Google Reversed Its Fingerprinting Ban: What Developers Need to Know

फ़रवरी 2025 में, Google ने चुपचाप अपनी विज्ञापन नीतियों को डिवाइस फ़िंगरप्रिंटिंग की अनुमति देने के लिए अपडेट किया — वही तकनीक जिसे उसने 2019 में सार्वजनिक रूप से "ग़लत" कहकर निंदा की थी। परिवर्तन 16 फ़रवरी 2025 को प्रभावी हुआ, और एनालिटिक्स बनाने वाले, एक वेब प्रॉपर्टी चलाने वाले, या Google के विज्ञापन बुनियादी ढाँचे पर निर्भर किसी भी व्यक्ति के लिए महत्वपूर्ण परिणाम हैं।

फ़िंगरप्रिंटिंग वास्तव में क्या है

डिवाइस फ़िंगरप्रिंटिंग एक स्थायी पहचानकर्ता बनाने के लिए एक ब्राउज़र या डिवाइस से कई निष्क्रिय संकेतों को संयोजित करने की प्रथा है। कोई कुकी सेट नहीं की जाती। कोई localStorage प्रविष्टि नहीं लिखी जाती। उपयोगकर्ता से कभी संकेत नहीं दिया जाता। उपयोग किए जाने वाले संकेतों में शामिल हैं:

IP एड्रेस और नेटवर्क मेटाडेटा
ऑपरेटिंग सिस्टम और ब्राउज़र संस्करण
स्क्रीन रिज़ॉल्यूशन और रंग गहराई
स्थापित फ़ॉन्ट और उपलब्ध कोडेक्स
भाषा, समय क्षेत्र, और बैटरी स्थिति

व्यक्तिगत रूप से, इनमें से कोई भी एक अद्वितीय पहचानकर्ता नहीं है। संयुक्त, वे एक फ़िंगरप्रिंट उत्पन्न करते हैं जो सत्रों में एक ही डिवाइस को फिर से पहचानने के लिए पर्याप्त सटीक होता है, यहाँ तक कि कुकीज़ साफ़ करने के बाद और निजी ब्राउज़िंग मोड में भी। कुकीज़ के विपरीत, उपयोगकर्ता के लिए एक फ़िंगरप्रिंट को हटाने का कोई तंत्र नहीं है।

Google की नीति ने क्या कहा — और क्या बदला

Google की 2019 की स्थिति स्पष्ट थी: फ़िंगरप्रिंटिंग "उपयोगकर्ता पसंद को विकृत करती है और ग़लत है" क्योंकि यह मानक ब्राउज़र गोपनीयता नियंत्रणों के बाहर संचालित होती है। नीति ने विज्ञापनदाताओं को Google विज्ञापन उत्पादों में फ़िंगरप्रिंटिंग का उपयोग करने से प्रतिबंधित किया।

फ़रवरी 2025 के अपडेट ने उस निषेध को हटा दिया। Google का फ़्रेमिंग प्रक्रियात्मक था — अपडेट को एक नियमित नीति संशोधन के रूप में वर्णित किया गया था — लेकिन सार एक उलटाव था। विज्ञापनदाता अब लक्ष्यीकरण और माप के लिए IP एड्रेस, स्क्रीन आकार, समय क्षेत्र, बैटरी स्थिति, और User-Agent स्ट्रिंग सहित डिवाइस-स्तर के पहचानकर्ताओं का उपयोग कर सकते हैं, बिना किसी उपयोगकर्ता सहमति प्राप्त करने या प्रथा का खुलासा करने की आवश्यकता के।

नियामक प्रतिक्रिया

UK के Information Commissioner's Office ने तुरंत प्रतिक्रिया दी। Stephen Almond, ICO के नियामक जोखिम के कार्यकारी निदेशक ने इस कदम को "ग़ैर-ज़िम्मेदार" कहा और नियामक स्थिति स्पष्ट की: फ़िंगरप्रिंटिंग PECR (Privacy and Electronic Communications Regulations) के तहत कुकीज़ के समान सहमति आवश्यकताओं के अधीन है।

ICO का तर्क तकनीकी रूप से सटीक है। PECR सहमति ट्रिगर को "एक डिवाइस पर जानकारी संग्रहीत करने, या संग्रहीत जानकारी तक पहुँच प्राप्त करने" के रूप में परिभाषित करता है। फ़िंगरप्रिंटिंग डिवाइस से जानकारी तक पहुँचती है — यह ब्राउज़र वातावरण से मान पढ़ती है — जिसका अर्थ है कि सहमति आवश्यकता लागू होती है चाहे एक कुकी फ़ाइल लिखी जाए या नहीं। पहुँच का तंत्र महत्वपूर्ण है, स्थायित्व प्रारूप नहीं।

GDPR के तहत, वही डेटा विषय जो एक कुकी-आधारित प्रोफ़ाइल के विलोपन का अनुरोध कर सकते हैं, उनके पास एक फ़िंगरप्रिंट-व्युत्पन्न प्रोफ़ाइल के लिए कोई तुलनीय तंत्र नहीं है। आप एक ऐसे सर्वर से फ़िंगरप्रिंट नहीं हटा सकते जिसे आप नियंत्रित नहीं करते। यह एक विषमता पैदा करता है जिसकी EU और UK में नियामक सक्रिय रूप से जाँच कर रहे हैं।

यह आपके एनालिटिक्स स्टैक के लिए क्यों मायने रखता है

यदि आपकी साइट Google के विज्ञापन टैग लोड करती है — जिसमें Google Ads से जुड़े होने पर GA4 का gtag.js शामिल है — तो आपके विज़िटर अब एक ऐसी नीति के तहत फ़िंगरप्रिंटिंग के अधीन हैं जिसके लिए उनकी सहमति की आवश्यकता नहीं है। GA4 टैग स्वयं लगभग 45 KB का है और कई आउटबाउंड अनुरोध करता है; फ़िंगरप्रिंटिंग परिवर्तन के साथ, वे अनुरोध अब Google के बुनियादी ढाँचे तक स्थायी डिवाइस-व्युत्पन्न पहचानकर्ता ले जा सकते हैं।

GDPR के तहत संचालित डेवलपर्स के लिए, व्यावहारिक परिणाम यह है कि सहमति तंत्र के बिना Google के टैग को तैनात करना तेज़ी से कठिन हो रहा है। ICO ने कहा है कि फ़िंगरप्रिंटिंग "मौजूदा ढाँचों के तहत मिलने के लिए एक उच्च बार प्रस्तुत करती है" — एक संकेत कि फ़िंगरप्रिंटिंग-आधारित ट्रैकिंग सक्षम करने वाले प्रकाशकों के विरुद्ध प्रवर्तन कार्रवाइयाँ एक यथार्थवादी निकट-अवधि का जोखिम हैं।

एक दूसरा, सूक्ष्म परिणाम है: डेटा गुणवत्ता। फ़िंगरप्रिंटिंग एनालिटिक्स पाइपलाइनों में ग़ैर-सहमत पहचानकर्ता इंजेक्ट करती है। यदि आप Google के माप स्टैक का उपयोग कर रहे हैं, तो आपके एट्रिब्यूशन डेटा का कुछ अंश अब सहमत घटनाओं के बजाय निष्क्रिय डिवाइस संकेतों से प्राप्त होता है। दो जनसंख्या — सहमत और फ़िंगरप्रिंट की गई — समकक्ष नहीं हैं, और उन्हें लेबल किए बिना मिश्रित करना आपके मेट्रिक्स की विश्वसनीयता को ख़राब करता है।

फ़िंगरप्रिंट-मुक्त डेटा संग्रह के साथ अंतर

एक एनालिटिक्स दृष्टिकोण जो बिल्कुल भी फ़िंगरप्रिंट नहीं करता, संरचनात्मक रूप से इन समस्याओं को टाल देता है। Monoid ट्रैकर सामान्य अनुरोध User-Agent से सर्वर-साइड पर प्राप्त एक मोटे ब्राउज़र परिवार और डिवाइस प्रकार से परे कोई डिवाइस-स्तर सिग्नल के बिना /collect पर एक एकल POST भेजता है। कोई IP संग्रहीत नहीं। कोई फ़ॉन्ट गणना नहीं। कोई स्क्रीन रिज़ॉल्यूशन नहीं। कोई क्रॉस-सत्र पहचानकर्ता नहीं।

दैनिक विज़िटर हैश — SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD) — IP और User-Agent का उपयोग केवल मेमोरी में करता है, उन्हें तुरंत त्याग देता है, और एक मान उत्पन्न करता है जो हर 24 घंटे में रीसेट होता है। यह एक फ़िंगरप्रिंट के विपरीत है: यह सत्रों में बना नहीं रह सकता, दिनों में सहसंबद्ध नहीं किया जा सकता, और एक विशिष्ट डिवाइस को फिर से पहचानने के लिए उपयोग नहीं किया जा सकता।

ICO के विश्लेषण के तहत, यह दृष्टिकोण PECR सहमति आवश्यकताओं को ट्रिगर नहीं करता, क्योंकि यह डिवाइस पर संग्रहीत जानकारी तक नहीं पहुँचता और एक स्थायी पहचानकर्ता उत्पन्न नहीं करता। इस दृष्टिकोण के लिए क़ानूनी और तकनीकी मामला फ़रवरी 2025 के बाद से केवल मज़बूत हुआ है।

अभी क्या ऑडिट करें

यदि आप अपनी साइट पर एनालिटिक्स या विज्ञापन टैग चला रहे हैं, तो तीन प्रश्न तुरंत उत्तर देने योग्य हैं:

1. Does this tag access device-level signals (fonts, battery, screen resolution)?
2. Does it send those signals to a third-party server?
3. Do you have a legal basis — consent or legitimate interest — documented for that transfer?

Google का नीति परिवर्तन आपके क़ानूनी दायित्वों को नहीं बदलता; यह बदलता है कि Google अपने विज्ञापनदाताओं को क्या करने की अनुमति देता है। GDPR और PECR को अभी भी प्रसंस्करण के लिए एक वैध आधार, आपके गोपनीयता नोटिस में पारदर्शिता, और — जहाँ आधार सहमति है — उपयोगकर्ताओं के लिए इसे रोकने और वापस लेने का एक तंत्र चाहिए।

इसके माध्यम से सबसे सरल पथ पहले स्थान पर फ़िंगरप्रिंटिंग-व्युत्पन्न डेटा एकत्र नहीं करना है। एक उपकरण जो कभी भी डिवाइस-स्तर के सिग्नल को नहीं छूता, उसके पास फ़िंगरप्रिंटिंग के आसपास नियामक अनिश्चितता के लिए कोई जोखिम नहीं है, चाहे Google की नीतियाँ कैसे भी विकसित हों।