对任何一个改善国家高等教育数据基础设施的可选方案而言,建立一系列共同的隐私原则都有助于保护学生隐私。
隐私保护
作为一个领域主题,过去十年中隐私在高等教育中的重要性不断在提高。包括FERPA在内的法律以及教育技术市场的增长在教育体系中甚至将隐私概念变得更加重要。与信息安全概念非常类似的是,也没有一个单一的全面控制措施,能够确保数据在任何情形下都能保持足够隐私,并且每种可能的数据方案都有其特有的隐私挑战,要求有专门的隐私响应方式来应对。
尽管如此,对任何一个改善国家高等教育数据基础设施的可选方案而言,建立一系列共同的隐私原则都有助于保护学生隐私。坚持这些原则可以提高国家体系中的透明、问责和信任。《公平信息实践原则(FIPPs)》是《1974年联邦隐私法案》的一部分,对美国的隐私法律有重要影响。这些原则的设计目的是为了要应对大型的个人数据集合所带来的隐私关切,因此,对于国家高等教育数据基础设施中应当采用的隐私原则,它们可以作为很好的范本。FIPPs包含了八项隐私原则。
(1)目的规范:组织应当在采集数据之前,告知个人为什么要采集数据,以及用于何种用途。
(2)采集限制:组织应当只采集他们所需要的数据(称为数据最小化),而且获取数据的方式是经法律途径批准的,或者是告知了相关个人并得到知情同意的。
(3)数据质量:组织应当只采集准确的数据,并且当因某种原因使关于某人的数据不正确时,此人可以遵循现成的适当程序加以解决。
(4)使用限制:组织应当只将数据用于最初采集数据时指明的用途,或者是其他法律许可的用途。
(5)安全防护:组织应当保护所采集的数据免于未授权的访问(即机密性)、破坏(即可用性)和篡改(即完整性)。
(6)公开透明:组织应当保持透明,将采集个人数据的活动情况提供给涉及的个人。
(7)个人参与:个人应当能够知道自己的数据是否被某个组织所采集,并且应该能够获得被采集到的数据。
(8)可问责性:采集数据的组织应当对上述的隐私原则承担责任。
隐私原则不是凭空实现的。全体高等教育数据社群必须在全面应用于整个体系的原则上保持一致。为实现这一点,利益相关者们应该考虑随着体系的演进而建立协作的数据治理程序。数据治理程序中要部署相关的政策和流程,以满足在国家高等教育数据基础设施中管理所采集、使用和共享的数据的需要。这样的程序将能够提供指导,说明可利用的数据、数据的敏感性、数据的责任方、数据的存储位置、数据的访问权,以及与数据有关的风险和法律制度规定。
对政策制定者的建议
向学生、家长、管理人员、教师、政策制定者和其他对学生教育成效有兴趣的利益相关者提供可靠的数据,和确保那些数据的安全和隐私,这两件事情并不互相排斥。为了在国家高等教育数据基础设施体系内确保有效的信息安全和隐私保护,下列的四项建议共同构成了一个框架。
1.采用基于风险的方法来理解信息安全和隐私的威胁及漏洞。无论国家高等教育数据基础设施的解决方案或架构如何,利益相关者都必须要理解信息安全和隐私风险。对于任何一个系统,这类风险都会影响到系统向利益相关者提供关于提升学生教育成效的信息的能力。IT从业者评估风险后,可以采取信息安全和隐私控制措施来应对风险,以及对国家高等教育数据系统的组成部分——IT系统及这些系统中的数据加强保护。
2.建立和坚持一组信息安全保护的基本措施。在国家高等教育数据基础设施中,这些保护措施是对采集、处理、存储、传输的数据进行安全防护所必需的。如果这样的一组标准并不是州和联邦法律(例如为保护联邦IT系统而采用美国国家标准与技术研究所NIST特别出版物800-53所实施的控制措施)要求的话,那么最低水平下也要基于体系中的不同系统的内在风险来实施控制措施。相关控制集见表2。
3.建立和坚持一组基本的隐私标准。为了在国家高等教育数据基础设施中保护学生隐私,需要实施一组指导性的隐私原则。国家层面的努力尚未出现时,实施这些原则将提供学生隐私保护的最佳方案。最基本的也是必须要实现的原则是:采集数据之前,相关个人收到通知并确认知情同意;学校和其他组织只采集满足回答学生教育成效测试中关键问题所需的、最小范围的数据;并且学校和其他组织所采集的数据只用于采集时的原始用途或者法律许可的其他用途。
4.建立协作的治理体系。在国家高等教育数据基础设施中,为了确保所采集的数据对必要的测量和指标提供支持并回应利益相关者的疑问,治理体系是必要的。这个治理体系也可以审核数据体系中数据可用性和确保对数据的保护。除了定义数据所有权和管理措施、为信息安全和隐私的最佳实践以及基本要求提供咨询以外,治理实体还可以考虑培训系统用户的最佳方式,并就协调数据分享和分析的收益进行交流。
学生、学校和政策制定者需要关于高等教育的更高质量的信息,利益相关者们最需要的是关于学生教育成效的有意义的信息,而获得这些信息要求在现有方案和考虑之中的方案中取得更高质量的数据。当利益相关者们考虑满足数据需要的最佳方式时,势必要在讨论中加入如何能最恰当地保护学生隐私和确保国家高等教育数据系统中的数据安全方面的内容。通过谨慎细致的规划,国家高等教育数据基础设施中可以以适当的方式实施全面的信息安全和隐私保护,从而做到降低风险,保护数据,确保透明、可问责和信任。
(翻译:陈强)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
