The Cookie Law Is No Longer About Cookies: What Article 5(3) Now Covers

"कुकी क़ानून" वाक्यांश हमेशा एक ग़लत नाम था। ePrivacy Directive का Article 5(3) कभी भी कुकी शब्द का उपयोग नहीं करता — यह "एक ग्राहक या उपयोगकर्ता के टर्मिनल उपकरण में जानकारी संग्रहीत करने, या पहले से संग्रहीत जानकारी तक पहुँच प्राप्त करने" के बारे में बात करता है। दो दशकों तक, नियामकों ने उस पाठ को अधिकतर कुकीज़ पर लागू किया क्योंकि कुकीज़ प्रमुख भंडारण तंत्र थे। वह अवधि समाप्त हो गई है।

अक्टूबर 2024 में European Data Protection Board ने Article 5(3) के तकनीकी दायरे पर Guidelines 2/2023 को अंतिम रूप दिया। दिशानिर्देश तकनीक-तटस्थ हैं और स्पष्ट रूप से ट्रैकिंग पिक्सेल, URL-आधारित ट्रैकिंग, केवल-IP ट्रैकिंग, और अद्वितीय पहचानकर्ताओं को कवर करते हैं। अप्रैल 2026 में फ़्रांसीसी CNIL और इतालवी Garante ने उस ढाँचे को ईमेल पिक्सेल ट्रैकिंग पर बाध्यकारी राष्ट्रीय मार्गदर्शन में अनुवादित किया। दिशा स्पष्ट है: यदि एक तकनीक एक सर्वर को विज़िटर के डिवाइस से पहचान संकेतों को पढ़ने देती है, तो सहमति आवश्यक है, चाहे कुछ भी वापस लिखा जाए या न जाए।

"पहुँच प्राप्त करने" का अब क्या अर्थ है

Article 5(3) दो परिचालन अवधारणाओं पर निर्भर करता है: भंडारण और पहुँच प्राप्त करना। अधिकांश मौजूदा अनुपालन कार्य केवल भंडारण को ट्रिगर मानते हैं — यदि आप एक कुकी सेट नहीं करते हैं, तो आप मानते हैं कि कोई सहमति आवश्यक नहीं है। दिशानिर्देश उस पढ़ाई को अस्वीकार करते हैं।

पहुँच प्राप्त करना तब संतुष्ट होता है जब एक सर्वर सक्रिय रूप से डिवाइस को मान वापस भेजने का निर्देश देता है। एक ट्रैकिंग पिक्सेल एक अनुरोध को ट्रिगर करता है जिसका क्वेरी स्ट्रिंग पहचानकर्ता वहन करता है। एक न्यूज़लेटर में एम्बेडेड एक अद्वितीय URL प्राप्तकर्ता को हल करता है। एक IP एड्रेस, जब सत्रों में एक ही डिवाइस का अनुसरण करने के लिए उपयोग किया जाता है, वह भी पहुँच है — मान डिवाइस के नेटवर्क स्टैक से उत्पन्न होता है और हर अनुरोध में भेजा जाता है।

तंत्र महत्वपूर्ण है, स्थायित्व प्रारूप नहीं। एक सर्वर-साइड डेटाबेस में संग्रहीत एक फ़िंगरप्रिंट को ब्राउज़र में संग्रहीत एक कुकी के समान माना जाता है।

यह एनालिटिक्स टूलिंग मानचित्र को क्यों फिर से लिखता है

कई गोपनीयता-केंद्रित एनालिटिक्स उपकरण स्वयं को कुकी-मुक्त के रूप में बाज़ार में लाते हैं जबकि अभी भी उन पैटर्नों पर निर्भर हैं जिन्हें दिशानिर्देश अब कवर करते हैं:

सर्वर-साइड कुकीज़ और CHIPS-शैली विभाजित पहचानकर्ता। कुकी को एक विभाजित संदर्भ में या प्रथम-पक्ष सर्वर-साइड स्टोर में ले जाना पहुँच प्रश्न को नहीं बदलता। यदि एक ही पहचानकर्ता विज़िट्स में एनालिटिक्स सर्वर तक पहुँचता है, तो यह अभी भी पहुँच है।
IP-व्युत्पन्न विज़िटर ID। उपकरण जो IP को हैश करते हैं और हैश का उपयोग दिनों में एक स्थिर पहचानकर्ता के रूप में करते हैं, वे डिवाइस से उत्पन्न जानकारी तक पहुँच रहे हैं। EDPB सलाह स्पष्ट है: इसके लिए सहमति आवश्यक है जब तक कि नियंत्रक प्रदर्शित न कर सके कि IP उपयोगकर्ता के टर्मिनल उपकरण से उत्पन्न नहीं हुआ।
पिक्सेल-आधारित ओपन और व्यू ट्रैकिंग। CNIL का Decision No. 2026-042 (14 अप्रैल 2026) और Garante के 17 अप्रैल 2026 के दिशानिर्देश ईमेल में व्यक्तिगत ओपन ट्रैकिंग के लिए स्पष्ट, अलग सहमति की आवश्यकता रखते हैं — ईमेल भेजे जाने से पहले।

साझा पैटर्न एक स्थिर पहचानकर्ता है जो विज़िट्स, सत्रों, या संदेशों में जीवित रहता है। भंडारण परत जो भी हो, यह एक कुकी के समान नियामक जोखिम पैदा करती है।

अनुपालक संग्रह के लिए तकनीकी परीक्षण

दिशानिर्देश एक संकीर्ण गलियारा छोड़ते हैं: एकत्रित सिग्नल जहाँ सर्वर द्वारा संग्रहीत कोई मान समय के साथ एक विशिष्ट डिवाइस को हल नहीं करता। एक संग्रह एंडपॉइंट के लिए एक अनुरोध मान वहन करता है जो तीन श्रेणियों में आते हैं:

1. Transport-layer values (IP, User-Agent) the server cannot avoid receiving
2. Contextual values (path, referrer domain, country derived from IP)
3. Derived values the server chooses to produce and store

श्रेणी 1 TCP/HTTP में अपरिहार्य है। प्रश्न यह है कि श्रेणी 3 कैसी दिखती है। यदि एक व्युत्पन्न मान एक स्थायी पहचानकर्ता है — हैश किया हुआ भी, साल्टेड भी — तो यह पहुँच है। यदि एक व्युत्पन्न मान एक सीमित विंडो के भीतर रीसेट होता है और विंडोज़ में सहसंबद्ध नहीं किया जा सकता, तो EDPB विश्लेषण इसे एकत्रित मानता है।

Monoid दैनिक विज़िटर हैश इस परीक्षण के विरुद्ध इंजीनियर किया गया है:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IP और User-Agent का उपयोग केवल मेमोरी में हैश की गणना करने के लिए किया जाता है और फिर त्याग दिया जाता है। दिनांक इनपुट का अर्थ है कि एक ही विज़िटर कल एक अलग हैश उत्पन्न करता है — निर्माण द्वारा, पहुँचने के लिए कोई क्रॉस-डे पहचानकर्ता नहीं है। एक ही दिन के भीतर हैश एकत्रित गणनाओं के लिए एक विज़िटर को डुप्लीकेट से हटाता है; दिनों में किसी प्रतिकूल या नियामक के लिए पुनर्निर्माण करने के लिए कुछ भी नहीं है।

संग्रह एंडपॉइंट पर मायने रखने वाले हेडर

दो HTTP हेडर एक प्रथम-पक्ष एज कलेक्टर पर अधिकांश गोपनीयता सतह वहन करते हैं और उन्हें जानबूझकर सेट किया जाना चाहिए।

Referrer-Policy: strict-origin-when-cross-origin आधुनिक Chrome डिफ़ॉल्ट है और क्रॉस-ओरिजिन अनुरोधों पर केवल ओरिजिन भेजता है। unsafe-url और no-referrer-when-downgrade से बचें — दोनों अनावश्यक रूप से पाथ जानकारी लीक करते हैं।

Permissions-Policy को स्पष्ट रूप से उन सुविधाओं को अस्वीकार करना चाहिए जिनकी एनालिटिक्स ट्रैकर को आवश्यकता नहीं है:

Permissions-Policy: geolocation=(), microphone=(), camera=(),
  payment=(), usb=(), interest-cohort=()

एक ट्रैकर जो स्थान, ऑडियो, या डिवाइस सेंसर का अनुरोध नहीं कर सकता, उसे पेज साझा करने वाली एक समझौता तृतीय-पक्ष स्क्रिप्ट द्वारा ऐसा करने के लिए बाध्य नहीं किया जा सकता।

इस तिमाही में डेवलपर्स को क्या ऑडिट करना चाहिए

तीन प्रश्न ऑडिट को आगे बढ़ाते हैं:

क्या एनालिटिक्स सर्वर द्वारा संग्रहीत कोई मान इसे 25-घंटे की विंडो में एक ही विज़िटर की पहचान करने की अनुमति देता है? यदि हाँ, तो परिनियोजन को अब संभवतः Article 5(3) सहमति की आवश्यकता है।
क्या पिक्सेल और URL पहचानकर्ता ट्रांज़ैक्शनल या मार्केटिंग ईमेल में उपयोग किए जाते हैं? CNIL और Garante मार्गदर्शन के तहत, व्यक्तिगत ओपन ट्रैकिंग को ईमेल भेजे जाने से पहले अलग, स्पष्ट सहमति की आवश्यकता होती है।
क्या संग्रह एंडपॉइंट एक सख़्त Referrer-Policy और डिफ़ॉल्ट-रूप-से-अस्वीकार Permissions-Policy सेट करता है?

"कुकी बैनर" प्रश्न एक अधिक बुनियादी प्रश्न का अनुप्रवाह है: क्या डेटा मॉडल बिल्कुल भी एक क्रॉस-सत्र पहचानकर्ता उत्पन्न करता है। जब उत्तर नहीं है, तो पूरी Article 5(3) मशीनरी — सहमति, वापसी, प्रसंस्करण के रिकॉर्ड — संलग्न नहीं होती, क्योंकि नियमन का तकनीकी ट्रिगर कभी खींचा ही नहीं गया।