美国高等教育数据系统中的信息安全和隐私(一)
2016-12-16陈强
美国高等教育数据系统中的信息安全和隐私(一)
编者按
2015年8月,美国高等教育政策研究所(Institute for Higher Education Policy,IHEP)率先召集了一个由全国高等教育数据专家组成的工作组,来讨论推动一系列改进数据基础设施质量的新兴方案,为州和联邦的政策对话提供信息。作为成果的系列论文集——《展望21世纪的高等教育数据基础设施》提出了有针对性的建议,直接关心有关的技术、资源和政策考虑。《美国高等教育数据系统中的信息安全和隐私》为论文集中的一篇。从本期开始,本刊将连载相关内容。本文意在使读者了解信息安全和隐私的概念,以及国家高等教育数据基础设施中的技术等内容。
2014年3月,美国高等教育政策研究所(Institute for Higher Education Policy, IHEP)发表了报告《描绘高等教育数据领域:问题和可能性》(以下简称“《描绘》一文”),概述了在向学生、政策制定者和学校提供有用和可靠的相关信息以使他们了解高等教育系统中学生成就的情况时,高等教育的利益相关者们所必须回应的关键问题和必须采取的核心措施。获得有意义的、与学生教育成效有关的信息而推动教育的改进需要更高质量的数据,无论这些数据来自于现有的系统方案,还是来自于考虑中的系统建设的可选方案中。研究者们普遍认同,目前可用的数据是不充分的,因而国家高等教育数据基础设施需要改革以对数据的采集、共享和分析加以改进。
数据提供了信息时代的基础设施。在美国,每个高等教育机构都在它们的企业级信息技术系统(IT系统)中采集和使用数据。州、区域和联邦级别的实体也在采集和使用数据。数据及其赖以维持的IT系统都是高价值的战略资产,必须得到慎重对待和保护。在系统中,以及在利用数据支持决策和提升教育成效时,保护这些资产的安全以及信守学生及其所代表的家庭的隐私是一项需要努力付出的奋斗。必须要使所有的利益相关者——从学生到家长到管理者到政策制定者在内,都有信心相信:可识别个人身份的学生信息只有在必要和合法的情况下会被采集,会得到恰当的使用,而且会是可靠的。影响高等教育数据采集和存储活动的监管环境是复杂的;体系中的利益相关者也许有不同的隐私期望;体系中所有IT系统的安全防护都必须仔细地精心建构。高等教育数据系统能带来新的机会,提升对学生成就影响因素的理解,也带来了信息安全和隐私风险。两者间的平衡与其说是一门科学,不如说是一项艺术。
信息安全和隐私,这两个概念是如何发挥作用,在国家高等教育体系中如何保护数据?理解这一点至关重要。为了满足《描绘》一文中所提出的测量项目的要求,并回应其中提出的关键性的疑问,数据必须要进行分析才能提供必要的信息。这些数据的来源可能是多样的所有者,包括学生、学校、非政府机构,以及州和联邦部门;可能存在于这些不同实体所控制的许多IT系统中;也可能有不同的敏感性(例如,可识别身份的学生数据、擦除身份信息的数据和汇总后的数据)。有些采集到的数据可能受到联邦法律和/或州法律的保护。其他一些数据可能未受法律保护,但是对于相关人士而言仍然是高敏感性的,一旦被分享或者泄露将产生令人困窘的后果。要做出政策和实践上的有根据的决策,理解数据的采集方式和当前法律议题的复杂性是必要的。这个体系如此复杂,因而要在整个体系中成功地管理学生数据并形成有意义的合作关系,从而向政策制定者提供理解学生教育成效所需的数据,必须要有州政府和/或联邦政府的行动。
信息安全和隐私的概念
任何IT系统,只要其设计目的是向用户提供可靠信息作为决策依据,那么数据都是它的核心资产。学生级别的数据(如招生录取、入学考试、就读过程、毕业和教育成效数据)对于任何一个有意义的国家级数据解决方案都是非常必要的。而且,为了保护这些数据,所有系统都必须将信息安全和隐私保护作为基本组成部分。体系中所有的利益相关者必须对信息安全和隐私有一个共同的理解,而且要超越对概念的非专业解释,要理解这些概念是如何在保护学生数据方面共同发挥作用,以及如何确保这些数据在学校、州、地区和联邦的IT系统所构成的整个基础设施体系中得到恰当的利用。
什么是信息安全?
信息安全指的是保护数据的机制。不熟悉信息安全的人们经常认为它仅仅是在IT系统中实施的技术控制。然而,实际上不能认为信息安全仅仅是技术控制,而必须是对任何形式的数据(无论是在IT系统中存储还是还原到纸面或其他物理介质上)进行保护的研究和实践。其中包括保护数据免受任何类型的威胁,无论实施这些威胁的是有恶意的外部人员还是对IT系统和数据有合法访问权的人员。如下所述,数据保护的实践涵盖了的三个有区别的信息安全概念:机密性、完整性和可用性。
机密性的含义是,对数据在任何形式下的全生命周期(从创建到销毁)中,都要保护其免受未授权的访问。未授权的访问包括与存储数据的实际组织无关的人员(例如,罪犯和黑客)的访问,也包括组织内部的人员有意超出其授权范围而进行的访问(例如,工作人员在无合法工作原因的情况下查找知名人士或者其他目标人员记录的行为)。机密性是在组织遭受数据侵害时最常涉及的信息安全概念。
高等教育数据系统能带来新的机会,提升对学生成就影响因素的理解,也带来了信息安全和隐私风险。两者间的平衡与其说是一门科学,不如说是一项艺术。
完整性的含义是,确保IT系统中(或者在物理介质上记录或重现的)的数据是准确的。这表示IT系统的创建者和管理者要在系统中采取控制措施,确保用户正确地输入和处理数据,而且冲突的数据项目能被识别出来并加以解决。完整性还要求,只有授权用户才有能力去变更、移动或者删除特定类型的数据文件。符合完整性要求的数据可以认为是准确的,能作为决策中的可靠依据。
可用性的含义是,确保数据在需要时即可获得,并且IT系统运行可靠。利益相关者可以采取多种方式确保数据可用性,比如设计“冗余”的IT系统(例如,采用的安装方式可以不会因某个组件的故障而使整个系统故障)并具备抗攻击能力,以及确保用户会定期备份数据。
常见的对IT系统和数据的故意和恶意的信息安全威胁包括:恶意软件、间谍软件、键盘记录器;IT系统的后门;用于窃取用户凭据的钓鱼和定向诈骗;有合法访问权的人员的故意滥用;以及意图使数据不可用的拒绝服务攻击。除了故意和恶意的威胁以外,管理IT系统和数据的人员还必须要应对意外或偶然的事件:自然灾害,电力中断,丢失了错误放置的IT资源(例如,丢失的包含有敏感数据的U盘)。他们还要防范数据和相关系统受到合法用户的无意行为的损害,例如偶然删除重要数据,将敏感数据发布在公共访问的资源(如网页等)中,或者发送给了错误的人员(通过E-mail等)。
什么是隐私?
IT系统提高了采集和存储数据的便捷性,也使得这些数据的隐私日益受到关注。隐私是一个用于解释对个人和公众都普遍适用的概念的简单术语。对于个人而言,隐私意味着某个个人控制他/她自己的数据,并指定这些数据的采集、使用和分享的方式的权利。在美国,还有一个关于隐私的社会观念,即隐私是对干涉公民自治的政府权力的限制。
在国家高等教育数据体系的讨论中,这两个概念都重要。当研究人员最初采集学生级别的数据时,他们应当合法地采集数据,并且采用以确保学生个人隐私权利为目的的方式。这意味着,只要有可能,数据采集的主体就应当在采集学生数据之前获得允许,并且应当只采集对实现指定研究目标所必需的最少数据。当这些数据在体系中与其他主体中共享时,特别是在学校和州及联邦机构之间共享时,数据共享的方式应当要把政府使用数据的权力限制在最初采集数据时指定的目的上,或者是法律和规章所许可的目的范围内。
因为隐私植根于法律概念中,联邦和州法律都可能会对国家高等教育数据体系中的数据采集和分享实体产生影响。特别是高等教育机构,面临数据保护方面的复杂监管环境。深入理解联邦法律(如《1974年家庭教育权利和隐私法案(FERPA)》等)中的许可和禁止性的条款,对于确保学生数据隐私是至关重要的。其他法律有些涉及对特定数据项目的保护,有些涉及对联邦机构采集的数据和联邦信息系统中存储的数据的保护。
除了适用于高等教育数据基础设施中某些部分的联邦法律以外,州法律也可能会影响到数据采集体系。2015年,46个州就学生隐私的多个方面提出了180个法案;15个州通过了28项新法律。这些法律设置了对学生数据隐私有影响的众多议题,如教育技术服务提供商的角色;家长是否可以自愿退出数据采集;在采集数据的州以外传输数据;提供数据侵害通知;对州的纵向数据系统(State Longitudinal Data System,SLDS)的经费投入等。尽管许多州将其法律限制在K-12学生的数据上,一些州也还是实施了适用于高等教育学生数据的法律。结果就是要进行以州为基础的数据采集,还要查阅一些单独的州法律。
信息安全和隐私的概念密切相关,并不总是互相排斥的。例如,完全可能想象出数据是安全的但不是隐私的情形。数据可能以安全的方式存储在一个IT系统中,但是如果这些数据的采集没有个人的知情同意或者不是经过合法授权的机构采集的,那么对于其所关系到的个人而言,这些数据的隐私性就遭到了损害。相反地,数据可能是在个人的知情同意下采集的,或者是依据法律许可采集的,但是存储在了缺乏足够安全措施、无法保护数据免受犯罪分子窃取的IT系统中。这种情况下,数据的安全就遭受了损害。在国家高等教育数据体系中对采集、存储、传输和分析的数据进行保护时,信息安全和隐私这两个概念必须要同时考虑到。隐私的概念必须要清楚,以确保个人和社会对于隐私的观念受到了实践可行的最全面的尊重;信息安全的概念必须被采纳,用于保护所有采集到的数据的机密性、完整性和可用性。
表1 论文集中所讨论的基础设施系统架构
高等教育数据基础设施中的技术
尽管本文中提出的安全和隐私关切及最佳实践对于所有IT基础设施环境都适用,但《展望21世纪的高等教育数据基础设施》还是主要聚焦于国家高等教育数据体系中两种基本类型的IT系统架构上(见表1)。
第一类是单点(single destination)系统,如一个由政府或私立机构运行的学生单位记录数据系统(Student Unit Record Data System,SURDS)。正如其名称所表明的,单点系统是权威学生信息的专门位置。最可能的情况下,一个单独的实体运行这类系统,并对保存数据集的IT系统实施安全和隐私保护。这类系统接受信息的输入渠道可以有多个,但是系统本身被认为是权威信息的唯一来源。
第二类是多点(multiple destination)系统,其中,一些实体互相分享学生信息,没有哪个单独的IT系统可以成为权威的数据来源。这种架构的一个案例是多个州的纵向数据系统(SLDS)互相联网来响应查询学生的请求。在这类系统中所采取的数据分布形式要能提供有意义的信息,就必须要在整个基础设施中允许以某些公共关键值或标识符进行匹配。考虑到多个实体都要在基础设施中提供、使用和分析数据,数据安全和隐私的保护措施需要得到分布式的所有IT系统中的所有参与实体的同意和遵守。表1提供了一个本论文集中所讨论的基础设施架构的简要视图。
每个通用的基础设施架构都要有为自身精心设计的一组安全和隐私控制措施。例如,建立一个单点系统(如SURDS方案)所需要的控制措施将会与支撑已有系统(如链接多个SLDS系统)的有所不同。虽然两个可选方案都需要某种机制实现在多个数据输入中匹配记录,但是SURDS方案将会形成一个单独的、大型的可识别身份数据的集合。另一方面,SLDS方案必然要解决多个不同的系统之间匹配数据项目、解决冲突和应对质量关切的问题,也许要为了满足信息安全中的完整性概念而进行更加深入的探寻。
(翻译:陈强)
