《家庭教育权利和隐私法》(FERPA) 是美国联邦法律,其中包括对学生教育记录访问和管理的相关规定。 ERPA 为学生及其家长提供了特定的权利,允许他们查阅和审查学生的教育记录、修正家长或符合要求的学生认为不准确的记录,以及对教育记录中个人身份信息 (PII) 的披露进行一定控制。
Esri 为教育机构提供了 ArcGIS 产品和服务,用于研究、教学和行政管理等多种用途。 通常情况下,教育机构不会利用 ArcGIS 处理教育记录,并且可以配置 ArcGIS 以尽量减少对 FERPA 合规性的要求。 但是,当这些产品和服务用于存储、处理或传输教育记录时,它们可能需要遵守 FERPA 法规。 因此,客户需要自行判断其工作流是否符合 FERPA 要求。
Esri 致力于保护客户数据的安全性和隐私性,我们的承诺包括:
- 委托独立机构评估和认证我们的隐私实践
- 每年由具有相应资质的独立第三方进行 FedRAMP 审计
- 至少每 30 天进行一次漏洞扫描,测试并评估我们的安全防护水平,以及识别新威胁
- 禁用目标 Cookie,保护 K-12 学生隐私
FERPA 常见问题解答
是否有 FERPA 认证计划?
- 否。目前尚未提供专用于评估第三方合规性的 FERPA 认证计划。 学术机构需自行评估,确定产品或服务是否影响其遵守 FERPA 的能力。
ArcGIS Online 提供了哪些有助于遵守 FERPA 的安全和隐私措施?
- ArcGIS Online 提供多种产品安全功能,例如基于角色的访问控制。
- 通过 TLS 1.2 确保数据传输安全,并使用 256 位高级加密标准 (AES-256) 加密静止数据。
- 利用云服务提供商的物理和环境保护措施:Esri 托管设施实行全天候安保和监控,包括多层物理安全控制,如围栏、有人值守的大厅、监控摄像头 (CCTV)、捕人陷阱、带锁牢笼、运动探测器和生物识别访问系统。
- 除非是响应安全事件或客户批准的支持案例,否则不查看客户的 ArcGIS Online 非公开内容。
- 不与第三方共享客户数据。
- 应技术支持的请求,可以“冻结”客户数据(设置为只读状态)以进行法律保全。
- 除帐户信息(包括电子邮件地址和用户名)外,不存储客户数据。
- 帐户终止后,至多可保留 60 天以便于重新激活产品(应客户请求),在此时间段之后将永久删除帐户。
如何配置 ArcGIS Online 组织以最小化 PII 收集?
- 组织管理员可以阻止填写可选的用户个人资料字段(例如名字、姓氏、公司名称、电话号码和个人照片),以最小化个人身份信息的传输。
- 有关在教育机构内使用我们产品的更多隐私指导,请参阅下方资源区的“ArcGIS Online 学校指南”文件和“ArcGIS 位置共享隐私最佳做法”文件。
COPPA 对 ArcGIS Online 存在哪些合规影响?
- 《儿童在线隐私保护法》(COPPA) 是旨在保护儿童隐私的附加法律,但它并不直接适用于 ArcGIS Online。 《儿童在线隐私保护法》(COPPA) 是美国为保护 13 岁以下儿童隐私而制定的联邦法律。 该法律由联邦贸易委员会 (FTC) 管理。
- COPPA 适用于针对儿童的网站和在线服务,并规定这些网站和服务在收集和使用属于儿童的任何个人信息时必须获得家长同意。
- 对于适用的 ArcGIS Online 终端用户,客户有责任获取其家长的同意。
- ArcGIS Online 并不专门针对 13 岁以下儿童,但这些儿童可能会在学校教育计划中使用 ArcGIS Online。 教育机构应遵循下方的“ArcGIS Online 学校指南”,以更好地遵守 COPPA、FERPA 以及 GDPR 等常见的学生隐私法规。
- 为确保未成年人的隐私安全,Esri 自动关闭了使用 ArcGIS for Schools Bundle 帐户的学生的目标 Cookie。
资源
- ArcGIS Online 学校指南(公开)
- HECVAT Lite(公共信任中心文档)
- ArcGIS Security Advisor 验证工具(公共信任中心页面)
- ArcGIS Online 和 ArcGIS Enterprise 最佳做法清单(公开)
- Esri 产品和服务隐私声明补充(公开)
- ArcGIS 位置共享隐私最佳做法(公共信任中心文档)