কুকি আইন এখন আর কুকি সম্পর্কে নয়: Article 5(3) এখন কী কভার করে

"কুকি আইন" শব্দটি সবসময়ই একটি ভুল নাম ছিল। ePrivacy Directive-এর Article 5(3) কখনো কুকি শব্দটি ব্যবহার করেনি — এটি বলে "storing information, or gaining access to information already stored, in the terminal equipment of a subscriber or user।" দুই দশক ধরে, নিয়ন্ত্রকরা সেই টেক্সটটি বেশিরভাগ কুকিতে প্রয়োগ করেছিলেন কারণ কুকি ছিল প্রভাবশালী স্টোরেজ মেকানিজম। সেই সময় শেষ হয়েছে।

অক্টোবর 2024-এ European Data Protection Board Article 5(3)-এর প্রযুক্তিগত পরিধি সম্পর্কিত Guidelines 2/2023 চূড়ান্ত করেছে। নির্দেশিকাগুলো প্রযুক্তি-নিরপেক্ষ এবং স্পষ্টভাবে ট্র্যাকিং পিক্সেল, URL-ভিত্তিক ট্র্যাকিং, IP-only ট্র্যাকিং এবং অনন্য শনাক্তকারী কভার করে। এপ্রিল 2026-এ ফরাসি CNIL এবং ইতালীয় Garante সেই কাঠামোকে ইমেইল পিক্সেল ট্র্যাকিং সম্পর্কিত বাধ্যতামূলক জাতীয় নির্দেশিকায় অনুবাদ করেছে। দিকনির্দেশনা দ্ব্যর্থহীন: যদি কোনো কৌশল একটি সার্ভারকে দর্শনার্থীর ডিভাইস থেকে শনাক্তকারী সিগন্যাল পড়তে দেয়, কনসেন্ট প্রয়োজন, কিছু ফেরত লেখা হোক বা না হোক।

"Gaining access" এখন কী মানে

Article 5(3) দুটি অপারেটিভ ধারণার উপর নির্ভর করে: storage এবং gaining access। বেশিরভাগ বিদ্যমান সম্মতি কাজ শুধু স্টোরেজকে ট্রিগার হিসেবে বিবেচনা করে — যদি আপনি একটি কুকি সেট না করেন, আপনি ধরে নেন কোনো কনসেন্টের প্রয়োজন নেই। নির্দেশিকাগুলো সেই পাঠ প্রত্যাখ্যান করে।

Gaining access সন্তুষ্ট হয় যখন একটি সার্ভার সক্রিয়ভাবে ডিভাইসকে মান ফেরত পাঠাতে নির্দেশ দেয়। একটি ট্র্যাকিং পিক্সেল একটি অনুরোধ ট্রিগার করে যার ক্যোয়ারি স্ট্রিং শনাক্তকারী বহন করে। একটি নিউজলেটারে এম্বেড করা অনন্য URL প্রাপককে রিজলভ করে। একটি IP অ্যাড্রেস, যখন একই ডিভাইসকে সেশন জুড়ে অনুসরণ করতে ব্যবহৃত হয়, সেটিও অ্যাক্সেস — মানটি ডিভাইসের নেটওয়ার্ক স্ট্যাক থেকে উৎপন্ন হয় এবং প্রতিটি অনুরোধে পাঠানো হয়।

মেকানিজমই গুরুত্বপূর্ণ, পার্সিস্টেন্স ফরম্যাট নয়। সার্ভার-সাইড ডেটাবেসে সংরক্ষিত একটি ফিঙ্গারপ্রিন্ট ব্রাউজারে সংরক্ষিত একটি কুকির মতোই বিবেচিত হয়।

কেন এটি অ্যানালিটিক্স টুলিং মানচিত্র পুনর্লিখন করে

অনেক গোপনীয়তা-কেন্দ্রিক অ্যানালিটিক্স টুল নিজেদের কুকি-মুক্ত হিসেবে বিপণন করে যখন এখনও নির্দেশিকাগুলো যে প্যাটার্নগুলো এখন কভার করে তার উপর নির্ভর করে:

• সার্ভার-সাইড কুকি এবং CHIPS-স্টাইল পার্টিশনড শনাক্তকারী। কুকিকে একটি পার্টিশনড কনটেক্সটে বা একটি ফার্স্ট-পার্টি সার্ভার-সাইড স্টোরে সরানো অ্যাক্সেস প্রশ্ন পরিবর্তন করে না। যদি একই শনাক্তকারী ভিজিট জুড়ে অ্যানালিটিক্স সার্ভারে পৌঁছায়, এটি এখনও অ্যাক্সেস।
• IP-derived ভিজিটর ID। যে টুলগুলো IP হ্যাশ করে এবং দিন জুড়ে একটি স্থিতিশীল শনাক্তকারী হিসেবে হ্যাশ ব্যবহার করে সেগুলো ডিভাইস থেকে উৎপন্ন তথ্য অ্যাক্সেস করছে। EDPB-এর পরামর্শ স্পষ্ট: এটির জন্য কনসেন্ট প্রয়োজন যদি না কন্ট্রোলার প্রদর্শন করতে পারে যে IP ব্যবহারকারীর টার্মিনাল সরঞ্জাম থেকে উৎপন্ন হয়নি।
• পিক্সেল-ভিত্তিক ওপেন এবং ভিউ ট্র্যাকিং। CNIL-এর Decision No. 2026-042 (14 এপ্রিল, 2026) এবং Garante-এর 17 এপ্রিল, 2026 নির্দেশিকা ইমেইলে ব্যক্তিগত ওপেন ট্র্যাকিংয়ের জন্য স্পষ্ট, পৃথক কনসেন্ট প্রয়োজন — ইমেইল পাঠানোর আগে।

ভাগ করা প্যাটার্ন হলো একটি স্থিতিশীল শনাক্তকারী যা ভিজিট, সেশন বা বার্তা জুড়ে টিকে থাকে। স্টোরেজ লেয়ার যাই হোক না কেন, এটি একটি কুকির মতোই একই নিয়ন্ত্রক এক্সপোজার তৈরি করে।

সম্মত সংগ্রহের জন্য প্রযুক্তিগত পরীক্ষা

নির্দেশিকাগুলো একটি সংকীর্ণ করিডোর রেখে দেয়: সমষ্টিগত সিগন্যাল যেখানে সার্ভার যে মান সংরক্ষণ করে তা সময়ের সাথে সাথে একটি নির্দিষ্ট ডিভাইসে রিজলভ হয় না। একটি কালেকশন এন্ডপয়েন্টে একটি অনুরোধ মানগুলো বহন করে যা তিনটি বিভাগে পড়ে:

1. Transport-layer values (IP, User-Agent) the server cannot avoid receiving
2. Contextual values (path, referrer domain, country derived from IP)
3. Derived values the server chooses to produce and store

ক্যাটেগরি 1 TCP/HTTP-তে অপরিহার্য। প্রশ্ন হলো ক্যাটেগরি 3 কেমন দেখায়। যদি একটি ডেরিভড মান একটি স্থায়ী শনাক্তকারী হয় — এমনকি হ্যাশড, এমনকি সল্টেড — এটি অ্যাক্সেস। যদি একটি ডেরিভড মান একটি বাউন্ডেড উইন্ডোর মধ্যে রিসেট হয় এবং উইন্ডোগুলোর মধ্যে সম্পর্কিত করা যায় না, EDPB বিশ্লেষণ এটিকে সমষ্টিগত হিসেবে বিবেচনা করে।

Monoid দৈনিক ভিজিটর হ্যাশ এই পরীক্ষার বিরুদ্ধে ইঞ্জিনিয়ার করা:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IP এবং User-Agent শুধুমাত্র হ্যাশ গণনা করতে মেমরিতে ব্যবহার করা হয় এবং তারপর বাতিল করা হয়। তারিখ ইনপুটের মানে হলো একই দর্শনার্থী আগামীকাল একটি ভিন্ন হ্যাশ উৎপাদন করেন — গঠনগতভাবে অ্যাক্সেস করার মতো কোনো ক্রস-ডে শনাক্তকারী নেই। একটি একক দিনের মধ্যে হ্যাশটি সমষ্টিগত গণনার জন্য একজন দর্শনার্থীকে ডিডুপ্লিকেট করে; দিন জুড়ে একটি প্রতিপক্ষ বা নিয়ন্ত্রকের জন্য পুনর্নির্মাণ করার মতো কিছুই নেই।

কালেকশন এন্ডপয়েন্টে যে হেডারগুলো গুরুত্বপূর্ণ

দুটি HTTP হেডার একটি ফার্স্ট-পার্টি এজ কালেক্টরে বেশিরভাগ গোপনীয়তা পৃষ্ঠ বহন করে এবং সচেতনভাবে সেট করা উচিত।

Referrer-Policy: strict-origin-when-cross-origin হলো আধুনিক Chrome ডিফল্ট এবং ক্রস-অরিজিন অনুরোধে শুধু অরিজিন পাঠায়। unsafe-url এবং no-referrer-when-downgrade এড়িয়ে চলুন — উভয়ই অপ্রয়োজনীয়ভাবে পাথ তথ্য ফাঁস করে।

Permissions-Policy স্পষ্টভাবে অস্বীকার করা উচিত যেসব বৈশিষ্ট্য অ্যানালিটিক্স ট্র্যাকারের প্রয়োজন নেই:

Permissions-Policy: geolocation=(), microphone=(), camera=(),
  payment=(), usb=(), interest-cohort=()

একটি ট্র্যাকার যা অবস্থান, অডিও বা ডিভাইস সেন্সর অনুরোধ করতে পারে না, পেজ ভাগ করা একটি কম্প্রোমাইজড থার্ড-পার্টি স্ক্রিপ্ট দ্বারা তা করতে বাধ্য করা যায় না।

এই ত্রৈমাসিকে ডেভেলপারদের কী অডিট করা উচিত

তিনটি প্রশ্ন অডিটকে এগিয়ে নিয়ে যায়:

1. অ্যানালিটিক্স সার্ভার সংরক্ষণ করা কোনো মান কি এটিকে একটি 25-ঘণ্টা উইন্ডো জুড়ে একই দর্শনার্থীকে শনাক্ত করতে দেয়? যদি হ্যাঁ হয়, ডিপ্লয়মেন্টের সম্ভবত এখন Article 5(3) কনসেন্ট প্রয়োজন।
2. পিক্সেল এবং URL শনাক্তকারী কি ট্রানজ্যাকশনাল বা মার্কেটিং ইমেইলে ব্যবহৃত হয়? CNIL এবং Garante নির্দেশনার অধীনে, ব্যক্তিগত ওপেন ট্র্যাকিংয়ের জন্য ইমেইল পাঠানোর আগে পৃথক, স্পষ্ট কনসেন্ট প্রয়োজন।
3. কালেকশন এন্ডপয়েন্ট কি একটি কঠোর Referrer-Policy এবং একটি deny-by-default Permissions-Policy সেট করে?

"কুকি ব্যানার" প্রশ্নটি একটি আরও মৌলিক প্রশ্নের ডাউনস্ট্রিম: ডেটা মডেল কি আদৌ একটি ক্রস-সেশন শনাক্তকারী উৎপাদন করে। যখন উত্তর না হয়, পুরো Article 5(3) যন্ত্রপাতি — কনসেন্ট, প্রত্যাহার, প্রসেসিংয়ের রেকর্ড — সক্রিয় হয় না, কারণ নিয়ন্ত্রণের প্রযুক্তিগত ট্রিগার কখনো টানা হয়নি।