美國高等教育數(shù)據(jù)系統(tǒng)中的信息安全和隱私（二）

編者按

2015年8月，美國高等教育政策研究所（Institute for Higher Education Policy，IHEP）率先召集了一個(gè)由全國高等教育數(shù)據(jù)專家組成的工作組，來討論推動(dòng)一系列改進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施質(zhì)量的新興方案，為州和聯(lián)邦的政策對(duì)話提供信息?！睹绹叩冉逃龜?shù)據(jù)系統(tǒng)中的信息安全和隱私》是該成果的系列論文集——《展望21世紀(jì)的高等教育數(shù)據(jù)基礎(chǔ)設(shè)施》中的一篇。上期文章使讀者了解信息安全和隱私的概念以及國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中的技術(shù)，本期主要闡述高等教育數(shù)據(jù)集合的信息安全和隱私的關(guān)注點(diǎn)及保護(hù)等方面的內(nèi)容。

無論采用何種基礎(chǔ)設(shè)施的架構(gòu)，任何一個(gè)國家高等教育數(shù)據(jù)系統(tǒng)都含有一個(gè)大型數(shù)據(jù)集合。該集合的設(shè)計(jì)目的是提供有用和可靠的信息來反映高等教育中的學(xué)生成就和教育成效?！按髷?shù)據(jù)”通常定義為：來自于多個(gè)來源的、大型的、復(fù)雜的電子數(shù)據(jù)集，以及這些數(shù)據(jù)集的事務(wù)數(shù)據(jù)（或元數(shù)據(jù)），因而相應(yīng)地必須是“集成的、關(guān)聯(lián)的或者共同分析的”。

數(shù)據(jù)集的安全和隱私關(guān)注點(diǎn)

由于數(shù)據(jù)的規(guī)模和復(fù)雜度，為了解決如何在這些數(shù)據(jù)集和支撐大數(shù)據(jù)集合的IT系統(tǒng)之間和之內(nèi)維護(hù)信息安全和隱私的問題，必須要進(jìn)行協(xié)同的探究。鑒于在全國范圍內(nèi)對(duì)學(xué)生平等和教育成效的疑問日益緊迫，而為了回應(yīng)這些疑問又需要大量的數(shù)據(jù)，任何一個(gè)國家高等教育數(shù)據(jù)體系方案都受到了安全和隱私方面的關(guān)注。

對(duì)大數(shù)據(jù)的安全和隱私的高度關(guān)注點(diǎn)包括：數(shù)據(jù)量（采集到的數(shù)據(jù)的規(guī)模）、敏感性（采集到的數(shù)據(jù)的敏感性以及在不同系統(tǒng)之間潛在的敏感性差異）、訪問權(quán)（為達(dá)到在更大數(shù)據(jù)集合中查詢的目的而擁有多個(gè)大數(shù)據(jù)集合訪問權(quán)的個(gè)人或?qū)嶓w）。

經(jīng)過慎重的考量，利益相關(guān)者們可以在國家高等教育數(shù)據(jù)技術(shù)設(shè)施中實(shí)施全面的信息安全和隱私措施，以回應(yīng)這些關(guān)注。

數(shù)據(jù)量

數(shù)據(jù)量涉及兩個(gè)方面問題：第一個(gè)是大數(shù)據(jù)集合中的記錄數(shù)量，無論是來源于學(xué)校、機(jī)構(gòu)或者其他組織。第二個(gè)是采集到的關(guān)于每個(gè)人的數(shù)據(jù)項(xiàng)目數(shù)量。在大型數(shù)據(jù)集上實(shí)施的復(fù)雜分析，以及研究者從這些分析中分辨出的個(gè)人或群體的動(dòng)向，其范圍可能是非常廣泛的。這種大型的數(shù)據(jù)集合，以及從中揭示出的洞察成果，經(jīng)常會(huì)受到充滿懷疑的目光的審視，尤其是當(dāng)這些采集到的數(shù)據(jù)中含有可以識(shí)別出個(gè)人身份的信息時(shí)。對(duì)不同來源的數(shù)據(jù)匹配可以創(chuàng)造出新的數(shù)據(jù)集，其中包含可以識(shí)別出對(duì)應(yīng)個(gè)人身份的充足信息；這種情況下，為了保護(hù)個(gè)人隱私，就要采取額外的保護(hù)措施。

在國家高等教育數(shù)據(jù)體系中，數(shù)據(jù)量?jī)煞矫娴膯栴}都會(huì)涉及。數(shù)據(jù)可能取自于從體系中的多個(gè)實(shí)體（如學(xué)校、州和聯(lián)邦機(jī)構(gòu)）。另外，不同的實(shí)體（以及對(duì)應(yīng)的IT系統(tǒng)）可能持有不同的個(gè)人數(shù)據(jù)項(xiàng)目。當(dāng)合并這些數(shù)據(jù)項(xiàng)用于分析時(shí)，可能導(dǎo)致產(chǎn)生關(guān)于某個(gè)個(gè)人的詳細(xì)描述，比任何單獨(dú)一個(gè)實(shí)體本身能描述的都更加詳細(xì)。

敏感性

數(shù)據(jù)的敏感性也是對(duì)大數(shù)據(jù)集合的一項(xiàng)關(guān)注，有兩種互相區(qū)別但又密切相關(guān)的敏感性問題。

第一種問題是大數(shù)據(jù)集中可能含有不同類別數(shù)據(jù)的多種組合。普遍的數(shù)據(jù)分類包括可識(shí)別身份的數(shù)據(jù)、擦除身份的數(shù)據(jù)、匿名的數(shù)據(jù)和匯總的數(shù)據(jù)。因?yàn)閿?shù)據(jù)的敏感性不同，不同類型的數(shù)據(jù)要有不同的安全和隱私保護(hù)措施。例如，可識(shí)別身份的數(shù)據(jù)要比匿名數(shù)據(jù)更加敏感。

第二種問題和第一種關(guān)系很近，不過仍然有細(xì)微差別，主要是在大數(shù)據(jù)集合中可識(shí)別身份的數(shù)據(jù)的使用方面。各種類型的可識(shí)別身份的數(shù)據(jù)并不是都有相同的敏感性。理解數(shù)據(jù)集中不同數(shù)據(jù)項(xiàng)的敏感性是至關(guān)重要的。某些數(shù)據(jù)項(xiàng)屬于最高敏感性的數(shù)據(jù)類別，例如姓名和社會(huì)安全號(hào)（Social Security Number，SSN）。因?yàn)樗鼈儍H憑單獨(dú)一項(xiàng)數(shù)據(jù)就可以獨(dú)立唯一識(shí)別某個(gè)人，或者它們被社會(huì)觀念認(rèn)為是高度敏感的。州和聯(lián)邦法律，如《1974年家庭教育權(quán)利和隱私法案（FERPA）》或《1995年健康保險(xiǎn)轉(zhuǎn)移和問責(zé)法（HIPAA）》等，通常會(huì)要求對(duì)這些最敏感的數(shù)據(jù)項(xiàng)目進(jìn)行保護(hù)。

另外一些數(shù)據(jù)項(xiàng)也可能被認(rèn)為是敏感的，因?yàn)楫?dāng)它們組合在一起后很可能可以識(shí)別出唯一的個(gè)人。雖然其他的一些數(shù)據(jù)項(xiàng)仍然會(huì)被認(rèn)為是可識(shí)別身份的數(shù)據(jù)，但是它們不太可能會(huì)被用來識(shí)別出唯一的個(gè)人。表1標(biāo)出了不同類型的可識(shí)別個(gè)人身份的數(shù)據(jù)以及它們的敏感性。

在大數(shù)據(jù)集合中，不同類別的數(shù)據(jù)和不同的可識(shí)別身份的數(shù)據(jù)項(xiàng)進(jìn)行組合，對(duì)數(shù)據(jù)的查詢所返回的結(jié)果中包含的數(shù)據(jù)項(xiàng)也具有不同的敏感度。此時(shí)，對(duì)這些查詢的結(jié)果必須要進(jìn)行安全保護(hù)，而且保護(hù)的方式應(yīng)當(dāng)與其中含有的最高敏感度的數(shù)據(jù)的保護(hù)方式相一致。這樣的要求對(duì)于單點(diǎn)數(shù)據(jù)系統(tǒng)和多點(diǎn)數(shù)據(jù)系統(tǒng)都是一項(xiàng)挑戰(zhàn)。

在國家高等教育數(shù)據(jù)體系中，IT從業(yè)者要采取兩種方式來應(yīng)對(duì)敏感性挑戰(zhàn)。首先，參與體系的實(shí)體必須在其所控制的IT系統(tǒng)中實(shí)施適當(dāng)?shù)陌踩碗[私保護(hù)。這表明，要確保那些系統(tǒng)對(duì)其所采集到的數(shù)據(jù)的保護(hù)級(jí)別符合系統(tǒng)保存的最敏感的數(shù)據(jù)項(xiàng)的要求。這就意味著，即便是同一個(gè)實(shí)體的不同系統(tǒng)也可能有不同的保護(hù)級(jí)別。其次，除了單個(gè)IT系統(tǒng)級(jí)別的保護(hù)以外，在國家體系中的所有實(shí)體要聯(lián)合協(xié)作，以確保在實(shí)體之間和體系之內(nèi)共享的數(shù)據(jù)受到妥善的保護(hù)，即任何分析在向最終用戶報(bào)告數(shù)據(jù)的終端點(diǎn)上，數(shù)據(jù)的保護(hù)水平達(dá)到其中所包含的最敏感的數(shù)據(jù)項(xiàng)目的要求。

訪問權(quán)

采集和存儲(chǔ)的個(gè)人信息的訪問范圍十分廣泛，尤其是通過互聯(lián)網(wǎng)和個(gè)人移動(dòng)設(shè)備時(shí)，訪問范圍幾乎是全球的。幾乎所有的大數(shù)據(jù)集合都設(shè)計(jì)成為供多個(gè)實(shí)體、從多個(gè)地點(diǎn)、為了多種目的而進(jìn)行訪問。對(duì)訪問權(quán)的關(guān)切一般分為兩類：一是針對(duì)無合法訪問權(quán)的外部角色，對(duì)數(shù)據(jù)進(jìn)行保護(hù)；二是針對(duì)有合法訪問權(quán)的人員等內(nèi)部角色，在出現(xiàn)故意超出事先批準(zhǔn)的授權(quán)范圍、通過未批準(zhǔn)的設(shè)備、或偶然錯(cuò)誤地披露數(shù)據(jù)的情況時(shí)，對(duì)數(shù)據(jù)進(jìn)行保護(hù)。國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中，多個(gè)IT系統(tǒng)可以互相鏈接，來自多個(gè)所有者的數(shù)據(jù)集在共享系統(tǒng)中組合，而且有訪問數(shù)據(jù)的人數(shù)眾多。因此，信息安全控制不僅有必要防護(hù)數(shù)據(jù)免于外部侵入，而且有必要實(shí)施控制合法人員的訪問政策。

表1 可識(shí)別個(gè)人身份的數(shù)據(jù)項(xiàng)

基礎(chǔ)設(shè)施的數(shù)據(jù)安全保護(hù)

對(duì)于一個(gè)高等教育數(shù)據(jù)系統(tǒng)和構(gòu)成整個(gè)體系的底層IT系統(tǒng)而言，不存在信息安全和隱私保護(hù)一刀切的設(shè)計(jì)公式，可以用來確保在其中流動(dòng)的所有數(shù)據(jù)的安全和隱私。在《展望21世紀(jì)的高等教育數(shù)據(jù)基礎(chǔ)設(shè)施》中所提出的所有方案中，每一個(gè)都提出了信息安全和隱私方面的、自身特有的一組技術(shù)挑戰(zhàn)，這需要根據(jù)解決方案中所采用的底層技術(shù)和流程逐一加以應(yīng)對(duì)。因此，采用全面的解決途徑是必不可少的，即樂于采用最佳實(shí)踐、降低整體風(fēng)險(xiǎn)降低、實(shí)施數(shù)據(jù)保護(hù)，以及實(shí)現(xiàn)整個(gè)體系的透明、問責(zé)和信任。

對(duì)任何一個(gè)改善國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施的可選方案而言，建立一系列共同的隱私原則都有助于保護(hù)學(xué)生隱私。

信息安全保護(hù)

一些信息安全標(biāo)準(zhǔn)和最佳實(shí)踐的資源是現(xiàn)成的。幾乎所有的標(biāo)準(zhǔn)都是基于同一個(gè)概念，即良好的信息安全實(shí)踐是在試圖降低風(fēng)險(xiǎn)和保護(hù)數(shù)據(jù)。此處的風(fēng)險(xiǎn)指的是某個(gè)威脅利用某個(gè)漏洞產(chǎn)生損害的可能性。例如，某個(gè)惡意的黑客（威脅）猜出了某個(gè)用戶的IT系統(tǒng)弱密碼（漏洞），然后從數(shù)據(jù)庫中盜竊出了數(shù)據(jù)并隨后利用數(shù)據(jù)傷害了某人（身份竊取）。風(fēng)險(xiǎn)實(shí)現(xiàn)的可能性以及風(fēng)險(xiǎn)實(shí)現(xiàn)的損害影響因環(huán)境不同而不同。并不是所有的風(fēng)險(xiǎn)或者漏洞都需要同樣級(jí)別的關(guān)注，而且大多數(shù)機(jī)構(gòu)并不擁有嘗試消除所有安全信息風(fēng)險(xiǎn)的資源。通過風(fēng)險(xiǎn)并評(píng)估其相對(duì)嚴(yán)重性，是國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中必不可少的組成部分。

大多數(shù)風(fēng)險(xiǎn)評(píng)估方法包括了四個(gè)基本的風(fēng)險(xiǎn)評(píng)估步驟：一是對(duì)評(píng)估了解范圍內(nèi)的數(shù)據(jù)資產(chǎn)和數(shù)據(jù)開列清單；二是確定這些資產(chǎn)和數(shù)據(jù)所面臨的威脅和漏洞（統(tǒng)稱風(fēng)險(xiǎn)）；三是對(duì)特定風(fēng)險(xiǎn)發(fā)生的可能性和潛在損失進(jìn)行分類；四是記錄下為應(yīng)對(duì)所確定出的風(fēng)險(xiǎn)所需的控制點(diǎn)。

風(fēng)險(xiǎn)評(píng)估的主要成果是，根據(jù)可能性和影響程度（如低、中、高）矩陣識(shí)別出IT資產(chǎn)和數(shù)據(jù)的風(fēng)險(xiǎn)，并且制訂計(jì)劃方案，用對(duì)底層組織而言切實(shí)可行的方式應(yīng)對(duì)風(fēng)險(xiǎn)。組織根據(jù)其風(fēng)險(xiǎn)容忍度，可以選擇應(yīng)對(duì)不同類型的風(fēng)險(xiǎn)：（1）最有可能發(fā)生的風(fēng)險(xiǎn)；（2）一旦發(fā)生將可能造成最嚴(yán)重?fù)p失的風(fēng)險(xiǎn)；（3）從資源角度來看最容易應(yīng)對(duì)的風(fēng)險(xiǎn)；（4）同時(shí)滿足上述某些條件的風(fēng)險(xiǎn)。

IT從業(yè)者在識(shí)別出風(fēng)險(xiǎn)并進(jìn)行評(píng)估后，可以采取信息安全控制措施加以解決。評(píng)估風(fēng)險(xiǎn)和實(shí)施信息安全控制措施的最終目的是保護(hù)組織的IT資源和其中的數(shù)據(jù)。為了恰當(dāng)?shù)貞?yīng)對(duì)風(fēng)險(xiǎn)，可以采用信息安全領(lǐng)域中的以下通用措施：

（1）資產(chǎn)管理的關(guān)注焦點(diǎn)是如何從創(chuàng)建或獲得到銷毀的全生命周期中，管理IT系統(tǒng)及其中的數(shù)據(jù)。

（2）身份認(rèn)證、鑒權(quán)和訪問控制涉及如何識(shí)別授權(quán)用戶的身份、鑒權(quán)（證明其身份）以及被授予IT系統(tǒng)及其中數(shù)據(jù)的訪問權(quán)。

（3）運(yùn)行安全指的是IT系統(tǒng)及其中的數(shù)據(jù)是如何操作，如何防范威脅，以及如何測(cè)試漏洞的。惡意軟件保護(hù)、系統(tǒng)日志和監(jiān)控、數(shù)據(jù)備份以及漏洞管理都包含在這個(gè)大類中。

（4）通信安全指的是當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)或者IT系統(tǒng)中移動(dòng)，包括在一個(gè)組織內(nèi)部或多個(gè)組織之間移動(dòng)的情況下，IT系統(tǒng)及其中的數(shù)據(jù)是如何受到保護(hù)的。

（5）物理環(huán)境安全涉及IT系統(tǒng)及其中的數(shù)據(jù)如何防范物理丟失、機(jī)械故障和環(huán)境破壞。包括如何通過防范如下風(fēng)險(xiǎn)來保護(hù)IT系統(tǒng)：盜竊或丟失；自然災(zāi)害，例如火災(zāi)、洪水、臺(tái)風(fēng)；蓄意破壞；電源中斷或其他機(jī)械故障。

（6）事件響應(yīng)、業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù)指的是當(dāng)出現(xiàn)涉及IT系統(tǒng)及其中數(shù)據(jù)的事件時(shí)組織如何響應(yīng)，以及如何從這些事件中恢復(fù)。組織必須為一些不同類型的事件（如惡意攻擊、自然災(zāi)害、斷續(xù)的網(wǎng)絡(luò)連接等）建立響應(yīng)和恢復(fù)規(guī)程。

（7）培訓(xùn)和意識(shí)涉及組織如何培訓(xùn)雇員和其他IT用戶，并且傳播關(guān)于如何推動(dòng)良好信息安全實(shí)踐的意識(shí)。培訓(xùn)和意識(shí)非常重要，因?yàn)榧词褂凶詈玫囊庠?，雇員和其他可信個(gè)人也有可能會(huì)無意中損害IT系統(tǒng)及其中數(shù)據(jù)的安全。

隱私保護(hù)

作為一個(gè)領(lǐng)域主題，過去十年中隱私在高等教育中的重要性不斷在提高。包括FERPA在內(nèi)的法律以及教育技術(shù)市場(chǎng)的增長(zhǎng)在教育體系中甚至將隱私概念變得更加重要。與信息安全概念非常類似的是，也沒有一個(gè)單一的全面控制措施，能夠確保數(shù)據(jù)在任何情形下都能保持足夠隱私，并且每種可能的數(shù)據(jù)方案都有其特有的隱私挑戰(zhàn)，要求有專門的隱私響應(yīng)方式來應(yīng)對(duì)。

盡管如此，對(duì)任何一個(gè)改善國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施的可選方案而言，建立一系列共同的隱私原則都有助于保護(hù)學(xué)生隱私。堅(jiān)持這些原則可以提高國家體系中的透明、問責(zé)和信任?！豆叫畔?shí)踐原則（FIPPs）》是《1974年聯(lián)邦隱私法案》的一部分，對(duì)美國的隱私法律有重要影響。這些原則的設(shè)計(jì)目的是為了要應(yīng)對(duì)大型的個(gè)人數(shù)據(jù)集合所帶來的隱私關(guān)切，因此，對(duì)于國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中應(yīng)當(dāng)采用的隱私原則，它們可以作為很好的范本。FIPPs包含了八項(xiàng)隱私原則。

（1） 目的規(guī)范：組織應(yīng)當(dāng)在采集數(shù)據(jù)之前，告知個(gè)人為什么要采集數(shù)據(jù)，以及用于何種用途。

（2）采集限制：組織應(yīng)當(dāng)只采集他們所需要的數(shù)據(jù)（稱為數(shù)據(jù)最小化），而且獲取數(shù)據(jù)的方式是經(jīng)法律途徑批準(zhǔn)的，或者是告知了相關(guān)個(gè)人并得到知情同意的。

（3）數(shù)據(jù)質(zhì)量：組織應(yīng)當(dāng)只采集準(zhǔn)確的數(shù)據(jù)，并且當(dāng)因某種原因使關(guān)于某人的數(shù)據(jù)不正確時(shí)，此人可以遵循現(xiàn)成的適當(dāng)程序加以解決。

（4）使用限制：組織應(yīng)當(dāng)只將數(shù)據(jù)用于最初采集數(shù)據(jù)時(shí)指明的用途，或者是其他法律許可的用途。

（5）安全防護(hù)：組織應(yīng)當(dāng)保護(hù)所采集的數(shù)據(jù)免于未授權(quán)的訪問（即機(jī)密性）、破壞（即可用性）和篡改（即完整性）。

（6）公開透明：組織應(yīng)當(dāng)保持透明，將采集個(gè)人數(shù)據(jù)的活動(dòng)情況提供給涉及的個(gè)人。

（7）個(gè)人參與：個(gè)人應(yīng)當(dāng)能夠知道自己的數(shù)據(jù)是否被某個(gè)組織所采集，并且應(yīng)該能夠獲得被采集到的數(shù)據(jù)。

（8）可問責(zé)性：采集數(shù)據(jù)的組織應(yīng)當(dāng)對(duì)上述的隱私原則承擔(dān)責(zé)任。

隱私原則不是憑空實(shí)現(xiàn)的。全體高等教育數(shù)據(jù)社群必須在全面應(yīng)用于整個(gè)體系的原則上保持一致。為實(shí)現(xiàn)這一點(diǎn)，利益相關(guān)者們應(yīng)該考慮隨著體系的演進(jìn)而建立協(xié)作的數(shù)據(jù)治理程序。數(shù)據(jù)治理程序中要部署相關(guān)的政策和流程，以滿足在國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中管理所采集、使用和共享的數(shù)據(jù)的需要。這樣的程序?qū)⒛軌蛱峁┲笇?dǎo)，說明可利用的數(shù)據(jù)、數(shù)據(jù)的敏感性、數(shù)據(jù)的責(zé)任方、數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的訪問權(quán)，以及與數(shù)據(jù)有關(guān)的風(fēng)險(xiǎn)和法律制度規(guī)定。

對(duì)政策制定者的建議

向?qū)W生、家長(zhǎng)、管理人員、教師、政策制定者和其他對(duì)學(xué)生教育成效有興趣的利益相關(guān)者提供可靠的數(shù)據(jù)，和確保那些數(shù)據(jù)的安全和隱私，這兩件事情并不互相排斥。為了在國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施體系內(nèi)確保有效的信息安全和隱私保護(hù)，下列的四項(xiàng)建議共同構(gòu)成了一個(gè)框架。

1. 采用基于風(fēng)險(xiǎn)的方法來理解信息安全和隱私的威脅及漏洞。無論國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施的解決方案或架構(gòu)如何，利益相關(guān)者都必須要理解信息安全和隱私風(fēng)險(xiǎn)。對(duì)于任何一個(gè)系統(tǒng)，這類風(fēng)險(xiǎn)都會(huì)影響到系統(tǒng)向利益相關(guān)者提供關(guān)于提升學(xué)生教育成效的信息的能力。IT從業(yè)者評(píng)估風(fēng)險(xiǎn)后，可以采取信息安全和隱私控制措施來應(yīng)對(duì)風(fēng)險(xiǎn)，以及對(duì)國家高等教育數(shù)據(jù)系統(tǒng)的組成部分——IT系統(tǒng)及這些系統(tǒng)中的數(shù)據(jù)加強(qiáng)保護(hù)。

2. 建立和堅(jiān)持一組信息安全保護(hù)的基本措施。在國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中，這些保護(hù)措施是對(duì)采集、處理、存儲(chǔ)、傳輸?shù)臄?shù)據(jù)進(jìn)行安全防護(hù)所必需的。如果這樣的一組標(biāo)準(zhǔn)并不是州和聯(lián)邦法律（例如為保護(hù)聯(lián)邦I(lǐng)T系統(tǒng)而采用美國國家標(biāo)準(zhǔn)與技術(shù)研究所NIST特別出版物800-53所實(shí)施的控制措施）要求的話，那么最低水平下也要基于體系中的不同系統(tǒng)的內(nèi)在風(fēng)險(xiǎn)來實(shí)施控制措施。相關(guān)控制集見表2。

3. 建立和堅(jiān)持一組基本的隱私標(biāo)準(zhǔn)。為了在國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中保護(hù)學(xué)生隱私，需要實(shí)施一組指導(dǎo)性的隱私原則。國家層面的努力尚未出現(xiàn)時(shí)，實(shí)施這些原則將提供學(xué)生隱私保護(hù)的最佳方案。最基本的也是必須要實(shí)現(xiàn)的原則是：采集數(shù)據(jù)之前，相關(guān)個(gè)人收到通知并確認(rèn)知情同意；學(xué)校和其他組織只采集滿足回答學(xué)生教育成效測(cè)試中關(guān)鍵問題所需的、最小范圍的數(shù)據(jù)；并且學(xué)校和其他組織所采集的數(shù)據(jù)只用于采集時(shí)的原始用途或者法律許可的其他用途。

4. 建立協(xié)作的治理體系。在國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中，為了確保所采集的數(shù)據(jù)對(duì)必要的測(cè)量和指標(biāo)提供支持并回應(yīng)利益相關(guān)者的疑問，治理體系是必要的。這個(gè)治理體系也可以審核數(shù)據(jù)體系中數(shù)據(jù)可用性和確保對(duì)數(shù)據(jù)的保護(hù)。除了定義數(shù)據(jù)所有權(quán)和管理措施、為信息安全和隱私的最佳實(shí)踐以及基本要求提供咨詢以外，治理實(shí)體還可以考慮培訓(xùn)系統(tǒng)用戶的最佳方式，并就協(xié)調(diào)數(shù)據(jù)分享和分析的收益進(jìn)行交流。

表2 美國國家標(biāo)準(zhǔn)與技術(shù)研究所NIST 800-53和ISO/IEC 27002：2013標(biāo)準(zhǔn)中的控制集

學(xué)生、學(xué)校和政策制定者需要關(guān)于高等教育的更高質(zhì)量的信息，利益相關(guān)者們最需要的是關(guān)于學(xué)生教育成效的有意義的信息，而獲得這些信息要求在現(xiàn)有方案和考慮之中的方案中取得更高質(zhì)量的數(shù)據(jù)。當(dāng)利益相關(guān)者們考慮滿足數(shù)據(jù)需要的最佳方式時(shí)，勢(shì)必要在討論中加入如何能最恰當(dāng)?shù)乇Ｗo(hù)學(xué)生隱私和確保國家高等教育數(shù)據(jù)系統(tǒng)中的數(shù)據(jù)安全方面的內(nèi)容。通過謹(jǐn)慎細(xì)致的規(guī)劃，國家高等教育數(shù)據(jù)基礎(chǔ)設(shè)施中可以以適當(dāng)?shù)姆绞綄?shí)施全面的信息安全和隱私保護(hù)，從而做到降低風(fēng)險(xiǎn)，保護(hù)數(shù)據(jù)，確保透明、可問責(zé)和信任。

（翻譯：陳強(qiáng)）