पर भी, जब तक सचमुच कोई गंभीर चीज होकर बहुत देर न हो जाए, इसे बदलने का कोई mechanism नहीं है
एक निजी किस्से के तौर पर, एक बार मुझे कंपनी की वेबसाइट में cookie banner जोड़ने का काम मिला था। कई साल तक banner लागू होने से रोकता रहा, लेकिन नए मालिक marketing विभाग में कुछ नया आज़माना चाहते थे और वजह यह दी गई कि वकीलों ने कहा है कि user consent चाहिए
मुझसे कहा गया कि इसमें ज़्यादा समय न लगाऊं, ready-made product OneTrust इस्तेमाल करूं, और customization भी न करूं
जब मैंने कहा कि banner का default text बहुत डरावना लगता है और ऐसा संकेत देता है मानो हम ऐसी बहुत-सी चीजें कर रहे हों जो हम असल में नहीं करते, तो कहा गया कि OneTrust के वकीलों ने इसे review किया होगा, इसलिए बदलने पर legal risk बड़ा है और इसे जैसा है वैसा ही रहने दो
OneTrust का product एक general-purpose product है जिसे सबसे गंदी, ad-tech से दूषित media sites तक को compliant बनाना होता है, और मैंने दलील दी कि हम ऐसी site नहीं हैं, लेकिन बात नहीं बनी
OneTrust जैसी कंपनियों और इस क्षेत्र के consultants के पास non-compliance के risk को बहुत बढ़ा-चढ़ाकर दिखाने की incentive होती है। एक गैर-विशेषज्ञ के तौर पर मुझे लगता है कि good-faith actors पर असल legal risk वास्तव में काफी कम है। Authorities अगर non-compliance पाती हैं तो आम तौर पर सुधार का मौका देती हैं, और शायद हल्की-सी warning मिलने की संभावना ज़्यादा होती है। Global revenue के प्रतिशत से calculated डरावने fines ईमानदार गलती पर लागू होने वाली चीज नहीं हैं
साथ ही, जो businesses invasive tracking पर निर्भर हैं और जिन्हें सच में ऐसे banners की जरूरत होती है, उन्हें इससे फायदा होता है कि बाकी सभी लोग यह गलतफहमी पालें कि उन्हें भी user experience को banner से खराब करना चाहिए। तभी उनका काम normal और acceptable दिखता है
अच्छा उदाहरण है। Hacker News को भी, और linked article को भी cookie banner की जरूरत नहीं थी
मुझे वह mindset पसंद नहीं है जिसमें सरकार अच्छे इरादे जैसी दिखने वाली regulation बनाती है लेकिन loopholes छोड़ देती है, जिससे सबकी जिंदगी और झंझट वाली हो जाती है, और फिर लोग यह कहकर बचाव करते हैं कि “companies बस ऐसा न करें”
पहली बात, वे ऐसा नहीं कर रही थीं, इसलिए तो कानून चाहिए था; लेकिन कानून के बाद यह कहना कि वे खुद ही रुक जाएं, थोड़ा अजीब नहीं है क्या
अगर cookie law ठीक से इस्तेमाल हुआ होता, तो बात सिर्फ एक browser setting पर खत्म हो जाती जिसे सम्मान देना होता। तब यह users के लिए पूरी तरह transparent होता और मूल रूप से फायदेमंद होता
इसके बजाय, अक्षम officials की वजह से हमें लगभग हर site पर हमेशा cookie banner देखने पड़ते हैं, और वे standardized भी नहीं हैं, इसलिए newspaper जैसी जगहें जहां articles पोस्ट करती हैं, सबसे खराब cases में और भी जटिल banners बना सकती हैं
dark UI patterns वास्तव में illegal हैं, और अब courts ने भी ऐसा माना है। बस यह समझ cookie banner बनाने वाली companies में फैलनी बाकी है
browsers में पहले से “Do Not Track” setting है। अगर कोई website उस setting का सम्मान करने का विकल्प चुने, तो वह cookie banner बिल्कुल दिखाए बिना भी tracking न कर सकती है। लेकिन ज्यादातर ऐसा नहीं करतीं
इसके बजाय कानून technology-neutral तरीके से लिखा जाता है। इतना neutral कि इसे “cookie law” भी नहीं कहा जाता। इसका नाम ePrivacy directive है, और “cookie” सिर्फ उदाहरण के तौर पर 5 बार आता है
संदर्भ: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
जब Internet Explorer की market share 90% से ज्यादा थी, तब इसे सच में implement भी किया गया था
तब Google ने IE की user preference को bypass करने के लिए जानबूझकर गलत P3P header भेजा
जब Safari ने Google की third-party cookies को reject करने वाली heuristics जोड़ीं, तब भी Google ने उन्हें bypass करने की technical trick ढूंढ निकाली और इसके लिए उस पर fine लगा
IE और P3P के पूरी तरह मर जाने के बाद, browsers ने ad-tech industry के लिए implement करने में सबसे आसान minimal setting, DNT header, देने की कोशिश की। ad-tech industry ने इसे पूरी तरह ignore किया
tracking पर निर्भर trillion-dollar companies हैं, और वे अपने business को नुकसान पहुंचाने वाली technology को कमजोर करने और laws को रोकने के लिए हर संभव काम करेंगी
अगर “companies cookie banners से आसानी से बच सकती हैं; बस tracking न करें” है, तो EU को सीधे वही कानून बना देना चाहिए था
और हम उसे बस tracking मत करो law कहते
“cookie banner law जैसी कोई चीज नहीं है” कहकर EU का बचाव करने वाले लोग हैरान करते हैं। नहीं, कानून है। उसी कानून की वजह से लोग सोचते हैं “बेकार में risk क्यों लें?” और cookie banner जैसा कचरा जोड़ देते हैं
कानून कागज पर लिखे शब्दों का ढेर नहीं है, बल्कि ऐसी व्यवस्था है जो लोगों के व्यवहार को reward या punishment देकर बदलती है
लेकिन समझने की कोशिश न करना और safe side लेना आसान है। इसका मतलब यह नहीं कि बिना जांच किए safe option चुनने की जिम्मेदारी कानून पर डाल दी जाए
ज्यादातर लोग copycats होते हैं, इसलिए जब बड़ी websites cookie banners लगाती हैं, तो वे सोचते हैं कि उन्हें भी ऐसा करना चाहिए। फिर वे कानून को दोष देते हैं
अगर आप copycat नहीं हैं और अपने business को समझते हैं, तो unnecessary काम करवाने के लिए कानून को दोष देने की कोई वजह नहीं है
बेशक, कानून कभी-कभी समझने में जटिल होते हैं। ज्यादातर कानून ऐसे ही होते हैं, और इसलिए lawyers होते हैं। लेकिन tech sector में lawyers भी अक्सर copycats जैसे दिखते हैं। इसलिए खुद सोचना हमेशा अच्छा है, और दूसरों की कही हर बात पर भरोसा नहीं करना चाहिए। खुद जांच-पड़ताल और research करें तो यह इतना मुश्किल भी नहीं है
मेरे business ने online customers को track नहीं किया और banner भी नहीं था। बात खत्म
अगर lawyers overreact करते हैं या company essential tracking और non-essential tracking में फर्क नहीं कर पाती, तो अक्षम वे खुद हो सकते हैं