تعمیل7 مئی 2026 | FlexyConsent

CCPA اور CPRA کوکی رضامندی: کیلیفورنیا پرائیویسی قانون آپ کی ویب سائٹ کے لیے کیا معنی رکھتا ہے

کیلیفورنیا کے پرائیویسی فریم ورک کو سمجھنا

کیلیفورنیا نے صارف پرائیویسی قانون سازی میں پورے امریکہ کی قیادت کی ہے، اور اس کے قوانین دنیا بھر کی ویب سائٹس کو متاثر کرتے ہیں۔ California Consumer Privacy Act (CCPA)، جس میں January 2023 سے نافذ ہونے والے California Privacy Rights Act (CPRA) کے ذریعے نمایاں ترمیم کی گئی، ہر اس کاروبار پر ذمہ داریاں عائد کرتا ہے جو کیلیفورنیا کے رہائشیوں سے ذاتی معلومات جمع کرتا ہے — اس سے قطع نظر کہ وہ کاروبار جسمانی طور پر کہاں واقع ہے۔

ویب سائٹ مالکان کے لیے عملی اثرات کا مرکز کوکیز، ٹریکنگ ٹیکنالوجیز�� اور یہ ہے کہ صارف کا ڈیٹا تیسرے فریق کے ساتھ کیسے شیئر کیا جاتا ہے۔ اگرچہ کیلیفورنیا کا ماڈل بنیادی طور پر یورپ کے GDPR سے مختلف ہے، پھر بھی رضامندی کے طریقہ کار اور صارف کے حقوق پر محتاط توجہ دینا ضروری ہے۔

CCPA/CPRA: کن پر لاگو ہوتا ہے؟

یہ قانون منافع بخش کاروباروں پر لاگو ہوتا ہے جو درج ذیل میں سے کسی ایک حد کو پورا کرتے ہوں:

دوسری حد خاص طور پر ان ویب سائٹس کے لیے اہم ہے جو اشتہارات استعمال کرتی ہیں۔ اگر آپ کی سائٹ ٹ��رگٹڈ ایڈورٹائزنگ کے لیے تھرڈ پارٹی کوکیز استعمال کرتی ہے اور کیلیفورنیا سے نمایاں ٹریفک حاصل کرتی ہے، تو ممکن ہے کہ آپ صرف انہی کوکیز کے ذریعے سالانہ 100,000 سے کہیں زیادہ کیلیفورنیا صارفین کا ڈیٹا پروسیس کر رہے ہوں۔

Opt-Out بمقابلہ Opt-In: GDPR سے بنیادی فرق

یہ وہ سب سے اہم فرق ہے جسے ویب سائٹ آپریٹرز کو سمجھنا چاہیے۔ GDPR کے تحت ڈیفالٹ opt-in ہے: جب تک صارف فعال طور پر رضامندی نہ دے، آپ غیر ضروری کوکیز سیٹ نہیں کر سکتے۔ CCPA/CPRA کے تحت ڈیفالٹ opt-out ہے: آپ ذاتی معلومات (بشمول کوکیز کے ذریعے) اس وقت تک پروسیس کر سکتے ہیں جب تک صارف آپ کو روکنے کے لیے نہ کہے۔

اس کا مطلب یہ ہے کہ کیلیفورنیا کے وزیٹرز کے لیے رضامندی کا تجربہ بنیادی طور پر مختلف نظر آتا ہے:

تاہم، اہم استثنات موجود ہیں۔ 16 سال سے کم عمر نابالغوں کے لیے CCPA/CPRA opt-in ماڈل پر منتقل ہو جاتا ہے — آپ کو ان کی ذاتی معلومات بیچنے یا شیئر کرنے سے پہلے مثبت رضامندی حاصل کرنا ضروری ہے۔ 13 سال سے کم عمر بچوں کے لیے یہ رضامندی والدین یا سرپرست کو دینی ہوتی ہے۔

"Do Not Sell or Share" کی ضرورت

CPRA نے اصل CCPA کے "Do Not Sell" حق کو بڑھا کر "sharing" کو بھی شامل کر لیا — جو خاص طور پر اس قسم کے ڈیٹا کے تبادلے کو ہدف بناتا ہے جو تھرڈ پارٹی ایڈورٹائزنگ کوکیز کے ذریعے ہوتا ہے۔ جب کوئی صارف آپ کی سائٹ ��ر آتا ہے اور آپ کی کوکیز ان کی براؤزنگ ڈیٹا کو ایڈورٹائزنگ نیٹ ورکس کو بھیجتی ہیں، تو یہ CPRA کے تحت sharing شمار ہوتا ہے، چاہے براہِ راست پیسے کا لین دین نہ بھی ہو۔

آپ کی ذمہ داریوں میں شامل ہے:

Global Privacy Control (GPC)

Global Privacy Control ایک براؤزر لیول سگنل ہے جسے صارفین فعال کر سکتے ہیں تاکہ وہ خودکار طور پر ہر اس ویب سائٹ کو اپنا opt-out ترجیحی پیغام بھیج سکیں جس پر وہ جاتے ہیں۔ بڑے براؤزرز، جن میں Firefox اور Brave شامل ہیں، GPC کو نیٹو طور پر سپورٹ کرتے ہیں، اور براؤزر ایکسٹینشنز Chrome وغیرہ میں اس کی سپورٹ شامل کرتی ہیں۔

CPRA کے ضوابط کے تحت کاروباروں پر لازم ہے کہ وہ GPC سگنلز کو ایک درست opt-out درخواست کے طور پر تسلیم کریں۔ اس کے اہم عملی اثرات ہیں:

GPC کا اپنانا بتدریج بڑھ رہا ہے۔ اندازوں کے مطابق اب 5 سے 10 فیصد ویب ٹریفک GPC سگنل کے ساتھ آتا ہے، اور پرائیویسی کے حوالے سے زیادہ حساس کیلیفورنیا صا��فین میں یہ تناسب اس سے بھی زیادہ ہے۔

کیلیفورنیا کے لیے آپ کو حقیقتاً کب کوکی بینر کی ضرورت ہوتی ہے؟

یہ وہ جگہ ہے جہاں بہت سے کاروبار الجھن کا شکار ہو جاتے ہیں۔ سخت قانونی نقطۂ نظر سے دیکھا جائے تو CCPA/CPRA، opt-out ماڈل کی وجہ سے، یورپی طرز کے کوکی رضامندی بینر کو لازمی قرار نہیں دیتا۔ تاہم، آپ کو درج ذیل چیزوں کی ضرورت ہے:

عملی طور پر، زیادہ تر ویب سائٹس جو یورپی اور کیلیفورنیا دونوں آڈینس کو سروس دیتی ہیں، ایک متحد consent انٹرفیس نافذ کرتی ہیں جو وزیٹر کے مقام کے مطابق اپنا رویہ تبدیل کرتا ہے۔ اس طرح دو مکمل طور پر الگ رضامندی سسٹمز کو برقرار رکھنے کی ضرورت نہیں رہتی۔

عملی نفاذ کے پہلو

CCPA/CPRA کی تعمیل کو GDPR کی تعمیل کے ساتھ نافذ کرنا دوہرا موڈ چیلنج پیدا کرتا ہے۔ آپ کے consent management پلیٹ فارم کو درج ذیل کام کرنے کی ضرورت ہے:

  1. وزیٹر کے مقام کا درست پتہ لگانا، IP پر مبنی geolocation کے ذریعے۔
  2. درست قانونی فریم ورک لاگو کرنا — EEA/UK وزیٹرز کے لیے opt-in، کیلیفورنیا وزیٹرز کے لیے opt-out، اور دیگر خطوں کے وزیٹرز کے لیے ممکنہ طور پر کوئی تقاضا نہیں۔
  3. کیلیفورنیا وزیٹرز کے لیے "Do Not Sell or Share" لنک کا انتظام، چاہے بینر کے اندر ہو یا بطور الگ پیج عنصر۔
  4. کسی بھی تھرڈ پارٹی کوکی کے سیٹ ہونے سے پہلے GPC سگنلز کو ڈیٹیکٹ اور ان کا احترام کرن��۔
  5. اس کے مطابق کوکی کے رویے کو کنٹرول کرنا — ان صارفین کے لیے تھرڈ پارٹی ایڈورٹائزنگ کوکیز کو بلاک کرنا جنہوں نے opt-out کیا ہو، جبکہ فرسٹ پارٹی اینالیٹکس کوکیز کو جاری رہنے دینا۔

تکنیکی نفاذ میں اس فرق کو بھی مدِنظر رکھنا ضروری ہے جو فرسٹ پارٹی اینالیٹکس کوکیز (جو عموماً CCPA/CPRA کے تحت ایک کاروباری مقصد کے طور پر قابلِ قبول ہوتی ہیں) اور تھرڈ پارٹی ایڈورٹائزنگ کوکیز (جو sharing کے زمرے میں آتی ہیں اور opt-out کے تابع ہیں) کے درمیان ہے۔

California وزیٹرز کے لیے FlexyConsent Geo-Targeting

FlexyConsent خودکار geo-targeting کے ذریعے اس دوہری موڈ کے چیلنج کو ہینڈل کرتا ہے۔ جب کوئی کیلیفورنیا وزیٹر آپ کی سائٹ پر آتا ہے، تو FlexyConsent اپنا رویہ CCPA/CPRA کی ضروریات کے مطابق ایڈجسٹ کر دیتا ہے:

ایک Google-certified CMP کے طور پر جو IAB TCF 2.3 اور Consent Mode V2 کو سپورٹ کرتا ہے، FlexyConsent اس بات کو یقینی بناتا ہے کہ رضامندی کے سگنلز درست طور پر Google سروسز تک پہنچیں، قطع نظر اس کے کہ کون سا قانونی فریم ورک لاگو ہو۔ اس کا مطلب ہے کہ آپ کی Google Analytics اور Google Ads کنفیگریشنز، رضامندی دینے والے یورپی صارفین اور وہ کیلیفورنیا صارفین جنہوں نے opt-out نہیں کیا، دونوں کے لیے درست طور پر کام کرتی ہیں۔

اہم نکتہ: کیلیفورنیا کا opt-out ماڈل بظاہر GDPR کے opt-in طریقہ سے کم سخت محسوس ہو سکتا ہے، لیکن عملی تقاضے — خاص طور پر GPC سگنلز اور "sharing" کی وسیع تعریف کے حوالے سے — اس بات کا مطلب ہیں کہ زیادہ تر اشتہارات سے چلنے والی ویب سائٹس کو ایک جدید consent management ح�� کی ضرورت ہوتی ہے۔ ایسا geo-targeted consent نافذ کرنا جو دونوں فریم ورکس کے مطابق خود کو ڈھال لے، اس سے کہیں زیادہ قابلِ اعتماد ہے کہ آپ ایک ہی عالمی طریقہ کار کو ہر جگہ لاگو کرنے کی کوشش کریں۔
← بdelays delays سب پڑھیں →