樂潔玉，羅超洋，丁靜姝，李卿

1. 華中師范大學國家數(shù)字化學習工程技術研究中心，湖北 武漢 430079；2. 華中師范大學教育大數(shù)據(jù)應用技術國家工程實驗室，湖北 武漢 430079；3. 華中師范大學法學院，湖北 武漢 430079

1 引言

作為教育領域的基礎性戰(zhàn)略資源，教育大數(shù)據(jù)為教育管理者制定教育決策提供了科學依據(jù)，為教育創(chuàng)新和變革提供了巨大推動力。與此同時，在教育大數(shù)據(jù)的共享和挖掘過程中，數(shù)據(jù)的敏感性不可避免地給教育數(shù)據(jù)的應用發(fā)展帶來了諸多障礙。教育部印發(fā)的《教育信息化2.0行動計劃》指出，要深入應用教育大數(shù)據(jù)助力教育教學，同時需要重點保障師生數(shù)據(jù)安全，加強隱私保護。

國外學者較早關注教育數(shù)據(jù)的道德隱私問題，Slade S等人[1]關注數(shù)據(jù)主體的知情同意權，提出6項原則指導教育數(shù)據(jù)的采集和使用過程；Daniel BK[2]認為需建立使用教育數(shù)據(jù)的全球倫理和道德義務，學習分析研究中必須獲得學生的“知情同意”，并考慮數(shù)據(jù)所有權和訪問權。在教育數(shù)據(jù)治理上，李青等人[3]認為應從組織架構、業(yè)務領域、技術和平臺3個方向推進教育大數(shù)據(jù)的治理框架；彭雪濤[4]也針對美國圣母大學、麻省理工學院和紐約大學數(shù)據(jù)治理的實例，提出應正確識別數(shù)據(jù)的利益相關方，從頂層設計規(guī)劃，全面落實各方的權責機制，確保信息安全技術的支撐，推進教育數(shù)據(jù)的有效治理。而在技術層面上，學者們更加關注隱私保護機制改進，Gursoy ME等人[5]提出學習分析過程中的隱私保護機制，將匿名和差異隱私兩種大數(shù)據(jù)隱私保護技術運用到教育領域，解決教育數(shù)據(jù)發(fā)布和挖掘中的隱私泄露問題；Askinadze A等人[6]則針對教育領域內數(shù)據(jù)挖掘算法的透明度進行了優(yōu)化，讓學生可自由選擇數(shù)據(jù)存儲及與第三方共享時的信息內容，從而尊重學生的數(shù)據(jù)隱私?？梢姡瑖鴥韧鈱W者主要從技術支撐、組織管理、倫理法律三大部分探討教育大數(shù)據(jù)的安全與隱私保護問題，他們普遍認為結合管理和技術手段對教育大數(shù)據(jù)進行隱私保護十分必要。因此，亟須研究教育大數(shù)據(jù)隱私保護機制，以防止學生隱私信息泄露和學習分析技術濫用等事件的發(fā)生，規(guī)范教育大數(shù)據(jù)的應用過程和邊界。

本文重點圍繞教育大數(shù)據(jù)的隱私保護內涵、框架以及技術展開研究，旨在為教育大數(shù)據(jù)的有效應用提供隱私保護機制支撐和技術支持。

2 教育大數(shù)據(jù)的特征與隱私內涵

教育大數(shù)據(jù)涉及龐大規(guī)模的受教育者與教育者群體，對于這些人群，尤其是對于大量的未成年學生而言，隱私保護至關重要。明確教育大數(shù)據(jù)不同于一般大數(shù)據(jù)的獨特性，厘清其隱私內涵，是推進教育大數(shù)據(jù)隱私保護的基礎。

2.1 教育大數(shù)據(jù)的特征

作為大數(shù)據(jù)的一個子集，教育大數(shù)據(jù)廣義上泛指一切與教育活動相關的行為數(shù)據(jù)，而狹義上指學習者的行為數(shù)據(jù)[7]。根據(jù)教育數(shù)據(jù)的來源，一般可將教育大數(shù)據(jù)分為教學數(shù)據(jù)、數(shù)字資源、管理數(shù)據(jù)、生活數(shù)據(jù)、其他領域數(shù)據(jù)5個類型。教學數(shù)據(jù)來源于不同的教學活動，如教研活動、戶外活動、課程教學、戶外教學等；數(shù)字資源包括多媒體素材、在線課程、學科工具等；管理數(shù)據(jù)涉及學生、家長、學校、其他機構等不同數(shù)據(jù)主體的數(shù)據(jù)；生活數(shù)據(jù)涵蓋圖書借閱、健康運動、社交、娛樂等數(shù)據(jù)；而其他領域數(shù)據(jù)滲透到醫(yī)療、經濟、就業(yè)、市政等生活的各個方面。可以看出，教育大數(shù)據(jù)來源多樣，其采集和存儲階段匯聚了各種不同類型和信息源的數(shù)據(jù)，包括非結構化、半結構化和結構化數(shù)據(jù)?？傮w而言，教育大數(shù)據(jù)具有層級多、維度高、跨度長等特性。

（1）層級多

教育大數(shù)據(jù)范圍寬廣，可分為教育管理五層級（即國家、區(qū)域、學校、班級、個體）、學習結果六層次（即識記、理解、應用、分析、綜合和評價）、學習資源多粒度（如選項、題目、試卷、知識單元、課程等）、數(shù)據(jù)敏感度分級（即高、中、低），數(shù)據(jù)層級從上至下、從高到低逐步匯聚。

（2）維度高

教育涉及教學、管理、生活、服務等方面，包含學校、家庭和社會多個場景，以培養(yǎng)全面發(fā)展的人為核心。因此，教育大數(shù)據(jù)是數(shù)據(jù)類型多樣、教育場景復雜、核心素養(yǎng)繁多的高維度數(shù)據(jù)集合。

（3）跨度長

教育大數(shù)據(jù)跨越學前教育、初等教育、高等教育、成人教育、終身學習5個階段，是面向所有人、學習全過程的數(shù)據(jù)。

2.2 教育大數(shù)據(jù)的隱私內涵

（1）教育大數(shù)據(jù)中的隱私和安全問題

個人數(shù)據(jù)隱私與個人數(shù)據(jù)保護密切相關，無論在何時何地采集、存儲或使用數(shù)據(jù)，都可能出現(xiàn)隱私問題。大數(shù)據(jù)環(huán)境下，隱私的存在空間從現(xiàn)實擴展到數(shù)據(jù)，但內容上仍是個人的、私人的、不愿被公開知曉的活動、信息及空間。

教育大數(shù)據(jù)的隱私保護問題可被認為是保護學習者可識別行為、內容等個人敏感信息安全。強調合理適當?shù)厥褂煤凸芾韺W習者的數(shù)據(jù)，在未經數(shù)據(jù)主體同意時，數(shù)據(jù)擁有者不得將學生信息出售或共享給第三方，并且需保證以正確的方式采集、共享和使用學生個人信息，使學習者的隱私權免受其他方侵害[8]。

（2）教育大數(shù)據(jù)下的學習者隱私特征

Rao PR M等人[9]認為大數(shù)據(jù)分析行為存在監(jiān)視（通過技術手段持續(xù)收集用戶行為）、披露（不可信的第三方識別用戶敏感信息）、歧視（對私人信息產生偏見）和濫用（信息推送）隱私的威脅。而學習者個人的敏感信息涉及學習記錄、考試測評等與教學活動直接相關的信息，也包含健康狀況、家庭信息等學生管理數(shù)據(jù)，還包括餐飲消費、上網情況等學生在校園生活中產生的其他敏感數(shù)據(jù)。教育大數(shù)據(jù)的分析和挖掘也存在隱私泄露和濫用的風險。

一方面，教育大數(shù)據(jù)處理技術的應用可為學習者提供個性化服務，但在分析和挖掘海量、零碎教育大數(shù)據(jù)的過程中，學生個人隱私存在泄露風險。尤其是傳感器等智能設備采集到的學習者人臉、體征等可識別學習者個人行為的敏感信息，具有獨特性和不變性，一旦出現(xiàn)數(shù)據(jù)泄露和濫用的行為，將可能影響學習者的人身安全和權益。值得注意的是，當學習者的零碎數(shù)據(jù)被非法竊取，并進行二次重組關聯(lián)應用時，會產生具有新價值的學習者數(shù)據(jù)鏈，讓學習者無時無刻不被“監(jiān)視”，從而出現(xiàn)學習者隱私披露風險。

另一方面，學習分析技術可增強對學生學習方式和學習目標的理解，表征學生當前的課堂表現(xiàn)，預測學生未來完成課程的成功率，可用的學生數(shù)據(jù)越多，數(shù)據(jù)可視化結果越好，學習反饋越及時。但是，機器學習的訓練數(shù)據(jù)在分布上存在一定偏差，若僅僅使用學習者的歷史數(shù)據(jù)，忽視學習者動態(tài)的成長過程，很可能為學習者提供固化標簽，產生數(shù)據(jù)偏見，有礙于發(fā)掘學習者的發(fā)展?jié)摿σ约皠?chuàng)造力。

盡管教育領域在數(shù)據(jù)采集、傳輸、存儲和應用階段有規(guī)范的處理措施，但教育行業(yè)仍是非常容易受到公開披露的行業(yè)之一。然而，實施教育數(shù)據(jù)的隱私保護措施仍然是一個非常龐大繁雜的過程，隨著大數(shù)據(jù)技術的不斷提升，隱私泄露風險也在不斷增加，亟須采取可靠的安全防范措施和隱私保護技術。因此，必須建立一套完整的隱私保護方案，從源頭上遏制學生數(shù)據(jù)隱私泄露的問題，形成隱私保護管理機制，滿足對學習者敏感信息使用的合規(guī)性要求。

3 教育大數(shù)據(jù)的隱私保護機制

數(shù)據(jù)隱私性、真實性、完整性和訪問控制是解決大數(shù)據(jù)安全保護的首要問題[10]。DONGX H等人[11]強調應基于現(xiàn)有的大數(shù)據(jù)技術，圍繞整個數(shù)據(jù)生命周期考慮解決數(shù)據(jù)共享和隱私保護之間的問題，否則會危害大數(shù)據(jù)的應用環(huán)境。Salleh KA等人[12]認為在數(shù)據(jù)的傳輸、創(chuàng)建和處理過程中數(shù)據(jù)需被聚合或者匿名，以保證大數(shù)據(jù)技術應用環(huán)境中的隱私安全，而現(xiàn)有數(shù)據(jù)存儲缺乏安全保障能力，必須引起重視。Xu L等人[13]提出了大數(shù)據(jù)安全模型，綜合考慮了數(shù)據(jù)挖掘過程中不同角色類型（即數(shù)據(jù)提供者、數(shù)據(jù)采集者、數(shù)據(jù)處理者和數(shù)據(jù)決策者）的隱私保護需求；而Khaloufi H等人[14]提出大數(shù)據(jù)安全生命周期模型，包括大數(shù)據(jù)采集、存儲、分析處理、知識創(chuàng)造4個階段，旨在識別大數(shù)據(jù)各個生命階段的隱私安全威脅和攻擊，保證大數(shù)據(jù)的生命安全。本文結合教育大數(shù)據(jù)各利益相關方的隱私保護需求，識別數(shù)據(jù)的采集、存儲、處理和可視化階段的隱私風險，并提出教育大數(shù)據(jù)的隱私保護框架，以解決學習者的數(shù)據(jù)安全和隱私保護問題。教育大數(shù)據(jù)的隱私保護框架如圖1所示。

3.1 面向教育大數(shù)據(jù)應用過程的利益相關方

教育數(shù)據(jù)的質量是學習分析與數(shù)據(jù)挖掘發(fā)揮最大價值的基本前提。了解面向教育大數(shù)據(jù)應用過程中利益相關方的隱私保護訴求，是保證數(shù)據(jù)質量完整性和價值性的基本保障。一般認為，學生、教育工作者、研究人員、教育機構和政府機構是面向學習分析過程的利益相關方[15]。實際中，利益相關方可能因目標需求不同而出現(xiàn)矛盾、沖突。在教育大數(shù)據(jù)的應用過程中，圍繞數(shù)據(jù)循環(huán)周期，主要參與的利益相關方可被分為數(shù)據(jù)主體/數(shù)據(jù)提供者、數(shù)據(jù)擁有者、數(shù)據(jù)處理者和數(shù)據(jù)應用者/決策者。

數(shù)據(jù)主體/數(shù)據(jù)提供者指被采集和分析數(shù)據(jù)的個體（存在潛在的敏感信息）。在教育領域中，學習者是主要的數(shù)據(jù)主體，而家長、教師和學校的敏感信息也應受到關注和保護，他們的數(shù)據(jù)一旦被濫用，則難以保證其敏感數(shù)據(jù)的隱私性，因此，數(shù)據(jù)主體/數(shù)據(jù)提供者主要關注所提供數(shù)據(jù)的敏感程度。

數(shù)據(jù)擁有者是與數(shù)據(jù)采集和存儲相關的利益主體，包括政府、學校和相關的教育機構，其有責任確保學生數(shù)據(jù)的隱私性。如果直接公布采集到的原始數(shù)據(jù)或在數(shù)據(jù)挖掘之前不采取足夠的隱私預防措施，學習者的敏感信息可能會被披露，因此，有必要對采集到的原始數(shù)據(jù)信息進行修改轉換等隱私保護操作，防止其被惡意推斷和修改。

數(shù)據(jù)處理者是有權訪問學習者數(shù)據(jù)的系統(tǒng)設計人員、分析人員，也包括教育數(shù)據(jù)的管理人員。數(shù)據(jù)處理的目的是向數(shù)據(jù)應用人員提供有用的信息，需要采用強大的隱私保護挖掘和隱私保護學習分析算法來提取學習者的敏感信息，防止學習者敏感信息未經批準而被使用產生的披露行為，同時保留原始數(shù)據(jù)的客觀性。

數(shù)據(jù)應用者/決策者包括教育管理人員、教師等所有有權使用數(shù)據(jù)的人員。

在教育領域中，學習者是整個教育系統(tǒng)中個人數(shù)據(jù)產生的主體和源頭，如果個人缺乏對數(shù)據(jù)進行直接控制的意識，會導致數(shù)據(jù)過度濫用的潛在危險。教師、相關教育機構等其他面向教育大數(shù)據(jù)應用過程的利益相關方兼具數(shù)據(jù)擁有者、數(shù)據(jù)處理者、數(shù)據(jù)應用者/決策者多個角色。因此，對于隱私保護措施的制定來說，應考慮各個角色的隱私保護訴求，同時權衡各方的利益沖突，以實現(xiàn)教育大數(shù)據(jù)效用最大化。

3.2 基于利益相關方的教育大數(shù)據(jù)生命周期隱私保護框架

（1）教育數(shù)據(jù)采集階段

數(shù)據(jù)采集是控制師生敏感信息泄露的源頭。課堂、校園等線下學習環(huán)境仍然是師生數(shù)據(jù)采集的主要場景，從結構化學習環(huán)境（如智能導師系統(tǒng)）到越來越開放式的在線學習平臺（如慕課網站），再到泛在學習空間，教育數(shù)據(jù)的采集內容和采集方式更加多樣、實時和全面，教育數(shù)據(jù)多源異構，非結構化的教育數(shù)據(jù)越來越占據(jù)主導地位。從隱私安全的角度來看，可靠的數(shù)據(jù)源是數(shù)據(jù)采集的關鍵。因此，數(shù)據(jù)采集必須加強數(shù)據(jù)主體的隱私匿名意識，數(shù)據(jù)主體在合法受用教育信息化便利的同時，也要防止他人非法訪問和竊取自己的敏感信息，確保數(shù)據(jù)隱私安全。

（2）教育數(shù)據(jù)存儲階段

數(shù)據(jù)存儲階段的授權訪問應在不識別個人身份的敏感信息的前提下進行，并保證數(shù)據(jù)不被泄露和篡改。數(shù)據(jù)擁有者采集到數(shù)據(jù)后，需保證數(shù)據(jù)的完整性和客觀性，利用相關隱私保護技術，對敏感數(shù)據(jù)進行脫敏、清洗、轉換等預處理。除了高校和教育機構自有的服務器外，第三方教育云平臺也是數(shù)據(jù)存儲的另一選擇方式。這一階段中，未經授權的數(shù)據(jù)訪問行為和基于數(shù)據(jù)挖掘的攻擊行為是常見的挑戰(zhàn)，需采取數(shù)據(jù)加密、訪問控制等必要的隱私保護手段，并且數(shù)據(jù)擁有者應承擔隱私信息泄露的主要責任，確保數(shù)據(jù)不被攻擊篡改。

（3）教育數(shù)據(jù)處理階段

數(shù)據(jù)處理階段是教育大數(shù)據(jù)應用的中心環(huán)節(jié)，目標是及時識別并剔除異常數(shù)據(jù)。在此階段，數(shù)據(jù)挖掘技術和學習分析技術不僅能對學習者的數(shù)據(jù)進行分析和處理，而且經過分類、預測、聚合關聯(lián)規(guī)則等操作，還能預測學習趨勢，生成學習行為模型，有效檢測到異常數(shù)據(jù)，并及時剔除。要防止數(shù)據(jù)處理過程中個人信息被識別和惡意提取敏感信息的行為，必須保證只有獲得授權的數(shù)據(jù)處理者才可以從數(shù)據(jù)庫中提取信息，將數(shù)據(jù)泄露與篡改的風險降到最低。另外，k-匿名（k-anonymity）、l-多樣化（l-diversity）、t-貼近性（t-closeness）等匿名技術可隱藏識別數(shù)據(jù)主體的敏感信息，增強教育數(shù)據(jù)的隱私性。

（4）教育數(shù)據(jù)可視化階段

數(shù)據(jù)可視化階段的目的是更好地應用數(shù)據(jù)分析的結果，為數(shù)據(jù)決策者的行為提供科學依據(jù)，以便對學習者的行為活動進行有效干預和規(guī)劃。如教育機構根據(jù)分析結果進行教學評價和決策，構建學生感興趣的學習環(huán)境；教師可根據(jù)學習者數(shù)據(jù)增強教學實踐，實時調整教學內容。但數(shù)據(jù)分析的結果（如學習者的教學評價、社交軌跡）可被認為是敏感信息，在教育數(shù)據(jù)的實際使用過程中，不透明的數(shù)據(jù)會導致數(shù)據(jù)濫用和歧視現(xiàn)象，影響學生身心發(fā)展，敏感數(shù)據(jù)并不會對外公布。差分隱私、安全檢索及訪問控制技術可保障學習資源的開放和共享。

4 教育大數(shù)據(jù)隱私保護技術

現(xiàn)有的隱私保護技術以數(shù)據(jù)的匿名化為主，加密、差分隱私、安全檢索等是常用的關鍵技術[16]，數(shù)據(jù)生命周期的不同階段涵蓋許多隱私保護技術，每一種方法都各有優(yōu)缺點，見表1。隨著教育數(shù)據(jù)的應用場景和結構類型越來越復雜，隱私保護技術的開發(fā)成為新的研究熱點。

4.1 數(shù)據(jù)存儲

數(shù)據(jù)存儲安全技術主要有數(shù)據(jù)加密和安全多方計算等，其中，數(shù)據(jù)加密包括靜態(tài)數(shù)據(jù)加密和動態(tài)數(shù)據(jù)加密兩種。

靜態(tài)數(shù)據(jù)加密技術有對稱加密、非對稱加密（公鑰加密）和混合加密3類[17]。對稱加密算法適用于數(shù)據(jù)量小的數(shù)據(jù)加密，其安全性與密鑰長度、算法輪次有關，算法效率高但安全性較低，且不具有可認證性和不可抵賴性，現(xiàn)用的算法主要有高級加密標準（advanced encryption standard，AES）、數(shù)據(jù)加密標準（data encryption standard，DES）等。公鑰加密能夠適應交互式環(huán)境，其安全性與其所基于的數(shù)學難題有關，主要算法包括RSA（基于大整數(shù)因子分解問題）、ECC（基于橢圓曲線離散對數(shù)問題）[18]?；旌霞用苁菍ΨQ加密和公鑰加密兩種方法的結合，先快速對數(shù)據(jù)進行對稱加密，再進行公鑰加密。

動態(tài)數(shù)據(jù)加密主要采用同態(tài)加密（homomorphic encryption，HE），關鍵技術是全同態(tài)加密（fully-homomorphic encryption，F(xiàn)HE）。同態(tài)加密技術能夠在加密的環(huán)境下處理數(shù)據(jù)，但其計算復雜度較高，導致效率較低。目前的全同態(tài)加密技術主要基于R-LWE問題進行研究[19]。

安全多方計算是指多名參與者共同安全計算某個約定函數(shù)，每名參與者除了自己的輸入和輸出及可推斷的信息，無法得到任何額外的信息。常用的安全多方計算協(xié)議有4類：基于健忘傳輸（oblivious transfer，OT）的安全多方計算協(xié)議、使用可驗證秘密分享（verifiable secret sharing，VSS）的安全多方計算協(xié)議、基于同態(tài)加密的安全多方計算協(xié)議、基于Mix-Match的安全多方計算協(xié)議。但這些協(xié)議還需更細致的研究和應用實現(xiàn)[20]。

表1 基于數(shù)據(jù)生命周期的隱私保護技術對比

上述技術的應用場景有教育信息業(yè)務系統(tǒng)數(shù)據(jù)管理、教育信息系統(tǒng)文件安全保障，以及交互式環(huán)境下的共享安全[21]。

4.2 數(shù)據(jù)處理

數(shù)據(jù)匿名化是數(shù)據(jù)處理的關鍵安全技術，主要用于數(shù)據(jù)脫敏。

經典的數(shù)據(jù)匿名化技術[22]有：k-匿名、l-多樣化、t-貼近性。k-匿名模型在發(fā)布關系型數(shù)據(jù)時，要求每一個泛化后等價類最少包含k條相互難分辨的數(shù)據(jù)，它未對等價類中的敏感屬性進行約束，可被兩種手段攻擊（同質攻擊和背景知識攻擊）；l-多樣化在對關系型數(shù)據(jù)進行匿名處理時，會確保每個等價類至少包含l個不同的敏感數(shù)據(jù)值，這可以防止同質攻擊，但忽視了敏感屬性的全局分布，可能遭受類群攻擊；t-貼近性模型要求所有等價類中敏感數(shù)據(jù)值的分布與該屬性的全局分布保持一致，t-貼近性通過敏感屬性計算得出，該方法可以保證數(shù)據(jù)的公開，但是不能保證每次數(shù)據(jù)的合理分布，算法時間復雜度高，不適用于高實時性場景，且對數(shù)據(jù)價值有一定的破壞。

此外，m-i nva r ia nc e[23]和HD-composition[24]算法彌補了上述方法僅適用于靜態(tài)數(shù)據(jù)的不足，其他數(shù)據(jù)匿名化技術還有隨機化技術[25]、p-敏感匿名等。

教育數(shù)據(jù)內含有大量的敏感數(shù)據(jù)和隱私數(shù)據(jù)，數(shù)據(jù)匿名化技術能很好地解決教育數(shù)據(jù)脫敏問題。

4.3 數(shù)據(jù)應用

教育數(shù)據(jù)的應用層面廣泛，主要的安全保障技術有差分隱私技術、區(qū)塊鏈（blockchain）技術、安全檢索技術、授權與訪問控制技術等。

差分隱私技術是通過隨機化處理，根據(jù)用戶自行指定的參數(shù)ε在數(shù)據(jù)中加入噪聲，從而決定隱私保護程度及數(shù)據(jù)失真損失程度的技術。差分隱私技術改善了數(shù)據(jù)匿名的不足，不局限于對抗性的背景知識，可保證大部分數(shù)據(jù)不會被攻擊者看到，而且公開的信息在理論上是有限的，故而差分隱私技術比數(shù)據(jù)匿名化技術更能防止數(shù)據(jù)隱私的泄露。但是在該技術的實現(xiàn)過程中，控制隱私保護與數(shù)據(jù)失真程度的關鍵參數(shù)ε難以人為控制[25]。

區(qū)塊鏈是一種將區(qū)塊以鏈的形式聚集在一起的數(shù)據(jù)結構，具有去中心化、按時序記錄數(shù)據(jù)、集體維護、可編程和安全可信等優(yōu)勢[26]。它能夠防止網絡竊聽，同時能夠實現(xiàn)匿名交易，而且基于去中心化的特點，其對網絡攻擊有較好的應對。但是區(qū)塊鏈也面臨許多安全威脅，如其節(jié)點容易遭受攻擊，同時由于其具有關聯(lián)性，在算力足夠大的情況下，其安全性難以保障[27]。盡管有所不足，但是區(qū)塊鏈在教育中的應用范圍仍很廣泛，如在線學習系統(tǒng)中，利用區(qū)塊鏈可以對學習記錄進行分布式存儲，提供具有可信性高、計算成本低的學習證書系統(tǒng)，或者進行去中心化知識庫的搭建等[28]。

近年來，安全檢索技術聚焦于探索密文檢索技術，以實現(xiàn)在密文數(shù)據(jù)上的直接檢索操作。密文檢索技術可被分成對稱密文檢索和非對稱密文檢索。對稱密文檢索技術中只有數(shù)據(jù)擁有者擁有密鑰，并提交敏感數(shù)據(jù)，故而數(shù)據(jù)擁有者就是數(shù)據(jù)檢索者，這使得該技術更適用于單用戶的情形，具有安全性高、加密、搜索運算效率高的特點。具體的實例有基于全文掃描的方法、基于文檔-關鍵詞索引的方法、基于關鍵詞-文檔索引的方法等[28]。而非對稱密文檢索主要采取非對稱密文關鍵詞檢索（public key encryption with keyword search，PEKS）方案，任何可以獲得數(shù)據(jù)檢索者公鑰的用戶都可以提交敏感數(shù)據(jù)，但是只有擁有數(shù)據(jù)檢索者私鑰的用戶才可以生成陷門，因此更適用于多用戶的情形，算法功能強，但與哈希函數(shù)和分組密碼運算相比，效率較低。經典實例有BDOPPEKS方案[29]、KR-PEKS方案[30]、DSPEKS方案等。在教育應用方面，該技術主要用于教育信息系統(tǒng)文件安全保障。

授權與訪問控制技術各有優(yōu)劣?；趯傩缘氖跈嗯c訪問控制能夠實現(xiàn)細粒度的授權與訪問控制，但以非常細的粒度為每個用戶定義授權規(guī)則是困難和煩瑣的，且難以同時保證系統(tǒng)的訪問效率和可用性。基于角色的授權與訪問控制具有較高的集成效率，但是安全管理員一般不具有足夠豐富的多領域知識來精確定義和授權管理角色。密碼訪問控制可分為基于密鑰管理的訪問控制和基于屬性加密的訪問控制，而該技術目前的主要問題是不同用戶的密鑰分發(fā)與管理問題。自主訪問控制在大數(shù)據(jù)背景下也面臨權限管理復雜的挑戰(zhàn)，相關訪問控制模型的選擇與構建亦應聯(lián)系實際場景，而在教育領域的應用則主要是保障在線學習和在線考試系統(tǒng)的數(shù)據(jù)安全隱私。

5 結束語

教育大數(shù)據(jù)的創(chuàng)新應用推動著教學模式、教學評價和教學管理等的全方位變革。然而，在教育領域的開發(fā)利用過程中，教育大數(shù)據(jù)的隱私保護策略尚處于探索階段。當前，教育大數(shù)據(jù)的發(fā)展應用仍面臨隱私保護機制不完善、數(shù)據(jù)開放共享機制未形成、大數(shù)據(jù)安全技術和平臺發(fā)展支撐技術待突破等挑戰(zhàn)。

圍繞隱私保護機制問題，當前僅僅基于整個數(shù)據(jù)生命周期的隱私安全引入，或根據(jù)不同利益角色的保護訴求展開。相較于傳統(tǒng)的教育數(shù)據(jù)，教育大數(shù)據(jù)覆蓋的時間跨度更廣、匯聚的結構類型更雜、涉及的教育主體更多，原有的單一保護機制已無法滿足教育大數(shù)據(jù)的動態(tài)性需求。因此，本文基于教育大數(shù)據(jù)的生命循環(huán)，平衡利益相關方的價值沖突，增加了教育大數(shù)據(jù)應用的合規(guī)性、透明性和可靠性。

針對隱私保護技術問題，由于教育數(shù)據(jù)的應用場景更紛繁復雜，教育信息系統(tǒng)對數(shù)據(jù)的隱私性要求更嚴格，大數(shù)據(jù)隱私保護技術雖已有一定的發(fā)展，但解決教育數(shù)據(jù)安全與隱私問題的研究較為零散，針對性不強。本文根據(jù)不同教育應用場景的安全需求，使用相應的隱私保護技術，降低了教育數(shù)據(jù)應用過程中的風險，從而保障了教育數(shù)據(jù)質量的完整性、安全性和私密性。

總體來說，針對教育大數(shù)據(jù)的多源異構特征和數(shù)據(jù)應用服務的隱私倫理問題，為加強學習者的隱私安全，仍需從以下方面推進教育大數(shù)據(jù)的有效應用。首先，完善法律法規(guī)，從法律上界定、規(guī)范公開數(shù)據(jù)與私有數(shù)據(jù)的邊界，落實教育數(shù)據(jù)使用主體的責任和權利歸屬，構建面向教育大數(shù)據(jù)研究應用的倫理準則，從而為各項數(shù)據(jù)業(yè)務提供依據(jù)，以推進所有利益相關方的道德自律；第二，加強技術攻關，通過對用戶隱私信息的隱藏或混淆，構建有效的教育數(shù)據(jù)隱私保護技術體系和平臺，以降低數(shù)據(jù)精確性和數(shù)據(jù)披露風險，在確保用戶隱私信息不可還原和追蹤的前提下，滿足教育數(shù)據(jù)研究和應用的要求；第三，制定標準規(guī)范，圍繞教育大數(shù)據(jù)采集、分析、應用過程，分層、分類進行規(guī)范的頂層設計，秉承相關性、唯一性、清晰性、有效性和易用性等原則[31]，規(guī)范教育數(shù)據(jù)的應用流程；最后，提升利益相關方、數(shù)據(jù)主體等人的數(shù)據(jù)素養(yǎng)，通過加大相關宣傳力度，強化利益相關方的隱私保護意識與專業(yè)知識，提高各責任主體對數(shù)據(jù)安全的敏感性，增強其辨識能力，以保障數(shù)據(jù)主體的權利。