Global Privacy Control Is Now a Binding Opt-Out Signal in Ten States

एक ब्राउज़र अब आपके सर्वर को, एक ही HTTP हेडर में, बता सकता है कि आगंतुक ने अपने डेटा के बेचे या साझा किए जाने से ऑप्ट-आउट कर लिया है — और अमेरिका के दस राज्यों में आप कानूनन इसका पालन करने के लिए बाध्य हैं। यह संकेत है Global Privacy Control (GPC), और एक साल की प्रवर्तन कार्रवाइयों के बाद यह शिष्टाचार नहीं रहा, बल्कि एक दायित्व बन गया है जिसे डेवलपर्स को कोड में लागू करना होगा।

अधिकांश टीमों ने GPC हैंडलिंग की एक भी पंक्ति नहीं लिखी है। वह कमी अब प्रवर्तन का निशाना है।

संकेत वास्तव में क्या है

GPC एक ही वरीयता का वर्णन करने वाली दो सतहें हैं। नेटवर्क पर यह एक HTTP अनुरोध हेडर है:

Sec-GPC: 1

W3C विनिर्देश ठीक एक मान की अनुमति देता है — शाब्दिक अक्षर 1। जब तक GPC सक्षम है, ब्राउज़र द्वारा किए जाने वाले हर अनुरोध पर यह हेडर भेजा जाता है: पेज लोड, API कॉल, छवि और स्क्रिप्ट फ़ेच। Sec-GPC: 0 नहीं होता; हेडर की अनुपस्थिति का अर्थ है कोई संकेत नहीं, सहमति नहीं।

JavaScript में वही वरीयता navigator पर उजागर होती है:

const optedOut = navigator.globalPrivacyControl === true

यह प्रॉपर्टी GPC सक्रिय होने पर true, समर्थित पर बंद होने पर false, और विनिर्देश लागू न करने वाले ब्राउज़रों में undefined लौटाती है। सर्वर-साइड हेडर पहचान और क्लाइंट-साइड प्रॉपर्टी पठन परस्पर विनिमय योग्य नहीं हैं: हेडर किसी भी JavaScript के चलने से पहले आ जाता है, इसलिए जो कुछ भी एज पर डेटा एकत्र करता है उसे हेडर पढ़ना होगा।

यह बाध्यकारी क्यों बना

राज्य कानूनों की एक लहर में सार्वभौमिक ऑप्ट-आउट तंत्र वैकल्पिक से अनिवार्य बन गए। कैलिफ़ोर्निया (CPRA), कोलोराडो, कनेक्टिकट, डेलावेयर, मोंटाना, नेब्रास्का, न्यू हैम्पशायर, न्यू जर्सी, ओरेगन और टेक्सास अब दायरे में आने वाले व्यवसायों से एक अनुमोदित ऑप्ट-आउट वरीयता संकेत का सम्मान करने की माँग करते हैं, और इनमें से प्रत्येक नियामक ने GPC को वैध के रूप में नामित किया है। 2025 के मध्य तक यह दस राज्य हैं जिन पर एक प्रभावी कानूनी कर्तव्य है।

प्रवर्तन नियमों के पीछे-पीछे आया। सितंबर 2025 में कैलिफ़ोर्निया गोपनीयता संरक्षण एजेंसी, कोलोराडो के अटॉर्नी जनरल और कनेक्टिकट के अटॉर्नी जनरल ने एक संयुक्त जाँच अभियान की घोषणा की जो विशेष रूप से उन व्यवसायों को निशाना बनाता था जो ऑप्ट-आउट संकेतों की अनदेखी करते थे — और उन साइटों को चिह्नित किया जो अनुपालन-जैसी पुष्टि दिखाती थीं जबकि पृष्ठभूमि में डेटा संसाधित करती रहती थीं।

फरवरी 2026 में कैलिफ़ोर्निया के अटॉर्नी जनरल ने ऑप्ट-आउट अनुरोधों का सम्मान करने में व्यवस्थागत विफलताओं को लेकर The Walt Disney Company के साथ 27.5 लाख डॉलर का समझौता किया, जो अब तक का सबसे बड़ा CCPA समझौता है। पहले हुए Sephora के 12 लाख के समझौते ने GPC को वैध संकेत के रूप में स्थापित किया; Disney ने स्थापित किया कि बड़े पैमाने पर इसकी अनदेखी करना महँगा है।

दिशा तय है। कैलिफ़ोर्निया का Opt Me Out Act (AB 566), जो अक्टूबर 2025 में हस्ताक्षरित हुआ, माँग करता है कि ब्राउज़र स्वयं 1 जनवरी 2027 तक एक अंतर्निहित ऑप्ट-आउट संकेत नियंत्रण उपलब्ध कराएँ। GPC ट्रैफ़िक यहाँ से केवल बढ़ेगा।

इसका सम्मान करने के लिए क्या आवश्यक है

ऐसी एनालिटिक्स या विज्ञापन प्रणाली के लिए जो डेटा बेचती या साझा करती है, क्रियान्वयन वास्तविक काम है। आपको कोई भी ट्रैकिंग चलने से पहले एज पर हेडर का पता लगाना होगा, उस अनुरोध के लिए डेटा साझाकरण को दबाना होगा, और — 1 जनवरी 2026 से प्रभावी CCPA विनियमों के तहत — यह प्रदर्शित करने में सक्षम होना होगा कि संकेत केवल प्राप्त नहीं हुआ बल्कि संसाधित किया गया।

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

कठिन हिस्सा if कथन नहीं है। यह पेज पर मौजूद हर टैग, पिक्सेल और कन्वर्ज़न स्क्रिप्ट की जाँच करना, यह पुष्टि करना कि हर एक रुक जाता है, और माँग पर प्रमाण प्रस्तुत करना है। एक सामान्य साइट ऑप्ट-आउट-प्रासंगिक तृतीय पक्षों को लोड करती है जिन पर उसका पूरा नियंत्रण नहीं होता — यही वह सतह है जिसे बहु-राज्यीय अभियान ने टटोला।

कुकी-रहित एनालिटिक्स इस प्रश्न से बाहर क्यों है

GPC लक्षित विज्ञापन के लिए व्यक्तिगत जानकारी की बिक्री या साझाकरण से ऑप्ट-आउट है। दायित्व केवल तभी लागू होता है जब आप कुछ ऐसा कर रहे हों जिससे आगंतुक ऑप्ट-आउट कर सके।

एक privacy-first ट्रैकर डेटा न बेचता है न साझा करता है, क्रॉस-साइट प्रोफ़ाइल नहीं बनाता, और शुरुआत में ही कोई व्यक्तिगत पहचानकर्ता संग्रहीत नहीं करता। नीचे की ओर कोई विज्ञापन एक्सचेंज नहीं है और दबाने के लिए कोई तृतीय पक्ष नहीं है। दैनिक आगंतुक हैश को विशेष रूप से इस तरह बनाया गया है कि साझा करने के लिए कोई स्थिर पहचानकर्ता मौजूद ही न हो:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IP और User-Agent केवल मेमोरी में पढ़े जाते हैं, हैश की गणना के लिए उपयोग होते हैं, फिर त्याग दिए जाते हैं। तारीख इनपुट के कारण हैश हर दिन घूमता है, इसलिए सिद्धांततः भी बेचने के लिए कोई क्रॉस-सेशन पहचान मौजूद नहीं होती। /collect एंडपॉइंट एक अनुरोध प्राप्त करता है, एक समुच्चय गणना निकालता है, और ऐसा कुछ भी नहीं रखता जो किसी व्यक्ति तक वापस पहुँचाए।

यह आपको सद्भावना के तौर पर Sec-GPC पढ़ने से मुक्त नहीं करता: ऐसे संकेत का सम्मान करना जिस पर तकनीकी रूप से कार्य करने के लिए आपके पास कोई डेटा ही नहीं है, सस्ता है और इरादा दर्शाता है। लेकिन इसका अर्थ है कि GPC अनुपालन का महँगा हिस्सा — वही हिस्सा जिसे Disney ने गलत किया — कभी लागू नहीं होता। रोकने के लिए कोई डेटा बिक्री है ही नहीं क्योंकि आर्किटेक्चर ने कभी बिक्री-योग्य डेटा उत्पन्न ही नहीं किया।

दोनों व्यवस्थाओं में समान पैटर्न

EU का सहमति-से-पहले-ट्रैकिंग मॉडल और US का संकेत-पर-ऑप्ट-आउट मॉडल विपरीत दिखते हैं, और प्रक्रियात्मक रूप से हैं भी। लेकिन वे एक ही तकनीकी तथ्य पर अभिसरित होते हैं: दोनों व्यवस्थाएँ एक स्थायी, व्यक्ति-से-जुड़े पहचानकर्ता के निर्माण और संचलन को विनियमित करती हैं। GDPR आपके इसे सेट करने से पहले सहमति माँगता है; राज्य कानून एक ब्राउज़र को बाद में इसकी बिक्री रद्द करने देता है।

जो प्रणाली कभी क्रॉस-सेशन पहचानकर्ता गढ़ती ही नहीं, वह दोनों प्रश्नों का उत्तर एक ही तरह से देती है। सहमति बैनर के पास नियंत्रित करने को कुछ नहीं, और ऑप्ट-आउट संकेत के पास प्रवर्तित करने को कुछ नहीं — क्योंकि विनियमित वस्तु कभी बनाई ही नहीं गई।