美國高等教育數(shù)據(jù)系統(tǒng)中的信息安全和隱私（一）

美國高等教育數(shù)據(jù)系統(tǒng)中的信息安全和隱私（一）

編者按

2015年8月，美國高等教育政策研究所（Institute for Higher Education Policy，IHEP）率先召集了一個由全國高等教育數(shù)據(jù)專家組成的工作組，來討論推動一系列改進數(shù)據(jù)基礎(chǔ)設(shè)施質(zhì)量的新興方案，為州和聯(lián)邦的政策對話提供信息。作為成果的系列論文集——《展望21世紀的高等教育數(shù)據(jù)基礎(chǔ)設(shè)施》提出了有針對性的建議，直接關(guān)心有關(guān)的技術(shù)、資源和政策考慮。《美國高等教育數(shù)據(jù)系統(tǒng)中的信息安全和隱私》為論文集中的一篇。從本期開始，本刊將連載相關(guān)內(nèi)容。本文意在使讀者了解信息安全和隱私的概念，以及國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中的技術(shù)等內(nèi)容。

2014年3月，美國高等教育政策研究所（Institute for Higher Education Policy, IHEP）發(fā)表了報告《描繪高等教育數(shù)據(jù)領(lǐng)域：問題和可能性》（以下簡稱“《描繪》一文”），概述了在向?qū)W生、政策制定者和學(xué)校提供有用和可靠的相關(guān)信息以使他們了解高等教育系統(tǒng)中學(xué)生成就的情況時，高等教育的利益相關(guān)者們所必須回應(yīng)的關(guān)鍵問題和必須采取的核心措施。獲得有意義的、與學(xué)生教育成效有關(guān)的信息而推動教育的改進需要更高質(zhì)量的數(shù)據(jù)，無論這些數(shù)據(jù)來自于現(xiàn)有的系統(tǒng)方案，還是來自于考慮中的系統(tǒng)建設(shè)的可選方案中。研究者們普遍認同，目前可用的數(shù)據(jù)是不充分的，因而國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施需要改革以對數(shù)據(jù)的采集、共享和分析加以改進。

數(shù)據(jù)提供了信息時代的基礎(chǔ)設(shè)施。在美國，每個高等教育機構(gòu)都在它們的企業(yè)級信息技術(shù)系統(tǒng)（IT系統(tǒng)）中采集和使用數(shù)據(jù)。州、區(qū)域和聯(lián)邦級別的實體也在采集和使用數(shù)據(jù)。數(shù)據(jù)及其賴以維持的IT系統(tǒng)都是高價值的戰(zhàn)略資產(chǎn)，必須得到慎重對待和保護。在系統(tǒng)中，以及在利用數(shù)據(jù)支持決策和提升教育成效時，保護這些資產(chǎn)的安全以及信守學(xué)生及其所代表的家庭的隱私是一項需要努力付出的奮斗。必須要使所有的利益相關(guān)者——從學(xué)生到家長到管理者到政策制定者在內(nèi)，都有信心相信：可識別個人身份的學(xué)生信息只有在必要和合法的情況下會被采集，會得到恰當(dāng)?shù)氖褂茫視强煽康摹Ｓ绊懜叩冉逃龜?shù)據(jù)采集和存儲活動的監(jiān)管環(huán)境是復(fù)雜的；體系中的利益相關(guān)者也許有不同的隱私期望；體系中所有IT系統(tǒng)的安全防護都必須仔細地精心建構(gòu)。高等教育數(shù)據(jù)系統(tǒng)能帶來新的機會，提升對學(xué)生成就影響因素的理解，也帶來了信息安全和隱私風(fēng)險。兩者間的平衡與其說是一門科學(xué)，不如說是一項藝術(shù)。

信息安全和隱私，這兩個概念是如何發(fā)揮作用，在國家高等教育體系中如何保護數(shù)據(jù)？理解這一點至關(guān)重要。為了滿足《描繪》一文中所提出的測量項目的要求，并回應(yīng)其中提出的關(guān)鍵性的疑問，數(shù)據(jù)必須要進行分析才能提供必要的信息。這些數(shù)據(jù)的來源可能是多樣的所有者，包括學(xué)生、學(xué)校、非政府機構(gòu)，以及州和聯(lián)邦部門；可能存在于這些不同實體所控制的許多IT系統(tǒng)中；也可能有不同的敏感性（例如，可識別身份的學(xué)生數(shù)據(jù)、擦除身份信息的數(shù)據(jù)和匯總后的數(shù)據(jù)）。有些采集到的數(shù)據(jù)可能受到聯(lián)邦法律和/或州法律的保護。其他一些數(shù)據(jù)可能未受法律保護，但是對于相關(guān)人士而言仍然是高敏感性的，一旦被分享或者泄露將產(chǎn)生令人困窘的后果。要做出政策和實踐上的有根據(jù)的決策，理解數(shù)據(jù)的采集方式和當(dāng)前法律議題的復(fù)雜性是必要的。這個體系如此復(fù)雜，因而要在整個體系中成功地管理學(xué)生數(shù)據(jù)并形成有意義的合作關(guān)系，從而向政策制定者提供理解學(xué)生教育成效所需的數(shù)據(jù)，必須要有州政府和/或聯(lián)邦政府的行動。

信息安全和隱私的概念

任何IT系統(tǒng)，只要其設(shè)計目的是向用戶提供可靠信息作為決策依據(jù)，那么數(shù)據(jù)都是它的核心資產(chǎn)。學(xué)生級別的數(shù)據(jù)（如招生錄取、入學(xué)考試、就讀過程、畢業(yè)和教育成效數(shù)據(jù)）對于任何一個有意義的國家級數(shù)據(jù)解決方案都是非常必要的。而且，為了保護這些數(shù)據(jù)，所有系統(tǒng)都必須將信息安全和隱私保護作為基本組成部分。體系中所有的利益相關(guān)者必須對信息安全和隱私有一個共同的理解，而且要超越對概念的非專業(yè)解釋，要理解這些概念是如何在保護學(xué)生數(shù)據(jù)方面共同發(fā)揮作用，以及如何確保這些數(shù)據(jù)在學(xué)校、州、地區(qū)和聯(lián)邦的IT系統(tǒng)所構(gòu)成的整個基礎(chǔ)設(shè)施體系中得到恰當(dāng)?shù)睦谩?/p>

什么是信息安全？

信息安全指的是保護數(shù)據(jù)的機制。不熟悉信息安全的人們經(jīng)常認為它僅僅是在IT系統(tǒng)中實施的技術(shù)控制。然而，實際上不能認為信息安全僅僅是技術(shù)控制，而必須是對任何形式的數(shù)據(jù)（無論是在IT系統(tǒng)中存儲還是還原到紙面或其他物理介質(zhì)上）進行保護的研究和實踐。其中包括保護數(shù)據(jù)免受任何類型的威脅，無論實施這些威脅的是有惡意的外部人員還是對IT系統(tǒng)和數(shù)據(jù)有合法訪問權(quán)的人員。如下所述，數(shù)據(jù)保護的實踐涵蓋了的三個有區(qū)別的信息安全概念：機密性、完整性和可用性。

機密性的含義是，對數(shù)據(jù)在任何形式下的全生命周期（從創(chuàng)建到銷毀）中，都要保護其免受未授權(quán)的訪問。未授權(quán)的訪問包括與存儲數(shù)據(jù)的實際組織無關(guān)的人員（例如，罪犯和黑客）的訪問，也包括組織內(nèi)部的人員有意超出其授權(quán)范圍而進行的訪問（例如，工作人員在無合法工作原因的情況下查找知名人士或者其他目標人員記錄的行為）。機密性是在組織遭受數(shù)據(jù)侵害時最常涉及的信息安全概念。

高等教育數(shù)據(jù)系統(tǒng)能帶來新的機會，提升對學(xué)生成就影響因素的理解，也帶來了信息安全和隱私風(fēng)險。兩者間的平衡與其說是一門科學(xué)，不如說是一項藝術(shù)。

完整性的含義是，確保IT系統(tǒng)中（或者在物理介質(zhì)上記錄或重現(xiàn)的）的數(shù)據(jù)是準確的。這表示IT系統(tǒng)的創(chuàng)建者和管理者要在系統(tǒng)中采取控制措施，確保用戶正確地輸入和處理數(shù)據(jù)，而且沖突的數(shù)據(jù)項目能被識別出來并加以解決。完整性還要求，只有授權(quán)用戶才有能力去變更、移動或者刪除特定類型的數(shù)據(jù)文件。符合完整性要求的數(shù)據(jù)可以認為是準確的，能作為決策中的可靠依據(jù)。

可用性的含義是，確保數(shù)據(jù)在需要時即可獲得，并且IT系統(tǒng)運行可靠。利益相關(guān)者可以采取多種方式確保數(shù)據(jù)可用性，比如設(shè)計“冗余”的IT系統(tǒng)（例如，采用的安裝方式可以不會因某個組件的故障而使整個系統(tǒng)故障）并具備抗攻擊能力，以及確保用戶會定期備份數(shù)據(jù)。

常見的對IT系統(tǒng)和數(shù)據(jù)的故意和惡意的信息安全威脅包括：惡意軟件、間諜軟件、鍵盤記錄器；IT系統(tǒng)的后門；用于竊取用戶憑據(jù)的釣魚和定向詐騙；有合法訪問權(quán)的人員的故意濫用；以及意圖使數(shù)據(jù)不可用的拒絕服務(wù)攻擊。除了故意和惡意的威脅以外，管理IT系統(tǒng)和數(shù)據(jù)的人員還必須要應(yīng)對意外或偶然的事件：自然災(zāi)害，電力中斷，丟失了錯誤放置的IT資源（例如，丟失的包含有敏感數(shù)據(jù)的U盤）。他們還要防范數(shù)據(jù)和相關(guān)系統(tǒng)受到合法用戶的無意行為的損害，例如偶然刪除重要數(shù)據(jù)，將敏感數(shù)據(jù)發(fā)布在公共訪問的資源（如網(wǎng)頁等）中，或者發(fā)送給了錯誤的人員（通過E-mail等）。

什么是隱私？

IT系統(tǒng)提高了采集和存儲數(shù)據(jù)的便捷性，也使得這些數(shù)據(jù)的隱私日益受到關(guān)注。隱私是一個用于解釋對個人和公眾都普遍適用的概念的簡單術(shù)語。對于個人而言，隱私意味著某個個人控制他/她自己的數(shù)據(jù)，并指定這些數(shù)據(jù)的采集、使用和分享的方式的權(quán)利。在美國，還有一個關(guān)于隱私的社會觀念，即隱私是對干涉公民自治的政府權(quán)力的限制。

在國家高等教育數(shù)據(jù)體系的討論中，這兩個概念都重要。當(dāng)研究人員最初采集學(xué)生級別的數(shù)據(jù)時，他們應(yīng)當(dāng)合法地采集數(shù)據(jù)，并且采用以確保學(xué)生個人隱私權(quán)利為目的的方式。這意味著，只要有可能，數(shù)據(jù)采集的主體就應(yīng)當(dāng)在采集學(xué)生數(shù)據(jù)之前獲得允許，并且應(yīng)當(dāng)只采集對實現(xiàn)指定研究目標所必需的最少數(shù)據(jù)。當(dāng)這些數(shù)據(jù)在體系中與其他主體中共享時，特別是在學(xué)校和州及聯(lián)邦機構(gòu)之間共享時，數(shù)據(jù)共享的方式應(yīng)當(dāng)要把政府使用數(shù)據(jù)的權(quán)力限制在最初采集數(shù)據(jù)時指定的目的上，或者是法律和規(guī)章所許可的目的范圍內(nèi)。

因為隱私植根于法律概念中，聯(lián)邦和州法律都可能會對國家高等教育數(shù)據(jù)體系中的數(shù)據(jù)采集和分享實體產(chǎn)生影響。特別是高等教育機構(gòu)，面臨數(shù)據(jù)保護方面的復(fù)雜監(jiān)管環(huán)境。深入理解聯(lián)邦法律（如《1974年家庭教育權(quán)利和隱私法案（FERPA）》等）中的許可和禁止性的條款，對于確保學(xué)生數(shù)據(jù)隱私是至關(guān)重要的。其他法律有些涉及對特定數(shù)據(jù)項目的保護，有些涉及對聯(lián)邦機構(gòu)采集的數(shù)據(jù)和聯(lián)邦信息系統(tǒng)中存儲的數(shù)據(jù)的保護。

除了適用于高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中某些部分的聯(lián)邦法律以外，州法律也可能會影響到數(shù)據(jù)采集體系。2015年，46個州就學(xué)生隱私的多個方面提出了180個法案；15個州通過了28項新法律。這些法律設(shè)置了對學(xué)生數(shù)據(jù)隱私有影響的眾多議題，如教育技術(shù)服務(wù)提供商的角色；家長是否可以自愿退出數(shù)據(jù)采集；在采集數(shù)據(jù)的州以外傳輸數(shù)據(jù)；提供數(shù)據(jù)侵害通知；對州的縱向數(shù)據(jù)系統(tǒng)（State Longitudinal Data System，SLDS）的經(jīng)費投入等。盡管許多州將其法律限制在K-12學(xué)生的數(shù)據(jù)上，一些州也還是實施了適用于高等教育學(xué)生數(shù)據(jù)的法律。結(jié)果就是要進行以州為基礎(chǔ)的數(shù)據(jù)采集，還要查閱一些單獨的州法律。

信息安全和隱私的概念密切相關(guān)，并不總是互相排斥的。例如，完全可能想象出數(shù)據(jù)是安全的但不是隱私的情形。數(shù)據(jù)可能以安全的方式存儲在一個IT系統(tǒng)中，但是如果這些數(shù)據(jù)的采集沒有個人的知情同意或者不是經(jīng)過合法授權(quán)的機構(gòu)采集的，那么對于其所關(guān)系到的個人而言，這些數(shù)據(jù)的隱私性就遭到了損害。相反地，數(shù)據(jù)可能是在個人的知情同意下采集的，或者是依據(jù)法律許可采集的，但是存儲在了缺乏足夠安全措施、無法保護數(shù)據(jù)免受犯罪分子竊取的IT系統(tǒng)中。這種情況下，數(shù)據(jù)的安全就遭受了損害。在國家高等教育數(shù)據(jù)體系中對采集、存儲、傳輸和分析的數(shù)據(jù)進行保護時，信息安全和隱私這兩個概念必須要同時考慮到。隱私的概念必須要清楚，以確保個人和社會對于隱私的觀念受到了實踐可行的最全面的尊重；信息安全的概念必須被采納，用于保護所有采集到的數(shù)據(jù)的機密性、完整性和可用性。

表1　論文集中所討論的基礎(chǔ)設(shè)施系統(tǒng)架構(gòu)

高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中的技術(shù)

盡管本文中提出的安全和隱私關(guān)切及最佳實踐對于所有IT基礎(chǔ)設(shè)施環(huán)境都適用，但《展望21世紀的高等教育數(shù)據(jù)基礎(chǔ)設(shè)施》還是主要聚焦于國家高等教育數(shù)據(jù)體系中兩種基本類型的IT系統(tǒng)架構(gòu)上（見表1）。

第一類是單點（single destination）系統(tǒng)，如一個由政府或私立機構(gòu)運行的學(xué)生單位記錄數(shù)據(jù)系統(tǒng)（Student Unit Record Data System，SURDS）。正如其名稱所表明的，單點系統(tǒng)是權(quán)威學(xué)生信息的專門位置。最可能的情況下，一個單獨的實體運行這類系統(tǒng)，并對保存數(shù)據(jù)集的IT系統(tǒng)實施安全和隱私保護。這類系統(tǒng)接受信息的輸入渠道可以有多個，但是系統(tǒng)本身被認為是權(quán)威信息的唯一來源。

第二類是多點（multiple destination）系統(tǒng)，其中，一些實體互相分享學(xué)生信息，沒有哪個單獨的IT系統(tǒng)可以成為權(quán)威的數(shù)據(jù)來源。這種架構(gòu)的一個案例是多個州的縱向數(shù)據(jù)系統(tǒng)（SLDS）互相聯(lián)網(wǎng)來響應(yīng)查詢學(xué)生的請求。在這類系統(tǒng)中所采取的數(shù)據(jù)分布形式要能提供有意義的信息，就必須要在整個基礎(chǔ)設(shè)施中允許以某些公共關(guān)鍵值或標識符進行匹配。考慮到多個實體都要在基礎(chǔ)設(shè)施中提供、使用和分析數(shù)據(jù)，數(shù)據(jù)安全和隱私的保護措施需要得到分布式的所有IT系統(tǒng)中的所有參與實體的同意和遵守。表1提供了一個本論文集中所討論的基礎(chǔ)設(shè)施架構(gòu)的簡要視圖。

每個通用的基礎(chǔ)設(shè)施架構(gòu)都要有為自身精心設(shè)計的一組安全和隱私控制措施。例如，建立一個單點系統(tǒng)（如SURDS方案）所需要的控制措施將會與支撐已有系統(tǒng)（如鏈接多個SLDS系統(tǒng)）的有所不同。雖然兩個可選方案都需要某種機制實現(xiàn)在多個數(shù)據(jù)輸入中匹配記錄，但是SURDS方案將會形成一個單獨的、大型的可識別身份數(shù)據(jù)的集合。另一方面，SLDS方案必然要解決多個不同的系統(tǒng)之間匹配數(shù)據(jù)項目、解決沖突和應(yīng)對質(zhì)量關(guān)切的問題，也許要為了滿足信息安全中的完整性概念而進行更加深入的探尋。

（翻譯：陳強）