Dear Paul Graham, cookie banner का कोई कानून नहीं है

कानून वास्तव में क्या मांगता है

  • थ्रेड दो बातों के बीच अंतर करता है:
    • ePrivacy Directive (“cookie law”): उपयोगकर्ता के डिवाइस पर गैर-आवश्यक डेटा स्टोर/पढ़ने के लिए पहले से सूचित सहमति, जिसमें “सख्ती से आवश्यक” स्टोरेज के लिए छूट शामिल है (जैसे auth, carts, basic prefs)।
    • GDPR: व्यक्तिगत डेटा के प्रोसेसिंग के लिए एक वैध आधार चाहिए; consent कई आधारों में से केवल एक है।
  • कई प्रतिभागी ज़ोर देते हैं: बैनर अनिवार्य करने वाला कोई कानून नहीं है; कानून ट्रैकिंग के लिए consent अनिवार्य करता है, किसी खास UI के लिए नहीं।
  • दूसरे तर्क देते हैं कि व्यवहार में, ट्रैकिंग के साथ, cookie banners वास्तव में आवश्यक हो जाते हैं, इसलिए इसे “cookie banner law” कहना एक उचित संक्षेप है।

Cookie banners क्यों बढ़े

  • कई कंपनियाँ third-party tracking और adtech चाहती हैं; consent नियमों के तहत इस मॉडल को बनाए रखने के लिए banners इस्तेमाल किए जाते हैं।
  • वकील अक्सर “play it safe” की सलाह देते हैं और बहुत कम या केवल functional cookies के लिए भी banner जोड़ देते हैं।
  • कुछ लोग इसे malicious compliance और dark-pattern design मानते हैं: “accept all” को आसान बनाना और “reject all” को छिपा देना या असंभव बनाना, जबकि वह अवैध है।

ज़िम्मेदारी: कंपनियाँ बनाम regulators

  • एक पक्ष vague, कठिन-से-लागू कानून के लिए regulators को दोष देता है, जिसने अनुमानित रूप से UX spam और cargo-cult compliance पैदा की।
  • दूसरा पक्ष कंपनियों को दोष देता है: वे बस ट्रैकिंग न करें, या केवल उतनी करें जितनी strictly necessary हो, और banners से पूरी तरह बचें।
  • कई लोग नोट करते हैं कि कई cookie popups खुद GDPR का उल्लंघन करते हैं (reject का आसान विकल्प नहीं, bundled purposes), और enforcement धीमा और selective रहा है।

उपयोगकर्ता की सोच और अनुभव

  • कुछ लोग दावा करते हैं कि “ज़्यादातर लोगों को tracking से फर्क नहीं पड़ता और वे सिर्फ content चाहते हैं,” और banners को सिर्फ annoyance मानते हैं।
  • दूसरे कहते हैं कि users neutral तरीके से पूछे जाने पर care करते हैं (Apple ATT आदि का हवाला देते हुए), लेकिन वे confused, exhausted होते हैं, या महसूस करते हैं कि उनके पास असली choice नहीं है।
  • “Power users” अक्सर blockers (uBlock, “I still don’t care about cookies”, Consent‑O‑Matic, Firefox features) पर निर्भर रहते हैं और banners मुश्किल से देखते हैं, जिससे कम तकनीकी users के लिए equity concerns उठते हैं।

प्रस्तावित विकल्प और सुधार

  • मज़बूत सुझाव हैं:
    • browser-level controls (जैसे enforceable DNT-style signal या richer consent profile) को कानूनी रूप से बाध्यकारी बनाया जाए।
    • cross-site tracking और microtargeting पर सीधे ban लगाया जाए या उन्हें भारी रूप से restrict किया जाए, बजाय consent UI के ज़रिए प्रबंधन करने के।
    • यह स्पष्ट और लागू किया जाए कि refusal, acceptance जितना ही आसान होना चाहिए; non-compliant dark patterns के लिए और fines जारी किए जाएँ।

व्यापक privacy और business प्रभाव

  • कई लोग तर्क देते हैं कि pervasive tracking नैतिक रूप से “sketchy” है, क्योंकि यह profiling, data brokerage, और political microtargeting को सक्षम करता है; वे इस कानून को data abuse के खिलाफ आवश्यक counterweight मानते हैं।
  • दूसरे चिंतित हैं कि कमजोर ad revenue और compliance complexity छोटे publishers और “free content” को नुकसान पहुँचाते हैं, और regulation को, अच्छे इरादों के बावजूद, poorly calibrated मानते हैं।