FERPA 概述
家庭教育權利與隱私法案 (FERPA) 是一項美國聯邦法律,保護學生教育紀錄的隱私,包括個人識別及目錄資訊。 FERPA確保18歲及以上的家長及學生能存取這些紀錄、申請變更,並控制資訊揭露,除非在特定且有限的情況下,FERPA允許在未經同意的情況下揭露。
該法律適用於學校、學區及任何接受美國教育部資助的機構——幾乎所有公立K-12學校及學區,以及大多數公立與私立高等教育機構。
安全是遵守FERPA的核心,該法規要求保護學生資訊免於未經授權的洩露。 使用雲端運算的教育機構需要合約保證,確保技術供應商妥善管理敏感學生資料。
Microsoft 與 FERPA
FERPA 不要求也不承認審計或其他認證,因此任何受 FERPA 約束的學術機構都必須自行評估其使用雲端服務是否以及如何影響其遵守 FERPA 要求的能力。 在線上服務條款資料 保護附錄 ( DPA) 中,Microsoft同意被指定為具有FERPA定義的客戶資料中具有「合法教育利益」的「學校官員」。 客戶資料包括透過學校使用 Azure 提供的學生紀錄。 當Microsoft處理學生教育紀錄時,Microsoft同意遵守34 CFR 99.33 () 所施加的限制與要求,就像學校官員一樣。 Microsoft 已發布指導文件,協助 Azure 客戶滿足其 FERPA 合規要求。
Microsoft 範圍內的雲端平台與服務
Microsoft同意被指定為具有「合法教育利益」的「學校官員」的服務包括:
- Azure 和 Azure Government
- Azure DevOps Services
- Dynamics 365
- Intune
- Office 365、Office 365 美國政府、Office 365 美國政府高階,以及 Office 365 美國政府防衛
Azure guidance documents
您可以下載以下文件,協助您符合 FERPA 的合規要求:
Office 365 與 FERPA
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Microsoft Entra ID、Azure 資訊保護、Bookings、合規經理、Delve、Exchange Online、Exchange Online Protection、表單、Kaizala、Microsoft分析、Microsoft Booking,Microsoft Defender 用於 Office 365、Microsoft Graph、Microsoft Teams、Microsoft 網頁版 To-Do、MyAnalytics、Office 365 進階合規性 外掛、Office 365 雲端 App 安全性、Office 365 群組、Office Online、Office Pro Plus,商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Viva Engage |
| GCC | Microsoft Entra ID、合規管理、Delve、Exchange Online、表單、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office Online、Office Pro Plus,商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
| GCC High | Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 進階合規性附加元件、Office Online、Office Pro Plus,商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype |
| DoD | Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 進階合規性附加元件、Office Online、Office Pro Plus、商務用 OneDrive、規劃器、Power BI、SharePoint Online、商務用 Skype |
Office 365 稽核、報告和認證
FERPA不要求也不承認審計或認證。
常見問題集
為什麼 FERPA 很重要?
這項美國聯邦法律規定必須保護學生教育紀錄的隱私。 同時也賦予家長及符合資格的學生存取這些紀錄並有權更正,並享有與向第三方公開紀錄相關的某些權利。
COPPA 和 CIPA 對 Azure 有什麼合規影響?
COPPA和CIPA是旨在保護兒童隱私的額外法律;不過,這些規則並不直接適用於 Azure。 兒童線上隱私保護法 (COPPA) 是一項美國聯邦法律,旨在保護13歲以下兒童的隱私。 聯邦貿易委員會 (FTC) 管理COPPA。 COPPA適用於針對兒童的網站及線上服務,規定這些網站及服務必須取得家長同意才能收集及使用任何屬於兒童的個人資訊。 《兒童網路保護法》 (CIPA) 旨在解決兒童透過網路接觸有害內容的疑慮。 聯邦通訊委員會 (FCC) 發布實施CIPA的規則,並定義受CIPA規範的學校與圖書館的要求。 對於 Azure 採用背景下的 COPPA 與 CIPA 有疑問的客戶,應參考線上服務條款 DPA 中「教育機構」一節,我們說明客戶需自行取得家長同意,方可對任何終端用戶使用 Microsoft 線上服務。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規狀況並採取措施以降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。
資源
- Azure 合規性文件
- 聯邦法規電子法典:FERPA
- Microsoft 線上服務條款資料 保護補充說明
- 聯邦公報:FERPA 最終規則
- 美國教育部 FERPA 登陸頁面