Isu privasi digital kembali jadi sorotan. Di tengah meningkatnya kesadaran pengguna soal perlindungan data pribadi, sebuah audit forensik terbaru justru mengungkap fakta yang cukup mengejutkan. Beberapa raksasa teknologi seperti Google, Microsoft, dan Meta diduga masih tetap melakukan pelacakan, meskipun pengguna sudah memilih untuk tidak dilacak.
Baca Juga : Fitur Beta Terbaru Gemini Hadirkan Respons Proaktif dari Foto, Email, dan Data Pengguna
Berdasarkan California Privacy Audit edisi Maret 2026 yang dilakukan oleh webXray, ditemukan bahwa setidaknya 194 layanan iklan online masih menanamkan tracking cookies, bahkan setelah pengguna secara eksplisit mengaktifkan fitur Global Privacy Control (GPC).
Penelitian ini dipimpin oleh Dr. Timothy Libert, mantan kepala kebijakan cookie Google. Tim webXray menganalisis lalu lintas web dari ribuan situs populer di California untuk melihat bagaimana praktik pelacakan ini berjalan di lapangan.
Hasilnya? Cukup mengkhawatirkan. Sekitar 55% situs yang diaudit tetap memasang cookie iklan meskipun pengguna sudah melakukan opt-out. Ini menunjukkan adanya pelanggaran skala besar terhadap California Consumer Privacy Act (CCPA).
Bagaimana Pelacakan Tetap Terjadi Meski Sudah Opt-Out?
Audit ini juga mengungkap cara teknis yang digunakan perusahaan untuk “melewati” preferensi privasi pengguna. Ketika pengguna mengaktifkan GPC, browser akan mengirimkan sinyal berupa header jaringan sec-gpc: 1.
Secara hukum di California, sinyal ini wajib dianggap sebagai permintaan sah untuk menghentikan pembagian data pribadi. Namun, kenyataannya berbeda. Berikut temuan utamanya:
- Google (Tingkat kegagalan 86%)
Saat server iklan Google menerima sinyalsec-gpc: 1, mereka sering kali mengabaikannya dan tetap mengirim perintah untuk membuat cookie iklan bernama “IDE” dengan masa aktif hingga dua tahun. Padahal, secara teknis Google bisa saja menghentikan proses ini, misalnya dengan mengembalikan status HTTP 451 (Unavailable For Legal Reasons). - Microsoft (Tingkat kegagalan 50%)
Mirip dengan Google, sistem pelacakan Microsoft tetap memberikan cookie “MUID” yang aktif selama satu tahun, tanpa mempertimbangkan sinyal GPC dari pengguna. - Meta (Tingkat kegagalan 69%)
Kode tracking pixel milik Meta yang banyak digunakan di berbagai website bahkan tidak memiliki mekanisme untuk mengecek sinyal GPC. Artinya, pelacakan tetap berjalan tanpa syarat, terlepas dari pengaturan privasi pengguna.
Cookie Banner Ternyata Tidak Selalu Aman
Satu hal yang mungkin cukup mengejutkan, audit ini juga menemukan bahwa sebagian besar Consent Management Platforms (CMP) atau banner persetujuan cookie ternyata tidak benar-benar melindungi pengguna.
Bahkan, beberapa cookie banner resmi bersertifikasi Google justru gagal mencegah cookie tetap aktif setelah pengguna memilih opt-out. Dalam pengujian terhadap tiga vendor CMP yang tersertifikasi Google, tingkat kegagalannya berkisar antara 77% hingga 91%.
Artinya, meskipun kamu sudah klik “Tolak semua cookie”, bukan berarti pelacakan benar-benar berhenti.
Dampak Regulasi dan Risiko Denda
Pemerintah California sendiri sudah menegaskan bahwa mengabaikan sinyal GPC merupakan pelanggaran hukum. Dalam beberapa kasus sebelumnya, pelanggaran terhadap CCPA bahkan berujung pada denda dalam jumlah besar.
Audit ini memperkirakan potensi total denda di industri bisa mencapai $5,8 miliar akibat praktik yang masih berlangsung hingga saat ini.
Langkah Mitigasi untuk Mengurangi Risiko
Agar terhindar dari risiko hukum dan menjaga kepercayaan pengguna, organisasi disarankan untuk mulai menerapkan beberapa langkah berikut:
- Penolakan di sisi server (Server-Side Rejection)
Server iklan harus mampu mendeteksi headersec-gpc: 1dan langsung menghentikan permintaan, sehingga tidak ada data pelacakan yang dikirim. - Pemanggilan script bersyarat (Conditional Script Loading)
Script pelacakan pihak ketiga sebaiknya hanya dijalankan jika tidak ada sinyal GPC, misalnya dengan mengeceknavigator.globalPrivacyControl. - Audit trafik secara independen (Independent Traffic Auditing)
Jangan hanya mengandalkan cookie banner. Tim compliance perlu memantau langsung trafik jaringan untuk memastikan cookie benar-benar tidak aktif saat pengguna opt-out.
Baca Juga : Meta Mulai Uji Coba Langganan Premium di Instagram
Kesimpulan
Temuan ini jadi pengingat bahwa privasi digital masih jadi tantangan besar, bahkan di tengah regulasi yang semakin ketat. Sebagai pengguna, penting untuk tetap waspada dan memahami bagaimana data kita digunakan. Sementara bagi pelaku bisnis, kepatuhan terhadap regulasi bukan lagi pilihan, tapi keharusan.
