美國高等教育數據系統中的信息安全和隱私（一）

美國高等教育數據系統中的信息安全和隱私（一）

編者按

2015年8月，美國高等教育政策研究所（Institute for Higher Education Policy，IHEP）率先召集了一個由全國高等教育數據專家組成的工作組，來討論推動一系列改進數據基礎設施質量的新興方案，為州和聯邦的政策對話提供信息。作為成果的系列論文集——《展望21世紀的高等教育數據基礎設施》提出了有針對性的建議，直接關心有關的技術、資源和政策考慮。《美國高等教育數據系統中的信息安全和隱私》為論文集中的一篇。從本期開始，本刊將連載相關內容。本文意在使讀者了解信息安全和隱私的概念，以及國家高等教育數據基礎設施中的技術等內容。

2014年3月，美國高等教育政策研究所（Institute for Higher Education Policy, IHEP）發表了報告《描繪高等教育數據領域：問題和可能性》（以下簡稱“《描繪》一文”），概述了在向學生、政策制定者和學校提供有用和可靠的相關信息以使他們了解高等教育系統中學生成就的情況時，高等教育的利益相關者們所必須回應的關鍵問題和必須采取的核心措施。獲得有意義的、與學生教育成效有關的信息而推動教育的改進需要更高質量的數據，無論這些數據來自于現有的系統方案，還是來自于考慮中的系統建設的可選方案中。研究者們普遍認同，目前可用的數據是不充分的，因而國家高等教育數據基礎設施需要改革以對數據的采集、共享和分析加以改進。

數據提供了信息時代的基礎設施。在美國，每個高等教育機構都在它們的企業級信息技術系統（IT系統）中采集和使用數據。州、區域和聯邦級別的實體也在采集和使用數據。數據及其賴以維持的IT系統都是高價值的戰略資產，必須得到慎重對待和保護。在系統中，以及在利用數據支持決策和提升教育成效時，保護這些資產的安全以及信守學生及其所代表的家庭的隱私是一項需要努力付出的奮斗。必須要使所有的利益相關者——從學生到家長到管理者到政策制定者在內，都有信心相信：可識別個人身份的學生信息只有在必要和合法的情況下會被采集，會得到恰當的使用，而且會是可靠的。影響高等教育數據采集和存儲活動的監管環境是復雜的；體系中的利益相關者也許有不同的隱私期望；體系中所有IT系統的安全防護都必須仔細地精心建構。高等教育數據系統能帶來新的機會，提升對學生成就影響因素的理解，也帶來了信息安全和隱私風險。兩者間的平衡與其說是一門科學，不如說是一項藝術。

信息安全和隱私，這兩個概念是如何發揮作用，在國家高等教育體系中如何保護數據？理解這一點至關重要。為了滿足《描繪》一文中所提出的測量項目的要求，并回應其中提出的關鍵性的疑問，數據必須要進行分析才能提供必要的信息。這些數據的來源可能是多樣的所有者，包括學生、學校、非政府機構，以及州和聯邦部門；可能存在于這些不同實體所控制的許多IT系統中；也可能有不同的敏感性（例如，可識別身份的學生數據、擦除身份信息的數據和匯總后的數據）。有些采集到的數據可能受到聯邦法律和/或州法律的保護。其他一些數據可能未受法律保護，但是對于相關人士而言仍然是高敏感性的，一旦被分享或者泄露將產生令人困窘的后果。要做出政策和實踐上的有根據的決策，理解數據的采集方式和當前法律議題的復雜性是必要的。這個體系如此復雜，因而要在整個體系中成功地管理學生數據并形成有意義的合作關系，從而向政策制定者提供理解學生教育成效所需的數據，必須要有州政府和/或聯邦政府的行動。

信息安全和隱私的概念

任何IT系統，只要其設計目的是向用戶提供可靠信息作為決策依據，那么數據都是它的核心資產。學生級別的數據（如招生錄取、入學考試、就讀過程、畢業和教育成效數據）對于任何一個有意義的國家級數據解決方案都是非常必要的。而且，為了保護這些數據，所有系統都必須將信息安全和隱私保護作為基本組成部分。體系中所有的利益相關者必須對信息安全和隱私有一個共同的理解，而且要超越對概念的非專業解釋，要理解這些概念是如何在保護學生數據方面共同發揮作用，以及如何確保這些數據在學校、州、地區和聯邦的IT系統所構成的整個基礎設施體系中得到恰當的利用。

什么是信息安全？

信息安全指的是保護數據的機制。不熟悉信息安全的人們經常認為它僅僅是在IT系統中實施的技術控制。然而，實際上不能認為信息安全僅僅是技術控制，而必須是對任何形式的數據（無論是在IT系統中存儲還是還原到紙面或其他物理介質上）進行保護的研究和實踐。其中包括保護數據免受任何類型的威脅，無論實施這些威脅的是有惡意的外部人員還是對IT系統和數據有合法訪問權的人員。如下所述，數據保護的實踐涵蓋了的三個有區別的信息安全概念：機密性、完整性和可用性。

機密性的含義是，對數據在任何形式下的全生命周期（從創建到銷毀）中，都要保護其免受未授權的訪問。未授權的訪問包括與存儲數據的實際組織無關的人員（例如，罪犯和黑客）的訪問，也包括組織內部的人員有意超出其授權范圍而進行的訪問（例如，工作人員在無合法工作原因的情況下查找知名人士或者其他目標人員記錄的行為）。機密性是在組織遭受數據侵害時最常涉及的信息安全概念。

高等教育數據系統能帶來新的機會，提升對學生成就影響因素的理解，也帶來了信息安全和隱私風險。兩者間的平衡與其說是一門科學，不如說是一項藝術。

完整性的含義是，確保IT系統中（或者在物理介質上記錄或重現的）的數據是準確的。這表示IT系統的創建者和管理者要在系統中采取控制措施，確保用戶正確地輸入和處理數據，而且沖突的數據項目能被識別出來并加以解決。完整性還要求，只有授權用戶才有能力去變更、移動或者刪除特定類型的數據文件。符合完整性要求的數據可以認為是準確的，能作為決策中的可靠依據。

可用性的含義是，確保數據在需要時即可獲得，并且IT系統運行可靠。利益相關者可以采取多種方式確保數據可用性，比如設計“冗余”的IT系統（例如，采用的安裝方式可以不會因某個組件的故障而使整個系統故障）并具備抗攻擊能力，以及確保用戶會定期備份數據。

常見的對IT系統和數據的故意和惡意的信息安全威脅包括：惡意軟件、間諜軟件、鍵盤記錄器；IT系統的后門；用于竊取用戶憑據的釣魚和定向詐騙；有合法訪問權的人員的故意濫用；以及意圖使數據不可用的拒絕服務攻擊。除了故意和惡意的威脅以外，管理IT系統和數據的人員還必須要應對意外或偶然的事件：自然災害，電力中斷，丟失了錯誤放置的IT資源（例如，丟失的包含有敏感數據的U盤）。他們還要防范數據和相關系統受到合法用戶的無意行為的損害，例如偶然刪除重要數據，將敏感數據發布在公共訪問的資源（如網頁等）中，或者發送給了錯誤的人員（通過E-mail等）。

什么是隱私？

IT系統提高了采集和存儲數據的便捷性，也使得這些數據的隱私日益受到關注。隱私是一個用于解釋對個人和公眾都普遍適用的概念的簡單術語。對于個人而言，隱私意味著某個個人控制他/她自己的數據，并指定這些數據的采集、使用和分享的方式的權利。在美國，還有一個關于隱私的社會觀念，即隱私是對干涉公民自治的政府權力的限制。

在國家高等教育數據體系的討論中，這兩個概念都重要。當研究人員最初采集學生級別的數據時，他們應當合法地采集數據，并且采用以確保學生個人隱私權利為目的的方式。這意味著，只要有可能，數據采集的主體就應當在采集學生數據之前獲得允許，并且應當只采集對實現指定研究目標所必需的最少數據。當這些數據在體系中與其他主體中共享時，特別是在學校和州及聯邦機構之間共享時，數據共享的方式應當要把政府使用數據的權力限制在最初采集數據時指定的目的上，或者是法律和規章所許可的目的范圍內。

因為隱私植根于法律概念中，聯邦和州法律都可能會對國家高等教育數據體系中的數據采集和分享實體產生影響。特別是高等教育機構，面臨數據保護方面的復雜監管環境。深入理解聯邦法律（如《1974年家庭教育權利和隱私法案（FERPA）》等）中的許可和禁止性的條款，對于確保學生數據隱私是至關重要的。其他法律有些涉及對特定數據項目的保護，有些涉及對聯邦機構采集的數據和聯邦信息系統中存儲的數據的保護。

除了適用于高等教育數據基礎設施中某些部分的聯邦法律以外，州法律也可能會影響到數據采集體系。2015年，46個州就學生隱私的多個方面提出了180個法案；15個州通過了28項新法律。這些法律設置了對學生數據隱私有影響的眾多議題，如教育技術服務提供商的角色；家長是否可以自愿退出數據采集；在采集數據的州以外傳輸數據；提供數據侵害通知；對州的縱向數據系統（State Longitudinal Data System，SLDS）的經費投入等。盡管許多州將其法律限制在K-12學生的數據上，一些州也還是實施了適用于高等教育學生數據的法律。結果就是要進行以州為基礎的數據采集，還要查閱一些單獨的州法律。

信息安全和隱私的概念密切相關，并不總是互相排斥的。例如，完全可能想象出數據是安全的但不是隱私的情形。數據可能以安全的方式存儲在一個IT系統中，但是如果這些數據的采集沒有個人的知情同意或者不是經過合法授權的機構采集的，那么對于其所關系到的個人而言，這些數據的隱私性就遭到了損害。相反地，數據可能是在個人的知情同意下采集的，或者是依據法律許可采集的，但是存儲在了缺乏足夠安全措施、無法保護數據免受犯罪分子竊取的IT系統中。這種情況下，數據的安全就遭受了損害。在國家高等教育數據體系中對采集、存儲、傳輸和分析的數據進行保護時，信息安全和隱私這兩個概念必須要同時考慮到。隱私的概念必須要清楚，以確保個人和社會對于隱私的觀念受到了實踐可行的最全面的尊重；信息安全的概念必須被采納，用于保護所有采集到的數據的機密性、完整性和可用性。

表1　論文集中所討論的基礎設施系統架構

高等教育數據基礎設施中的技術

盡管本文中提出的安全和隱私關切及最佳實踐對于所有IT基礎設施環境都適用，但《展望21世紀的高等教育數據基礎設施》還是主要聚焦于國家高等教育數據體系中兩種基本類型的IT系統架構上（見表1）。

第一類是單點（single destination）系統，如一個由政府或私立機構運行的學生單位記錄數據系統（Student Unit Record Data System，SURDS）。正如其名稱所表明的，單點系統是權威學生信息的專門位置。最可能的情況下，一個單獨的實體運行這類系統，并對保存數據集的IT系統實施安全和隱私保護。這類系統接受信息的輸入渠道可以有多個，但是系統本身被認為是權威信息的唯一來源。

第二類是多點（multiple destination）系統，其中，一些實體互相分享學生信息，沒有哪個單獨的IT系統可以成為權威的數據來源。這種架構的一個案例是多個州的縱向數據系統（SLDS）互相聯網來響應查詢學生的請求。在這類系統中所采取的數據分布形式要能提供有意義的信息，就必須要在整個基礎設施中允許以某些公共關鍵值或標識符進行匹配。考慮到多個實體都要在基礎設施中提供、使用和分析數據，數據安全和隱私的保護措施需要得到分布式的所有IT系統中的所有參與實體的同意和遵守。表1提供了一個本論文集中所討論的基礎設施架構的簡要視圖。

每個通用的基礎設施架構都要有為自身精心設計的一組安全和隱私控制措施。例如，建立一個單點系統（如SURDS方案）所需要的控制措施將會與支撐已有系統（如鏈接多個SLDS系統）的有所不同。雖然兩個可選方案都需要某種機制實現在多個數據輸入中匹配記錄，但是SURDS方案將會形成一個單獨的、大型的可識別身份數據的集合。另一方面，SLDS方案必然要解決多個不同的系統之間匹配數據項目、解決沖突和應對質量關切的問題，也許要為了滿足信息安全中的完整性概念而進行更加深入的探尋。

（翻譯：陳強）