Digital Omnibus फर्स्ट-पार्टी एनालिटिक्स को सहमति से छूट देना चाहता है

19 नवंबर 2025 को यूरोपीय आयोग ने Digital Omnibus प्रकाशित किया, एक ऐसा प्रस्ताव जो यह फिर से तय करता है कि कुकी और ट्रैकिंग की सहमति के नियम कहाँ रहेंगे। डेवलपर्स के लिए मुख्य बात मसौदे के एक अनुच्छेद में दबी है: फर्स्ट-पार्टी, समेकित और आंतरिक-उपयोग वाले ऑडियंस मेज़रमेंट को अब किसी सहमति की आवश्यकता ही नहीं रहेगी।

यह छूट किसी भविष्य के टूल का वर्णन नहीं करती। यह उसी डेटा मॉडल का वर्णन करती है जिसे कुकी-रहित एनालिटिक्स हर समय चलाता आया है।

प्रस्ताव वास्तव में क्या स्थानांतरित करता है

आज, उपयोगकर्ता के डिवाइस पर पढ़ने या लिखने से पहले अनुमति माँगने का दायित्व ePrivacy निर्देश के अनुच्छेद 5(3) से आता है — जो कुकी बैनर की कानूनी जड़ है। Digital Omnibus इस नियम को ePrivacy से निकालकर एक नए अनुच्छेद 88a के ज़रिए GDPR में समाहित करता है।

व्यावहारिक प्रभाव एक एकल व्यवस्था है। जहाँ व्यक्तिगत डेटा संसाधित होता है, वहाँ ePrivacy सहमति लागू नहीं रहती और केवल GDPR शासन करता है। आयोग इसे एक अतिव्यापी नियम-समुच्चय के सरलीकरण के रूप में प्रस्तुत करता है, जो बैनर थकान पर हितधारकों की एक वर्ष से अधिक की प्रतिक्रिया पर आधारित है।

यह आयोग का प्रस्ताव है, कानून नहीं। यह प्रकाशन के दिन ही सामान्य विधायी प्रक्रिया में प्रवेश कर गया और अब यूरोपीय संसद तथा परिषद के पास जाता है, जहाँ किसी को बाध्य करने से पहले पाठ में पर्याप्त परिवर्तन हो सकते हैं।

ऑडियंस मेज़रमेंट की छूट

अनुच्छेद 88a डिवाइस पहुँच के लिए सहमति को डिफ़ॉल्ट के रूप में बनाए रखता है, फिर संकीर्ण अपवाद सूचीबद्ध करता है। कड़ाई से आवश्यक संचरण और सुरक्षा के साथ-साथ, यह एक ऐसा अपवाद जोड़ता है जो एनालिटिक्स के लिए मायने रखता है: समेकित ऑडियंस मेज़रमेंट डेटा उत्पन्न करने के लिए जानकारी संग्रहीत करना या उस तक पहुँचना, बशर्ते प्रदाता ऐसा केवल अपनी ऑनलाइन सेवा और अपने आंतरिक उपयोग के लिए करे।

कानूनी विश्लेषण उन शर्तों पर एकमत होते हैं जो यह छूट साथ लाती है:

• केवल फर्स्ट-पार्टी। साइट संचालक डेटा को नियंत्रित करता है; एनालिटिक्स प्रदाता एक प्रोसेसर के रूप में कार्य करता है और इसे कभी अपने उद्देश्यों के लिए उपयोग नहीं करता।
• कोई तृतीय-पक्ष साझाकरण नहीं। कुछ भी विज्ञापनदाताओं, विज्ञापन प्लेटफ़ॉर्मों या क्रॉस-साइट मेज़रमेंट नेटवर्कों की ओर प्रवाहित नहीं होता।
• केवल सांख्यिकी। उद्देश्य वेब सांख्यिकी और साइट अनुकूलन है — मार्केटिंग सक्रियण नहीं, प्रोफाइलिंग नहीं।
• आसान ऑप्ट-आउट। उपयोगकर्ता मेज़रमेंट को अस्वीकार कर सकता है, गोपनीयता नीति में स्पष्ट रूप से समझाया गया।
• छोटी अवधारण। डेटा केवल उतने ही समय रखा जाता है जितना सांख्यिकी को चाहिए।

ढाँचा जानबूझकर संकीर्ण है। मसौदा पढ़ने वाले टिप्पणीकार ध्यान दिलाते हैं कि यह किसी भी ऐसे टूल को बाहर रखता प्रतीत होता है जो अनेक सेवाओं, ग्राहकों या प्लेटफ़ॉर्मों के पार मापता है — यानी अधिकांश ऐड-टेक मेज़रमेंट। यह छूट एक विशिष्ट आर्किटेक्चर को पुरस्कृत करती है, किसी विक्रेता श्रेणी को नहीं।

यह कुकी-रहित एनालिटिक्स से क्यों मेल खाता है

इस सूची की तुलना उससे करें कि प्राइवेसी-फर्स्ट ट्रैकर कैसे बनाया जाता है, और ओवरलैप लगभग पूर्ण है। साझा करने के लिए कोई पहचानकर्ता नहीं है, क्योंकि विज़िटर की पहचान एक दैनिक एकतरफ़ा हैश है — SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) — जिसे उलटा नहीं किया जा सकता और जो हर रात विलुप्त हो जाता है।

visitor_hash = SHA-256( IP | UA | SALT_SECRET | "2026-06-08" )

कच्चे IP और User-Agent का उपयोग केवल मेमोरी में उस हैश की गणना के लिए होता है; डेटाबेस हैश संग्रहीत करता है, कच्चे मान कभी नहीं। कोई क्रॉस-साइट ग्राफ़ नहीं है क्योंकि कल जोड़ने के लिए कुछ भी नहीं है। अवधारण सीमित है — दो वर्ष से पुराने पेजव्यू हटा दिए जाते हैं — और डेटा संरचना से ही समेकित है: गणनाएँ, अवधियाँ, मोटा डिवाइस प्रकार, edge से प्राप्त देश।

/collect बीकन समय और पेज मेटाडेटा ले जाता है, कोई व्यक्ति नहीं। यही ठीक वह "समेकित ऑडियंस मेज़रमेंट, केवल आंतरिक उपयोग" है जिसे मसौदा रेखांकित करता है।

अनुच्छेद 88b और प्रति-साइट बैनरों का अंत

संबद्ध प्रावधान, अनुच्छेद 88b, सहमति थकान पर दूसरी ओर से प्रहार करता है। यह अपेक्षा करता है कि अस्वीकृति और आपत्ति स्वचालित, मशीन-पठनीय संकेतों के माध्यम से व्यक्त की जा सके, जिसमें ब्राउज़र और OS प्रदाता (लघु उद्यमों को छोड़कर) उस अवसंरचना का समर्थन करने के लिए बाध्य हैं।

यह वही दिशा है जिसे Global Privacy Control अमेरिकी राज्य कानून में पहले ही आगे बढ़ा चुका है: निर्णय को हज़ार बैनरों से हटाकर एक ही डिवाइस-स्तरीय सेटिंग पर ले जाना जिसे साइट को सम्मान देना होता है। एक ऐसा टूल जो कोई कुकी सेट नहीं करता और कोई प्रोफ़ाइल नहीं बनाता, उसके पास यहाँ सम्मान देने को कम ही है — न नियंत्रित करने योग्य कोई संग्रहण है, न रखने योग्य कोई सहमति रिकॉर्ड।

लागू होने से पहले क्या करें

Digital Omnibus में अभी कुछ भी प्रवर्तनीय नहीं है, और किसी अंतिम पाठ के बाद समयरेखा चरणबद्ध अनुप्रयोग अवधियों में फैलती है। लेकिन दिशा तय है, और वह एक ही डिज़ाइन का पक्ष लेती है: समेकित सांख्यिकी फर्स्ट-पार्टी रूप से एकत्र करें, कुछ भी साझा न करें, किसी की पहचान न करें, और थोड़े समय रखें।

यदि आपका एनालिटिक्स पहले से इस मानक को पूरा करता है, तो यह सुधार अनुकूल हवा है — कानून आर्किटेक्चर की ओर बढ़ रहा है, न कि आर्किटेक्चर कानून के पीछे भाग रहा है। यदि नहीं, तो अनुपालन का सबसे सस्ता रास्ता एक बेहतर बैनर नहीं है। वह है कम एकत्र करना।

स्रोत

• Digital Omnibus विनियमन प्रस्ताव (यूरोपीय आयोग)
• The Digital Omnibus: cookies, consent and digital advertising (Taylor Wessing)
• EU Digital Omnibus: The European Commission Proposes Important Changes to the EU's Digital Rulebook (Sidley Austin)
• First-party analytics without consent: Your Digital Omnibus compliance guide (Piwik PRO)
• Digital Omnibus reshapes EU cookie rules but leaves banner fatigue largely intact (Osborne Clarke)