教育資訊安全/安全法規

如今的學校面臨著大量法規、指南和協議，為了讓學生、教職工和員工安全地利用網路資源，必須遵守這些法規、指南和協議。除了為了合規而遵守這些法規外，遵守這些法規也會直接影響到州和聯邦科技資金的獲得。學校必須始終嚴格遵守的兩項重要法律及其相應指南是《兒童網際網路保護法》和《家庭教育權利和隱私權法》。第三項法律，即《健康保險流通與責任法》，在某些學校環境中也可能適用。

國家和地方記錄是指教育機構或機構，或代表這些機構的個人維護的，直接與學生相關的記錄、檔案、文件和其他資料的彙編。

保密性是指你有義務不對未經授權的人員披露或傳輸資訊。

隱私權是一種獨特的個人權利，它反映了個人不受侵犯的自由。

安全性是指確保只有授權的和預期的方能夠訪問資料的技術程式。

披露包括以口頭、書面、電子或任何其他方式向任何人或實體允許訪問、透露、釋出、轉讓、傳播或以其他方式傳播任何個人記錄的全部或部分內容。

保護原則：資訊使用者應使用適當的技術和管理控制措施來保護個人資訊的機密性和完整性。（1997）。^[1]

“《兒童網際網路保護法》（CIPA）是國會頒佈的一項聯邦法律，旨在解決人們對學校和圖書館電腦上透過網際網路訪問令人反感內容的擔憂。CIPA 對任何從 E-rate 計劃（一項讓合格的學校和圖書館能夠更負擔得起某些通訊技術的計劃）獲得網際網路接入或內部連線資金的學校或圖書館施加了某些型別的要求” (CIPA, 2001)。^[2] 2001 年初，聯邦通訊委員會發布了一套規則，供 FCC 用於在所有 E-rate 資助的學校和圖書館實施 CIPA。這些規則要求所有接受資助的學校和圖書館都制定一項網際網路安全政策，其中包括針對諸如透過電子郵件、聊天室或其他電子通訊方式過濾和遮蔽內容等問題的技術保護措施。所使用的保護措施必須專門遮蔽對被視為淫穢、兒童色情或對未成年人有害的內容或圖片的訪問。所有學校都必須在申請資金時將此網際網路安全政策（包括這些技術保護措施）納入其中。在透過此政策之前，學校還必須“提供合理的通知並至少舉行一次公開聽證會”（CIPA, 2001）。^[2] 關於此政策及其透過計劃。CIPA 法規不影響學校獲得的用於電信或電話服務等方面的 E-rate 資金。

《兒童線上隱私權保護法》於 2000 年 4 月 21 日生效，它對網站透過學校網際網路連線收集的 13 歲以下兒童的個人資訊進行監管。根據 COPPA，所有網站託管方必須制定明確的隱私政策，其中規定在收集有關學生的個人資訊之前必須徵得父母的許可。

“《兒童線上隱私權保護法》及其規則適用於線上收集的有關兒童的個人身份資訊，例如全名、家庭住址、電子郵件地址、電話號碼或任何其他可能允許他人識別或聯絡兒童的資訊。該法及其規則還涵蓋其他型別的資訊——例如，愛好、興趣以及透過 cookie 或其他型別的跟蹤機制收集的資訊——只要它們與個人身份資訊相關聯”（COPPA，2000）。^[3]

所有網站運營商都必須在其網站首頁上釋出有關其資訊收集流程的通知，並且必須在父母簽署同意書之前向父母提供包含相同資訊的通知。對於僅用於內部的個人資訊，可以透過電子郵件獲得父母同意。所有外部使用此資訊都需要簽署的同意書。

這項政策有幾個例外。根據 COPPA，“在以下情況下，無需事先取得家長同意：運營商收集兒童或家長的電子郵件地址以提供通知並尋求同意；運營商收集電子郵件地址以回覆兒童的單次請求，然後將其刪除；運營商收集電子郵件地址以對特定請求進行多次回覆 - 例如，訂閱新聞稿。在這種情況下，運營商必須通知家長它正在定期與兒童溝通，並讓家長有機會在向兒童傳送或傳遞第二次溝通之前停止溝通；運營商收集兒童的姓名或線上聯絡資訊以保護在網站上參與的兒童的安全。在這種情況下，運營商必須通知家長，並讓家長有機會阻止進一步使用該資訊；運營商收集兒童的姓名或線上聯絡資訊以保護網站的安全或責任，或在必要時回應執法部門，並且不將其用於任何其他目的”（COPPA，2000）。

所有新的個人資訊請求都需要新的簽署同意書。家長可以選擇隨時撤回同意，並指示運營商刪除所有先前收集的資訊。聯邦通訊委員會可以隨時“對違反此規則的行為採取執法行動並處以民事罰款”（COPPA，2000）。^[3]

"《家庭教育權利和隱私法案》（FERPA）（20 美國法典第 123g 節：34 CFR 第 99 部分）是一項聯邦法律，旨在保護學生教育記錄的隱私。該法案適用於所有從美國教育部相關專案中獲得資金的學校。

FERPA 賦予父母在子女教育記錄方面享有某些權利。當學生年滿 18 週歲或就讀於高中以外的學校時，這些權利將轉讓給學生。享有權利轉讓的學生有資格獲得學生資格”（FERPA，1974）。^[4] 根據這項法律，父母和學生有權：檢查和審查學校儲存的學生教育記錄；要求學校更正他們認為不正確或具有誤導性的記錄；決定何時以及向誰釋出他們的教育記錄。

根據 FERPA 規定，學校必須獲得父母或合格學生的書面許可才能釋出與學生學業記錄相關的任何資訊。但是，學校有權在未經書面同意的情況下發布這些記錄給：擁有有效教育利益的學校官員；學生將要轉學的學校；用於審計或評估目的的學校官員；與學生經濟援助有關的適當方；認證機構；代表學校進行研究的組織；遵守司法命令；根據州法律，州和地方當局或少年司法系統（FERPA，1974）。^[4] 學校還可以不經父母或合格學生同意而披露與學生相關的目錄資訊：姓名；地址；電話號碼；出生日期和地點；榮譽和獎勵；出席日期（FERPA，1974）。^[4]

在釋出此資訊之前，學校必須告知父母或合格學生髮布此資訊的計劃，以便讓父母或學生有“合理的時間要求學校不要披露有關他們的目錄資訊”（FERPA，1974）。^[4]

《健康保險流通與責任法案》規定了學校健康服務如何與學校社群的其他部門共享學生健康資訊。2004 年 10 月，美國衛生與公眾服務部代理區域主任在一封給工作人員的信中指出，這些健康記錄實際上被視為學生教育記錄的一部分，因此應受 FERPA 法律的保護。由於這封信，學校和學校健康服務人員對此感到困惑。2008 年 11 月，美國衛生與公眾服務部和美國教育部共同釋出了一份指南，幫助澄清了這些明顯的雙重法規及其適用範圍。根據這份名為“關於《家庭教育權利和隱私法案》(FERPA) 和《健康保險流通與責任法案》(HIPAA) 對學生記錄適用情況的聯合指南”的指南，這兩個部門聯手試圖最終澄清這些法律在 K-12 學校環境中的正確適用範圍。該指南指出，由於學生醫療記錄是學生教育記錄的一部分，因此學校無需遵循 HIPAA 法律中規定的指南。但是，他們必須遵守 FERPA 法律的所有規則和規定，因為這些記錄是學生教育記錄。對此方法的一些例外情況包括還提供教育內容的青少年心理健康機構，以及未直接接受教育技術資金的私立學校。

所有這些法律和相應的法規的共同點是全面資訊安全計劃的重要性。該計劃必須解決所有可能阻止學校完全遵守這些法規的潛在威脅；特別是如果他們希望尋求聯邦技術資金，例如透過 E-rate 計劃提供的資金。所有透過 E-rate 計劃等專案獲得聯邦資金的學校必須在申請過程中提供資訊安全計劃（包括可接受使用政策）。

保護學生資料是學校或學區管理員以及學校醫療人員的重要責任。只有管理員、護士、父母和學生才能獲得學生的教育記錄（包括健康資訊）。未經未成年學生的父母或年滿 18 週歲並被認定為合格學生的書面許可，其他方不得訪問。雖然可以透過將學生記錄儲存在學校行政和醫療辦公室的鎖定的檔案櫃和檔案室中來管理訪問限制，但當這些記錄以電子格式儲存時，這種安全級別可能更難管理。如前所述，關於所討論的學生記錄是醫療記錄時應適用哪些法規存在混淆。當學校護理人員來自外部醫療機構時，這種缺乏清晰度可能會進一步加劇。在這種情況下以及所有與學生醫療記錄有關的情況下，建議遵守 HIPAA 和 FERPA 規定。

除了需要採取嚴格的安全措施來保護透過學校或學區有線乙太網網路傳輸的學生資料（透過資料加密、網路防火牆等手段）外，還需要保護可能透過無線裝置傳輸的資訊。學校環境中醫療人員使用的任何無線裝置都將符合 Lehtinen（2006）定義的 TEMPEST 標準。^[5] Lehtinen 將 TEMPEST 定義為“防止發出虛假髮射的電信電子材料”，這些標準適用於那些傳輸受 HIPAA 保護資料的員工使用的電子傳輸裝置。在符合 HIPAA 標準的環境中使用的所有電子傳輸裝置都必須符合這些標準並獲得批准。由於這些裝置的抑制水平很高，因此它們通常比普通消費者可以買到的裝置更大、更重、更昂貴。為了使學校和醫療機構符合 HIPAA 標準，在傳輸學生醫療資料時必須使用這些裝置。

作為學校或學區的教育技術領導者，我們有責任與學校和學區管理員以及醫療人員一起確保學校網路內使用的所有技術都符合 CIPA、FERPA 和 HIPAA 標準。這種合規性水平應在資訊安全計劃中說明，並且應在學區或學校政策以及教職工手冊中明確說明學校人員不遵守這些規定的相應後果。所有學校人員在簽署可接受使用政策合同之前必須表明他們已閱讀並理解這些政策。

美國學校護士協會。(2004)。學校健康護士在教育中的作用：學生健康記錄的隱私標準。檢索自 http://www.nasn.org/Default.aspx?tabid=277

施奈爾，B. (2000)。秘密與謊言：網路世界中的數字安全。印第安納波利斯，印第安納州：Wiley Publishing，Inc。

1996 年《健康保險流通與責任法案》（HIPAA），公共法案 104-191 指南位於 http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/hipaaferpajointguide.pdf