家庭教育權利與隱私權法案 (FERPA)
FERPA 概觀
家庭教育權利與隱私權法案 (FERPA) 是一項美國聯邦法律,可保護學生教育記錄的隱私權,包括個人標識和目錄資訊。 FERPA 的制定目的是要確保年齡在 18 歲及以上的家長和學生可以存取這些記錄、要求變更這些記錄,以及控制資訊的洩漏,但 FERPA 允許在未經同意的情況下洩漏的特定和有限案例除外。
此法律適用於學校、學校學區,以及任何其他從美國教育部門獲得資金的機構,也就是幾乎所有公用 K-12 學校和學校區域,以及大部分的次要機構,包括公用和私人。
安全性是符合 FERPA 的核心,因此需要保護學生資訊免於未經授權的洩漏。 使用雲端運算的教育機構需要技術廠商適當地管理敏感性學生數據的合約保證。
Microsoft和 FERPA
FERPA 不需要或辨識稽核或其他認證,因此任何受限於 FERPA 的學術機構都必須自行評估其使用雲端服務是否會影響其符合 FERPA 需求的能力。 在在線服務條款 數據保護增補 (DPA) 中,Microsoft同意在 FERPA 下定義的客戶數據中,指定為具有「合法教育興趣」的「學校官方」。 客戶數據會包含透過學校使用 Azure 所提供的任何學生記錄。 當Microsoft處理學生教育記錄時,Microsoft同意遵守 34 CFR 99.33 () 的限制和需求,就如同學校學生所做。 Microsoft已發佈指引文件,協助 Azure 客戶滿足其 FERPA 合規性需求。
Microsoft 範圍內雲端平台與服務
Microsoft同意在客戶數據中指定為「學校官方」且具有「合法教育興趣」的服務包括:
- Azure 和 Azure Government
- Azure DevOps Services
- Dynamics 365
- Intune
- Office 365、Office 365 美國政府、Office 365 美國政府 - 高階及 Office 365 美國政府防禦
Azure 指引檔
您可以下載下列檔,以協助滿足 FERPA 合規性需求:
Office 365和 FERPA
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Microsoft Entra ID、Azure 資訊保護、Bookings、合規性管理員、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、適用於 Office 365 的 Microsoft Defender、Microsoft Graph、Microsoft Teams、Web Microsoft To-Do、MyAnalytics、Office 365 進階合規性 附加元件、Office 365 雲端 App 安全性、Office 365 群組、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Viva Engage |
| GCC | Microsoft Entra ID、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性 附加元件、Office Online、Office Pro此外,商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
| GCC High | Microsoft Entra ID、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性 附加元件、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype |
| DoD | Microsoft Entra ID、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性 附加元件、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype |
Office 365 稽核、報告和認證
FERPA 不需要或辨識稽核或認證。
常見問題集
為什麼 FERPA 很重要?
美國聯邦法律規定保護學生教育記錄的隱私權。 它也可讓家長和合格學生存取這些記錄,以及更正這些記錄的能力,以及與第三方發行記錄相關的特定許可權。
COPPA 和 CIPA 對 Azure 有何合規性影響?
COPPA 和 CIPA 是旨在保護兒童隱私權的其他法律;不過,它們不直接適用於 Azure。 《兒童在線隱私權保護法 (COPPA) 是由美國聯邦法律所制定,可保護 13 歲以下兒童的隱私權。 美國聯邦 (FTC) 會管理 COPPA。 COPPA 適用於導向至子系的網站和 線上服務,並假設這些網站和服務必須經過家長同意,才能收集和使用屬於子系的任何個人資訊。 兒童因特網保護法案 (CIPA) 是為了解決有關子系透過因特網存取有害內容的疑慮而制定的。 美國聯邦通訊委員會 (FCC) 針對受 CIPA 規範的學校和文檔庫,發行了實作 CIPA 和已定義需求的規則。 在 Azure 採用內容中,有 COPPA 和 CIPA 相關問題的客戶,應該檢閱在線服務條款 DPA 中標題為教育機構的章節,我們說明客戶必須負責取得任何家長同意,以供任何使用者使用Microsoft 線上服務。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。
資源
- Azure 合規性文件
- 美國聯邦法規電子代碼:FERPA
- Microsoft在線服務條款 數據保護附錄
- 聯邦註冊:FERPA 最終規則
- 美國教育部門 FERPA 登陸頁面