Global Privacy Control এখন দশটি অঙ্গরাজ্যে বাধ্যতামূলক অপ্ট-আউট সংকেত
GPC আর শুধু পরামর্শ নয়। Disney মীমাংসা ও তিন-রাজ্যের যৌথ তদন্তের পর, Sec-GPC হেডার যুক্তরাষ্ট্রের দশটি অঙ্গরাজ্যে আইনত বাধ্যতামূলক — আর কুকি-মুক্ত অ্যানালিটিক্সের মেনে চলার মতো কিছুই নেই।
একটি ব্রাউজার এখন একটিমাত্র HTTP হেডারে আপনার সার্ভারকে জানাতে পারে যে দর্শনার্থী তার ডেটা বিক্রি বা শেয়ার করা থেকে অপ্ট-আউট করেছেন — এবং যুক্তরাষ্ট্রের দশটি অঙ্গরাজ্যে আপনি আইনত তা মানতে বাধ্য। সংকেতটি হলো Global Privacy Control (GPC), এবং এক বছরের প্রয়োগমূলক পদক্ষেপের পর এটি আর সৌজন্য নয়, বরং এমন একটি দায়িত্ব যা ডেভেলপারদের কোডে বাস্তবায়ন করতে হবে।
বেশিরভাগ দল GPC হ্যান্ডলিংয়ের একটি লাইনও লেখেনি। সেই ফাঁক এখন প্রয়োগের লক্ষ্য।
সংকেতটি আসলে কী
GPC হলো একটিমাত্র অগ্রাধিকার বর্ণনাকারী দুটি পৃষ্ঠ। নেটওয়ার্কে এটি একটি HTTP রিকোয়েস্ট হেডার:
Sec-GPC: 1
W3C স্পেসিফিকেশন ঠিক একটি মান অনুমোদন করে — আক্ষরিক অক্ষর 1। GPC সক্রিয় থাকা অবস্থায় ব্রাউজার যে প্রতিটি অনুরোধ করে তার সঙ্গে হেডারটি পাঠানো হয়: পেজ লোড, API কল, ছবি ও স্ক্রিপ্ট ফেচ। Sec-GPC: 0 বলে কিছু নেই; হেডারের অনুপস্থিতি মানে কোনো সংকেত নেই, সম্মতি নয়।
JavaScript-এ একই অগ্রাধিকার navigator-এ উন্মুক্ত থাকে:
const optedOut = navigator.globalPrivacyControl === true
এই প্রপার্টিটি GPC সক্রিয় থাকলে true, সমর্থিত কিন্তু বন্ধ থাকলে false, এবং যে ব্রাউজার স্পেসিফিকেশন বাস্তবায়ন করে না সেখানে undefined ফেরত দেয়। সার্ভার-সাইড হেডার শনাক্তকরণ ও ক্লায়েন্ট-সাইড প্রপার্টি পঠন পরস্পর বিনিময়যোগ্য নয়: যেকোনো JavaScript চলার আগেই হেডারটি পৌঁছে যায়, তাই এজে ডেটা সংগ্রহকারী যেকোনো কিছুকে হেডারটি পড়তে হবে।
কেন এটি বাধ্যতামূলক হলো
অঙ্গরাজ্যের আইনের একটি ঢেউয়ে সর্বজনীন অপ্ট-আউট ব্যবস্থা ঐচ্ছিক থেকে বাধ্যতামূলকে রূপান্তরিত হয়েছে। ক্যালিফোর্নিয়া (CPRA), কলোরাডো, কানেটিকাট, ডেলাওয়্যার, মন্টানা, নেব্রাস্কা, নিউ হ্যাম্পশায়ার, নিউ জার্সি, ওরেগন এবং টেক্সাস এখন পরিধির মধ্যে থাকা ব্যবসায়গুলিকে একটি অনুমোদিত অপ্ট-আউট অগ্রাধিকার সংকেত মান্য করতে বাধ্য করে, এবং এই প্রতিটি নিয়ন্ত্রক GPC-কে বৈধ হিসেবে মনোনীত করেছে। ২০২৫ সালের মাঝামাঝি পর্যন্ত এটি একটি কার্যকর আইনি কর্তব্যসহ দশটি অঙ্গরাজ্য।
প্রয়োগ নিয়মকে অনুসরণ করেছে। ২০২৫ সালের সেপ্টেম্বরে ক্যালিফোর্নিয়া প্রাইভেসি প্রোটেকশন এজেন্সি, কলোরাডোর অ্যাটর্নি জেনারেল এবং কানেটিকাটের অ্যাটর্নি জেনারেল একটি যৌথ তদন্ত অভিযান ঘোষণা করেন, যা বিশেষভাবে অপ্ট-আউট সংকেত উপেক্ষাকারী ব্যবসায়গুলিকে লক্ষ্য করে — এবং এমন সাইটগুলির নাম তুলে ধরে যা সম্মতিসম্পন্ন দেখতে নিশ্চিতকরণ প্রদর্শন করে অথচ পটভূমিতে ডেটা প্রক্রিয়াকরণ চালিয়ে যেত।
২০২৬ সালের ফেব্রুয়ারিতে ক্যালিফোর্নিয়ার অ্যাটর্নি জেনারেল অপ্ট-আউট অনুরোধ মান্য করতে নিয়মতান্ত্রিক ব্যর্থতার জন্য The Walt Disney Company-এর সঙ্গে ২৭.৫ লক্ষ ডলারের মীমাংসা-য় পৌঁছান, যা আজ পর্যন্ত সবচেয়ে বড় CCPA মীমাংসা। আগের Sephora-র ১২ লক্ষ ডলারের মীমাংসা GPC-কে বৈধ সংকেত হিসেবে প্রতিষ্ঠা করেছিল; Disney প্রতিষ্ঠা করল যে বড় পরিসরে এটি উপেক্ষা করা ব্যয়বহুল।
গতিপথ স্থির। ২০২৫ সালের অক্টোবরে স্বাক্ষরিত ক্যালিফোর্নিয়ার Opt Me Out Act (AB 566) দাবি করে যে ব্রাউজারগুলিকে নিজেরাই ২০২৭ সালের ১ জানুয়ারির মধ্যে একটি অন্তর্নির্মিত অপ্ট-আউট সংকেত নিয়ন্ত্রণ সরবরাহ করতে হবে। GPC ট্রাফিক এখান থেকে কেবল বাড়বে।
এটি মান্য করতে কী লাগে
যে অ্যানালিটিক্স বা বিজ্ঞাপন স্ট্যাক ডেটা বিক্রি বা শেয়ার করে, তার জন্য বাস্তবায়ন প্রকৃত কাজ। কোনো ট্র্যাকিং চালু হওয়ার আগেই আপনাকে এজে হেডারটি শনাক্ত করতে হবে, সেই অনুরোধের জন্য ডেটা শেয়ারিং দমন করতে হবে, এবং — ২০২৬ সালের ১ জানুয়ারি থেকে কার্যকর CCPA বিধি অনুসারে — প্রমাণ করতে সক্ষম হতে হবে যে সংকেতটি কেবল গৃহীত নয়, প্রক্রিয়াকৃত হয়েছে।
if request.headers["Sec-GPC"] == "1":
# do not sell or share; do not load ad/attribution tags
# log that the signal was honored
কঠিন অংশটি if বিবৃতি নয়। এটি হলো পেজের প্রতিটি ট্যাগ, পিক্সেল ও কনভার্শন স্ক্রিপ্ট নিরীক্ষা করা, প্রতিটি থামে তা নিশ্চিত করা, এবং চাহিদামতো প্রমাণ উপস্থাপন করা। একটি সাধারণ সাইট অপ্ট-আউট-সংশ্লিষ্ট তৃতীয় পক্ষ লোড করে যা সে পুরোপুরি নিয়ন্ত্রণ করতে পারে না — এটিই ঠিক সেই পৃষ্ঠ যা বহু-রাজ্যের অভিযান যাচাই করেছিল।
কেন কুকি-মুক্ত অ্যানালিটিক্স এই প্রশ্নের বাইরে
GPC হলো লক্ষ্যনির্ভর বিজ্ঞাপনের জন্য ব্যক্তিগত তথ্যের বিক্রি বা শেয়ারিং থেকে অপ্ট-আউট। দায়িত্বটি কেবল তখনই প্রযোজ্য হয় যখন আপনি এমন কিছু করছেন যা থেকে দর্শনার্থী অপ্ট-আউট করতে পারেন।
একটি privacy-first ট্র্যাকার ডেটা বিক্রি বা শেয়ার করে না, ক্রস-সাইট প্রোফাইল তৈরি করে না, এবং শুরু থেকেই কোনো ব্যক্তিগত শনাক্তকারী সংরক্ষণ করে না। নিচের দিকে কোনো বিজ্ঞাপন এক্সচেঞ্জ নেই এবং দমন করার মতো কোনো তৃতীয় পক্ষ নেই। দৈনিক দর্শনার্থী হ্যাশ বিশেষভাবে এমনভাবে তৈরি করা যাতে শেয়ার করার মতো কোনো স্থিতিশীল শনাক্তকারী না থাকে:
visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)
IP ও User-Agent কেবল মেমরিতে পড়া হয়, হ্যাশ গণনায় ব্যবহৃত হয়, তারপর বাতিল হয়। তারিখ ইনপুটের কারণে হ্যাশ প্রতিদিন আবর্তিত হয়, তাই নীতিগতভাবেও বিক্রি করার মতো কোনো ক্রস-সেশন পরিচয় নেই। /collect এন্ডপয়েন্ট একটি অনুরোধ গ্রহণ করে, একটি সমষ্টিগত গণনা উদ্ভূত করে, এবং এমন কিছু রাখে না যা কোনো ব্যক্তির কাছে ফিরিয়ে নিয়ে যায়।
এটি আপনাকে সদিচ্ছার খাতিরে Sec-GPC পড়া থেকে অব্যাহতি দেয় না: এমন একটি সংকেত মান্য করা, যার ওপর কাজ করার মতো ডেটা প্রযুক্তিগতভাবে আপনার নেই, সস্তা এবং অভিপ্রায় প্রকাশ করে। কিন্তু এর অর্থ হলো GPC সম্মতির ব্যয়বহুল অংশ — যে অংশটি Disney ভুল করেছিল — কখনোই প্রযোজ্য হয় না। থামানোর মতো কোনো ডেটা বিক্রি নেই কারণ আর্কিটেকচার কখনোই বিক্রয়যোগ্য ডেটা উৎপন্ন করেনি।
উভয় ব্যবস্থায় অভিন্ন প্যাটার্ন
EU-র সম্মতি-আগে-ট্র্যাকিং মডেল এবং US-র সংকেত-অনুসারে-অপ্ট-আউট মডেল বিপরীত মনে হয়, এবং পদ্ধতিগতভাবে তা-ই। কিন্তু তারা একই প্রযুক্তিগত সত্যে মিলিত হয়: উভয় ব্যবস্থাই একটি স্থায়ী, ব্যক্তি-সংযুক্ত শনাক্তকারীর সৃষ্টি ও চলাচল নিয়ন্ত্রণ করে। GDPR আপনি একটি স্থাপন করার আগে সম্মতি চায়; অঙ্গরাজ্যের আইন একটি ব্রাউজারকে পরে তার বিক্রি প্রত্যাহারের অনুমতি দেয়।
যে সিস্টেম কখনোই ক্রস-সেশন শনাক্তকারী তৈরি করে না, সেটি উভয় প্রশ্নের উত্তর একইভাবে দেয়। সম্মতি ব্যানারের নিয়ন্ত্রণ করার মতো কিছু নেই, এবং অপ্ট-আউট সংকেতের প্রয়োগ করার মতো কিছু নেই — কারণ নিয়ন্ত্রিত বস্তুটি কখনোই তৈরিই হয়নি।