文/Lisa Ho

下一代數(shù)字教學(xué)環(huán)境中的隱私保護(hù)

文/Lisa Ho

在實(shí)體校園中配置的多樣化反映和激發(fā)學(xué)校社群中多樣化的靈感和合作，也在虛擬教學(xué)環(huán)境中投出鏡像：快速演化的教育技術(shù)和客戶應(yīng)用組成的一個(gè)動(dòng)態(tài)和復(fù)雜的聯(lián)合體。教師們經(jīng)常使用學(xué)校的教學(xué)管理系統(tǒng)（LMS）之外的工具，運(yùn)用學(xué)生喜愛(ài)的應(yīng)用來(lái)吸引學(xué)生投入學(xué)習(xí)與此相應(yīng)，一個(gè)學(xué)術(shù)評(píng)議委員會(huì)正在爭(zhēng)取發(fā)布一個(gè)指南，來(lái)評(píng)估課程申請(qǐng)中的社交媒體運(yùn)用。研究小組針對(duì)一些主題提出了一些考慮，涵蓋的范圍從設(shè)備可用性和輔助技術(shù)支持到隱私、長(zhǎng)期數(shù)據(jù)控制、所有權(quán)和內(nèi)容管理等。

隨后，在另一場(chǎng)會(huì)議中，我們探討了隱私和在線監(jiān)控問(wèn)題是如何與院校研究相關(guān)的。同時(shí)還討論了倫理審查委員會(huì)（IRB）和《聯(lián)邦教育權(quán)利和隱私法（FERPA）》規(guī)定的與涉及學(xué)生數(shù)據(jù)的研究相關(guān)聯(lián)的強(qiáng)制義務(wù)，以及以學(xué)校名義進(jìn)行的研究如何在這些保護(hù)之下變成了一個(gè)特色領(lǐng)域。我們深入思考了從學(xué)生身上采集到的諸多不同的數(shù)據(jù)點(diǎn)，并展望了通過(guò)對(duì)更多信息進(jìn)行關(guān)聯(lián)分析來(lái)評(píng)價(jià)、量化和改進(jìn)學(xué)生體驗(yàn)的前景。同時(shí)，還反復(fù)研討了在無(wú)處不在的監(jiān)控對(duì)創(chuàng)新教學(xué)環(huán)境帶來(lái)的影響，因?yàn)閯?chuàng)新教學(xué)環(huán)境中個(gè)人需要有不受威脅地進(jìn)行實(shí)驗(yàn)的空間，也需要有無(wú)須害怕關(guān)門帶來(lái)的后果的自由。

這些討論預(yù)示著教育技術(shù)的未來(lái)。菲爾·希爾（Phil Hill）將當(dāng)前的教學(xué)管理系統(tǒng)描述為“有圍墻的花園”，其中用戶創(chuàng)造的內(nèi)容和事務(wù)數(shù)據(jù)在學(xué)校管控的局面中受到保護(hù)。與此相對(duì)的是未來(lái)的下一代數(shù)字教學(xué)環(huán)境（Next Generation Digital Learning Environment，NGDLE），他將此描述為“開(kāi)放式花園”，其中數(shù)據(jù)在不同來(lái)源的應(yīng)用中自由穿行。教師和學(xué)生們將個(gè)性化教學(xué)工具堆積匯編成為了在線的校園生態(tài)，其中通過(guò)測(cè)量導(dǎo)向的數(shù)據(jù)標(biāo)準(zhǔn)，我們能夠?qū)?dòng)中的每一點(diǎn)進(jìn)行測(cè)量、關(guān)聯(lián)和分析。在這樣的情況下，如何才能保護(hù)隱私，而不會(huì)讓學(xué)生和其他人在虛擬的開(kāi)放花園中過(guò)度暴露呢？

互操作性隱私標(biāo)準(zhǔn)

隱私影響評(píng)價(jià)（PIA）是隱私官員工具包中的一個(gè)標(biāo)準(zhǔn)量尺，用來(lái)評(píng)估潛在系統(tǒng)的隱私風(fēng)險(xiǎn)?！?002年電子政府法》要求在采集可識(shí)別個(gè)人身份的信息和開(kāi)發(fā)或采購(gòu)保存?zhèn)€人信息的聯(lián)邦系統(tǒng)前，必須要進(jìn)行PIA。PIA描述的是一個(gè)系統(tǒng)性流程，包括明確信息采集的范圍和目的、評(píng)價(jià)合規(guī)性要求，以及分析隱私風(fēng)險(xiǎn)和管控措施。盡管PIA是一個(gè)公認(rèn)的慣例，然而在大部分的高等教育行業(yè)中，受資源所限，正式進(jìn)行PIA并非常規(guī)做法而是更加進(jìn)取的表現(xiàn)。以集中審核流程方式實(shí)施PIA尤其不可行，因?yàn)閷W(xué)生和教師們構(gòu)建個(gè)性化的教學(xué)環(huán)境時(shí)是從完全未知的來(lái)源中匯集應(yīng)用的。我們需要一種能在運(yùn)行中審核隱私活動(dòng)的方法。

NGDLE支持由多元化模塊組成的教學(xué)生態(tài)，因此互操作性和“不受阻礙的數(shù)據(jù)交換”被鼓吹為不可或缺的特性。盡管互操作性極好的樂(lè)高積木作為塑料玩具是理想的，然而要是以學(xué)生隱私和可靠管理為賭注的話，也許電源插頭模型是更恰當(dāng)?shù)谋扔鳌Ｔ诘惋L(fēng)險(xiǎn)場(chǎng)景下為了最大化的互操作性可以接受兩線插頭，不過(guò)根據(jù)盡職原則，我們還是應(yīng)該將數(shù)據(jù)交換建立在獲準(zhǔn)的隱私條件下。

不同高等院校在數(shù)據(jù)的可靠利用方面有不同的文化，遵循不同的規(guī)范。2016年，在關(guān)于學(xué)生數(shù)據(jù)的可靠利用的第二次阿西洛馬（Asilomar）會(huì)議上，提出了創(chuàng)建“一套模板或者廣泛的一系列原則，并可以擴(kuò)充以涵蓋院校特有的環(huán)境/重點(diǎn)”。這個(gè)概念可以通過(guò)NGDLE互操作性隱私標(biāo)準(zhǔn)的形式加以實(shí)現(xiàn)。以互操作性為重、對(duì)隱私限制最少的學(xué)校可以選用通用模板。其他有更嚴(yán)格隱私要求的院?？梢砸蟀凑漳硞€(gè)特定隱私標(biāo)準(zhǔn)在互操作對(duì)接時(shí)進(jìn)行驗(yàn)證。

IMS全球隱私和安全工作組已經(jīng)發(fā)布了一個(gè)“數(shù)據(jù)使用標(biāo)簽”的模型，就像是營(yíng)養(yǎng)素標(biāo)簽一樣，用于按照教學(xué)工具互操作性（LTI）標(biāo)準(zhǔn)進(jìn)行教學(xué)工具注冊(cè)時(shí)向系統(tǒng)管理員展示。對(duì)這種對(duì)接方式加以改進(jìn)，使之面向更廣泛的一組隱私標(biāo)準(zhǔn)并根據(jù)院校的配置進(jìn)行自動(dòng)化的審核，就能為分布式的下一代數(shù)字教學(xué)環(huán)境形成一個(gè)進(jìn)行有效隱私管理的途徑。

表1

這些隱私標(biāo)準(zhǔn)包含哪些內(nèi)容？多種隱私框架提供了構(gòu)建NGDLE互操作性隱私標(biāo)準(zhǔn)所需的素材。

公平信息實(shí)踐原則（Fair Information Practice Principles，F(xiàn)IPPs）和OECD隱私原則所確定的原則，奠定了數(shù)十年來(lái)世界范圍內(nèi)隱私法律和政策的基石。近年來(lái)，奧巴馬政府嘗試推動(dòng)的消費(fèi)者隱私權(quán)利法案（Consumer Privacy Bill of Rights）定義了互聯(lián)網(wǎng)時(shí)代的隱私框架，并承認(rèn)我們比過(guò)去更自由地分享個(gè)人隱私。近年來(lái)還出現(xiàn)了專門針對(duì)學(xué)習(xí)數(shù)據(jù)環(huán)境的若干框架。國(guó)家技術(shù)標(biāo)準(zhǔn)研究所第8062號(hào)報(bào)告（NISTIR 8062）中的隱私工程目標(biāo)力圖彌補(bǔ)高層的隱私原則與其在系統(tǒng)中的具體實(shí)現(xiàn)之間的缺口，明確了實(shí)施隱私政策所需的系統(tǒng)能力的類型。

表1對(duì)每個(gè)隱私框架中的多種構(gòu)成要素進(jìn)行了交叉分析，將這些互不相同的方案中的相關(guān)概念歸納為五大主題。這些主題為NGDLE互操作性隱私標(biāo)準(zhǔn)建立了基礎(chǔ)。某些隱私概念在所有的方案中都是一致的，盡管不同框架中概念的名稱、重點(diǎn)、目標(biāo)和實(shí)現(xiàn)途徑各不相同。某個(gè)框架也許在一個(gè)主題之中有多個(gè)思路，或者將主題的基本概念歸為另外一個(gè)主題中，或者根本不涉及一個(gè)主題。下文各節(jié)提供了對(duì)這個(gè)交叉分析的一個(gè)導(dǎo)引。

透明和可預(yù)測(cè)性

關(guān)于數(shù)據(jù)目的的通知的具體程度，以及數(shù)據(jù)使用的可預(yù)測(cè)程度。

透明度在所有的隱私方案中都出現(xiàn)了，不過(guò)在數(shù)據(jù)使用的披露方面，不同方案對(duì)具體程度的規(guī)定有所差別。實(shí)現(xiàn)透明的傳統(tǒng)做法有：提供關(guān)于數(shù)據(jù)采集目的的通知，給予數(shù)據(jù)主體是否參與的選擇機(jī)會(huì)，以及根據(jù)具體目的而對(duì)數(shù)據(jù)的采集和利用加以限制等。然而，由于通過(guò)數(shù)據(jù)分析可以發(fā)現(xiàn)原本不相干的數(shù)據(jù)點(diǎn)之間的顯著相關(guān)性，隨著數(shù)據(jù)分析的興起和科研經(jīng)費(fèi)資助經(jīng)常有數(shù)據(jù)共享的要求，在一些較新的隱私框架中，“特定目的”的原則引人注目地消失了。

本來(lái)的關(guān)注點(diǎn)在于數(shù)據(jù)采集者有提供特定目的說(shuō)明的責(zé)任，確保數(shù)據(jù)主體能有依據(jù)地做出是否參與的選擇。一個(gè)建議的替代方式是，將關(guān)注點(diǎn)從數(shù)據(jù)采集者的責(zé)任轉(zhuǎn)移到數(shù)據(jù)處理者在數(shù)據(jù)使用的具體情境中做出適當(dāng)決定的責(zé)任上。例如，消費(fèi)者隱私權(quán)利法案要求“情境責(zé)任”（Respect for Context），即數(shù)據(jù)只能以與數(shù)據(jù)最初采集時(shí)相一致的方式使用；如果不一致，則只能在更高的透明度和個(gè)人選擇參與時(shí)使用。這一辦法的支持者提出了對(duì)未來(lái)的數(shù)據(jù)使用進(jìn)行預(yù)測(cè)的困難性，以及幾乎沒(méi)有數(shù)據(jù)主體會(huì)閱讀通知這一事實(shí)。其他人則對(duì)依賴數(shù)據(jù)處理者在決定“適當(dāng)?shù)摹睌?shù)據(jù)使用時(shí)將數(shù)據(jù)主體的最佳利益放在心上心存疑慮，因而要求對(duì)數(shù)據(jù)采集和使用及時(shí)通知來(lái)提醒使用者。國(guó)家技術(shù)標(biāo)準(zhǔn)研究所（NSIT）的框架則引導(dǎo)系統(tǒng)設(shè)計(jì)者們找出為滿足系統(tǒng)的可預(yù)測(cè)性目標(biāo)所需的方法（通知和選擇、情景責(zé)任或其他），這樣利益相關(guān)者們就不會(huì)對(duì)數(shù)據(jù)處理表示詫異，即使在情境發(fā)生變化的情況下。

匿名權(quán)或選擇權(quán)

數(shù)據(jù)的匿名化程度，以及個(gè)人在是否參與數(shù)據(jù)采集和使用上的選擇權(quán)的大小。

如上文所述，選擇這一概念經(jīng)常是與通知這一概念相關(guān)聯(lián)的。在透明度主題上有大范圍的各種方法可供使用一樣，在選擇是否參與數(shù)據(jù)采集和是否允許使用他們的數(shù)據(jù)方面，個(gè)人能有的能力也是有大范圍的可能性。當(dāng)數(shù)據(jù)的使用不可預(yù)測(cè)而且與數(shù)據(jù)采集時(shí)的情境不一致時(shí)，理想狀況應(yīng)當(dāng)是由主體來(lái)選擇是否參與。院校的價(jià)值觀、特定應(yīng)用的價(jià)值觀和情境都決定了個(gè)人對(duì)自身數(shù)據(jù)使用的控制程度。例如，學(xué)校是否允許學(xué)生選擇不參與使用學(xué)生學(xué)習(xí)數(shù)據(jù)而進(jìn)行的研究？

在這個(gè)領(lǐng)域中，數(shù)據(jù)的去身份技術(shù)扮演了核心角色。在某些應(yīng)用，如學(xué)術(shù)研究中，我們可以將數(shù)據(jù)和個(gè)人身份解除關(guān)聯(lián)；而在另外一些情況下，數(shù)據(jù)必須是能識(shí)別身份的，例如在為某個(gè)學(xué)生或者咨詢教師提供可操作的信息時(shí)。某些數(shù)據(jù)或許需要在匿名的和關(guān)聯(lián)身份的狀態(tài)之間反復(fù)。例如，法學(xué)院考試采用匿名評(píng)分來(lái)防止偏見(jiàn)和保護(hù)殘疾學(xué)生免受污名傷害。要為院校、應(yīng)用和個(gè)人在選擇權(quán)的要求和偏好方面指定參數(shù)就需要有一套NGDLE互操作性隱私標(biāo)準(zhǔn)；而且這些規(guī)范還要嵌入成為數(shù)據(jù)的屬性并隨著數(shù)據(jù)一同傳輸。

訪問(wèn)權(quán)、所有權(quán)和控制權(quán)

個(gè)人、學(xué)校、廠商和公眾在數(shù)據(jù)的訪問(wèn)權(quán)和所有權(quán)的定義水平。

因?yàn)閿?shù)據(jù)對(duì)于數(shù)據(jù)主體是有影響的，數(shù)據(jù)主體有權(quán)參與數(shù)據(jù)采集過(guò)程，而且有權(quán)獲得以可理解的格式展示的數(shù)據(jù)，從而確保數(shù)據(jù)的準(zhǔn)確性。隱私框架中的最初描述的訪問(wèn)權(quán)就聚焦在這些權(quán)利上。面臨著數(shù)據(jù)算法的高度復(fù)雜性、機(jī)器學(xué)習(xí)決策支持和預(yù)測(cè)分析，訪問(wèn)權(quán)目標(biāo)的重要性被再次重申。歐盟通用數(shù)據(jù)保護(hù)條例（European Union's General Data Protection Regulation，GDPR）要求數(shù)據(jù)處理者向數(shù)據(jù)主體提供信息，說(shuō)明是否有自動(dòng)決策系統(tǒng)存在，這類系統(tǒng)的處理邏輯以及處理的后果等有用信息。GDPR是大范圍實(shí)施的，因而預(yù)測(cè)會(huì)對(duì)全世界的院校產(chǎn)生影響。如果新的信息通過(guò)人類邏輯難以理解的復(fù)雜算法而產(chǎn)生，那么數(shù)據(jù)在通過(guò)NGDLE交換時(shí)，對(duì)算法模型中的最重要因素的著重解釋也要嵌入到數(shù)據(jù)中一同交換。

NGDLE源自于對(duì)外部供應(yīng)商的依賴，而且高等教育機(jī)構(gòu)的利益也需要保護(hù)，這兩個(gè)因素共同催生了訪問(wèn)權(quán)和所有權(quán)問(wèn)題的新的一個(gè)方面。因?yàn)榻虒W(xué)數(shù)據(jù)關(guān)系到教學(xué)的核心使命，為了確保教育機(jī)構(gòu)對(duì)教學(xué)數(shù)據(jù)的訪問(wèn)，在所有即插即用系統(tǒng)的互操作對(duì)接中必須要將數(shù)據(jù)所有權(quán)的相關(guān)安排結(jié)合進(jìn)去。

數(shù)據(jù)共享的權(quán)利要通過(guò)NGDLE互操作性隱私標(biāo)準(zhǔn)在學(xué)校、教師和學(xué)生之間進(jìn)行合理穩(wěn)定的分配，才能支持多校間的合作；支持公共經(jīng)費(fèi)資助的研究要求的數(shù)據(jù)分享；支持基于能力（competency-based）的課程學(xué)分模型，讓學(xué)生可以在其中保存整個(gè)學(xué)術(shù)生涯和職業(yè)生活進(jìn)行學(xué)習(xí)的證明。NGDLE必須要能根據(jù)知識(shí)產(chǎn)權(quán)的細(xì)粒度規(guī)定，支持學(xué)生在個(gè)人實(shí)現(xiàn)空間、有限合作模式和公共思想交流之間切換。

符合倫理的使用、管理和治理責(zé)任

隱私只是教學(xué)數(shù)據(jù)的符合倫理使用中的一個(gè)方面。信息化應(yīng)用為教學(xué)和指導(dǎo)帶來(lái)的益處（例如能加強(qiáng)師生關(guān)系等）可以支持學(xué)生取得成就，為每個(gè)學(xué)生創(chuàng)造未來(lái)的可能機(jī)會(huì)，并平衡教學(xué)數(shù)據(jù)共享帶來(lái)的各種風(fēng)險(xiǎn)。如果應(yīng)用提供商能夠在堅(jiān)持道德原則的治理流程和持續(xù)責(zé)任方面提出證據(jù)和論述的話，那么各方之間的信任程度就會(huì)提高，從而允許更敏感的數(shù)據(jù)參與到交換之中。

安全和技術(shù)標(biāo)準(zhǔn)

隱私標(biāo)準(zhǔn)決定了在個(gè)人數(shù)據(jù)的授權(quán)使用中哪些被當(dāng)作合理的，安全標(biāo)準(zhǔn)通過(guò)保護(hù)系統(tǒng)和數(shù)據(jù)免于非授權(quán)的使用而為其提供支持。認(rèn)證、授權(quán)和加密規(guī)范都是保護(hù)數(shù)據(jù)的重要安全機(jī)制。Caliper和xAPI等開(kāi)放標(biāo)準(zhǔn)在一定程度上解決了技術(shù)和安全標(biāo)準(zhǔn)問(wèn)題，而安全模型的健壯性是NGDLE互操作性隱私標(biāo)準(zhǔn)保持強(qiáng)健的核心。

基礎(chǔ)和擴(kuò)展

正如市政規(guī)劃師為新城市的各種設(shè)施和網(wǎng)格進(jìn)行布局一樣，NGDLE互操作性隱私標(biāo)準(zhǔn)的構(gòu)建者們可以在下列五個(gè)主題上確定基礎(chǔ)規(guī)范和可選擴(kuò)展：

1. 透明和可預(yù)測(cè)性

2. 匿名權(quán)或選擇權(quán)

3. 訪問(wèn)權(quán)、所有權(quán)和控制權(quán)

4. 符合倫理的使用、管理和治理責(zé)任

5. 安全和技術(shù)標(biāo)準(zhǔn)

例如，NGDLE互操作性隱私標(biāo)準(zhǔn)1“透明和可預(yù)測(cè)性”的最低判斷規(guī)則是“采集到的數(shù)據(jù)的使用或者披露的目的必須與教學(xué)方法或?qū)W生成就相一致。如果數(shù)據(jù)的用途與教學(xué)方法或?qū)W生成就無(wú)關(guān)，數(shù)據(jù)主體能夠選擇退出”。又如，可選的擴(kuò)展可以是：（1）關(guān)于數(shù)據(jù)采集、保留、使用和共享實(shí)踐方面的通用信息將會(huì)以發(fā)布隱私聲明的方式讓所有用戶獲?。唬?）只有在取得積極（選擇加入）知情同意的情況下才可以將數(shù)據(jù)用于與教學(xué)方法和學(xué)生成就無(wú)關(guān)的用途；（3）數(shù)據(jù)訪問(wèn)和使用要及時(shí)通知用戶。

在允許數(shù)據(jù)交換前，不同應(yīng)用和學(xué)校之間可以在運(yùn)行時(shí)互相評(píng)估隱私合規(guī)性，根據(jù)每個(gè)隱私主題中確定的標(biāo)準(zhǔn)來(lái)對(duì)比對(duì)方的合規(guī)性聲明。可能學(xué)校A認(rèn)為沒(méi)有必要進(jìn)行“透明和可預(yù)測(cè)性”檢驗(yàn)并無(wú)差別地接受所有插件；可能學(xué)校B認(rèn)為基礎(chǔ)標(biāo)準(zhǔn)和任何擴(kuò)展都是可接受的；可能學(xué)校C只接受符合標(biāo)準(zhǔn)1（2）“二次使用的選擇加入”和標(biāo)準(zhǔn)1（3）“及時(shí)通知”兩項(xiàng)要求的應(yīng)用插件。

有進(jìn)取心的學(xué)校和學(xué)生將承擔(dān)起驗(yàn)證應(yīng)用的合規(guī)性聲明的工作。標(biāo)準(zhǔn)機(jī)構(gòu)將承擔(dān)起收集和發(fā)布應(yīng)用程序列表的職責(zé)，并按照其聲明是否符合或不符合合規(guī)要求而分為黑名單、白名單和灰名單。學(xué)校也會(huì)根據(jù)其風(fēng)險(xiǎn)容忍度而將這納入其隱私要求的考慮中。這種低成本的模型允許學(xué)校參與到NGDLE生態(tài)中，而不論他們?cè)趪?yán)格的隱私要求和“不受阻礙的數(shù)據(jù)交換”之間站在什么立場(chǎng)上。

照料“花園”

一所學(xué)校的NGDLE看起來(lái)像是精心設(shè)計(jì)的“花壇”，或是植物群落的拼湊，還是天然花草覆蓋的田地，都可以根據(jù)數(shù)據(jù)互操作性標(biāo)準(zhǔn)設(shè)計(jì)隱私要求，讓我們獲得一種工具，確保在透明度、選擇權(quán)、所有權(quán)、治理和安全方面的實(shí)踐活動(dòng)能夠和學(xué)校及個(gè)人的隱私價(jià)值觀保持一致。

通過(guò)制定NGDLE互操作性隱私標(biāo)準(zhǔn)，能夠提升教學(xué)數(shù)據(jù)的管理水平，從而能在下一代的學(xué)生培育自己的數(shù)字教學(xué)環(huán)境的時(shí)候?yàn)槠涮峁└娴闹С帧?/p>

（責(zé)編：楊潔）

（本文譯自EDUCUASE REVIEW；翻譯：陳強(qiáng)清華大學(xué)信息化工作辦公室）