严格保护特殊敏感信息的方法与措施

当今时代，科技对教育的影响是全面和广泛的。无论针对什么阶段的学生，也无论是课上课下，科技都可以辅助他们较快地提升学习能力。通过互联网，学生可以随时随地获取他们想要的学习资料，而其他一切与学习和生活相关的知识亦唾手可得。众多软件、应用和平台如雨后春笋般出现，为教师与学生提供了更多选择的可能。通过不断更新和完善，这些技术工具可以完成有效的教学实时评估，并针对性地依照学生的理解和接受速度对教学资料进行演示，以便满足教师的教学需要和学生的学习需求。此外，教育技术的革新还可以实现受教育人数的最大化，这一点是传统的教学模式无能为力的，同时，它也使得促进学生间的互动并使教学内容的持续性反馈成为可能。^[67]

除了为学习者提供更加个性化的教育方式外，信息社会的发展也增强了研究者们的研究能力。譬如，借助新的数据类型的运用，研究者们可以更加准确和有效地研究学生的学习行为。与传统的课堂授课相比，大规模开放的在线课堂的数据信息能够被更加准确地定位与跟踪。通过对这些数据的分析，以往受制于传统教育方式而无法解开的问题将得到广泛关注和研究，这包括：学生在学习活动中的领悟力、学习接收效果；根据不同的学习目标，选择恰当的学习资料，并进一步利用这些数据信息帮助那些处于相似情况的学生。当前，美国教育部正研究如何运用信息科技手段，统一整合在线教学平台所采集与分析的数据。这些数据信息将会为大数据教育的进一步研究提供方法论上的指导。^[68]

大数据下的教育存在一些亟待解决的问题，比如，如何确保学生的隐私不受侵犯。此前提及，网上存在大量在线的学习软件、应用与平台，它们基本由盈利性企业研发和提供。而在美国，负责教育的主要是各州和当地的社区。因此，在关于哪个主体有权获得线上平台产生的数据信息以及这些信息应当如何被使用的问题上争议颇多。对此，《家庭教育权和隐私法案》《保护学生权利修正案》和《儿童在线隐私保护法》中的相关条文，在适用过程中都会遇到相应的挑战。^[69]

（一）《家庭教育权利和隐私法案》

美国20世纪六七十年代，民权运动得到了蓬勃发展。大学侵犯学生权利的事件时有发生，大学无需告知学生也无需学生同意就可随意且有选择地披露学生信息。系主任只需暗示某位学生是某一学生民主团体里的成员，该名学生的前途就可能受到影响。同时，大学也可因为学生行使言论、集会、抗议等宪法权利而开除学生。^[70]为了限制学校的权力，保护学生们的隐私，美国国会在1974年颁布了（Family Educational Rights and Privacy Act of 1974，简称FERPA）^[71]，该法案禁止接受联邦经济资助的教育机构，所有州或者地方的公立和私立学校将学生的教育信息记录向未获得授权的第三方披露^[72]，即保护学生教育记录信息的机密性。而教育记录信息是指由教育机构、教育组织或由代表这些机构与组织的个人（如教师、行政人员与其他学校雇员）^[73]所保存的任何直接与学生相关的记录、文件、文档或其他材料。^[74]

FERPA提供给父母以确定性保护、查阅未成年人教育记录的权利。主要包括以下四个方面：检查与复核教育记录的权利^[75]；质疑教育记录中的内容并更正或删除其中不准确、误导或不恰当信息的权利^[76]；家长通过同意的方式去控制并决定是否披露那些能识别出其小孩的教育记录信息的权利^[77]；对于不遵守FERPA规定的行为，有权向教育主管机构投诉。^[78]而当未成年人年满18周岁或从其接受高等教育开始，上述权利就转移给学生，由学生自己行使。^[79]在FERPA的规制下，教育机构的义务有哪些呢？

1.取得父母的同意

首先，在披露具有个人身份可识别信息的学生教育记录数据前需要取得父母的同意。当然，FERPA也规定了一些例外情形。^[80]同时，个人身份可识别信息包括：学生的姓名或学生家庭成员的姓名；学生的地址或学生家庭成员的地址；个人识别标记（如社会安全号码、生物识别记录如指纹、面部特征或笔迹）；间接个人识别标记（如出生日期、出生地点、母亲在婚前使用的姓氏）；其他一些信息，要么单独要么结合在一起，将使得一个理性人能合理确定并识别出该学生；以及教育机构认为请求获取教育记录信息的个人，清楚教育信息归属主体的个人身份的情形。

同意的授权必须以书面形式进行且需要父母签名落款署上日期。同时，以下几个方面也需要专门阐明：对外披露的教育记录信息的内容；披露的目的；接受披露的相对方。^[81]另外，同意的授权可以通过电子签名方式来完成，只要电子签名的同意机制能识别并验证出同意的具体来源。而对同意的记录，则呈现的是个人对同意授权的认可。^[82]

2.告知学生父母及有资质受领通知的学生本人其所享有的权利

教育机构每年必须通知学生父母或有资质的受领通知的学生本人如下权利：检查与复核教育记录的权利^[83]；修正教育记录的权利^[84]；同意公开个人身份可识别信息的权利^[85]；对于教育机构违反法律规定的行为，有权向教育主管部门投诉的权利。^[86]

3.无须经过信息主体同意，教育机构可予以披露的信息

这类信息包括：学生的目录信息；去除身份识别的信息；有限情形下，可识别出学生个人身份的信息（如下所述）。在不经同意的情况下，学校可以将学生目录信息的披露告知学生家长及有资质受领通知的学生并为他们设计一个合理的退出披露的机制。^[87]学生的目录信息一般包括：姓名、地址、电话清单、电子邮件地址、照片、出生日期与出生地、专业、年级；学籍信息；学历、荣誉与奖励、参与的体育运动及其他活动。^[88]学生的目录信息并不包含社会保险号或学生的学号。^[89]

学校可能会在事先未获得父母同意的情况下，将已去除身份标识的学生教育信息记录予以披露。而身份信息去标识化则要求：在学生的教育记录中将所有能识别出个人身份的信息予以移除，进行合理判断的依据是去标识化的教育记录将无法再对学生的个人身份进行辨识。^[90]

学校为了教育研究的目的可以对去身份化的教育记录进行披露。同时，即使学校事先未获家长同意，也可以在以下各方与以下各种情境下披露个人身份可识别信息^[91]：比如学校官员为了追求学校“合法的教育利益”时；学生转学，接收学校需要了解学生的相关信息时^[92]；学校需要确定一个学生的助学金额时，指定官员对教学进行评估时；组织开展某些代表学校利益的研究项目时^[93]；遵守法庭命令或依法发出的传票，该命令或传票要求披露学生的个人身份信息时^[94]；有关官员在紧急情况下，为了保护学生及他人的健康与安全时^[95]；等等。

（二）《儿童网上隐私保护法案》

美国高度重视儿童网络隐私的保护。从行业组织、教育、行政管理与立法规制等多个层面采取了儿童网络隐私保护措施。立法层面，国会于1998年颁布了《儿童网上隐私保护法案》（The Children’s Online Privacy Protection Act，简称COPPA）。^[96]该法案于2000年4月21日生效，联邦贸易委员会具体实施该法案。在2000年出台儿童网上隐私保护法之前，已有一些研究成果指出儿童使用网络面临的危险，如信息隐私的丧失、遭遇到潜在可能的性侵犯者、广告商的宣传及接触到仅适合成人的材料。^[97]支持通过儿童网上隐私保护法的人士相信，这部联邦立法可以减少新经济带给儿童电脑使用者的部分危害，即儿童将私人信息不恰当地披露给电子商家。^[98]儿童可能会在网上游戏、奖品、换取相应网络服务方面向商家透露私人信息，而儿童网上隐私保护法的立法目的就是要解决有小孩的家庭所面临的信息隐私威胁的问题，使商业网站难以在家长不知情、不同意的情况下直接从儿童处采集私人信息。^[99]

2011年，美国联邦贸易委员会向全国征询修订意见。此次法案修订的目标是保护网络创新，促进与保障互联网能够提供越来越多的网上内容与服务供儿童使用的同时，确保父母能全方位参与到儿童网上活动过程中，并对所有采集儿童信息的行为有所知晓。经过充分讨论，2013年7月，修订后的《儿童网上隐私保护法案》正式施行。法案要求在父母不知晓且未同意的情况下，不允许第三方在专门针对儿童的APP和网址上通过加入插件的方式来获取儿童信息。^[100]

1.COPPA适用的对象与适用范围

《儿童网上隐私保护法案》与儿童网上隐私保护规则都被称为COPPA^[101]，它们对专门收集儿童信息或明知是13周岁以下的儿童信息还有意收集的网上服务提供商提出了隐私保护的标准并为其规定了隐私保护的义务。COPPA适用于网站的经营者与网上服务的运营商，它们可以是个人也可以是机构或组织，比如运营商业网站，专门针对13周岁以下的未成年人为其提供网上服务并采集其个人信息的运营商，或是运营大众网站且在事实上知晓它采集了13岁以下未成年人信息的网站经营者。^[102]当然，除了网站经营者的意图外，还要考虑该网站的语言、画面和整体设计，以便对其是否是针对13周岁以下儿童做出准确判断。

需要注意的是，COPPA界定的经营者并未将非营利性的机构或组织纳入其中，非营利性的实体，如政府机构并不受COPPA的约束。还需注意的是，网站经营者与网上服务运营商采集的13周岁以下未成年人的任何个人信息都会受到COPPA的规制。这些个人信息包括：名字与姓氏；家庭地址；邮箱地址；电话号码；社会保险号；含有儿童声音与形象的照片、视频、音频文件；地理位置信息；用来识别用户的控制性标识符及允许对特定个人进行物理或网上联系的信息等。^[103]虽然COPPA只被用来保护13周岁以下的儿童，但美国的联邦贸易委员会鼓励网站运营商与在线服务经营者将COPPA的保护范围扩展至13周岁以上的青少年。(www.xing528.com)

网站运营商与在线服务经营者从父母披露其孩子个人信息的行为中采集到儿童个人信息的情形，并不受COPPA的约束。作为最佳的实践，网站运营商与在线服务经营者对从父母处采集到的儿童个人信息，也应以直接从儿童处采集个人信息提供相同保障的方式，为其提供个人信息提供 保护。^[104]

COPPA不仅适用于对信息的主动收集还适用于被动收集信息的情形。主动收集发生在网站运营商与在线服务经营者直接从儿童处采集信息的情形，如通过网上聊天室、留言板主动采集儿童个人信息。^[105]而被动收集信息则与跟踪或使用“任何能够指向个人的识别代码相关联，比如Cookie的使用”及其他一些可以用作身份识别、联系或定位的识别符相关的信息采集方式采集到的信息。^[106]

2.网站的运营者与在线服务经营者在COPPA的规制下承担的义务

第一，告知父母。运营者必须做出“合理的努力”确保父母收到网站或在线服务提供商发出的采集、使用、披露其孩子个人信息的通知。^[107]通知的内容应包括COPPA要求网站运营商与在线服务经营者在其隐私政策中披露的内容，此外，还需阐明：运营商或在线服务经营者希望采集的特定小孩的信息；希望采集信息的类型；信息采集的目的；父母授予同意和撤回同意的方式。^[108]

第二，获得父母的同意。网站运营商与在线服务经营者在收集、使用、披露任何一个小孩的个人信息前，必须取得能进行事后验证的父母授权同意。另外，当对信息的收集、使用或披露发生重大变化时，网站运营商与在线服务经营者即使在事前已经取得父母的授权同意，也还需要就取得同意后发生重大变化的情况向父母再次披露，并重新取得父母的同意。^[109]比如，当网站运营商与在线服务经营者取得了父母的同意，为了特定的目的向第三方分享孩子的个人信息时，如果该目的发生了变化，则网站运营商与在线服务经营者需要为该新的信息使用与分享的目的，重新取得儿童父母的同意。网站运营者与在线服务经营者如何取得能进行事后验证的父母的同意呢？这需要考虑到现有技术的可行性，以确保授权许可源自父母。^[110]比如：当个人信息仅用作内部使用，不向第三方披露也不对外公开时，联邦贸易委员会建议网站运营者与在线服务经营者通过电子邮件的方式取得父母的同意，随后通过回复邮件、传真或电话的方式对授权许可进行确认。^[111]如果个人信息通过（如聊天室或留言簿等方式）披露给大众或第三方时，联邦贸易委员会建议通过以下更为严格的方式取得父母的同意：如提供用于家长签字的知情同意书并将已签字的知情同意书通过电子邮件、传真或其他电子方式发回；开通父母能打入且能收回其同意授权的由接方付费且由经过培训的专业人士负责接听的电话；使用带有电子签名的邮件；使用带有个人身份可识别信息的电子邮件；或使用政府签发的身份证明，如驾驶执照等方式。^[112]

第三，无须获得父母同意的例外情形。当网站运营商与在线服务经营者收集如下信息时，无须事前取得父母的同意而采集小孩的姓名与在线联系方式的信息^[113]：仅仅是为了通知并获得了家长同意的目的；为了给孩子定期性的通讯，包括在线讯息、网站更新或密码提醒等目的^[114]；为了合理且必要地保护小孩安全地使用网站的目的；为了保护网站的完整性，采取责任防范的方式，响应司法程序或在事关公共安全时响应相关安全机构的请求等情形。^[115]

网站运营商与在线服务经营者还可以在以下未获得父母同意的情形下向公司的分支机构披露其采集到的儿童信息：如仅仅是给网站或在线服务提供内部支持时；公司要求获取儿童信息的内部分支机构对获取的信息保密并限制其将获取的信息用于其他目的时；分支机构没有参与到公司对少年儿童信息的收集、保存或使用过程中时。

第四，将信息披露给第三方的管理。网站运营商与在线服务经营者应采取合理步骤，以确保只向能维持信息保密性、安全性与完整性的第三方披露信息。^[116]为了这个目的，网站运营商与在线服务经营者应对他们准备共享孩子个人信息的第三方进行尽职调查，且只应在相对方受到合同约束、可予以信任且能对孩子信息的“保密性、安全性和完整性”予以维护的情形下，向第三方披露。^[117]

（三）家长作为儿童和家庭私人信息守护者的权利

《儿童网上隐私保护法案》明确了监护人的责任，将监护人的责任权利化。由于儿童的辨识能力弱于成年人，心智发育也不健全，因此，网络隐私的自我保护任务无法通过儿童自身来承担。另外，对儿童隐私权的救济也有特殊性。由于儿童属于限制民事行为能力人，当其隐私权受到侵害时，也需要成年人的协助。《儿童在线隐私保护法案》规定，当网站运营商收集13周岁以下儿童的个人信息时，必须对儿童父母的身份信息进行验证，通过如电子签名等技术手段，征得其父母的同意。父母有查阅、删除儿童信息的权利，有权要求网站运营商、服务提供者停止对儿童个人信息的搜集，可以随时拒绝经营者进一步使用或保有来自该儿童的私人信息。该项权利不是简单的“选择退出”的普通权利，也不是限制信息二次使用的权利。家长被赋予的强大权利包括是否能够否决第一次收集、第一次使用、二次使用、保存数据的权利。家长的否决权是实现该法的立法目的，是有效的家长控制所需要的。儿童网上隐私保护法赋予家长作为儿童和家庭私人信息守护者的权利。该法案将监护人的责任与权利以法律的形式准确地固定下来，为儿童在线隐私的保护提供了法律保障。

（四）对网站运营商与在线服务经营者隐私政策的要求

网站运营商与在线服务经营者必须要保有一种清晰、简单易懂、完整且不包含不相关信息的隐私政策。隐私政策的内容应当包括：收集或持有孩子个人信息的网站运营商与在线服务经营者的名称；收集个人信息的类别，主动收集还是被动收集；收集信息的用途或潜在的用途；向第三方进行的信息披露与第三方对信息的使用；父母有权对孩子个人信息的收集和使用授予同意，有权禁止网站运营商与在线服务经营者向第三方披露孩子的个人信息；网站运营商与在线服务经营者不能要求孩子提供不必要的信息作为参与一项网上活动（游戏、奖励、服务）的条件。父母能查看他孩子的个人信息，请求删除，并拒绝同意信息的进一步收集。

另外，网站运营商与在线服务经营者需要在其网站上提供有效的关于其隐私政策的通知提示。接入隐私政策的链接也必须明确标示并放置在主页上的鲜明而突出的位置。^[118]联邦贸易委员会建议使用更大的字体、不同的颜色或对比的背景来对其进行强调。^[119]

年轻人是可塑的，他们需要适当的自由来探索这个世界，尝试各种可能，同时又需要一种保护机制使其不致因一时的疏忽，一时的误入歧途而在日后受到挥之不去的影响与侵扰。虽然《儿童网上隐私保护法案》要求移动应用开发者及网站的运营商在收集13岁以下的儿童个人信息时必须征得其父母或监护人的同意，但现在，即使在美国，如何通过相应的制度安排，确保儿童能健康成长，避免技术潜在地对儿童可能造成的“伤害”，不使技术成为未成年人人生发展道路上的阻碍，都未能得出一个确定的方案。

（五）《学生数字化隐私法案》与《在线教育服务指南》

青少年是社交平台与移动应用上的活跃用户，当他们在使用信息科技所带来的产品时，与他们相关的精确数据甚至一些敏感信息在网络上被收集、储存与处理。这些数据信息有大幅提升孩子学习效果并为其开启全新机遇的可能，也包含了在他们成人后形成一份入侵性消费者个人信息的可能，或通过其他方式对他们成年之后的生活产生影响。

青少年在数字教育平台的交互式学习中产生的个人信息是极其私密的个人信息。这些信息含有个体的特定学习方式偏好与他本人的学习理解力、领悟力，相较于其他学生的表现，收集储存的这些信息甚至能够分辨出那些有学习障碍或者无法长时间集中注意力的学生。从学生使用教育应用的上线与在线时间看，他个人的作息习惯、学习习惯能够被获知。教育机构应当如何使用这些数据来改善学生的学习机会与学习表现呢？而与此同时，对于使用这些平台且处于基础教育阶段的学生，他们的数据信息安全又如何得到保障呢？

美国白宫近日正与国会参众两院的两党议员共同推动《学生数字化隐私法案》的立法，禁止通过教育类APP应用采集学生个人信息。该项提案的目标是为了确保在校学生的个人信息只用于教育或合法的学术研究。该项提案是美国共和党获得国会控制权后，奥巴马总统第一份保护大数据隐私的提案。此次立法的主要目的是为了防止在校学生使用在线教育网站或软件应用时个人信息的泄露，给予数据收集和使用更大的透明度，实施全面统一的安全标准，对数据保留进行限制，不允许销售学生的个人信息。

与此同时，为回应关于信息所有权与信息恰当使用的问题，美国教育部在2014年2月公布了专门针对在线教育服务的指南。^[120]指南指出，只有在满足《保护学生权利修正案》《家庭教育权和隐私权法案》中规定的具体要求时，学校或学区才可以与第三方机构签订涉及学生数据的协议。学校、学区以未来合法的教育效益为目的，共享的学生信息，学校、学区必须在分享的过程中对其保持“直接控制”。即使有这些新要求，如何在大数据的背景下保护学生的隐私，仍然是一个充满挑战且受到广泛关注的持续性议题。