输入你的电子邮箱地址:

由某人交付 FeedBurner

米尔斯& Reeve: 融合

国际联系

  • Mills&Reeve LLP是SCG Legal(全球领先的律师事务所网络)的英国成员。通过这些联系,我们已帮助我们的客户在50多个司法管辖区开展了国际合作。 SCG法律成员律师事务所是独立开展业务的,并非为共同执业而建立的关系。

融合 免责声明

  • 此博客上的信息并非旨在提供法律建议。您不应该依赖它,并且我们不承担与此有关的责任。请阅读我们的 充分 并告诉我们您是否希望我们就任何法律问题提供建议。对于特定问题,应寻求特定建议。

« 2017年七月 | 主要 | 2017年9月»

August 2017

是时候重新查看密码规则了吗?

欧盟《通用11选5胆拖保护条例》第5条第1款(f)项规定,有义务保护11选5胆拖“using 适当technical or organisational measures ”。  密码保护是此类措施的一个方面-但许多雇主仍未遵循最佳做法。  ICO指导 根据现行的《11选5胆拖保护法》,您有义务履行以下义务:随着技术的进步定期检查您的安全安排”,这意味着组织必须注意官方和行业指南的变化。

许多组织要求员工经常更改密码,并就字母,数字和特殊字符的使用提出复杂的要求。 此类政策被广泛认为是 适得其反.

产生的密码通常容易受到暴力攻击,在这种攻击中,黑客试图通过软件来访问系统,该软件系统地检查可能的密码短语,直到找到正确的密码短语为止。 蛮力攻击词典对常用单词(跨多种语言)和常用字符替换进行优先排序-例如,通常使用1、3和4代替字母I,E和A。

此外,典型的员工将需要记住数十个密码,涵盖了许多企业和个人帐户。加上要求每30天更改一次某些密码,人们写下来并将它们放在电脑旁就不足为奇了。

那么解决方案是什么?国家网络安全中心(NCSC) 暗示 一种简化的策略,更喜欢使用密码短语,允许在某些情况下跨多个帐户重复使用密码,并且仅在怀疑这些密码被盗用时才要求用户更改密码。 NCSC还建议重点关注监视和技术保护:监视登录以检测异常使用;通知用户尝试登录的详细信息(用户有义务告知是否有第三方尝试登录);并使用技术手段防御自动猜测攻击(例如帐户锁定,多次尝试后将常用密码列入黑名单)。 应用这些建议应为组织提供更好的,具有成本效益的保护,以防止信息系统违规和监管机构的不赞成。

克莱尔·威廉姆斯(Claire Williams)

张贴者 于14/08/2017在11:16上午 | | 评论(0)

上诉法院裁定,出于增值税目的,学院不属于大学

上诉法院最近的一项判决(SAE Education Ltd诉HMRC)大大缩小了“一所大学”的大学提供的供应品免征增值税的范围。

由“合格机构”是免税的。为此,“合格机构”一词既包括大学,也包括“该大学的任何学院,机构,学校或礼堂 ”。

上诉法院必须确定SAE Education Ltd是否是Middlesex University的这样一个“学院”,并且可以对其教育用品实行免增值税待遇。

在此案之前,人们认为,确定教育提供者是否属于“大专”免于增值税豁免的正确方法是采用多因素分析(主要是根据高等法院的判决,即“金融学院和管理”(2001年)。这考虑了多种因素,包括:

  1. 将声称的大学建立为大学一部分的任何基础或宪法文件;
  2. 实体与大学之间的财务相互依赖关系;
  3. 实体与大学之间的永久链接;
  4. 具有相同的共同目的(即提供大学教育);和
  5. 该实体提供从大学获得学位的课程,并接纳学生为大学成员。 

实际上,上诉法院已经放弃了这种事实调查的方法,而是倾向于将其描述为一种“边缘化”的方法。  to the test.

Under the Court of Appeal’s preferred analysis, what really matters most is the constitutional or structural analysis of the relationship between the purported college and the university. In other words, the arrangement 到位 between the entity and the university must be one “实际上,这使学院成为大学的一部分,而不仅仅是教育提供者,大学将其出于任何原因无法提供自身课程的课程外包给了该提供者每种情况的出发点都是研究作为机构的大学与大学之间的核心法律关系 。”

根据本案的事实,上诉法院得出结论,SAE Education Ltd不是Middlesex大学的一所大学。 在任何法律上,SAE都不是更广泛大学的一部分-它仍然是一家独立的公司,提供有限数量的专业学位课程。参加SAE提供的课程的学生已定义了使用大学设施的权利,而不是其他Middlesex学生享有的全部权利。  该大学与SAE之间的合同安排将接受定期审查,如果对学术标准产生担忧,可以终止该合同安排。

综上所述,尽管SAE是Middlesex University的密切和值得信赖的合作伙伴,但从实质结构或法律意义上来说,它实际上并不是增值税法规所要求的大学学院。

可以预料,将增值税免税重新制定为这一更为“严格的”标准可能会在整个大学界造成更大的困难。

马修·肖特

张贴者 于11/08/2017在09:40上午 | | 评论(0)

营造网络安全文化

不能通过远程或冷漠的高管发布的法令强加文化。文化是一种行为方式,它基于组织领导层的知情价值观和优先事项,并嵌入治理流程中。它在内部和与客户的关系过程中得到加强和传播。

如果没有董事会层面的关注以及对网络安全问题的充分理解,组织往往会表现出不良的网络安全精神。根据发表在 哈佛商业评论( 丁苯橡胶 ) 今年早些时候,许多公司董事将网络安全视为一种较低级别的风险-类似于需要赔偿或供应链问题-而不是可能导致重大财务,声誉和其他长期损害的基本问题。

一个组织的流程和规程及其网络安全文化的充分性,在很大程度上取决于管理者对该问题的理解。 IT和电信行业倾向于拥有最强大的网络安全文化-具有确保定期讨论安全性的特定过程,有关网络问题的管理信息既可用又可提供信息,并不断更新有关网络违规的计划。 相比之下,尽管发生了频繁的网络攻击,但在HBR调查中,与医疗保健相关的受访者中有79%认为他们的组织流程不够健全。

在组织文化中确立强大的网络安全方法将有助于防止不必要的客户,金钱和机会损失。因此,在进行更改以确保符合即将到来的《通用11选5胆拖保护条例》的同时,组织应趁此机会更广泛地更新和升级其网络方法。 作为第一步,高级管理层应考虑任何现有信息安全策略的适当性:它们是否足够?他们如何应对当前的威胁?如何填补空白? 为了确保考虑适当的法律和技术问题,可能需要外部援助。

此外,可能需要对管理信息进行重新定位以突出显示网络安全问题,以及有关该信息应通过的报告路线的清晰性。应该引入明确的度量标准来测试任何安全性的有效性,并且应该定期在内部或在第三方协助下进行测试。组织可能还需要考虑朝着公认的网络安全标准努力,例如英国政府的“网络基本知识”。

然后,必须首先通过培训将变更清楚地传达给员工,但主要应作为日常互动的一部分。管理层确定每天都会使用网络安全措施,并执行组织的政策,这将建立理想的文化。

克莱尔·威廉姆斯(Claire Williams)

张贴者 在10/08/2017在03:16下午 | | 评论(0)

政府概述了新的英国11选5胆拖保护法

欧盟通用11选5胆拖保护条例(“ GDPR”)将在2018年5月25日之前在英国直接实施,但同时也规定了受成员国法律约束的某些方面。 除GDPR外,欧盟的11选5胆拖保护执法指令(DPLED)也需要在2018年5月6日之前纳入英国法律。

政府部长马修·汉考克(Matthew Hancock)已确认英国的提议 11选5胆拖保护条例草案会将欧盟的通用11选5胆拖保护条例(GDPR)纳入英国法律,帮助英国为成功脱欧做准备 ”。  政府还发布了“意向说明”概述了将被纳入该法案的某些规定,从而废除了《 1998年11选5胆拖保护法》。 尽管该声明概述了主要规定,但预计该法案将在暑假后向议会提出进一步细节。 11选5胆拖负责人将需要继续执行其GDPR合规计划,同时还要监视英国新法律引入的任何其他要求或豁免。

该声明表明:

  • 实施将是“这样做的方式应尽可能保留《11选5胆拖保护法》 [1998]的概念,以确保所有人的过渡尽可能顺利,同时完全遵守GDPR和DPLED ”。
  • 个人11选5胆拖的定义将扩大到包括IP地址,互联网cookie和DNA。
  • 将引入更严格的同意处理个人11选5胆拖的规则,包括禁止默认退出或预先勾选框,以及要求父母或监护人同意13岁以下儿童的同意。
  • 个人会发现要求组织免费免费披露其个人11选5胆拖会更容易,只要要求不是“明显没有根据或过多 ”。
  • 11选5胆拖控制器将必须提供有关如何访问个人11选5胆拖的更好信息。
  • 11选5胆拖可移植性权利将使个人更容易在服务提供商之间移动11选5胆拖。
  • 例如,“被遗忘的权利”将允许个人要求社交媒体平台删除其在童年时期发布的信息。
  • 在基于自动处理或“概要分析”做出的决策中,个人将拥有更大的发言权。 条例草案还将对这些权利提出一些限制条件。
  • 如果11选5胆拖泄露威胁个人的权利和自由,则11选5胆拖控制者必须在不适当的延迟下且在11选5胆拖泄露后72小时内通知ICO。如果存在高风险,他们还必须通知受影响的个人。
  • 进行“高风险”11选5胆拖处理的11选5胆拖控制者将有义务进行隐私影响评估。
  • GDPR要求公共机构和11选5胆拖控制者任命“11选5胆拖保护官”,其“核心活动包括大规模定期进行系统的处理操作,或处理特殊类别的个人11选5胆拖以及与刑事定罪或犯罪有关的11选5胆拖。
  • 如果个人受到违反11选5胆拖保护规则的影响,“代表实体(例如监察员,消费者或民间社会团体)应有可能代表受到类似影响的个人提起诉讼 ”。
  • ICO对违反11选5胆拖保护法律的组织的权力将从目前的50万英镑限额增加到全球营业额的4%或2000万欧元(1700万英镑)。
  • 新制度将继续允许出于有关就业/保护目的处理与刑事定罪和犯罪有关的11选5胆拖。
  • 现行法律对新闻业的豁免将被复制,对举报人的保护也将得到实施。
  • The government will legislate to exercise [an] exemption in order to ensure that the UK continues to be a centre for groundbreaking research. We will ensure that research organisations and archiving services do not have to respond to subject access requests when this would seriously impair or prevent them from fulfilling their purposes. Research organisations will not have to comply with an individual’s rights to rectify, restrict further processing and, object to processing where this would seriously impede their ability to complete their work, and providing that 适当organisational safeguards are 到位 to keep the data secure.
  • 将为警察和参与刑事司法系统的其他实体采取一系列措施实施DPLED。
  • 政府还将立法为处理出于国家安全目的处理个人11选5胆拖的框架。

除了ICO的经济处罚和GDPR规定的其他执行权力之外,还将创建新的刑事犯罪:

  • 一项新的罪行,即有意或无意地从匿名或假名11选5胆拖中重新识别个人。故意处理或处理此类11选5胆拖的犯罪者也将构成犯罪。最高罚款将是无限的罚款。
  • 旨在防止在主题访问请求后披露信息的新记录变更罪。 犯罪的范围不仅适用于公共当局,而且适用于所有11选5胆拖控制者和处理者。最高罚款将是英格兰和威尔士的无限制罚款,或苏格兰和北爱尔兰的5级罚款。
  • 现有的非法获取11选5胆拖的罪行将扩大,以捕获违反11选5胆拖控制者意愿保留11选5胆拖的人(即使他们最初是合法获取11选5胆拖的)。

该声明还强调遵守11选5胆拖保护法作为改善网络安全基础的重要性。结论是:政府将努力确保英国与欧盟之间以及英国与第三国和国际组织之间的11选5胆拖流在英国之后保持不间断'从欧盟退出。与英国在欧洲及其他地区的执法和安全合作伙伴的合作也将仍然是优先事项。

罗伯特·伦弗里

张贴者 于08/08/2017在02:45下午 | | 评论(0)

GDPR-同意指导被延迟

11选5胆拖保护合规性的重要组成部分之一是11选5胆拖控制器 确保他们有 appropriate "grounds" or "conditions" in place for the lawful processing of personal data. One of the 理由/conditions for lawful processing under the existing Data Protection Act 1998 (and the forthcoming General Data Protection Regulation) is the consent of the data subject. However, this is not the only condition for lawful processing of personal data and in many situations consent may not be a suitable 依赖的条件。同意的一个特点是,不仅必须免费提供同意,而且还必须能够撤回同意。

信息专员'该办公室于2017年3月2日早些时候发布了其有用的同意指导草案,以供参考。  Unfortunately, 该指南的最终版本已被延迟。 ICO最近发布的声明确认如下:

"但是,直到ICO成为其成员的欧洲11选5胆拖保护机构第29条工作组(WP29)同意了其在欧洲范围内的同意指南后,我们才能发布该指南的最终版本。 WP29同意指南将在2017年晚些时候发布,最新时间表将在2017年12月达成一致并通过。同时,我们打算发布对我们的反馈意见的摘要。”

在我们对ICO的回应中'在咨询过程中,我们评论了GDPR中该术语的定义不足'public authority'。这很重要,因为同意指南草案建议:

"拥有权力的公共当局,雇主和其他组织可能会发现更难获得有效同意。"

GDPR还对依赖合法处理的另一种理由进行限制,其中11选5胆拖控制者是公共机构,即'legitimate interests"11选5胆拖控制器或第三方。在提议的新版本中(尚未发布)可能已经澄清了这个问题, 英国11选5胆拖保护法案。 

 

张贴者 于04/08/2017在03:37 PM | | 评论(0)

Butt诉内政部国务卿-解释高等院校的预防义务

2017年7月26日,高等法院在Butt博士提起的司法复审请求中对内政部大臣(SSHD)发布的关于法定预防义务的指南的合法性做出判决。 SSHD根据《 2015年反恐与安全法》(CTSA)第29条的规定发布了经修订的《预防义务指南》(PDG)和相关的《高等教育预防义务指南》(以下简称《指南》)。 法律挑战主要集中在以下方面之间的相互作用:

  • CTSA第26条(公共当局有“适当考虑”以防止人们被卷入恐怖主义的责任);
  • 《反恐法》第29条(SSHD有权发布有关行使第26条规定的义务的指导);
  • 《反恐法》第31条(根据第29条,有关公共当局和SSHD在发布指南时有义务“特别考虑”确保法律中的言论自由和其他立法要求的学术自由的重要性);和
  • 普通法/言论自由权包含《欧洲人权公约》。

司法审查的要求还挑战了政府极端主义分析股收集,存储和传播11选5胆拖的合法性。

尽管最终驳回了索赔,但奥塞利法官通过冗长的判决(277段)深入考虑了指导和索赔中的问题。

对HEPDG的第11段进行了特别审查。 在决定是否接待特定发言人时,机构应“仔细考虑表达的观点或可能表达的观点是否构成极端主义的观点,这些观点有可能使人们陷入恐怖主义或被恐怖主义团体所共有。  在这些情况下,除非[机构]完全确信无需取消事件就可以完全减轻这种风险,否则不应继续进行事件。

法官解释说 “我认为该问题是指南的正确构成之一”, 注意到 “ s26的职责涉及防止进程被卷入恐怖主义的必要性”.  

判决中提出了许多要点,包括:

  • HEPDG确认第26条“防止责任”旨在“以比例和基于风险的方式实施 ”;
  • HEPDG要求“仔细考虑程序和政策” to be 到位, “正确遵循并应用”-这包括机构的言论自由行为守则。 
  • 如果“反对英国基本价值观 “ 要么 “非暴力极端主义” 被识别但行为(“无论如何”)不会造成他人被卷入恐怖主义的风险。

法官确认该指导的地位如下:

“ HEPDG和PDG是指导而不是方向,更不用说独立的了; [相关高等教育机构]的义务应予以考虑。机构应对自己的决定负责,包括与校园外部发言人有关的决定。但是,考虑到在具体情况下适用指南的情况,机构的职责是将其与有关学术自由和言论自由的职责一起考虑,为此,该机构应根据第43条建立行为准则EA1986。指南指出,如果无法减轻风险以至消除风险,则应取消会议。然后,在考虑到HEPDG的适用之后,这些机构有权说,他们必须特别重视的言论自由义务和学术自由义务更为重要。他们必须考虑他们尽可能实际地减轻风险的程度以及无法消除的风险的性质和程度。但是,这样做的话,如果他们决定继续进行,则不会违反第29条,第26条或第31条的规定。他们的行为可能不符合HEPDG的条款,但HEPDG不是法律,因此必须将第29条中的职责与其他特定职责相协调。” (第61段)

高等法院的判决为复杂领域的许多重要问题提供了有益的确认。

加里·艾特尔

张贴者 于03/08/2017在03:46下午 | | 评论(0)