家庭教育权利和隐私法 (FERPA)
FERPA 概述
FERPA) (《家庭教育权利和隐私法》是美国联邦法律,旨在保护学生教育记录(包括个人身份和目录信息)的隐私。 FERPA 的颁布旨在确保 18 岁及以上的家长和学生可以访问这些记录、请求更改记录和控制信息的披露,但 FERPA 允许未经同意披露的特定和有限情况除外。
该法律适用于学校、学区以及从美国教育部获得资助的任何其他机构,即几乎所有公立K-12学校和学区,以及大多数公立和私立中学后机构。
安全性是符合 FERPA 的核心,FERPA 要求保护学生信息免受未经授权的披露。 使用云计算的教育机构需要合同保证技术供应商适当地管理敏感的学生数据。
Microsoft 和 FERPA
FERPA 不需要或认可审核或其他认证,因此受 FERPA 约束的任何学术机构都必须自行评估其云服务的使用是否以及如何影响其遵守 FERPA 要求的能力。 在 DPA) (联机服务条款 数据保护附录 中,Microsoft 同意被指定为 FERPA 定义的客户数据中具有“合法教育利益”的“学校官员”。 客户数据将包括学校使用 Azure 提供的任何学生记录。 当 Microsoft 处理学生教育记录时,Microsoft 同意遵守 34 CFR 99.33 () 规定的限制和要求,就像学校官员一样。 Microsoft 已发布指导文档,以帮助 Azure 客户满足其 FERPA 合规性要求。
Microsoft 范围内的云平台和云服务
Microsoft 同意被指定为客户数据中具有“合法教育利益”的“学校官员”的服务包括:
- Azure 与 Azure 政府
- Azure DevOps Services
- Dynamics 365
- Intune
- Office 365,Office 365美国政府,Office 365美国政府 - 高层和Office 365美国政府国防
Azure 指南文档
可以下载以下文档,以协助满足 FERPA 合规性要求:
Office 365和 FERPA
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Microsoft Entra ID、Azure 信息保护、Bookings、合规性管理器、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 高级合规版加载项、Office 365 云应用安全、Office 365组、Office Online、Office Pro PlusOneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage |
| GCC | Microsoft Entra ID、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版 加载项、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、harePoint Online、Skype for Business、Stream |
| GCC 高级 | Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项、Office Online、Office Pro PlusOneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online Skype for Business |
| DoD | Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项、Office Online、Office Pro PlusOneDrive for Business、Planner、Power BI、SharePoint Online Skype for Business |
Office 365 审核、报告及证书
FERPA 不需要或识别审核或认证。
常见问题解答
为什么 FERPA 很重要?
这项美国联邦法律强制要求保护学生教育记录的隐私。 它还使家长和符合条件的学生能够访问这些记录,并能够更正这些记录,以及与向第三方发布记录相关的某些权利。
COPPA 和 CIPA 对 Azure 有哪些合规性影响?
COPPA 和 CIPA 是旨在保护儿童隐私的附加法律:但是,它们不直接适用于 Azure。 COPPA) (《儿童在线隐私保护法》是美国联邦法律,旨在保护13岁以下儿童的隐私。 联邦贸易委员会 (联邦贸易委员会) 管理COPPA。 COPPA 适用于面向儿童的网站和联机服务,并规定这些网站和服务必须经过家长同意才能收集和使用属于儿童的任何个人信息。 颁布了《儿童互联网保护法》 (CIPA) ,以解决儿童通过互联网访问有害内容的问题。 联邦通信委员会 (FCC) 发布了实施 CIPA 的规则,并明确了受 CIPA 约束的学校和图书馆的要求。 在 Azure 采用上下文中对 COPPA 和 CIPA 有疑问的客户应查看联机服务条款 DPA 中标题为“教育机构”的部分,其中我们解释说,客户有责任获得任何最终用户使用 Microsoft 联机服务的家长同意。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。
资源
- Azure 合规性文档
- 家庭教育权利和隐私法
- 联邦法规电子代码:FERPA
- Microsoft Online Services 条款 数据保护附录
- 联邦注册:FERPA 最终规则
- 美国教育部 FERPA 登陆页面