《 2018年网络和信息系统法规》在英国生效,并发布了政府网络安全调查

On 10 2018年五月, the Network 和 Information Systems Regulations 2018 (NISR)在英国生效。 国家情报与安全局源自欧盟的《网络信息系统指令2016》,该指令已被 this blog previously。与此相关的是,2018年4月25日,英国政府数字,文化,媒体和体育部(DCMS) published 《 2018年网络安全违规调查》。该调查详细介绍了企业和慈善机构在网络安全和网络攻击影响方面的行动。

Summary of 国家情报与安全局

这些法规概述了在经济领域(如能源,银行,交通和健康)中保护关键IT系统的措施。 国家情报与安全局适用于“基本服务运营商”(OES)和“数字服务提供商”(DSP)。它专注于网络和系统的安全性以及服务中断。

英国政府有权指定哪些组织是OEP,因此只要符合特定条件,就可以在新法律的范围内。 DSP不受新法规的直接约束,尽管小型和小型企业免于执行。 OES和DSP必须保持其网络和信息的安全,并将安全事件通知主管部门。主管部门因行业而异,包括信息专员办公室,Ofcom和各种监管机构。

国家情报与安全局包含针对违规行为的分层罚款制度,具体取决于其后果的严重性:

  • 如果安全事件在相当长的一段时间内已经或可能导致服务供应减少,最高可达340万英镑
  • 高达850万英镑的服务在相当长的一段时间内已经或可能被中断
  • 对于安全事件已经或可能导致“生命直接威胁或对英国经济造成重大不利影响”的严重案件,最高赔偿额为1700万英镑。

评论

国家情报与安全局似乎已于2018年5月25日生效的《通用数据保护条例》黯然失色。但是,任何潜在的OES或DSP都应对NISR进行仔细检查,尤其是考虑到通知义务和可能的巨额罚款。 DCMS提供了非常明确的信息,即可以对风险进行充分评估,采取适当的安全措施并遵守相关规定的操作员可以避免罚款,这只能作为最后的选择。

Cyber Security Breaches Survey 2018

调查的消息是,英国企业需要做更多的工作来保护自己免受网络犯罪的侵害。调查的统计数据显示,过去12个月中,有43%的企业和19%的慈善机构遭受了网络破坏或攻击。对于大型企业,这一数字上升到72%。

常见的违规行为包括欺诈性电子邮件,冒充组织的骗子,病毒,勒索软件和恶意软件。破坏和攻击的影响范围可能从临时或永久文件丢失,网站功能降低到金钱,资产和知识产权被盗。该调查敦促企业考虑其“组织文化”,寻求指导,进行员工培训并部署网络安全政策,并对此类政策的有效性进行审核和监控。

该调查是英国更广泛的国家网络安全计划的一部分,与引入NISR,GDPR于2018年5月25日生效以及政府在该领域的持续投资联系在一起。

 

The High Court considers the right to be forgotten

On 13 April 2018, the High Court, in NT1& NT2 v Google LLC [2018] EWHC 799(QB)裁定Google胜诉,赞成两名商人主张被遗忘的权利。您可以找到完整的判断 这里,但是在此博客中,我们探讨了法院判决背后的原因。

Right to be forgotten/right to erasure

欧盟法院确认,根据数据保护法,被遗忘的权利是一项现有权利, Google西班牙SL对达托斯的西班牙保护主义 2014年案例:317.欧盟通用数据保护条例2016/679(GDPR)案文明确规定了被遗忘的权利。本质上,在GDPR中,该权利是增强的删除权。权利不是绝对的,这意味着如果有合理的理由继续处理个人数据,则控制者无需遵守请求。

Case summary

两名单独的商人提起了案件,这些案件已合并。每个案例都集中于对已使用且已经使用了十多年的与商业相关的刑事定罪的报告:

  • NT1因串谋实施虚假会计和逃税被定罪;和
  • NT2承认共谋窃听对他和他的企业构成威胁的环保主义者的电话并入侵他们的计算机。

Continue Reading

Trade secret litigation – is Germany next?

预期将实施《商业秘密指令》,因此已经广泛讨论了专有技术保护的话题。 AnetteGärtner博士与Sabrina Gossler共同撰写了一篇文章,探讨了德国目前的法律状况,分析了该指令的相关规定,并解释了在德国运营的公司应立即采取的措施。文章的主要内容包括:公司需要采取客观措施来保护机密性,以及引入机密性俱乐部,这将导致德国商业秘密诉讼的增加。请参阅AnetteGärtner博士和Sabrina Gossler在5月号上发表的全文 Mitteilungen der dt. Patentanwälte for further commentary.

第二十九条工作组发布同意的最终指南

On 10 April 2018, the Article 29 Working Party (WP29) published revised guidelines 经《通用数据保护条例》(GDPR)同意。同意是合法处理个人数据的六个GDPR基地之一。

技术与法度研究了WP29的同意指南草案 earlier this year。本文研究了指南草案和最终指南之间的差异。

Conditions for valid consent – freely given

根据GDPR,必须自由,明确,知情且明确地表示同意。如果控制人希望出于提供请求服务以外的其他目的处理个人数据,则应给予个人选择单独同意或拒绝这种处理的选择。

WP29号文件规定,如果控制人认为存在以下选择之间的选择,则不会随意给予同意:(1)其服务包括为其他目的而进行的处理; (2)由其他控制器提供的等效服务。

WP29号文件指出,个人的选择自由取决于:(1)市场竞争者的做法; (2)数据主体是否发现其他控制人的服务是真正等效的。这种方法意味着控制者有义务监测市场发展,以确保其加工活动的同意继续有效,因为竞争者总是可以改变他们的服务。这不是一个现实或务实的方法,WP29现在拒绝了它。

Continue Reading

第29条工作组通过了GDPR下的透明度最终定稿

在经过公众咨询后,第29条工作组(WP29)在2018年4月11日通过了《通用数据保护条例》(EU(2016)/ 679)(GDPR)下的透明度指南(该指南)。

Technology 法 咨询研究了今年初有关透明度的指导草案,因此此博客着重于关键问题以及最终指南中的新内容。

Information being “intelligible”

更新后的指南使用简单明了的语言链接信息要求,使之易于理解。现在,该准则指出,“负责任的数据控制者将了解与其收集信息的人员有关的知识,并且可以使用此知识来确定受众可能理解的内容。”例如,这包括假定在职专业人员比儿童或非专业人员对某些问题有更高的理解。换句话说,期望数据控制器定制适合于适用受众的通知和信息。最终指南还提出了用于控制者测试其界面,通知和策略以提高清晰度和透明度的机制,包括使用行业团体,消费者权益保护团体,可读性测试和监管机构。

Continue Reading

哥伦比亚特区联邦法院裁定,网页抓取不违反CFAA,并可能受到第一修正案的保护

2018年3月30日,哥伦比亚特区联邦地方法院驳回了一项驳回 ACLU case 向政府提起诉讼,以挑战《计算机欺诈和滥用法案》(CFAA)的合宪性,该法案规定以“超过授权访问权限”的方式访问计算机是联邦犯罪。 Sandvig v. Sessions,No.1:16-cv-01368,Dkt。 24(D.D.C. 2018年3月30日)。法院认为,原告可以继续主张第一修正案的言论自由和新闻自由条款根据CFAA受到起诉,因为这会限制原告报告公开信息甚至信息的能力。通常只有在用户在站点上注册后才可用。

毫无疑问,Sandvig案的特殊事实旨在突出CFAA的潜在极端应用。指定的原告是四位教授和一家媒体组织,负责调查各种网站采用的自动决策和广告定位技术是否会导致对受保护阶级的潜在歧视行为。例如,他们想分析房地产或就业网站是否会基于种族歧视用户。为了进行必要的分析,他们打算使用网络抓取,漫游器,伪造帐户(“木偶”)和其他数据收集技术来对网站进行基于结果的审核测试并发现此类行为。网站的服务条款(TOS)通常禁止这些活动,因此也禁止未经授权的活动。

Continue Reading

第二十九条工作组就GDPR认证机构认证指南进行磋商

The Article 29 Working Party (WP29) published a consultation认证机构认可指南 根据通用数据保护条例(GDPR)的规定,该条例已于3月底关闭。

咨询准则将要求GDPR下的认证机构必须由主管的监督机构或国家认证机构或两者兼而有之。该准则旨在建立统一的认证基准。

General overview

In brief, the guidelines:

  • 列出认证的目的并包括定义清单;
  • explain routes to accredit certification bodies;
  • 在国家层面上进行认证时,为其他认证要求提供框架;
  • 强调它们不是程序手册或新技术标准;
  • 强调最终形式的文件将包括一个附件,概述确定鉴定标准的框架。

Continue Reading

Brexit sectoral analysis – 信息通讯技术 report

2017年11月,下议院退出欧盟委员会(该委员会)发布了英国退欧对英国各行各业的影响评估报告。技术(ICT)部门报告(该报告)是定性和定量分析的结合。对于每个业务部门,报告均包括:(i)该部门的说明; (ii)该行业目前的欧盟监管制度; (iii)解释管理该部门国家之间如何促进贸易的框架。委员会已保留了政府向委员会提供的有关具体部门观点的信息。

Sector overview

英国的数字领域广阔。它涵盖数字商品,数字服务以及商品和服务的数字化交易。它包括以下服务和产品:(i)视听; (ii)电子商务; (iii)电信; (iv)数据; (v)人工智能等新兴产业; (vi)金融科技(另作报告); (vii)物联网; (viii)网络安全。尽管伦敦是重要的枢纽,但数字公司遍布英国。其他几个城市拥有高度排名的数字集群。

The Report highlights:

  • 英国在数字领域的投资范围;
  • 自英国脱欧公投以来,科技公司如何在英国投资;和
  • 有关ICT行业增加值的信息,包括其对国民经济统计,就业,国家贸易平衡和国际贸易的贡献。

Continue Reading

首先是’t always best: SEC settles for $35 million fine for failure to disclose data breach to investors

公司对重大数据泄露的回应导致对投资者不当披露的首创罚款

2018年4月24日,美国证券交易委员会(SEC)和Altaba Inc.(前身为Yahoo! Inc.)同意解决SEC执法部门的指控,该指控源自2013年发生的30亿个Yahoo帐户和2014年,但直到2016年才披露。[1] 2014年事件是2017年3月美国政府归因于俄罗斯黑客的事件。[2]

 SEC的行政程序命令指出,Altaba延迟披露2013-2014年安全事件,以及该公司向SEC公开提交多份报告,这些报告对总体违规的风险和后果进行了评论,但并未通知投资者这种威胁已在2013年和2014年实现。[3] 与先前因未能向受影响的客户或泄露的数据主体披露而对事件做出不正确反应而引起的高额罚款不同,对Altaba征收的3500万美元罚款是同类活动中的第一例,着重于向遭受损失的上市公司的投资者披露信息违规行为,应鼓励公司将相应的重点放在其数据违规响应计划上,以履行对股东的责任。

Continue Reading

亚利桑那州(AG)和州长牵头,亚利桑那州成为隐私创新者

亚利桑那州及其检察长办公室已成为在国家舞台上优先考虑数据安全的主要参与者。自2015年就职以来,亚利桑那州检察长Mark Brnovich在支持创新和保护亚利桑那州人的隐私权之间取得了平衡。在州长道格·杜西(Doug 杜西)的支持下,亚利桑那州正在积极采取措施,扩大州隐私保护措施的范围。

As the current Chair of the Conference of Western Attorneys General (CWAG),AG Brnovich将于5月3日至4日在亚利桑那州斯科茨代尔主持CWAG的2018年主席计划,重点关注数据隐私,网络安全和数字盗版。这次会议将聚集来自全国各地的股份公司以及思想领袖和私营部门的主要利益相关者,以解决诸如违规通知,欧盟的数据保护法规,国家安全和金融科技等问题的新视野。要了解有关AG Brnovich的2018年主席计划的更多信息以及他对司法部长如何处理隐私和数据安全问题的看法,请查看Reed Smith合伙人Divonne Smoyer和Associate Kimberly Chow Q&A with AG Brnovich网站 国际隐私专业人员协会。

Continue Reading

LexBlog