अनुपालन7 मई 2026 | FlexyConsent

CCPA और CPRA कुकी सहमति: आपकी वेबसाइट के लिए कैलिफ़ोर्निया प्राइवेसी क़ानून का क्या मतलब है

कैलिफ़ोर्निया के प्राइवेसी ढांचे को समझना

कैलिफ़ोर्निया ने उपभोक्ता प्राइवेसी क़ानूनों में संयुक्त राज्य अमेरिका का नेतृत्व किया है, और इसके क़ानून दुनिया भर की वेबसाइटों को प्रभावित करते हैं। California Consumer Privacy Act (CCPA), जिसे जनवरी 2023 से प्रभावी California Privacy Rights Act (CPRA) द्वारा काफ़ी हद तक संशोधित किया गया, किसी भी ऐसे व्��वसाय पर दायित्व लगाता है जो कैलिफ़ोर्निया के निवासियों से व्यक्तिगत जानकारी एकत्र करता है — चाहे वह व्यवसाय भौतिक रूप से कहीं भी स्थित हो।

वेबसाइट मालिकों के लिए व्यावहारिक असर मुख्य रूप से कुकीज़, ट्रैकिंग तकनीकों और इस बात पर केंद्रित है कि उपयोगकर्ता डेटा तीसरे पक्षों के साथ कैसे साझा किया जाता है। जबकि कैलिफ़ोर्निया का मॉडल यूरोप के GDPR से बुनियादी रूप से अलग है, फिर भी यह सहमति तंत्र और उपयोगकर्ता अधिकारों पर सावधानीपूर्वक ध्यान देने की मांग करता है।

CCPA/CPRA: किन पर लागू होता है?

यह क़ानून उन लाभ-उद्देश्य (for-profit) व्यवसायों पर लागू होता है जो निम्न में से किसी एक सीमा को पूरा करते हैं:

वार्षिक सकल राजस्व 25 मिलियन डॉलर से अधिक हो।
कैलिफ़ोर्निया के 100,000 या अधिक निवासियों, परिवारों या डिवाइसों की व्यक्तिगत जानकारी को हर साल खरीदना, बेचना या साझा करना।
कैलिफ़ोर्निया निवासियों की व्यक्तिगत जानकारी बेचने या साझा करने से वार्षिक राजस्व का 50 प्रतिशत या उससे अधिक प्राप्त करना।

दूसरी सीमा विशेष रूप से उन वेबसाइटों के लिए महत्वपूर्ण है जो विज्ञापन दिखाती हैं। यदि आपकी साइट लक्षित विज्ञापन के लिए थर्ड-पार्टी कुकीज़ का उपयोग करती है और उसे कैलिफ़ोर्निया से काफ़ी ट्रैफ़िक मिलता है, तो केवल उन्हीं कुकीज़ के माध्यम से आप हर साल 100,000 से कहीं अधिक कैलिफ़ोर्निया उपयोगकर्ताओं का डेटा प्रोसेस कर सकते हैं।

ऑप्ट-आउट बनाम ऑप्ट-इन: GDPR से बुनियादी अंतर

यह वेबसाइट ऑपरेटरों के लिए समझने वाला सबसे अहम अंतर है। GDPR के तहत डिफ़ॉल्ट मॉडल ऑप्ट-इन है: जब तक उपयोगकर्ता सक्रिय रूप से सहमति न दे, आप गैर-आवश्यक कुकीज़ सेट नहीं कर सकते। CCPA/CPRA के तहत डिफ़ॉल्ट ऑप्ट-आउट है: आप व्यक्तिगत जानकारी (कुकीज़ के माध्यम से होने वाली प्रोसेसिंग ��हित) तब तक प्रोसेस कर सकते हैं जब तक उपयोगकर्ता आपको इसे रोकने के लिए न कहे।

इसका मतलब है कि कैलिफ़ोर्निया के विज़िटर्स के लिए सहमति का अनुभव बुनियादी रूप से अलग दिखता है:

GDPR तरीका: सभी गैर-आवश्यक कुकीज़ को ब्लॉक करें। एक बैनर दिखाएँ। सकारात्मक सहमति (affirmative consent) का इंतज़ार करें। केवल उसके बाद कुकीज़ सेट करें।
CCPA/CPRA तरीका: कुकीज़ डिफ़ॉल्ट रूप से सेट की जा सकती हैं। एक स्पष्ट और प्रमुख "Do Not Sell or Share My Personal Information" लिंक दें। जब उपयोगकर्ता इस अधिकार का उपयोग करे, तो उनका डेटा तीसरे पक्षों के साथ साझा करना बंद कर ��ें।

हालाँकि, कुछ महत्वपूर्ण अपवाद हैं। 16 वर्ष से कम आयु के नाबालिगों के लिए CCPA/CPRA ऑप्ट-इन मॉडल पर स्विच कर देता है — उनकी व्यक्तिगत जानकारी बेचने या साझा करने से पहले आपको सकारात्मक सहमति प्राप्त करनी होगी। 13 वर्ष से कम आयु के बच्चों के लिए यह सहमति माता-पिता या अभिभावक को देनी होगी।

"Do Not Sell or Share" की आवश्यकता

CPRA ने मूल CCPA के "Do Not Sell" अधिकार को बढ़ाकर "sharing" को भी शामिल कर लिया — जो विशेष रूप से उस तरह के डेटा एक्सचेंज को निशाना बनाता है जो थर्ड-पार्टी विज्ञापन कुकीज़ के ज़रिए होता है। जब कोई उपयोगकर्ता आपकी साइट पर आ��ा है और आपकी कुकीज़ उनका ब्राउज़िंग डेटा विज्ञापन नेटवर्क्स को भेजती हैं, तो यह CPRA के तहत sharing माना जाता है, भले ही सीधे तौर पर कोई धन का लेन-देन न हो।

आपकी ज़िम्मेदारियों में शामिल हैं:

आपके होमपेज और प्राइवेसी पॉलिसी पर "Do Not Sell or Share My Personal Information" शीर्षक वाला एक स्पष्ट लिंक।
उपयोगकर्ताओं के लिए इस अधिकार का इस्तेमाल करने का एक आसान तंत्र, जिसमें अकाउंट बनाना ज़रूरी न हो।
इस अनुरोध का 15 कार्यदिवसों के भीतर सम्मान करना।
उन उपयोगकर्ताओं के साथ भेदभाव न करना जो इस अधिकार का उपयोग करते हैं (उदाहरण के ��िए, उनका अनुभव ख़राब करके)।

Global Privacy Control (GPC)

Global Privacy Control एक ब्राउज़र-स्तरीय सिग्नल है जिसे उपयोगकर्ता सक्षम कर सकते हैं ताकि वे हर वेबसाइट को स्वतः ही अपना ऑप्ट-आउट प्रेफ़रेंस संप्रेषित कर सकें। Firefox और Brave सहित प्रमुख ब्राउज़र्स GPC को नैटिव रूप से सपोर्ट करते हैं, और ब्राउज़र एक्सटेंशन Chrome व अन्य ब्राउज़र्स में इसका सपोर्ट जोड़ते हैं।

CPRA विनियमों के तहत व्यवसायों को GPC सिग्नल का सम्मान करना अनिवार्य है और इसे एक वैध ऑप्ट-आउट अनुरोध माना जाता है। इसके व्यावहारिक असर काफ़ी महत्वपूर्ण हैं:

आपकी वेबसाइट को Sec-GPC: 1 HTTP हेडर या navigator.globalPrivacyControl JavaScript प्रॉपर्टी का पता लगाने में सक्षम होना चा��िए।
जब इसका पता चल जाए, तो आपको इसे ऐसे ही मानना होगा जैसे उपयोगकर्ता ने स्वयं "Do Not Sell or Share" पर क्लिक किया हो।
विज्ञापन के लिए उपयोग की जाने वाली थर्ड-पार्टी कुकीज़ को ऐसे उपयोगकर्ताओं के लिए दबा (suppress) देना होगा।

GPC को अपनाने की दर लगातार बढ़ रही है। अनुमान बताते हैं कि अब 5 से 10 प्रतिशत वेब ट्रैफ़िक GPC सिग्नल लेकर आता है, और यह प्रतिशत कैलिफ़ोर्निया के प्राइवेसी-सचेत उपयोगकर्ताओं में और भी अधिक है।

कैलिफ़ोर्निया के लिए आपको वास्तव में कब कुकी बैनर की ज़रूरत होती है?

यहीं पर कई व्यवसाय उलझन में पड़ जाते हैं। सख़्त�� से कहें तो, CCPA/CPRA ऑप्ट-आउट मॉडल होने के कारण यूरोपीय शैली का कुकी सहमति बैनर अनिवार्य नहीं करता। हालाँकि, आपको यह सब ज़रूर चाहिए:

एक आसानी से उपलब्ध "Do Not Sell or Share" लिंक।
ऐसा तंत्र जो उपयोगकर्ता के ऑप्ट-आउट करने या GPC सिग्नल भेजने पर थर्ड-पार्टी डेटा शेयरिंग को दबा दे।
एक प्राइवेसी पॉलिसी जो एकत्र की जाने वाली व्यक्तिगत जानकारी की श्रेणियाँ, उनके उद्देश्य और वे तीसरे पक्ष जिनके साथ डेटा साझा किया जाता है, का खुलासा करे।
ऐसी साइटों के लिए जो यूरोपीय विज़िटर्स को भी सर्व करती हैं, एक GDPR-अनुपालन सहमति बैनर जो CCPA ऑप्ट-आउट तंत्र के साथ सह-अस्तित्व में रह सके।

व्यवहार में, ज़्यादातर वेबसाइटें जो यूरोपीय और कैलिफ़ोर्निया दोनों तरह के ऑडियंस को सर्व करती हैं, एक एकीकृत सहमति इंटरफ़ेस लागू करती हैं जो विज़िटर के स्थान के आधार पर अपना व्यवहार बदल लेता है। इससे दो पूरी तरह अलग सहमति सिस्टम बनाए रखने की ज़रूरत नहीं रहती।

व्यावहारिक इम्प्लीमेंटेशन से जुड़ी बातें

GDPR अनुपालन के साथ CCPA/CPRA अनुपालन लागू करना एक दोहरे-मोड की चुनौती पैदा करता है। आपका consent management platform (CMP) को यह सब करना होता है:

विज़िटर के स्थान का सटीक पता लगान��, IP-आधारित जियोलोकेशन का उपयोग करके।
सही कानूनी ढांचा लागू करना — EEA/UK विज़िटर्स के लिए ऑप्ट-इन, कैलिफ़ोर्निया विज़िटर्स के लिए ऑप्ट-आउट, और अन्य क्षेत्रों के विज़िटर्स के लिए संभवतः कोई विशेष आवश्यकता नहीं।
कैलिफ़ोर्निया विज़िटर्स के लिए "Do Not Sell or Share" लिंक को मैनेज करना, चाहे बैनर के भीतर हो या एक अलग पेज एलिमेंट के रूप में।
किसी भी थर्ड-पार्टी कुकी के सेट होने से पहले GPC सिग्नल का पता लगाना और उनका सम्मान करना।
कुकी व्यवहार को उसी के अनुसार नियंत्रित करना — उन उपयोगकर्ताओं के लिए थर��ड-पार्टी विज्ञापन कुकीज़ को ब्लॉक करना जिन्होंने ऑप्ट-आउट किया है, जबकि फ़र्स्ट-पार्टी एनालिटिक्स को जारी रहने देना।

तकनीकी इम्प्लीमेंटेशन में फ़र्स्ट-पार्टी एनालिटिक्स कुकीज़ (जो आम तौर पर CCPA/CPRA के तहत एक business purpose के रूप में स्वीकार्य हैं) और थर्ड-पार्टी विज्ञापन कुकीज़ (जो sharing मानी जाती हैं और ऑप्ट-आउट के अधीन हैं) के बीच अंतर को भी ध्यान में रखना होता है।

कैलिफ़ोर्निया विज़िटर्स के लिए FlexyConsent जियो-टार्गेटिंग

FlexyConsent स्वचालित जियो-टार्गेटिंग के ज़रिए इस दोहरे-मोड की चुनौती को संभालता है। जब कोई कैलिफ़ो��्निया विज़िटर आपकी साइट पर आता है, FlexyConsent अपना व्यवहार CCPA/CPRA आवश्यकताओं के अनुरूप समायोजित कर देता है:

ऑप्ट-आउट मोड सक्रिय करना: सभी कुकीज़ को पहले से ब्लॉक करने के बजाय, FlexyConsent आवश्यक "Do Not Sell or Share My Personal Information" विकल्प को प्रमुखता से दिखाता है।
GPC सिग्नल डिटेक्शन: FlexyConsent स्वतः ही Global Privacy Control सिग्नल की जाँच करता है और, जब यह मौजूद हो, तो बिना किसी अतिरिक्त उपयोगकर्ता इंटरैक्शन के थर्ड-पार्टी डेटा शेयरिंग को दबा देता है।
श्रेणी-सचेत ब्लॉकिंग: जब कोई कैलिफ़ोर्निया उपयोगकर्ता ऑप्ट-आउट करता है, FlexyConsent विज्ञापन और क्र��स-साइट ट्रैकिंग कुकीज़ को चुनिंदा रूप से ब्लॉक करता है, जबकि business purpose छूट के अंतर्गत आने वाली फ़र्स्ट-पार्टी एनालिटिक्स फ़ंक्शनैलिटी को बनाए रखता है।
GDPR के साथ सहज सह-अस्तित्व: वही FlexyConsent इंस्टॉलेशन दोनों ढांचों को संभालता है। यूरोपीय विज़िटर्स को श्रेणी-स्तरीय नियंत्रणों के साथ एक GDPR-अनुपालन ऑप्ट-इन बैनर दिखता है। कैलिफ़ोर्निया विज़िटर्स को उपयुक्त ऑप्ट-आउट तंत्र दिखता है। अनियमित (unregulated) क्षेत्रों से आने वाले विज़िटर्स को आपकी कॉन्फ़िगरेशन के अनुसार या तो एक न्यूनतम नोटिस या बिल्कुल भी बैनर नहीं दिखता।

Google-certified CMP के रूप में, जो IAB TCF 2.3 और Consent Mode V2 को सपोर्ट करता है, FlexyConsent यह सुनिश्चित करता है कि सहमति सिग्नल्स, चाहे जो भी कानूनी ढांचा लागू हो, Google सेवाओं तक सही ढंग से पहुँचें। इसका मतलब है कि आपके Google Analytics और Google Ads कॉन्फ़िगरेशन, ऑप्ट-इन किए हुए यूरोपीय उपयोगकर्ताओं और ऑप्ट-आउट न करने वाले कैलिफ़ोर्निया उपयोगकर्ताओं — दोनों के लिए सही तरह से काम करते हैं।

मुख्य निष्कर्ष: कैलिफ़ोर्निया का ऑप्ट-आउट मॉडल, GDPR के ऑप्ट-इन दृष्टिकोण की तुलना में कम प्रतिबंधात्मक लग सकता है, लेकिन व्यावहारिक आवश्यकताएँ — ख़ासकर GPC सि��्नल्स और "sharing" की व्यापक परिभाषा के संदर्भ में — यह मतलब रखती हैं कि ज़्यादातर विज्ञापन-समर्थित वेबसाइटों को एक उन्नत consent management समाधान की ज़रूरत होती है। ऐसा जियो-टार्गेटेड consent लागू करना जो दोनों ढाँचों के अनुरूप अपने आप ढल जाए, एक ही वैश्विक दृष्टिकोण को ज़बरदस्ती लागू करने की तुलना में कहीं अधिक विश्वसनीय है।