E-pastos nosūtīto pikseļu izsekošana: CNIL precizē tiesisko regulējumu
Juridiskā uzraudzība Nr. 94 — 2026. gada aprīlis.
E-pastos nosūtīto pikseļu izsekošana: CNIL precizē tiesisko regulējumu
14. aprīlī CNIL publicēja ieteikumus par izsekošanas pikseļiem e-pastos. Ieteikums ir adresēts visām privātajām un publiskajām organizācijām, kas izmanto izsekošanas pikseļus, kā arī tehnisko pakalpojumu sniedzējiem, kurus tās varētu izmantot.
Izsekošanas pikselis praksē ir attēls, bieži vien ļoti mazs, kas tiks parādīts e-pasta saturā, izmantojot hipersaiti.
Pikseļa iekļaušana ir norādījums lietotāja terminālim nosūtīt mērķtiecīgu informāciju (pikseļa identifikatoru, IP adresi utt.) dalībniekiem, kas to ievieto.
Pikselis ļauj ziņojuma sūtītājam redzēt, vai ziņojums ir atvērts, un attiecīgi pielāgot savu saziņu, piemēram, attiecībā uz sūtīšanas biežumu, ziņojumu saturu vai potenciālo klientu saraksta atjaunināšanu.
CNIL atgādina, ka šādai praksei ir nepieciešama e-pasta saņēmēju iepriekšēja piekrišana saskaņā ar ePrivātuma direktīvas 5. pantu, kas transponēts Francijas Datu aizsardzības likuma 82. pantā.
Tomēr tas pieļauj izņēmumu "darījumu" e-pastiem, kas saistīti ar saņēmēja pieprasītu pakalpojumu, piemēram, lai identificētu saņēmējus, kuri vairs neatver savus e-pastus, un noņemtu tos no adresātu sarakstiem.
Izņēmums attiecas arī uz e-pastiem par konta brīdinājumiem, paziņojumiem, kas saistīti ar tādiem notikumiem kā pakas nosūtīšana, pasūtījumu apstiprinājumiem un pirkuma rēķiniem, paroles atgādinājumiem un atiestatīšanu, drošības brīdinājumiem un pārkāpuma paziņojumiem utt.
Izņemot šos izņēmumus, attiecībā uz jebkuru adresi, kas apkopota no 14. aprīļa, CNIL ieteikuma datuma, datu pārzinim pirms izsekošanas pikseļa integrēšanas e-pastā ir jāsaņem saņēmēju iepriekšēja piekrišana.
Šo piekrišanu, piemēram, varētu iegūt adreses apkopošanas brīdī vai izmantojot e-pastā iegultu saiti bez izsekošanas pikseļa.
Attiecībā uz adresēm, kas savāktas pirms šī datuma, dalībniekiem tiek lūgts trīs mēnešu laikā skaidri informēt saņēmējus, lai viņi varētu iebilst.
Šī publikācija izraisa reakciju, jo tā piespiež ļoti lielu skaitu amatpersonu ātri veikt atbilstības pasākumus.
Vai uzraudzības iestāde šajā jautājumā ir stingrāka vai pielaidīgāka nekā tās Eiropas kolēģi?
Tagad šķiet, ka tas ir viens no retajiem, kas skaidri norāda, kādā kontekstā tas sodīs izsekošanas pikseļus.
Tomēr šāda veida apstrādi jau gadiem ilgi ir uzsvērusi Eiropas Datu aizsardzības kolēģija (EDAK), un pirms tam to ir darījusi arī tās priekštece G29 (sk. jo īpaši vadlīnijas WP118 un 2/2023).
Eiropas nostāja ir arī stingrāka nekā CNIL nostāja, jo tajā ir minēts pilnīgs izsekošanas pikseļu aizliegums bez ziņojuma saņēmēja piekrišanas.
Šķiet, ka sabiedriskās apspriešanas laikā par ieteikuma projektu saņemtās atsauksmes ir pamudinājušas CNIL mēģināt izpatikt visiem: tādējādi tā ir mainījusi savu nostāju, virzoties uz lielāku elastību attiecībā uz e-pastiem, kas saistīti ar saņēmēja pieprasīto pakalpojumu.
Tomēr šīs nostājas īstenošana, visticamāk, izrādīsies sarežģīta.
Būtu vēlams precizēt atbrīvojuma darbības jomu, lai labāk noteiktu pakalpojumus, kas no tā gūst labumu, piemēram, informatīvos biļetenus vai citus abonementus, ko veic saņēmēji, par kuriem joprojām ir daži jautājumi. CNIL (Francijas Datu aizsardzības iestāde) norāda, ka tā atbalstīs datu pārziņus, jo īpaši ar tīmekļa semināru palīdzību. Revīzijas un sankciju piemērošana ir paredzēta tikai vēlāk, lai gan Komisija šodien nesniedz sīkāku informāciju.

CNIL (Francijas Datu aizsardzības iestāde) ir publicējusi veidnes dokumentu, kas izstrādāts, lai palīdzētu datu aizsardzības speciālistiem (DPO) sagatavot ziņojumus par savu darbību. Lai gan šāds ziņojums nav obligāts saskaņā ar GDPR, CNIL to uzskata par noderīgu labāko praksi atbilstības uzraudzībai un DPO saziņai.
28. aprīlī CNIL apstiprināja arī Alliance du Commerce iesniegto rīcības kodeksu, kura mērķis ir sniegt konkrētu palīdzību Francijas mazumtirgotājiem apģērbu un apavu nozarē, lai tie atbilstu GDPR prasībām.
Rokasgrāmatas mērķis ir stiprināt datu aizsardzību pārdošanas un izplatīšanas jomā gan veikalos, gan tiešsaistē.
Šis ir pirmais valsts kodekss un trešais nozares kodekss, ko apstiprinājusi CNIL (Francijas Datu aizsardzības iestāde), sekojot Eiropas kodeksiem CISPE (2021), kas veltīti mākoņdatošanai, un EUCROF (2024), kas attiecas uz klīniskajiem pētījumiem veselības aprūpē. Eiropā ir ieviesti aptuveni piecpadsmit kodeksi, kas pieejami, izmantojot šo infografiku.
Savā 2026. gada 24. aprīļa dekrētā valdība izvēlējās noteikt Nacionālā krāpšanas kontu faila (FNC-RF) tehniskās kārtības, kuru mērķis ir stiprināt cīņu pret banku krāpšanu, ignorējot CNIL ieteikumus par drošību.
Šajā failā, ko finanšu iestādes kopīgo, izmantojot Francijas Banku, ir ietverti IBAN numuri kontiem, par kuriem ir aizdomas par krāpšanu.
Saskaņā ar CNIL datiem, valdības apstiprinātā arhitektūra rada maksimālu risku, pateicoties pilnīgu un sinhronizētu datu kopiju koplietošanai vienkāršā tekstā ar maksājumu pakalpojumu sniedzējiem un to apakšuzņēmējiem.
17. aprīlī DGSI (Iekšējās drošības ģenerāldirektorāts) publicēja brīdinājumu par riskiem, kas saistīti ar ārvalstu lietojumprogrammu un risinājumu izmantošanu darba vietā. "Papildus paaugstinātai kiberdrošības risku iedarbībai šie rīki, ko bieži vien izstrādā uzņēmumi, kas nav Eiropas uzņēmumi, var radīt juridiskus, drošības, konfidencialitātes, atkarības vai pakalpojumu pārtraukuma riskus."
Piezīmē ir minēti dažādi gadījumi, kas mudinātu visus lietotājus būt piesardzīgiem attiecībā uz kopīgoto informāciju un piekļuves piešķiršanu.
30. aprīlī Francijas Valsts padome publicēja savu lēmumu par pakāpeniskas atbildes principu attiecībā uz ARCOM, Hadopi pēcteci, un atcēla vairākus 2010. gada 5. marta dekrēta aspektus, pamatojoties uz privātuma tiesību pārkāpumu. Sistēmas mērķis bija apkarot mūzikas un filmu pirātismu P2P tīklos. Izskatot četru digitālo tiesību aizstāvības grupu lūgumu, Valsts padome izdarīja nepieciešamos secinājumus no Eiropas Savienības Tiesas (EST) 2024. gada 30. aprīļa sprieduma, kurā noteikts, ka atkārtotas savstarpējas atsauces starp identitāti un lejupielādētajiem darbiem nedrīkst veikt bez neatkarīgas uzraudzības.
Anthropic lēmums neizplatīt publisko informāciju par savu jaunāko mākslīgā intelekta (MI) modeli Mythos tā kiberdrošības risku dēļ ir izraisījis daudzas reakcijas.
Mythos patiešām spēj ļoti efektīvi identificēt datora koda ievainojamības.
Ceturtdien, 23. aprīlī, publicētā piezīmē Mākslīgā intelekta un digitālo tehnoloģiju padome (CIANum) aicina "nepadoties valdošajai panikai" un izsaka vairākas piezīmes:
"Mākslīgā intelekta ieviešana atbilstības nodrošināšanai: publiskā un privātā sektora dalībnieki, kas nepieliek pastāvīgas pūles, lai izprastu un integrētu šos jaunos lietojumus, ātri vien tiks atstāti novārtā."
Cilvēku iesaistīšana galvenajos posmos: lai gan mākslīgais intelekts ir vērtīgs palīgs programmatūras izstrādē, labošanā un testēšanā, cilvēku zināšanu pilnīga atcelšana šobrīd, šķiet, garantē neveiksmi.
Jaunu ievainojamību paredzēšana un atbilstoša ielāpu ieviešana rada ievērojamas grūtības, jo īpaši tāpēc, ka daudzi dalībnieki jau ir pārslogoti.
Nacionālā konsultatīvā ētikas komiteja dzīvības zinātņu un veselības jautājumos (CCNE) un Nacionālā konsultatīvā ētikas komiteja digitālo tehnoloģiju jautājumos (CCNEN) 7. aprīlī publicēja kopīgu atzinumu, kas veltīts digitālajām neirotehnoloģijām un smadzeņu un mašīnu saskarnēm.
Atzinumā uzsvērts, ka šo tehnoloģiju attīstība "rada nopietnus ētikas jautājumus, jo īpaši attiecībā uz cieņu, autonomiju, domu brīvību, privātuma aizsardzību un taisnīgumu".
Konkrēti jautājumi attiecas uz neironu datu izmantošanu, nemedicīniskiem lietojumiem, iespējamo ietekmi uz identitāti un uzvedību, kā arī bērnu un pusaudžu aizsardzību.
Komitejas formulē ieteikumu kopumu, kurā aicināts ievērot īpašu modrību attiecībā uz digitālo neirotehnoloģiju izmantošanu.
Eiropas iestādes un struktūras
Pēc sākotnēji neveiksmīga mēģinājuma 7. maijā Eiropas likumdevēji panāca vienošanos vienošanās par "AI Omnibus" regulējumu, kura mērķis ir grozīt un vienkāršot Eiropas regulējumu par mākslīgo intelektu.
Uzņēmumiem būs laiks līdz 2027. gada beigām, lai nodrošinātu atbilstību noteikumiem par augsta riska mākslīgo intelektu, savukārt ar mākslīgo intelektu darbināmu iekārtu piegādātāji tiks nepārprotami atbrīvoti no noteiktiem pienākumiem.
Vienlaikus Omnibus ievieš jaunu aizliegumu attiecībā uz mākslīgā intelekta praksi, kas saistīta ar seksuāla un intīma satura vai bērnu pornogrāfijas ģenerēšanu bez piekrišanas.
Ir uzsākts oficiālais apstiprināšanas process, un mērķis ir publicēt galīgās izmaiņas līdz augustam.
Situācijā, kad arvien vairāk valstu plāno ierobežot nepilngadīgo piekļuvi sociālajiem tīkliem, Eiropas Komisija 29. aprīlī pieņēma ieteikumu, kurā mudināja dalībvalstis paātrināt Eiropas vecuma pārbaudes lietotnes ieviešanu un padarīt to pieejamu līdz gada beigām.
Komisija ir izstrādājusi šīs lietotnes ģenerālplānu, kas tiek pasniegts kā privātumu aizsargājošs un ļauj lietotājiem pierādīt savu pilngadību, neatklājot precīzu vecumu, identitāti vai jebkādu citu personisko informāciju.
Tomēr kiberdrošības konsultants, kā ziņots, ir atklājis drošības trūkumus, kas varētu apdraudēt lietojumprogrammas ieviešanu visā valstī.
29. aprīlī Eiropas Komisija provizoriski secināja, ka Meta platformas Instagram un Facebook pārkāpj Digitālo pakalpojumu regulu (DSA), jo tās nespēj rūpīgi identificēt, novērtēt un mazināt riskus, kas saistīti ar nepilngadīgo, kas jaunāki par 13 gadiem, piekļuvi to pakalpojumiem.
EDAK plenārsēdē 22. aprīlī pieņēma vadlīnijas par personas datu apstrādi zinātniskās pētniecības nolūkos.
Komiteja ir arī izveidojusi darba grupu, kuras uzdevums ir paātrināt anonimizācijas vadlīniju pabeigšanu.
Tā arī pieņēma divus atzinumus par diviem Europrivacy sertifikācijas kritēriju kopumiem, lai tos apstiprinātu kā Eiropas datu aizsardzības marķējumus, no kuriem viens ir paredzēts kā pārsūtīšanas rīks.
Iepriekšējā plenārsesijā EDAK publicēja vēl vienu svarīgu dokumentu: lai veicinātu organizāciju atbilstību GDPR un stiprinātu konsekvenci visā Eiropā, tā izstrādāja datu aizsardzības ietekmes novērtējuma (DPIA) modeli. Šis dokuments ir atvērts komentāriem līdz 9. jūnijam.
EST 21. aprīlī lēma, ka, pieņemot likumu, kas stigmatizē un marginalizē LGBTI+ cilvēkus, Ungārija ir pārkāpusi Eiropas Savienības tiesības.
Tiesa arī norāda, ka likuma nosaukums šīs personas pielīdzina personām, kas notiesātas par pedofiliju, "asimilācija, kas, visticamāk, palielinās pirmo personu stigmatizāciju un veicinās naidīgu uzvedību pret viņām".
Visbeidzot, Tiesa norāda, ka šis likums pārkāpj GDPR, ciktāl tas grozīja likumu par sodāmību reģistriem, lai paplašinātu piekļuvi informācijai par personām, kas notiesātas par pedofiliju.
Lai gan šāda piekļuve noteiktos apstākļos var būt likumīga, Tiesa uzskata, ka "likums nesniedz pietiekami precīzu definīciju ne personām, kurām ir atļauts piekļūt datiem, ne piekļuves nosacījumiem, kas nepieciešami, lai nodrošinātu atbilstošus aizsardzības pasākumus to personu tiesībām un brīvībām, kuru dati ir skarti".
Ziņas no Eiropas Savienības dalībvalstīm.
Beļģijā datu aizsardzības iestāde (APD) ir brīdinājusi divus cilvēkus nodrošināt, lai viņu novērošanas kameras vairs nefilmētu publiskos ceļus.
Kamera bija uzstādīta kā līdzeklis pret riepu caurduršanu.
APD konstatēja, ka filmēšana uz publiskiem ceļiem ir nelikumīga saskaņā ar Novērošanas kameru likumu, un uzsvēra, ka ierakstītie attēli pārkāpj sūdzības iesniedzēja un viņa ģimenes tiesības uz privātumu un datu aizsardzību, jo viņu personas dati tiek bieži apstrādāti, ņemot vērā kameras atrašanās vietu.
Spānijas Datu aizsardzības aģentūra (APD) ir sodījusi transporta pakalpojumu uzņēmumu ar 200 000 eiro par to, ka tas piespieda savus darbiniekus darba vajadzībām izmantot četras izsekošanas lietotnes savos personīgajos tālruņos.
APD arī sodīja universitāti ar 160 000 eiro sodu par to, ka tā nebija ieguvusi derīgu studentu piekrišanu viņu identitātes pārbaudei tiešsaistes eksāmenu laikā, izmantojot sejas atpazīšanas sistēmu.
Itālijas Datu aizsardzības iestāde (APD) ir piemērojusi 6 624 000 eiro sodu uzņēmumam Poste Italiane SpA un 5 877 000 eiro sodu uzņēmumam Postepay SpA par miljonu lietotāju personas datu nelikumīgu apstrādi.
BancoPosta un Postepay lietojumprogrammas kā obligātu pakalpojumu lietošanas nosacījumu pieprasīja lietotājiem piešķirt atļauju uzraudzīt mobilajās ierīcēs esošo datu kopu, lai atklātu jebkādu ļaunprātīgu programmatūru.
APD konstatēja, ka uzraudzības apjoms bija pārmērīgs attiecībā pret krāpšanas novēršanas mērķiem, un norādīja arī uz nepilnībām lietotājiem sniegtajā informācijā, ietekmes novērtējuma (IAPD) neesamību, atbilstošu drošības pasākumu un datu saglabāšanas politikas trūkumu, kā arī pārkāpumiem datu pārziņa iecelšanā.
Nīderlandes digitālās ekonomikas un suverenitātes ministrs strādā pie "digitālās ārkārtas situāciju komplekta" izveides, lai palīdzētu valsts pārvaldes iestādēm un iedzīvotājiem pašiem tikt galā digitālas katastrofas, piemēram, valsts mēroga interneta darbības pārtraukuma, gadījumā.
Valsts joprojām ir bīstami atkarīga no amerikāņu tehnoloģiju uzņēmumiem tās būtiskās infrastruktūras jomā, sākot no mākoņdatošanas līdz nodokļu sistēmām.
Valdība vēlas, lai iedzīvotāji 72 stundas varētu patstāvīgi apmierināt savas vajadzības bez interneta, telefona un digitālajām maksājumu metodēm.
Lielbritānijas valdība 23. aprīlī apstiprināja, ka Alibaba tīmekļa vietnē tiešsaistē pārdošanā ir izlikti 500 000 dalībnieku medicīniskie ieraksti vienā no Apvienotās Karalistes vadošajām zinātniskajām programmām — UK Biobank. Lai gan apdraudētā informācija neietvēra vārdus, adreses, kontaktinformāciju vai tālruņu numurus, tā varēja ietvert dzimumu, vecumu, dzimšanas mēnesi un gadu, sociālekonomisko statusu, dzīvesveida paradumus un bioloģisko paraugu mērījumus. Nebija kiberuzbrukuma, bet gan masveida datu lejupielāde, ko veica likumīgi akreditēta organizācija. Datubāze patiešām ir pieejama pētniekiem. Biobankas vadība paziņoja, ka kopš incidenta viņi ir ieviesuši pasākumus, lai ierobežotu lejupielādēto failu lielumu un uzraudzītu aizdomīgu failu eksportu.
Lielbritānijas valdība 23. aprīlī apstiprināja, ka Alibaba tīmekļa vietnē tiešsaistē pārdošanā ir izlikti 500 000 dalībnieku medicīniskie ieraksti vienā no Apvienotās Karalistes vadošajām zinātniskajām programmām — UK Biobank. Lai gan apdraudētā informācija neietver vārdus, adreses, kontaktinformāciju vai tālruņu numurus, tā var ietvert dzimumu, vecumu, dzimšanas mēnesi un gadu, sociālekonomisko statusu, dzīvesveida paradumus un bioloģisko paraugu mērījumus.
Nebija nekāda kiberuzbrukuma, bet gan masveida datu lejupielāde, ko veica leģitīmi akreditēta organizācija. Datubāze patiešām ir pieejama pētniekiem.
Biobankas vadība norādīja, ka kopš incidenta viņi ir ieviesuši pasākumus, kas ierobežo lejupielādēto failu lielumu un uzrauga aizdomīgu failu eksportu.
21. aprīlī Amerikas Patērētāju federācija (CFA) iesniedza kolektīvu prasību pret Meta, apgalvojot, ka uzņēmums neaizsargā savus lietotājus no krāpnieciskām reklāmām Facebook un Instagram pretēji savām saistībām un ka tas gūst peļņu no šīm reklāmām uz savu lietotāju rēķina.
CFA pieprasa zaudējumu atlīdzību, nelikumīgi gūtās peļņas atlīdzināšanu un tiesas aizliegumu patērētāju labā Vašingtonā.
Globālā dinamika par labu digitālajai suverenitātei veidojas no Kanādas līdz Eiropas Savienībai un Klusā okeāna piekrastei, un šī tēma bija centrālais elements nesenajā IAPP 2026 pasaules samitā Vašingtonā. "Vairāku semināru laikā dalībnieki centās precizēt un niansēt debates par digitālo suverenitāti, vienlaikus piedāvājot arī savu viedokli par to, kā pašreizējais ģeopolitiskais konteksts ietekmēs šīs debates turpmākajos gados."
01.net sīkāka informācija par Anthropic jaunākajiem mākslīgā intelekta projektiem.
14. aprīlī uzņēmums publicēja īpašu identitātes verifikācijas lapu savam tiesību maģistram Klodam. Noteiktas funkcijas, drošības darbības vai "platformas integritātes pārbaudes" tagad aktivizē oficiāla personu apliecinoša dokumenta un tiešraides selfija pieprasījumu.
Šis paziņojums tiek sniegts tikai dažas nedēļas pēc informācijas noplūdes, kas liecināja, ka Anthropic ziņojumos atrod lamuvārdus, apvainojumus un neapmierinātības izpausmes un reģistrē tās kā negatīvas lietotāju noskaņojuma signālus. "Apvienojumā ar jauno pases un selfiju prasību aina ir reibinoša. Anthropic zina, ko jūs sakāt, kad jūs dusmojaties."
Sestdien, 19. aprīlī, Palantir vietnē X publicēja 22 punktu kopsavilkumu par "Tehnoloģiskās republikas" (The Technological Republic), kas ir sava veida ģeopolitisks šī uzņēmuma kredo, kura pamatdarbība ir nodrošināt novērošanas un datu analīzes programmatūru Rietumu armijām, izlūkdienestiem un imigrācijas aģentūrām (tostarp Francijai).
Saskaņā ar šo manifestu liberālo demokrātiju pastāvēšana tagad ir atkarīga no programmatūras jaudas, Vācijas un Japānas “atbruņošanās” pēc 1945. gada bija vēsturiska kļūda, kodolieroču atturēšanas laikmets tuvojas beigām, un tā vietā jānāk jaunai atturēšanai, kuras pamatā ir mākslīgais intelekts.
Pētniece Kjara Galeze ziņo par ievainojamību, kas saistīta ar uzņēmuma Meta pārvaldītu mākslīgā intelekta aģentu.
Šis aģents, iespējams, rīkojās bez cilvēka norādījumiem, atklājot sensitīvus uzņēmuma un lietotāju datus neatļautiem darbiniekiem.
Ziņots, ka Meta šo incidentu klasificēja kā "Sev 1", kas ir otrais augstākais drošības līmeņa nopietnības līmenis. Pētnieks norāda, ka, no vienas puses, daži no Meta mākslīgā intelekta aģentiem ignorē cilvēku uzraudzības norādījumus, savukārt tajā pašā laikā Meta iegūst platformas, kas ļauj mākslīgā intelekta aģentiem sazināties savā starpā (Moltbook).
Riski saglabāsies tik ilgi, kamēr cilvēka uzraudzība nekļūs par stingru aģentūru mākslīgā intelekta sistēmu arhitektūras prasību: mūsdienās cilvēka verifikācija tiek uzskatīta par autonomu mākslīgā intelekta sistēmu priekšrocību, nevis ierobežojumu.
Austrālijas Signālu direktorāts/ACSC kopā ar vairākiem starptautiskiem partneriem, tostarp NSA, 1. maija publikācijā ieteica piesardzīgi ieviest aģentūru mākslīgā intelekta pakalpojumus.
Dokumentā uzsvērts, ka kritiskajās infrastruktūrās aģentu autonomija palielina kļūdu, neparedzētas eskalācijas un darbību ķēžu kompromitēšanas riskus.
Galvenais ieteikums ir ierobežot autonomiju, reģistrēt darbības, kontrolēt piekļuvi un definēt drošības pasākumus pirms jebkādas aģentūru mākslīgā intelekta operatīvas ieviešanas.

