美國高等教育數(shù)據(jù)系統(tǒng)中的信息安全和隱私（一）

編者按

2015年8月，美國高等教育政策研究所（Institute for Higher Education Policy，IHEP）率先召集了一個由全國高等教育數(shù)據(jù)專家組成的工作組，來討論推動一系列改進數(shù)據(jù)基礎設施質(zhì)量的新興方案，為州和聯(lián)邦的政策對話提供信息。作為成果的系列論文集——《展望21世紀的高等教育數(shù)據(jù)基礎設施》提出了有針對性的建議，直接關心有關的技術、資源和政策考慮?！睹绹叩冉逃龜?shù)據(jù)系統(tǒng)中的信息安全和隱私》為論文集中的一篇。從本期開始，本刊將連載相關內(nèi)容。本文意在使讀者了解信息安全和隱私的概念，以及國家高等教育數(shù)據(jù)基礎設施中的技術等內(nèi)容。

2014年3月，美國高等教育政策研究所（Institute for Higher Education Policy, IHEP）發(fā)表了報告《描繪高等教育數(shù)據(jù)領域：問題和可能性》（以下簡稱“《描繪》一文”），概述了在向?qū)W生、政策制定者和學校提供有用和可靠的相關信息以使他們了解高等教育系統(tǒng)中學生成就的情況時，高等教育的利益相關者們所必須回應的關鍵問題和必須采取的核心措施。獲得有意義的、與學生教育成效有關的信息而推動教育的改進需要更高質(zhì)量的數(shù)據(jù)，無論這些數(shù)據(jù)來自于現(xiàn)有的系統(tǒng)方案，還是來自于考慮中的系統(tǒng)建設的可選方案中。研究者們普遍認同，目前可用的數(shù)據(jù)是不充分的，因而國家高等教育數(shù)據(jù)基礎設施需要改革以對數(shù)據(jù)的采集、共享和分析加以改進。

數(shù)據(jù)提供了信息時代的基礎設施。在美國，每個高等教育機構(gòu)都在它們的企業(yè)級信息技術系統(tǒng)（IT系統(tǒng)）中采集和使用數(shù)據(jù)。州、區(qū)域和聯(lián)邦級別的實體也在采集和使用數(shù)據(jù)。數(shù)據(jù)及其賴以維持的IT系統(tǒng)都是高價值的戰(zhàn)略資產(chǎn)，必須得到慎重對待和保護。在系統(tǒng)中，以及在利用數(shù)據(jù)支持決策和提升教育成效時，保護這些資產(chǎn)的安全以及信守學生及其所代表的家庭的隱私是一項需要努力付出的奮斗。必須要使所有的利益相關者——從學生到家長到管理者到政策制定者在內(nèi)，都有信心相信：可識別個人身份的學生信息只有在必要和合法的情況下會被采集，會得到恰當?shù)氖褂?，而且會是可靠的。影響高等教育?shù)據(jù)采集和存儲活動的監(jiān)管環(huán)境是復雜的；體系中的利益相關者也許有不同的隱私期望；體系中所有IT系統(tǒng)的安全防護都必須仔細地精心建構(gòu)。高等教育數(shù)據(jù)系統(tǒng)能帶來新的機會，提升對學生成就影響因素的理解，也帶來了信息安全和隱私風險。兩者間的平衡與其說是一門科學，不如說是一項藝術。

信息安全和隱私，這兩個概念是如何發(fā)揮作用，在國家高等教育體系中如何保護數(shù)據(jù)？理解這一點至關重要。為了滿足《描繪》一文中所提出的測量項目的要求，并回應其中提出的關鍵性的疑問，數(shù)據(jù)必須要進行分析才能提供必要的信息。這些數(shù)據(jù)的來源可能是多樣的所有者，包括學生、學校、非政府機構(gòu)，以及州和聯(lián)邦部門；可能存在于這些不同實體所控制的許多IT系統(tǒng)中；也可能有不同的敏感性（例如，可識別身份的學生數(shù)據(jù)、擦除身份信息的數(shù)據(jù)和匯總后的數(shù)據(jù)）。有些采集到的數(shù)據(jù)可能受到聯(lián)邦法律和/或州法律的保護。其他一些數(shù)據(jù)可能未受法律保護，但是對于相關人士而言仍然是高敏感性的，一旦被分享或者泄露將產(chǎn)生令人困窘的后果。要做出政策和實踐上的有根據(jù)的決策，理解數(shù)據(jù)的采集方式和當前法律議題的復雜性是必要的。這個體系如此復雜，因而要在整個體系中成功地管理學生數(shù)據(jù)并形成有意義的合作關系，從而向政策制定者提供理解學生教育成效所需的數(shù)據(jù)，必須要有州政府和/或聯(lián)邦政府的行動。

信息安全和隱私的概念

任何IT系統(tǒng)，只要其設計目的是向用戶提供可靠信息作為決策依據(jù)，那么數(shù)據(jù)都是它的核心資產(chǎn)。學生級別的數(shù)據(jù)（如招生錄取、入學考試、就讀過程、畢業(yè)和教育成效數(shù)據(jù)）對于任何一個有意義的國家級數(shù)據(jù)解決方案都是非常必要的。而且，為了保護這些數(shù)據(jù)，所有系統(tǒng)都必須將信息安全和隱私保護作為基本組成部分。體系中所有的利益相關者必須對信息安全和隱私有一個共同的理解，而且要超越對概念的非專業(yè)解釋，要理解這些概念是如何在保護學生數(shù)據(jù)方面共同發(fā)揮作用，以及如何確保這些數(shù)據(jù)在學校、州、地區(qū)和聯(lián)邦的IT系統(tǒng)所構(gòu)成的整個基礎設施體系中得到恰當?shù)睦谩?/p>

什么是信息安全？

信息安全指的是保護數(shù)據(jù)的機制。不熟悉信息安全的人們經(jīng)常認為它僅僅是在IT系統(tǒng)中實施的技術控制。然而，實際上不能認為信息安全僅僅是技術控制，而必須是對任何形式的數(shù)據(jù)（無論是在IT系統(tǒng)中存儲還是還原到紙面或其他物理介質(zhì)上）進行保護的研究和實踐。其中包括保護數(shù)據(jù)免受任何類型的威脅，無論實施這些威脅的是有惡意的外部人員還是對IT系統(tǒng)和數(shù)據(jù)有合法訪問權的人員。如下所述，數(shù)據(jù)保護的實踐涵蓋了的三個有區(qū)別的信息安全概念：機密性、完整性和可用性。

機密性的含義是，對數(shù)據(jù)在任何形式下的全生命周期（從創(chuàng)建到銷毀）中，都要保護其免受未授權的訪問。未授權的訪問包括與存儲數(shù)據(jù)的實際組織無關的人員（例如，罪犯和黑客）的訪問，也包括組織內(nèi)部的人員有意超出其授權范圍而進行的訪問（例如，工作人員在無合法工作原因的情況下查找知名人士或者其他目標人員記錄的行為）。機密性是在組織遭受數(shù)據(jù)侵害時最常涉及的信息安全概念。

高等教育數(shù)據(jù)系統(tǒng)能帶來新的機會，提升對學生成就影響因素的理解，也帶來了信息安全和隱私風險。兩者間的平衡與其說是一門科學，不如說是一項藝術。

完整性的含義是，確保IT系統(tǒng)中（或者在物理介質(zhì)上記錄或重現(xiàn)的）的數(shù)據(jù)是準確的。這表示IT系統(tǒng)的創(chuàng)建者和管理者要在系統(tǒng)中采取控制措施，確保用戶正確地輸入和處理數(shù)據(jù)，而且沖突的數(shù)據(jù)項目能被識別出來并加以解決。完整性還要求，只有授權用戶才有能力去變更、移動或者刪除特定類型的數(shù)據(jù)文件。符合完整性要求的數(shù)據(jù)可以認為是準確的，能作為決策中的可靠依據(jù)。

可用性的含義是，確保數(shù)據(jù)在需要時即可獲得，并且IT系統(tǒng)運行可靠。利益相關者可以采取多種方式確保數(shù)據(jù)可用性，比如設計“冗余”的IT系統(tǒng)（例如，采用的安裝方式可以不會因某個組件的故障而使整個系統(tǒng)故障）并具備抗攻擊能力，以及確保用戶會定期備份數(shù)據(jù)。

常見的對IT系統(tǒng)和數(shù)據(jù)的故意和惡意的信息安全威脅包括：惡意軟件、間諜軟件、鍵盤記錄器；IT系統(tǒng)的后門；用于竊取用戶憑據(jù)的釣魚和定向詐騙；有合法訪問權的人員的故意濫用；以及意圖使數(shù)據(jù)不可用的拒絕服務攻擊。除了故意和惡意的威脅以外，管理IT系統(tǒng)和數(shù)據(jù)的人員還必須要應對意外或偶然的事件：自然災害，電力中斷，丟失了錯誤放置的IT資源（例如，丟失的包含有敏感數(shù)據(jù)的U盤）。他們還要防范數(shù)據(jù)和相關系統(tǒng)受到合法用戶的無意行為的損害，例如偶然刪除重要數(shù)據(jù)，將敏感數(shù)據(jù)發(fā)布在公共訪問的資源（如網(wǎng)頁等）中，或者發(fā)送給了錯誤的人員（通過E-mail等）。

什么是隱私？

IT系統(tǒng)提高了采集和存儲數(shù)據(jù)的便捷性，也使得這些數(shù)據(jù)的隱私日益受到關注。隱私是一個用于解釋對個人和公眾都普遍適用的概念的簡單術語。對于個人而言，隱私意味著某個個人控制他/她自己的數(shù)據(jù)，并指定這些數(shù)據(jù)的采集、使用和分享的方式的權利。在美國，還有一個關于隱私的社會觀念，即隱私是對干涉公民自治的政府權力的限制。

在國家高等教育數(shù)據(jù)體系的討論中，這兩個概念都重要。當研究人員最初采集學生級別的數(shù)據(jù)時，他們應當合法地采集數(shù)據(jù)，并且采用以確保學生個人隱私權利為目的的方式。這意味著，只要有可能，數(shù)據(jù)采集的主體就應當在采集學生數(shù)據(jù)之前獲得允許，并且應當只采集對實現(xiàn)指定研究目標所必需的最少數(shù)據(jù)。當這些數(shù)據(jù)在體系中與其他主體中共享時，特別是在學校和州及聯(lián)邦機構(gòu)之間共享時，數(shù)據(jù)共享的方式應當要把政府使用數(shù)據(jù)的權力限制在最初采集數(shù)據(jù)時指定的目的上，或者是法律和規(guī)章所許可的目的范圍內(nèi)。

因為隱私植根于法律概念中，聯(lián)邦和州法律都可能會對國家高等教育數(shù)據(jù)體系中的數(shù)據(jù)采集和分享實體產(chǎn)生影響。特別是高等教育機構(gòu)，面臨數(shù)據(jù)保護方面的復雜監(jiān)管環(huán)境。深入理解聯(lián)邦法律（如《1974年家庭教育權利和隱私法案（FERPA）》等）中的許可和禁止性的條款，對于確保學生數(shù)據(jù)隱私是至關重要的。其他法律有些涉及對特定數(shù)據(jù)項目的保護，有些涉及對聯(lián)邦機構(gòu)采集的數(shù)據(jù)和聯(lián)邦信息系統(tǒng)中存儲的數(shù)據(jù)的保護。

除了適用于高等教育數(shù)據(jù)基礎設施中某些部分的聯(lián)邦法律以外，州法律也可能會影響到數(shù)據(jù)采集體系。2015年，46個州就學生隱私的多個方面提出了180個法案；15個州通過了28項新法律。這些法律設置了對學生數(shù)據(jù)隱私有影響的眾多議題，如教育技術服務提供商的角色；家長是否可以自愿退出數(shù)據(jù)采集；在采集數(shù)據(jù)的州以外傳輸數(shù)據(jù)；提供數(shù)據(jù)侵害通知；對州的縱向數(shù)據(jù)系統(tǒng)（State Longitudinal Data System，SLDS）的經(jīng)費投入等。盡管許多州將其法律限制在K-12學生的數(shù)據(jù)上，一些州也還是實施了適用于高等教育學生數(shù)據(jù)的法律。結(jié)果就是要進行以州為基礎的數(shù)據(jù)采集，還要查閱一些單獨的州法律。

信息安全和隱私的概念密切相關，并不總是互相排斥的。例如，完全可能想象出數(shù)據(jù)是安全的但不是隱私的情形。數(shù)據(jù)可能以安全的方式存儲在一個IT系統(tǒng)中，但是如果這些數(shù)據(jù)的采集沒有個人的知情同意或者不是經(jīng)過合法授權的機構(gòu)采集的，那么對于其所關系到的個人而言，這些數(shù)據(jù)的隱私性就遭到了損害。相反地，數(shù)據(jù)可能是在個人的知情同意下采集的，或者是依據(jù)法律許可采集的，但是存儲在了缺乏足夠安全措施、無法保護數(shù)據(jù)免受犯罪分子竊取的IT系統(tǒng)中。這種情況下，數(shù)據(jù)的安全就遭受了損害。在國家高等教育數(shù)據(jù)體系中對采集、存儲、傳輸和分析的數(shù)據(jù)進行保護時，信息安全和隱私這兩個概念必須要同時考慮到。隱私的概念必須要清楚，以確保個人和社會對于隱私的觀念受到了實踐可行的最全面的尊重；信息安全的概念必須被采納，用于保護所有采集到的數(shù)據(jù)的機密性、完整性和可用性。

表1　論文集中所討論的基礎設施系統(tǒng)架構(gòu)

高等教育數(shù)據(jù)基礎設施中的技術

盡管本文中提出的安全和隱私關切及最佳實踐對于所有IT基礎設施環(huán)境都適用，但《展望21世紀的高等教育數(shù)據(jù)基礎設施》還是主要聚焦于國家高等教育數(shù)據(jù)體系中兩種基本類型的IT系統(tǒng)架構(gòu)上（見表1）。

第一類是單點（single destination）系統(tǒng)，如一個由政府或私立機構(gòu)運行的學生單位記錄數(shù)據(jù)系統(tǒng)（Student Unit Record Data System，SURDS）。正如其名稱所表明的，單點系統(tǒng)是權威學生信息的專門位置。最可能的情況下，一個單獨的實體運行這類系統(tǒng)，并對保存數(shù)據(jù)集的IT系統(tǒng)實施安全和隱私保護。這類系統(tǒng)接受信息的輸入渠道可以有多個，但是系統(tǒng)本身被認為是權威信息的唯一來源。

第二類是多點（multiple destination）系統(tǒng)，其中，一些實體互相分享學生信息，沒有哪個單獨的IT系統(tǒng)可以成為權威的數(shù)據(jù)來源。這種架構(gòu)的一個案例是多個州的縱向數(shù)據(jù)系統(tǒng)（SLDS）互相聯(lián)網(wǎng)來響應查詢學生的請求。在這類系統(tǒng)中所采取的數(shù)據(jù)分布形式要能提供有意義的信息，就必須要在整個基礎設施中允許以某些公共關鍵值或標識符進行匹配?？紤]到多個實體都要在基礎設施中提供、使用和分析數(shù)據(jù)，數(shù)據(jù)安全和隱私的保護措施需要得到分布式的所有IT系統(tǒng)中的所有參與實體的同意和遵守。表1提供了一個本論文集中所討論的基礎設施架構(gòu)的簡要視圖。

每個通用的基礎設施架構(gòu)都要有為自身精心設計的一組安全和隱私控制措施。例如，建立一個單點系統(tǒng)（如SURDS方案）所需要的控制措施將會與支撐已有系統(tǒng)（如鏈接多個SLDS系統(tǒng)）的有所不同。雖然兩個可選方案都需要某種機制實現(xiàn)在多個數(shù)據(jù)輸入中匹配記錄，但是SURDS方案將會形成一個單獨的、大型的可識別身份數(shù)據(jù)的集合。另一方面，SLDS方案必然要解決多個不同的系統(tǒng)之間匹配數(shù)據(jù)項目、解決沖突和應對質(zhì)量關切的問題，也許要為了滿足信息安全中的完整性概念而進行更加深入的探尋。

（翻譯：陳強）