学生在线个人信息保护法
学生在线个人信息保护法
2014年9月,加州州长杰里·布朗签署了全国最全面的针对行业的学生数据隐私立法。这项由Common Sense首席执行官吉姆·斯蒂尔(Jim Steyer)牵头的法律,是迄今为止旨在保护学生数据隐私和安全的最积极的立法努力,并被奥巴马总统引用为联邦立法的典范。这项法律的独特之处在于,它将保护学生数据的责任直接交给了行业,明确禁止教育技术服务提供商出售学生数据,使用这些信息向学生或其家庭做广告,或“收集”学生的个人资料用于非教育目的。此外,法律要求在线服务提供商确保他们收集的任何数据是安全的,并应学校或学区的要求删除学生信息。
加州这项具有里程碑意义的立法的成功,引发了一场关于保护儿童数据重要性的全国性讨论,并为全国各地类似的立法提供了灵感。迄今为止,类似sopipa的立法已经在13个州推出,奥巴马政府和国会正在联邦层面推进。
SOPIPA简介
2016年1月,《学生在线个人信息保护法》(SOPIPA)在加利福尼亚州和新罕布什尔州生效。
SOPIPA解决了教育中技术使用的变化。
学校越来越多地在课堂上集成电脑、笔记本电脑和平板电脑,并依赖云计算服务来完成各种学术和行政功能。通过巧妙地使用技术,学校可以加强和个性化学生的学习,提高学校的效率。与此同时,私人教育技术公司可以收集大量关于学生的敏感数据,包括联系方式、表现记录、在线活动和击键记录、健康记录、行为和纪律记录、免费或减价午餐的资格、家庭人口和财务状况,甚至是自助餐厅的选择和公交路线沿线的位置。
一些教育科技公司收集并分析了学生的个人信息,却没有明确限制这些数据的使用方式。其他学校未能充分保护和加密学生的个人信息,防止可能的滥用。现有的联邦和州法律未能跟上技术的发展,在保护学生信息方面留下了很大的空白。许多供应商合同、服务条款和隐私政策本身都未能保护学生数据。
SOPIPA提供了明确的道路规则,以确保儿童信息不被用于商业或有害目的,并确保信息不落入坏人之手。它还支持创新和个性化学习,使学校和学生能够利用技术的好处。
SOPIPA对我来说意味着什么?
无论您是家长、学生、教育工作者还是技术供应商,我们都希望您能在下面找到问题的答案。点击这里阅读更多父母,老师,供应商.
有关更多信息,请参见:学校私隐区网页.
SOPIPA如何影响父母
问:SOPIPA与其他法律有何不同?
答:SOPIPA与其他学生隐私法不同,因为:它要求收集和处理学生敏感信息的教育科技公司负责遵守;它适用于与学校是否签订合同;它适用于应用程序、云计算程序和各种在线教育技术服务。
问:谁必须遵守SOPIPA?
答:主要为K-12学校目的设计、销售和使用的网站、在线服务和移动应用程序必须遵守SOPIPA。他们是否与学校或地区签订了合同并不重要。
问:SOPIPA是否允许公司在获得同意的情况下使用学生的敏感个人信息来推销产品或收集学生的资料?
答:不是。有了SOPIPA,加州已经非常明确地表示,学校应该是一个学习的地方,而不是营销或剖析的地方。虽然乍一听,允许家长、学生甚至学校“同意”学生个人信息的商业用途听起来很有吸引力,但仔细一看,这个想法存在很大的问题。学校是一个非常独特的环境。由于学校在教育技术方面做出了许多选择,家长和学生都成了受约束的受众。学校可能会受到公司的压力,不得不同意接受免费或打折的产品。家长们可能很容易感到学校的压力,要求他们“同意”,这样他们的孩子就能接受良好的教育,或者他们可能会认为——通常是错误的——学校已经全面审查了供应商及其隐私和安全措施。大多数K-12年级的学生不能给出有意义的同意,因为他们还没有到适当的年龄,也不理解分享个人信息意味着什么。
在教育环境中,如果法律完全禁止学生数据的商业使用,而不制造漏洞,公司可能会利用这些漏洞向家长、学生或学校施压,这对学生和家长都更好。
SOPIPA如何影响教师
SOPIPA确保教育技术提供商将学生数据用于教育目的,而不是用于定向广告或快速赚钱。SOPIPA还要求教育技术提供商保护学生数据。学校区域应该是一个隐私区域,一个学生可以安全地学习和探索的地方。SOPIPA涵盖了广泛的K-12在线公司,包括可以与学校或学区签订合同或不与学校或学区签订合同使用的网站、服务和应用程序。
当供应商说它符合SOPIPA时,它正在验证它:
- 不使用通过其服务收集的任何数据来定位广告;
- 不会在学生身上做广告;
- 不出售学生信息;
- 不会披露信息,除非法律要求或作为其服务维护和发展的一部分;
- 正在使用健全的信息安全实践,其中通常包括加密数据;
- 当学校或地区要求时,将删除从学校学生收集的数据;
- 只能与教育研究人员或履行学校职能的教育机构共享信息;
- 在发展和改进服务的过程中,它将在不损害学生隐私的情况下,仅使用去识别和聚合数据进行安全创新。
在区域内,如果您想了解供应商如何保护信息,可以使用以下问题,这些问题基于SOPIPA要求的保护:
- 您或任何关联公司收集的任何数据是否被用于广告?这些广告有针对性吗?
- 你为学生创建档案吗?此档案是否曾用于广告或任何其他不支持学生教育目标的方式?
- 你们出售学生信息有什么原因吗?
- 你是否有泄露学生信息的情况?
- 您使用哪些安全措施来保护学生信息免受数据泄露或未经授权的访问?
- 我们可以自己从你们的系统中删除我们的数据,还是我们需要向你们的支持人员请求删除?
- 如果我们需要要求删除该数据,您需要多长时间才能满足我们的要求?
- 你的备份要多久才能不再包含我们的数据?
- 你是否与任何教育研究机构或教育机构共享数据?如果有,他们是谁,何时何地我们可以获得这项研究?
问:谁必须遵守SOPIPA?
答:主要为K-12学校目的设计、销售和使用的网站、在线服务和移动应用程序必须遵守SOPIPA。他们是否与学校或地区签订了合同并不重要。
问:SOPIPA对地区意味着什么?
答:如果你在一个学区工作,你有另一种方法来评估教育软件供应商对他们收集的学生数据的保护情况。从地区的角度来看,这允许您向供应商提出一个具体的问题:您是否遵守SOPIPA?
问:SOPIPA对我有什么要求?
答:SOPIPA把保护学生的责任放在了处理学生信息的人身上:教育技术提供商。SOPIPA对教育者、学校或地区没有任何要求。将自己的应用程序带入教室或寻求更多最佳实践指导的教师可以查看下面的其他问题。
问:我应该问我的供应商什么?
答:询问你的供应商是否遵守SOPIPA。如果他们不遵守或不知道,你应该推迟使用该供应商。尽管SOPIPA不会让教育工作者承担责任,但您不会希望将学生的敏感个人信息分享给那些无法证明他们会保护这些信息的人。
问:遵守SOPIPA是什么意思?
答:从2016年1月开始,当你问供应商是否遵守SOPIPA时,这个问题的答案必须是明确的“是”。SOPIPA要求供应商满足所有这些标准,并且不给地区增加任何额外的负担。
问:我是老师。SOPIPA对我如何将应用程序带入课堂有什么影响?
答:因为供应商被要求遵守SOPIPA,它不会给寻求整合技术的教师带来任何负担。如果您是一名教师,并且想要使用某个应用程序,请询问您的学校或地区是否与供应商有现有合同,以及供应商是否已被询问是否符合SOPIPA。
如果您的学校或地区没有与供应商签订合同(许多小型应用程序通常是这种情况),SOPIPA仍然适用于供应商,因为无论学校和供应商之间是否有合同,学生都应该受到保护。但快速回顾一下产品的数据使用策略总是一个好主意。主要危险信号包括:出售学生数据的公司;分享或使用学生数据以提供定向广告的公司;为非教育目的收集学生资料的公司;以及没有或不充分提供安全保障的公司。
一般来说,免费应用程序更有可能侵犯学生隐私,因为许多免费应用程序使用应用程序收集的数据作为赚钱的手段。
虽然SOPIPA不要求列出课堂上使用的应用程序,但这经常被推荐为最佳实践。
如果一个应用程序有上面列出的任何危险信号,不要使用它。
问:我该怎么告诉父母?
答:SOPIPA允许学校区成为隐私区,因此孩子们可以专注于学习,知道他们的信息只会用于教育目的,不会被出售或用于定向广告,并将被安全地保存。
问:对教育工作者来说,还有其他的最佳实践吗?
答:你应该继续在评估产品和供应商时进行尽职调查。小心对待所有学生数据。小心那些“免费”的东西,它们可能有隐藏的成本,比如你学生的个人信息。在家长和学生面前始终保持积极的态度。
SOPIPA如何影响供应商
自SOPIPA引入以来,我们一直被问到的一个问题是,SOPIPA是否会对致力于构建和交付教育技术产品的供应商产生不利影响。答案是否定的。在该法律制定期间和法律通过后,我们与供应商进行了接触,我们一直收到的反馈是,SOPIPA反映了许多著名教育技术供应商多年来一直在做的良好实践,同时强调了学生数据可能在教育环境之外使用的方式。我们还收到反馈,SOPIPA强调了健全的数据安全的必要性,包括加密,因此许多公司已经审查并改进了他们的安全实践。
问:我是否必须遵守SOPIPA?
答:如果您运营的网站、在线服务或移动应用程序主要是为K-12学校设计、营销和使用的,并且您在加利福尼亚州的K-12学校运营,则必须遵守SOPIPA。
问:SOPIPA是否会使我难以创作教育产品?
答:不是。
要符合SOPIPA标准,您作为供应商应满足以下要求:
- 不使用通过您的服务收集的任何数据来定向广告;
- 不得在学生身上制作广告资料;
- 不得出售学生信息;
- 不披露信息,除非法律要求或作为维护和发展您的服务的一部分;
- 使用可靠的信息安全实践,通常包括加密数据;
- 当学校或地区要求时,将删除您从学校学生收集的数据;
- 仅与教育研究人员或为学校履行职能的教育机构共享信息;
- 在开发和改进服务的过程中,只使用去识别和聚合的数据,在不损害学生隐私的情况下进行安全创新。