Google তার ফিঙ্গারপ্রিন্টিং নিষেধাজ্ঞা বিপরীত করেছে: ডেভেলপারদের যা জানা দরকার
ফেব্রুয়ারি 2025 সালে, Google ডিভাইস ফিঙ্গারপ্রিন্টিংয়ের উপর তার নিজের নিষেধাজ্ঞা তুলে নিয়েছে। কী পরিবর্তিত হয়েছে, কেন নিয়ন্ত্রকরা সতর্ক এবং এটি আপনার অ্যানালিটিক্স স্ট্যাকের জন্য কী মানে, তা এখানে দেওয়া হলো।
ফেব্রুয়ারি 2025-এ, Google নীরবে তার বিজ্ঞাপন নীতিগুলো আপডেট করে ডিভাইস ফিঙ্গারপ্রিন্টিং অনুমতি দিয়েছে — একই কৌশল যা এটি 2019 সালে প্রকাশ্যে "ভুল" হিসেবে নিন্দা করেছিল। পরিবর্তনটি 16 ফেব্রুয়ারি, 2025-এ কার্যকর হয়েছে এবং অ্যানালিটিক্স তৈরি, একটি ওয়েব প্রোপার্টি চালানো বা Google-এর বিজ্ঞাপন অবকাঠামোর উপর নির্ভরশীল যে কারো জন্য উল্লেখযোগ্য পরিণতি রয়েছে।
ফিঙ্গারপ্রিন্টিং আসলে কী
Device fingerprinting হলো একটি স্থায়ী শনাক্তকারী তৈরি করতে একটি ব্রাউজার বা ডিভাইস থেকে একাধিক প্যাসিভ সিগন্যাল একত্রিত করার অনুশীলন। কোনো কুকি সেট করা হয় না। কোনো localStorage এন্ট্রি লেখা হয় না। ব্যবহারকারীকে কখনো প্রম্পট করা হয় না। ব্যবহৃত সিগন্যালগুলোর মধ্যে রয়েছে:
- IP অ্যাড্রেস এবং নেটওয়ার্ক মেটাডেটা
- অপারেটিং সিস্টেম এবং ব্রাউজার সংস্করণ
- স্ক্রিন রেজোলিউশন এবং রঙ গভীরতা
- ইনস্টল করা ফন্ট এবং উপলব্ধ কোডেক
- ভাষা, টাইম জোন এবং ব্যাটারি স্ট্যাটাস
স্বতন্ত্রভাবে, এগুলোর কোনোটিই একটি অনন্য শনাক্তকারী নয়। একত্রিত, তারা একটি ফিঙ্গারপ্রিন্ট উৎপাদন করে যা একই ডিভাইসকে সেশন জুড়ে পুনঃ-শনাক্ত করার জন্য যথেষ্ট সঠিক, এমনকি কুকি পরিষ্কার করার পরে এবং এমনকি প্রাইভেট ব্রাউজিং মোডেও। কুকির বিপরীতে, একজন ব্যবহারকারীর একটি ফিঙ্গারপ্রিন্ট মুছে ফেলার কোনো মেকানিজম নেই।
Google-এর নীতিতে কী বলা ছিল — এবং কী পরিবর্তিত হয়েছে
Google-এর 2019 অবস্থান স্পষ্ট ছিল: ফিঙ্গারপ্রিন্টিং "subverts user choice and is wrong" কারণ এটি স্ট্যান্ডার্ড ব্রাউজার গোপনীয়তা কন্ট্রোলের বাইরে কাজ করে। নীতিটি বিজ্ঞাপনদাতাদের Google বিজ্ঞাপন পণ্যগুলোতে ফিঙ্গারপ্রিন্টিং ব্যবহার করতে নিষেধ করেছিল।
ফেব্রুয়ারি 2025 আপডেট সেই নিষেধাজ্ঞা সরিয়ে দিয়েছে। Google-এর ফ্রেমিং ছিল প্রক্রিয়াগত — আপডেটটিকে একটি রুটিন নীতি সংশোধন হিসেবে বর্ণনা করা হয়েছিল — কিন্তু পদার্থ ছিল একটি বিপরীত। বিজ্ঞাপনদাতারা এখন টার্গেটিং এবং পরিমাপের জন্য IP অ্যাড্রেস, স্ক্রিন সাইজ, টাইম জোন, ব্যাটারি স্ট্যাটাস এবং ইউজার এজেন্ট স্ট্রিং সহ ডিভাইস-লেভেল শনাক্তকারী ব্যবহার করতে পারেন, ব্যবহারকারী কনসেন্ট পেতে বা অনুশীলন প্রকাশ করার কোনো প্রয়োজন ছাড়াই।
নিয়ন্ত্রক প্রতিক্রিয়া
UK-এর Information Commissioner's Office অবিলম্বে সাড়া দিয়েছে। Stephen Almond, ICO-এর regulatory risk এক্সিকিউটিভ ডিরেক্টর, এই পদক্ষেপকে "irresponsible" বলেছেন এবং নিয়ন্ত্রক অবস্থান স্পষ্ট করেছেন: PECR (the Privacy and Electronic Communications Regulations)-এর অধীনে ফিঙ্গারপ্রিন্টিং কুকির মতোই একই কনসেন্ট প্রয়োজনীয়তার অধীন।
ICO-এর যুক্তি প্রযুক্তিগতভাবে সঠিক। PECR একটি কনসেন্ট ট্রিগারকে "storing information, or accessing information stored, on a device" হিসেবে সংজ্ঞায়িত করে। ফিঙ্গারপ্রিন্টিং ডিভাইস থেকে তথ্য অ্যাক্সেস করে — এটি ব্রাউজার পরিবেশ থেকে মান পড়ে — যার মানে কনসেন্ট প্রয়োজনীয়তা প্রযোজ্য একটি কুকি ফাইল লেখা হোক বা না হোক। অ্যাক্সেসের মেকানিজমই গুরুত্বপূর্ণ, পার্সিস্টেন্স ফরম্যাট নয়।
GDPR-এর অধীনে, একই ডেটা সাবজেক্টরা যারা একটি কুকি-ভিত্তিক প্রোফাইল মুছে ফেলার অনুরোধ করতে পারেন তাদের একটি ফিঙ্গারপ্রিন্ট-ডেরাইভড প্রোফাইলের জন্য কোনো তুলনীয় মেকানিজম নেই। আপনি একটি সার্ভার থেকে একটি ফিঙ্গারপ্রিন্ট মুছে ফেলতে পারবেন না যা আপনি নিয়ন্ত্রণ করেন না। এটি একটি অসামঞ্জস্য তৈরি করে যা EU এবং UK-এর নিয়ন্ত্রকরা সক্রিয়ভাবে পরীক্ষা করছেন।
কেন এটি আপনার অ্যানালিটিক্স স্ট্যাকের জন্য গুরুত্বপূর্ণ
আপনার সাইট যদি Google-এর বিজ্ঞাপন ট্যাগ লোড করে — Google Ads-এর সাথে সংযুক্ত GA4-এর gtag.js সহ — আপনার দর্শনার্থীরা এখন একটি নীতির অধীনে ফিঙ্গারপ্রিন্টিংয়ের অধীন যা তাদের কনসেন্টের প্রয়োজন নেই। GA4 ট্যাগটি নিজেই প্রায় 45 KB এবং একাধিক আউটবাউন্ড অনুরোধ করে; ফিঙ্গারপ্রিন্টিং পরিবর্তনের সাথে, সেই অনুরোধগুলো এখন Google-এর অবকাঠামোতে স্থায়ী ডিভাইস-ডেরাইভড শনাক্তকারী বহন করতে পারে।
GDPR-এর অধীনে কাজ করা ডেভেলপারদের জন্য, ব্যবহারিক পরিণতি হলো একটি কনসেন্ট মেকানিজম ছাড়াই Google-এর ট্যাগ স্থাপন করা ক্রমবর্ধমানভাবে রক্ষা করা কঠিন। ICO বলেছে যে ফিঙ্গারপ্রিন্টিং বিদ্যমান কাঠামোর অধীনে "presents a high bar to meet" — একটি সংকেত যে ফিঙ্গারপ্রিন্টিং-ভিত্তিক ট্র্যাকিং সক্ষম প্রকাশকদের বিরুদ্ধে এনফোর্সমেন্ট অ্যাকশনগুলো একটি বাস্তব নিকট-মেয়াদী ঝুঁকি।
একটি দ্বিতীয়, সূক্ষ্ম পরিণতি রয়েছে: ডেটা মান। ফিঙ্গারপ্রিন্টিং অ্যানালিটিক্স পাইপলাইনগুলোতে অ-সম্মত শনাক্তকারী ইনজেক্ট করে। আপনি যদি Google-এর পরিমাপ স্ট্যাক ব্যবহার করেন, আপনার অ্যাট্রিবিউশন ডেটার কিছু অংশ এখন সম্মত ইভেন্টগুলোর চেয়ে প্যাসিভ ডিভাইস সিগন্যাল থেকে উদ্ভূত। দুটি জনসংখ্যা — সম্মত এবং ফিঙ্গারপ্রিন্টেড — সমতুল্য নয়, এবং তাদের লেবেল না করে মিশ্রিত করা আপনার মেট্রিকগুলোর নির্ভরযোগ্যতাকে নিম্নমানের করে।
ফিঙ্গারপ্রিন্ট-মুক্ত ডেটা সংগ্রহের সাথে বৈসাদৃশ্য
একটি অ্যানালিটিক্স পদ্ধতি যা মোটেও ফিঙ্গারপ্রিন্ট করে না, এই সমস্যাগুলোকে গঠনগতভাবে এড়িয়ে যায়। Monoid ট্র্যাকার সাধারণ অনুরোধের User-Agent থেকে সার্ভার-সাইডে উদ্ভূত একটি মোটামুটি ব্রাউজার পরিবার এবং ডিভাইস টাইপের বাইরে কোনো ডিভাইস-লেভেল সিগন্যাল ছাড়াই /collect-এ একটি একক POST পাঠায়। কোনো IP সংরক্ষণ করা হয় না। কোনো ফন্ট গণনা নেই। কোনো স্ক্রিন রেজোলিউশন নেই। কোনো ক্রস-সেশন শনাক্তকারী নেই।
দৈনিক ভিজিটর হ্যাশ — SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD) — IP এবং ইউজার এজেন্ট শুধুমাত্র মেমরিতে ব্যবহার করে, অবিলম্বে সেগুলো বাতিল করে এবং এমন একটি মান উৎপাদন করে যা প্রতি 24 ঘণ্টায় রিসেট হয়। এটি একটি ফিঙ্গারপ্রিন্টের বিপরীত: এটি সেশন জুড়ে টিকে থাকতে পারে না, দিন জুড়ে সম্পর্কিত করা যায় না এবং একটি নির্দিষ্ট ডিভাইসকে পুনঃ-শনাক্ত করতে ব্যবহার করা যায় না।
ICO-এর বিশ্লেষণের অধীনে, এই পদ্ধতিটি PECR কনসেন্ট প্রয়োজনীয়তা ট্রিগার করে না, কারণ এটি ডিভাইসে সংরক্ষিত তথ্য অ্যাক্সেস করে না এবং একটি স্থায়ী শনাক্তকারী উৎপাদন করে না। ফেব্রুয়ারি 2025 থেকে এই পদ্ধতির আইনি এবং প্রযুক্তিগত যুক্তি শুধু আরও শক্তিশালী হয়েছে।
এখন কী অডিট করবেন
আপনি যদি আপনার সাইটে অ্যানালিটিক্স বা বিজ্ঞাপন ট্যাগ চালাচ্ছেন, তিনটি প্রশ্ন অবিলম্বে উত্তর দেওয়ার মতো:
1. Does this tag access device-level signals (fonts, battery, screen resolution)?
2. Does it send those signals to a third-party server?
3. Do you have a legal basis — consent or legitimate interest — documented for that transfer?
Google-এর নীতি পরিবর্তন আপনার আইনি বাধ্যবাধকতা পরিবর্তন করে না; এটি Google তার বিজ্ঞাপনদাতাদের কী করতে দেয় তা পরিবর্তন করে। GDPR এবং PECR এখনও প্রসেসিংয়ের জন্য একটি বৈধ ভিত্তি, আপনার গোপনীয়তা বিজ্ঞপ্তিতে স্বচ্ছতা এবং — যেখানে ভিত্তিটি কনসেন্ট — ব্যবহারকারীদের জন্য এটি আটকানো এবং প্রত্যাহার করার একটি মেকানিজম প্রয়োজন।
এর মধ্যে দিয়ে সহজ পথ হলো প্রথম স্থানে ফিঙ্গারপ্রিন্টিং-ডেরাইভড ডেটা সংগ্রহ না করা। একটি টুল যা কখনো ডিভাইস-লেভেল সিগন্যাল স্পর্শ করে না, Google-এর নীতি যেভাবেই বিকশিত হোক না কেন, ফিঙ্গারপ্রিন্টিংকে ঘিরে নিয়ন্ত্রক অনিশ্চয়তার কোনো এক্সপোজার নেই।