इंटरनेट की सबसे बड़ी झुंझलाहट: cookie कानूनों का लक्ष्य वेबसाइट नहीं, ब्राउज़र होने चाहिए

 (nednex.com/en)
9 पॉइंट द्वारा GN⁺ 2025-10-23 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • हर वेबसाइट पर बार-बार दोहराई जाने वाली cookie banner consent प्रक्रिया उपयोगकर्ता थकान पैदा करती है, और इसे व्यवहार में privacy की रक्षा न कर पाने वाली असफल व्यवस्था माना जाता है
  • मौजूदा संरचना में हर वेबसाइट को अलग-अलग consent प्रक्रिया लागू करनी पड़ती है, इसलिए छोटे साइट ऑपरेटरों पर अत्यधिक बोझ पड़ता है
  • लेखक समाधान के तौर पर cookie consent को ब्राउज़र settings चरण में एक साथ manage करने का तरीका प्रस्तावित करता है
  • उपयोगकर्ता एक बार की setting से अपने data usage के दायरे को एकीकृत रूप से नियंत्रित कर सकता है, और ब्राउज़र इसे सभी साइटों पर लागू करता है
  • यह तरीका user experience में सुधार, regulatory efficiency में वृद्धि, और developer burden में कमी — इन तीन पहलुओं से अधिक तर्कसंगत समाधान के रूप में पेश किया गया है

cookie banners की असफल हकीकत

  • GDPR और CCPA जैसे privacy laws अच्छे इरादे से बनाए गए थे, लेकिन उनका implementation अप्रभावी है
    • अनगिनत वेबसाइटों को अलग-अलग “Accept All” या “Manage Preferences” जैसे popup दिखाने पड़ते हैं
    • अधिकांश उपयोगकर्ता थकान के कारण बिना सोचे “सब स्वीकार करें” पर क्लिक कर देते हैं
  • यह तरीका उपयोगकर्ता की वास्तविक पसंद को अर्थहीन बना देता है, और इंटरनेट अनुभव को और असुविधाजनक बनाता है
  • लेखक का कहना है कि समस्या का मूल ‘क्या सुरक्षित करना है’ नहीं, बल्कि ‘इसे कहाँ manage करना है’ में है

मौजूदा संरचना की समस्याएँ

  • 1) consent fatigue: बार-बार consent माँगे जाने से उपयोगकर्ता सुन्न हो जाते हैं, और वास्तविक अर्थ में ‘स्वैच्छिक consent’ नहीं हो पाता
  • 2) छोटे ऑपरेटरों के लिए नुकसान: बड़ी कंपनियाँ legal teams और CMP(Consent Management Platform) के सहारे इससे निपट सकती हैं, लेकिन व्यक्तिगत bloggers या छोटे-मझोले businesses को कानूनी और तकनीकी बोझ उठाना पड़ता है
  • 3) नियंत्रण की कमी: “Accept All” के अलावा विकल्प दिए भी जाएँ, तो जटिल कानूनी भाषा और लंबे menu structure व्यवहार में उपयोगकर्ता की पसंद को सीमित कर देते हैं

नया प्रस्ताव: ब्राउज़र-केंद्रित consent management

  • उपयोगकर्ता ब्राउज़र की शुरुआती setup के समय सिर्फ एक बार data usage preferences चुनता है
    • Essential Only: केवल आवश्यक cookies की अनुमति
    • Performance & Analytics: anonymous data आधारित performance analysis की अनुमति
    • Personalized Experience: personalized content और ads की अनुमति
    • Custom: हर बारीक श्रेणी को खुद adjust करें
  • ब्राउज़र उपयोगकर्ता की पसंद के आधार पर हर साइट की cookies को अपने-आप allow या block करता है
    • जिन cookies का उद्देश्य स्पष्ट न हो, उन्हें ब्राउज़र स्वचालित रूप से block कर देता है
  • कानूनी regulation का फोकस लाखों वेबसाइटों → कुछ प्रमुख browser developers पर शिफ्ट हो जाता है, जिससे व्यावहारिक निगरानी संभव होती है

अपेक्षित बदलाव

  • उपयोगकर्ताओं के लिए: एक बार की setting से ज्यादा साफ और तेज इंटरनेट अनुभव, और data पर वास्तविक नियंत्रण
  • वेबसाइट ऑपरेटरों के लिए: cookie banners और CMP management का बोझ हटने से web performance में सुधार और development efficiency में बढ़ोतरी
  • regulators के लिए: अनगिनत साइटों के बजाय सिर्फ browser developers की निगरानी वाली सरल संरचना, जिससे कानून लागू करने की efficiency बढ़ती है

जटिल सिस्टम से सरल standard की ओर

  • आज का इंटरनेट हर साइट द्वारा अलग-अलग CMP जोड़कर चलाए जा रहे जटिल ecosystem में फँसा हुआ है
    • अनगिनत tools, ad networks और analytics services आपस में interact करते हैं, जिससे दोहराव वाला प्रयास और भ्रम पैदा होता है
  • browser-based approach इसे एकल standard में समेट देती है
    • उपयोगकर्ता की पसंद → ब्राउज़र → सभी साइटों पर एक समान लागू
  • लेखक ज़ोर देता है कि यह विचार कोई नया सिस्टम बनाने का नहीं, बल्कि अनावश्यक रूप से जटिल हो चुकी मौजूदा संरचना को तोड़ने का है

संबंधित पढ़ाई

2 टिप्पणियां

 
shakespeares 2025-10-24

अगर यह सब ब्राउज़र में पहले से प्रोसेस हो जाए, तो सच में काफी सुविधाजनक लगेगा।
 
GN⁺ 2025-10-23
Hacker News राय

  • मैं यह कहना चाहता हूँ कि इस समस्या का मूल कानून नहीं, बल्कि वे वेबसाइटें हैं जो tracking छोड़ना नहीं चाहतीं और जानबूझकर कानून का परेशान करने वाले तरीके से पालन करती हैं
    “कानूनी तौर पर सहमत हूँ” मेनू में 5 मिनट तक भटकना वांछित विकल्प नहीं है; असली मंशा “सभी अस्वीकार करें” विकल्प की थी
    हाल में अदालतें इसे सक्रिय रूप से लागू कर रही हैं, इसलिए “सभी अस्वीकार करें” बटन धीरे-धीरे गायब होते जा रहे हैं
    अंततः सबसे अच्छा नतीजा वही होगा जहाँ वेबसाइटें Do-Not-Track header का पालन करें, और web में न tracking हो, न banner दिखें
    संबंधित लिंक

    • समस्या 100% इस वजह से है कि कानून खराब तरीके से लिखा गया है, इसलिए ऐसा दुर्भावनापूर्ण अनुपालन संभव है
      अगर अच्छे नतीजे चाहिए, तो कानून ऐसा लिखा जाना चाहिए कि उसका दुरुपयोग ही न हो सके
      वेबसाइटें अनुमान के मुताबिक मुनाफा अधिकतम करने की कोशिश करेंगी, इसलिए बेहतर कानून लिखना चाहिए

    • मुझे लगता है कि कानून, दिशानिर्देश और मंशा—तीनों स्पष्ट हैं
      असली बची हुई सबसे बड़ी समस्या यह है कि कुछ “बड़ी कंपनियाँ” browser पर नियंत्रण रखती हैं
      Apple या Google में भी tracking को opt-in ढाँचे में बदलने की इच्छा नहीं है
      browser ecosystem में बड़े खिलाड़ियों का असर कम करना होगा और DMA जैसी नीतियाँ और फैलानी होंगी, ताकि एकाधिकारवादी दबदबे के खिलाफ प्रतिक्रिया हो और आगे हालात सुधरें
      मुझे लगता है कि अमेरिकी मुकदमेबाज़ी संस्कृति और यूरोप की सांस्कृतिक भिन्नता भी इस समस्या में भूमिका निभाती है
      अगर सिर्फ एक Google Font लोड करने से ही सैकड़ों “partners” तक data उजागर न होता, तो ज्यादातर consent popup की ज़रूरत ही नहीं पड़ती

    • आपत्ति यह है कि हर वेबसाइट पर बार-बार cookie consent पूछा जाना भी बहुत कष्टदायक है
      कानूनी अनुपालन खुद ही user experience खराब करता है और internet इस्तेमाल को और थकाने वाला बना देता है
      अंततः लगता है कि कानून बनाने वाले लोग असली user experience या privacy से ज़्यादा कंपनियों के नज़दीक हैं

    • default रूप से tracking होना ही अस्वीकार्य है
      Do-Not-Track अनुरोध को कानूनी तौर पर अनिवार्य बनाया जाना चाहिए, और जुर्माना global revenue के एक हिस्से के प्रतिशत के रूप में होना चाहिए

    • मुझे लगता है कि जिम्मेदारी individual website operator से ज़्यादा ad provider की है
      ad कंपनियाँ ad देने के लिए ad-tracking consent manager का इस्तेमाल लगभग अनिवार्य कर देती हैं
      मैंने खुद consent form बनाने की कोशिश की, लेकिन TCF बहुत जटिल है, और ad company के consent banner के अलावा दूसरे समाधान का समर्थन लगभग नहीं के बराबर है
      आखिर ad revenue ही server cost चलाती है, इसलिए ऐसे जटिल सिस्टम को hobby site चलाने वाले के लिए संभालना मुश्किल है
      अच्छा होता अगर user privacy का ज़्यादा सम्मान करने वाला कोई सरल विकल्प होता, और ideally browser को लक्ष्य बनाकर आसान नियंत्रण का ढाँचा बनता

  • मुझे लगता है कि इस तरह का data collection पूरी तरह प्रतिबंधित होना चाहिए
    यह भी शक है कि “क्या आप अपना data 500 partner websites के साथ साझा करने देंगे?” पर कोई सच में सहमति देगा

    • कंपनियों को data spam कंपनियों को देकर उसे “partners के साथ साझा करना” कहना प्रतिबंधित होना चाहिए
      “partner” शब्द में भरोसा और समानता का भाव है, जबकि हकीकत में ऐसा बिल्कुल नहीं है
      अगर यह data sale है, तो कानूनन उसे उसी स्पष्ट भाषा में बताया जाना चाहिए, और spam leak के जोखिम भी ठोस रूप से बताए जाने चाहिए
      सवाल कुछ ऐसा होना चाहिए: “क्या आप सहमत हैं कि आपका data किसी भी कंपनी को बेचा जा सकता है? क्या आप सहमत हैं कि भविष्य में इसका उपयोग spam या अपराध में होने का जोखिम है? हाँ/नहीं”

    • मैंने सुना है कि targeted ads, सामान्य ads की तुलना में 3 गुना revenue देती हैं
      निजी तौर पर, अगर मेरे data को track भी किया जाए लेकिन ads की मात्रा 1/3 रह जाए, तो मुझे वह बेहतर लगेगा
      कम-से-कम keyboard, पुरुषों के कपड़े जैसी दिलचस्प ads दिखेंगी, और पूरी तरह बेकार चीज़ों की भरमार से बचा जा सकेगा

    • ads और surveillance का तर्क हमेशा लगभग एक जैसा होता है
      कोई भी ads पाना नहीं चाहता, लेकिन मजबूत lobbying आर्थिक नुकसान और GDP गिरने का हवाला देकर ads खत्म करने का विरोध करती है
      surveillance में भी वही है—“security बढ़ेगी” वाला तर्क राजनीति में चल जाता है

    • मेरा मानना है कि सिर्फ वेबसाइट और विषय के context के आधार पर भी काफी relevant ads दिखाई जा सकती हैं
      जैसे hackerspace साइट पर Raspberry Pi ads, या rock music साइट पर vinyl या guitar tab ads

    • बहुत से users के consent देने की एक बेहद सरल वजह है: वे ad-surveillance आधारित content access ही चाहते हैं

  • age verification का मुद्दा भी ऐसा ही है
    DNT header कभी प्रस्तावित हुआ था, लेकिन वह जरूरत से ज्यादा सरल था और असल में अपनाया ही नहीं जा सका संबंधित दस्तावेज़
    industry user consent rate को अधिकतम करने के लिए इस तरह की जटिल संरचना बनाए रखती है
    browser-केंद्रित तरीका तकनीकी रूप से और user-friendly होने के लिहाज़ से सबसे बेहतर होगा, लेकिन ad industry और data collection industry के पास browser-आधारित नियंत्रण को मूल रूप से बाधित करने की ही प्रेरणा है
    आखिर जब वे web के बड़े हिस्से पर कब्ज़ा किए हुए हैं, तो browser-आधारित समाधान का वास्तविकता बनना मुश्किल है

    • DNT सुविधा वास्तव में browser में थी, लेकिन साइटों ने उसे नज़रअंदाज़ किया
      Chrome help के अनुसार DNT request भेजी जा सकती है, लेकिन ज़्यादातर वेबसाइटें “security बढ़ाने”, “content, services, ads देने” और “statistics reporting” के नाम पर फिर भी data collect करती हैं
      Google समेत लगभग सभी web services DNT request पर प्रतिक्रिया नहीं देतीं, और browser स्तर पर उपयोगी वास्तविक उपाय सिर्फ browser बंद होने पर सभी cookies मिटा देना ही रह जाता है
      संबंधित दस्तावेज़

    • age verification और privacy consent, browser की तरफ से संभाले जाने पर सबसे अच्छा काम करते हैं
      P3P के उदाहरण की तरह, browser/OS-आधारित नियंत्रण असली industry tracking ढाँचे को गंभीर चोट पहुँचा सकता है, इसलिए बड़ी कंपनियाँ शायद जानबूझकर ऐसे समाधानों को बढ़ने से रोकती या अनदेखा करती हैं
      नतीजा यह होता है कि individual site operator को बार-बार जरूरत से ज्यादा जटिल नियमों का बोझ उठाना पड़ता है

    • मज़ेदार बात यह है कि अगर DNT header को ठीक से प्रोसेस किया जाए, तो consent screen की ज़रूरत ही नहीं बचेगी
      जिन features के लिए consent चाहिए, बस उनका इस्तेमाल मत करो

    • मुझे लगता है कि browser अब public utility बन जाने चाहिए
      जब private ownership का खास लाभ नहीं बचा, तो उन्हें public good की तरह मानना चाहिए

  • “browser privacy enforcer की भूमिका निभाए, और user browser में एक बार विकल्प चुन ले, फिर उसके बाद सभी वेबसाइटें अपने-आप उसी विकल्प का पालन करें” इस दावे पर
    यह याद दिलाया गया कि browser आखिरकार user द्वारा इंस्टॉल किया गया software है, इसलिए सवाल है कि क्या सरकार का इसमें दखल उचित है
    इस तर्क से तो अतिरिक्त regulation चाहिए होगा कि वेबसाइटें हर cookie purpose का metadata बताने को बाध्य हों, और अंततः यह फिर site admin पर अतिरिक्त नियम बन जाएगा
    यह भी कहा गया कि incognito mode, multi-account containers जैसी browser features पहले से मौजूद हैं
    संबंधित लिंक

    • पूछा गया कि सरकार का दखल क्यों नहीं होना चाहिए
      यह भी सवाल उठा कि वेबसाइट code के regulation और browser code के regulation में वास्तविक फर्क क्या है

    • सबसे ज्यादा इस्तेमाल होने वाला browser provider खुद एक ad company भी है, इसलिए यहाँ साफ़ हितों का टकराव मौजूद है

  • मुझे नहीं लगता कि browser को यह समस्या हल करनी चाहिए
    cookie banner आम तौर पर tracking cookie consent की समस्या के रूप में जाना जाता है, लेकिन असल में जहाँ भी कोई third party दखल देती है, जैसे ads, और वह तकनीकी रूप से अनिवार्य नहीं है, वहाँ consent चाहिए होता है
    browser यह तय नहीं कर सकता कि कौन-सी 3rd party वास्तव में तकनीकी रूप से आवश्यक है; यह जानकारी आखिर individual site को ही देनी होगी
    site provider और third party की जिम्मेदारियाँ आपस में मिली हुई हैं, इसलिए समस्या और जटिल हो जाती है

    • अगर सिर्फ इतना कर दिया जाए कि वेबसाइटें कानूनी रूप से DNT header का पालन करें, तो समस्या तुरंत हल हो सकती है
      सरल समस्या के लिए सरल समाधान चाहिए

    • web browser के पास यह जानने का कोई तरीका नहीं है कि साइट का कोई element किस मंशा से शामिल किया गया है—तकनीकी रूप से आवश्यक है या tracking के लिए
      यह जानकारी सिर्फ website operator को हो सकती है
      cookie law सिर्फ cookies तक सीमित नहीं है; यह pixel gif, JS fingerprinting जैसे कई व्यक्तिगत पहचान-आधारित tracking साधनों पर भी लागू होता है

    • अगर कानूनी रूप से cookies पर “third-party” और “strictly necessary” जैसे tag लगाना अनिवार्य हो, तो गलत होने पर आज की तरह GDPR उल्लंघन के तहत सज़ा भी दी जा सकती है
      browser इन tags को देखकर user की इच्छा के अनुसार प्रति-साइट tracking की अनुमति/अस्वीकृति तय कर सकता है
      URL bar में HTTP/HTTPS ताले की तरह status indicator रखा जा सकता है, जहाँ से site-दर-site consent बदला जा सके
      छोटे site operator के लिए भी यह ज़रूरी है कि वह जिन ad network या analytics tools का इस्तेमाल करता है, उनके cookies कैसे काम करते हैं, यह समझे और सही tagging करे

  • जब cookie consent popup बहुत परेशान करता है, तो मैं बस tab बंद कर देता हूँ और आगे बढ़ जाता हूँ
    मैंने पाया है कि cookie consent notice और low-quality content लगभग अनुपाती होते हैं, इसलिए यह उलटे समय बचाता है

    • फिर सवाल है कि flight booking या दूसरे ज़रूरी काम कैसे करते हो
      यहाँ तक कि doctor की साइट पर भी cookie banner आता है
      क्या ऐसी साइटें भी छोड़ दोगे?

  • मुझे लगता है Global Privacy Control (GPC) पहले से इस समस्या को हल करने की दिशा में है, और Firefox में यह Do Not Track के विकल्प के रूप में पहले से लागू है
    अब बस कानूनी रूप से वेबसाइटों को इसका पालन करवाना बाकी है
    GPC संबंधित लिंक
    Firefox आधिकारिक मार्गदर्शन

    • DNT को भी EU में पहले से कानूनी प्रभाव मिला हुआ था, और सिर्फ नाम बदलकर GPC करने से कोई बुनियादी फर्क पड़ता नहीं दिखता
      अमेरिकी कुछ राज्य कानूनों में अगर browser default setting से signal भेजे, तो उसे "वैध signal" नहीं माना जाता; अगर कानूनी दायित्व कड़ा हुआ, तो GPC भी इसी तरह निष्प्रभावी किया जा सकता है
      अंततः इशारा यही है कि कानून trackers के पक्ष में लिखा गया है

    • इस बात से सहमति है कि Firefox कानूनी अनिवार्यता से पहले तकनीकी स्तर पर GPC ला रहा है

  • अगर कंपनियाँ बस tracking छोड़ दें, तो ऐसे consent window की ज़रूरत ही नहीं पड़ेगी

    • पहले EU को नेतृत्व करते हुए इसे लागू करना चाहिए
      EU Commission की आधिकारिक साइट पर भी cookie banner है, इसलिए EU को या तो वेबसाइटों से trackers हटाने होंगे, या मानना होगा कि कानून व्यवहार में बहुत कठिन है
      करने के लिए बहुत काम बाकी है
      EU Commission साइट संदर्भ

    • लेकिन कंपनियाँ हमेशा मुनाफे के हिसाब से चलती हैं
      user expectations के विपरीत, tracking में भी वे बिना अपवाद profit को ही प्राथमिकता देती हैं

    • व्यवहारिक रूप से कंपनियाँ खुद से रुकेंगी नहीं, और अगर “cookies” पर रोक लगी तो वे browser fingerprinting जैसे दूसरे tracking तरीकों पर शिफ्ट हो जाएँगी

    • शायद इन सारी tracking तकनीकों को ही अवैध घोषित करना अधिक बुनियादी समाधान हो सकता है
      आखिर स्वेच्छा से सहमत होने वाले users बहुत कम होंगे

    • कानून बनाने की समस्या यह है कि “tracking” की परिभाषा अस्पष्ट है, इसलिए site operator अक्सर कानून तोड़ने से बचने के लिए मजबूरी में consent screen लगा देते हैं

  • California ने 2027 से browser में opt-out setting अनिवार्य करने वाला कानून लागू किया है, और अभी California, Connecticut, Colorado आदि में यह नियम है कि browser/extension के ज़रिए भेजे गए opt-out request का सम्मान किया जाए
    New Jersey में भी यही स्थिति है
    California संबंधित कानून
    Connecticut & Colorado आधिकारिक घोषणा
    New Jersey data privacy FAQ

  • मुझे संदेह है कि क्या ऐसे कानून वास्तव में अपने मूल उद्देश्य वाला असर पैदा कर रहे हैं
    अगर नहीं, तो फिर वे बने क्यों हुए हैं, और क्यों हर कानून को लगातार अपनी वैधता साबित न करने पर अपने-आप समाप्त नहीं हो जाना चाहिए?

    • मुझे भी कुछ ऐसा ही लगा; निजी तौर पर इन कानूनों का बड़ा सकारात्मक असर नहीं दिखा, बस मेरी जिंदगी और internet थोड़ा और असुविधाजनक हो गया

    • पूछा गया कि “लक्ष्य हासिल होना” आखिर किसे कहेंगे
      “क्या cookie अस्वीकार करने पर साइट सच में tracking बंद करती है?” → कुछ करती हैं, कुछ नहीं
      फिर भी, उद्देश्य अपने-आप में अब भी वैध माना जा सकता है

    • अगर पूछा जाए कि GDPR प्रभावी है या नहीं, तो जवाब हाँ होगा
      जो जगहें इसे पूरी तरह नज़रअंदाज़ करती हैं वे आम तौर पर अविश्वसनीय कंपनियाँ हैं, और जो कंपनियाँ दुर्भावनापूर्वक अनुपालन करती हैं उनकी प्रतिष्ठा भी धीरे-धीरे खराब हो रही है, इसलिए वे बदल रही हैं
      user data की सुरक्षा न करने वाला दौर खत्म हो चुका है