教育信息安全/安全法规

如今的学校面临着大量法规、指南和协议，为了让学生、教职工和员工安全地利用网络资源，必须遵守这些法规、指南和协议。除了为了合规而遵守这些法规外，遵守这些法规也会直接影响到州和联邦科技资金的获得。学校必须始终严格遵守的两项重要法律及其相应指南是《儿童互联网保护法》和《家庭教育权利和隐私权法》。第三项法律，即《健康保险流通与责任法》，在某些学校环境中也可能适用。

国家和地方记录是指教育机构或机构，或代表这些机构的个人维护的，直接与学生相关的记录、文件、文档和其他资料的汇编。

保密性是指你有义务不对未经授权的人员披露或传输信息。

隐私权是一种独特的个人权利，它反映了个人不受侵犯的自由。

安全性是指确保只有授权的和预期的方能够访问数据的技术程序。

披露包括以口头、书面、电子或任何其他方式向任何人或实体允许访问、透露、发布、转让、传播或以其他方式传播任何个人记录的全部或部分内容。

保护原则：信息使用者应使用适当的技术和管理控制措施来保护个人信息的机密性和完整性。（1997）。^[1]

“《儿童互联网保护法》（CIPA）是国会颁布的一项联邦法律，旨在解决人们对学校和图书馆电脑上通过互联网访问令人反感内容的担忧。CIPA 对任何从 E-rate 计划（一项让合格的学校和图书馆能够更负担得起某些通信技术的计划）获得互联网接入或内部连接资金的学校或图书馆施加了某些类型的要求” (CIPA, 2001)。^[2] 2001 年初，联邦通信委员会发布了一套规则，供 FCC 用于在所有 E-rate 资助的学校和图书馆实施 CIPA。这些规则要求所有接受资助的学校和图书馆都制定一项互联网安全政策，其中包括针对诸如通过电子邮件、聊天室或其他电子通信方式过滤和屏蔽内容等问题的技术保护措施。所使用的保护措施必须专门屏蔽对被视为淫秽、儿童色情或对未成年人有害的内容或图片的访问。所有学校都必须在申请资金时将此互联网安全政策（包括这些技术保护措施）纳入其中。在通过此政策之前，学校还必须“提供合理的通知并至少举行一次公开听证会”（CIPA, 2001）。^[2] 关于此政策及其通过计划。CIPA 法规不影响学校获得的用于电信或电话服务等方面的 E-rate 资金。

《儿童在线隐私权保护法》于 2000 年 4 月 21 日生效，它对网站通过学校互联网连接收集的 13 岁以下儿童的个人信息进行监管。根据 COPPA，所有网站托管方必须制定明确的隐私政策，其中规定在收集有关学生的个人信息之前必须征得父母的许可。

“《儿童在线隐私权保护法》及其规则适用于在线收集的有关儿童的个人身份信息，例如全名、家庭住址、电子邮件地址、电话号码或任何其他可能允许他人识别或联系儿童的信息。该法及其规则还涵盖其他类型的信息——例如，爱好、兴趣以及通过 cookie 或其他类型的跟踪机制收集的信息——只要它们与个人身份信息相关联”（COPPA，2000）。^[3]

所有网站运营商都必须在其网站首页上发布有关其信息收集流程的通知，并且必须在父母签署同意书之前向父母提供包含相同信息的通知。对于仅用于内部的个人信息，可以通过电子邮件获得父母同意。所有外部使用此信息都需要签署的同意书。

这项政策有几个例外。根据 COPPA，“在以下情况下，无需事先取得家长同意：运营商收集儿童或家长的电子邮件地址以提供通知并寻求同意；运营商收集电子邮件地址以回复儿童的单次请求，然后将其删除；运营商收集电子邮件地址以对特定请求进行多次回复 - 例如，订阅新闻稿。在这种情况下，运营商必须通知家长它正在定期与儿童沟通，并让家长有机会在向儿童发送或传递第二次沟通之前停止沟通；运营商收集儿童的姓名或在线联系信息以保护在网站上参与的儿童的安全。在这种情况下，运营商必须通知家长，并让家长有机会阻止进一步使用该信息；运营商收集儿童的姓名或在线联系信息以保护网站的安全或责任，或在必要时回应执法部门，并且不将其用于任何其他目的”（COPPA，2000）。

所有新的个人信息请求都需要新的签署同意书。家长可以选择随时撤回同意，并指示运营商删除所有先前收集的信息。联邦通信委员会可以随时“对违反此规则的行为采取执法行动并处以民事罚款”（COPPA，2000）。^[3]

"《家庭教育权利和隐私法案》（FERPA）（20 美国法典第 123g 节：34 CFR 第 99 部分）是一项联邦法律，旨在保护学生教育记录的隐私。该法案适用于所有从美国教育部相关项目中获得资金的学校。

FERPA 赋予父母在子女教育记录方面享有某些权利。当学生年满 18 周岁或就读于高中以外的学校时，这些权利将转让给学生。享有权利转让的学生有资格获得学生资格”（FERPA，1974）。^[4] 根据这项法律，父母和学生有权：检查和审查学校保存的学生教育记录；要求学校更正他们认为不正确或具有误导性的记录；决定何时以及向谁发布他们的教育记录。

根据 FERPA 规定，学校必须获得父母或合格学生的书面许可才能发布与学生学业记录相关的任何信息。但是，学校有权在未经书面同意的情况下发布这些记录给：拥有有效教育利益的学校官员；学生将要转学的学校；用于审计或评估目的的学校官员；与学生经济援助有关的适当方；认证机构；代表学校进行研究的组织；遵守司法命令；根据州法律，州和地方当局或少年司法系统（FERPA，1974）。^[4] 学校还可以不经父母或合格学生同意而披露与学生相关的目录信息：姓名；地址；电话号码；出生日期和地点；荣誉和奖励；出席日期（FERPA，1974）。^[4]

在发布此信息之前，学校必须告知父母或合格学生发布此信息的计划，以便让父母或学生有“合理的时间要求学校不要披露有关他们的目录信息”（FERPA，1974）。^[4]

《健康保险流通与责任法案》规定了学校健康服务如何与学校社区的其他部门共享学生健康信息。2004 年 10 月，美国卫生与公众服务部代理区域主任在一封给工作人员的信中指出，这些健康记录实际上被视为学生教育记录的一部分，因此应受 FERPA 法律的保护。由于这封信，学校和学校健康服务人员对此感到困惑。2008 年 11 月，美国卫生与公众服务部和美国教育部共同发布了一份指南，帮助澄清了这些明显的双重法规及其适用范围。根据这份名为“关于《家庭教育权利和隐私法案》(FERPA) 和《健康保险流通与责任法案》(HIPAA) 对学生记录适用情况的联合指南”的指南，这两个部门联手试图最终澄清这些法律在 K-12 学校环境中的正确适用范围。该指南指出，由于学生医疗记录是学生教育记录的一部分，因此学校无需遵循 HIPAA 法律中规定的指南。但是，他们必须遵守 FERPA 法律的所有规则和规定，因为这些记录是学生教育记录。对此方法的一些例外情况包括还提供教育内容的青少年心理健康机构，以及未直接接受教育技术资金的私立学校。

所有这些法律和相应的法规的共同点是全面信息安全计划的重要性。该计划必须解决所有可能阻止学校完全遵守这些法规的潜在威胁；特别是如果他们希望寻求联邦技术资金，例如通过 E-rate 计划提供的资金。所有通过 E-rate 计划等项目获得联邦资金的学校必须在申请过程中提供信息安全计划（包括可接受使用政策）。

保护学生数据是学校或学区管理员以及学校医疗人员的重要责任。只有管理员、护士、父母和学生才能获得学生的教育记录（包括健康信息）。未经未成年学生的父母或年满 18 周岁并被认定为合格学生的书面许可，其他方不得访问。虽然可以通过将学生记录保存在学校行政和医疗办公室的锁定的文件柜和文件室中来管理访问限制，但当这些记录以电子格式保存时，这种安全级别可能更难管理。如前所述，关于所讨论的学生记录是医疗记录时应适用哪些法规存在混淆。当学校护理人员来自外部医疗机构时，这种缺乏清晰度可能会进一步加剧。在这种情况下以及所有与学生医疗记录有关的情况下，建议遵守 HIPAA 和 FERPA 规定。

除了需要采取严格的安全措施来保护通过学校或学区有线以太网网络传输的学生数据（通过数据加密、网络防火墙等手段）外，还需要保护可能通过无线设备传输的信息。学校环境中医疗人员使用的任何无线设备都将符合 Lehtinen（2006）定义的 TEMPEST 标准。^[5] Lehtinen 将 TEMPEST 定义为“防止发出虚假发射的电信电子材料”，这些标准适用于那些传输受 HIPAA 保护数据的员工使用的电子传输设备。在符合 HIPAA 标准的环境中使用的所有电子传输设备都必须符合这些标准并获得批准。由于这些设备的抑制水平很高，因此它们通常比普通消费者可以买到的设备更大、更重、更昂贵。为了使学校和医疗机构符合 HIPAA 标准，在传输学生医疗数据时必须使用这些设备。

作为学校或学区的教育技术领导者，我们有责任与学校和学区管理员以及医疗人员一起确保学校网络内使用的所有技术都符合 CIPA、FERPA 和 HIPAA 标准。这种合规性水平应在信息安全计划中说明，并且应在学区或学校政策以及教职工手册中明确说明学校人员不遵守这些规定的相应后果。所有学校人员在签署可接受使用政策合同之前必须表明他们已阅读并理解这些政策。

美国学校护士协会。(2004)。学校健康护士在教育中的作用：学生健康记录的隐私标准。检索自 http://www.nasn.org/Default.aspx?tabid=277

施奈尔，B. (2000)。秘密与谎言：网络世界中的数字安全。印第安纳波利斯，印第安纳州：Wiley Publishing，Inc。

1996 年《健康保险流通与责任法案》（HIPAA），公共法案 104-191 指南位于 http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/hipaaferpajointguide.pdf