数据治理是指数据收集和处理相关的责任和程序系统，决定在何种情况下，使用何种方法，在什么时间由谁收集和处理相关数据信息。美国各界从成立专门隐私保护机构到规范运作程序等方面，基本形成数据隐私保护的治理体系。

一、美国学生数据隐私保护的组织架构

作为活跃在美国数据隐私保护领域的民间组织，“数据质量运动”(Data Quality Campaign)一直呼吁各级政府、学区、学校和运营商建立专门的数据隐私保护机构。尽管学校和运营商层面的进展相对落后，但是在联邦和州政府层面，美国已基本建立起数据隐私保护的组织架构。

在联邦层面，教育部2011年任命凯瑟琳·斯蒂尔斯(Kathleen Styles) 为首席隐私保护官(CPO)，教育部下属的隐私保护技术中心(PTAC)致力于为各州和地方提供隐私保护工具、资源、咨询与技术支持，家庭隐私保护申诉办公室(FPCO)负责向家长、学生和学校提供隐私保护法律指导，并接受家长与学生的申诉。

在州和地方层面，俄亥俄州教育局任命了一名全职信息安全官员，成立了“隐私与安全办公室”(PSO)，为俄亥俄州提供数据隐私保护方面的技术、政策与标准支持。华盛顿州成立了教育研究和数据中心(ERDC)，负责学生数据收集与安全维护。缅因州成立了学生隐私保护联合司法常务委员会(JSCJ)，保护社交媒体和云计算服务中的学生数据，并负责治理在线学习供应商的广告宣传。印第安纳州成立了印第安纳知识网络(IINK)，负责该州学生数据管理。据统计，美国目前已有 48个州成立了州一级的数据管理和隐私保护机构。

二、美国学生数据隐私保护的技术保障

建设和维护好存储学生信息的数据库，并在数据管理诸环节引入安全保密措施，是数据隐私保护的技术基础。美国国家教育统计中心(NCES)组织专家开发了“全国教育数据模型”(NEDM)，提供教育数据库建设与维护的技术方案，帮助州建立具有高度防侵入的数据库，从源头上遏制数据泄露危险。

在具体的使用环节上，俄亥俄州建立了“州学生识别号码”(SSID)这一编码系统，该系统只有掌握极高保密度密码的人员才能使用。密苏里州的学生信息系统(MOSIS)实行分类保护，根据数据本身敏感程度实行差异化管理，对社会安全号等敏感信息实行单独编码。新罕布什尔州则为每个学生建立专属的身份验证码(UIC)，验证码由电脑随机产生，且只供相关人员一次性使用。密西根州的教育数据系统则根据数据使用人员的岗位需要设置分层查询权限。这些技术措施对保护数据安全发挥了积极作用。

三、美国学生数据隐私保护的实施规范

当前美国基本形成了数据隐私保护各环节的实施规范。

一是学区与学校层面的数据隐私保护规范。联邦教育部多次面向学区和学校发布学生在线隐私保护指南，帮助识别在线服务运营商的市场化和广告策略，评估应用程序的安全控制水平，并对数据收集、使用、挖掘、共享、转移等细节问题提供实践范例。

二是家长与学生层面的数据隐私保护规范。如“未来隐私论坛”(FPF)出版的《家长保护学生数据隐私手册》，向家长阐明与学生数据隐私保护相关的法律条款，哪些机构在何种情况下才能使用学生数据，家长在保护数据隐私方面的权利，以及相应的法律申诉办法等。

三是在线服务运营商层面的数据隐私保护规范。如美国软件和信息业协会(SIIA)发布的“学校服务供应商保护学生信息隐私和安全的实践案例”，就面向服务商解释教育的目的、透明度、学校授权、数据安全、数据泄露等事项。

四、美国学生数据隐私保护的问责机制

美国在数据隐私保护中强调不同主体的责任及问责办法。以路易斯安那州为例，该州2014年立法(R.S. 17:3，914)规定，州和地方教育局应建立并维护好学生身份识别系统，制定学区和公立学校数据管理办法。

对于学校和在线教育运营商，首先要保障学生及家长作为消费者的选择权，有权拒绝被收集相关数据以及审查和删除信息的权利。同时，学校和运营商应履行告知义务，说明学生数据收集范围与用途。当家长提出审查、修改或删除不当信息要求时，必须在45天内给予答复。如果家长或学生对学校或运营商的处理不满意，可以向州或教育部家庭隐私保护申诉办公室、联邦贸易委员会(FTC)提出申诉。

爱达荷州2014年立法(Senate Bill 1372)还规定，任何机构或个人造成数据泄露将会受到5万美元以内的罚款处罚。这种事后问责机制督促了各方切实履行责任。

五、民间团体对数据隐私保护的外部支持

民间与非政府组织参与公共事务治理是现代治理理论的基本要义。在美国数据隐私保护体系中，民间团体发挥了多方面作用。

一是推动数据隐私保护立法与政策完善。如“数据质量运动”(DQC)自2005年成立以来发布了系列数据隐私保护倡议，对推动修正《家庭教育权利和隐私权法》(FERPA)等联邦法案发挥了积极作用。

二是策划数据隐私保护活动。其中，美国软件和信息业协会(SIIA)同“未来隐私论坛”(FPF) 等非政府组织一起，面向在线教育供应商开展“学生隐私训练营”活动；卓越教育联盟(AFEE)举办“全国数字化学习日”，帮助学校合法运用技术和数字化学习手段，这些活动都取得了积极成效。

三是开展数据隐私保护学术研究。福尔德姆大学法律和信息政策中心(CLIP)、哈佛大学贝克曼互联网与社会中心(BCIS)就在数据隐私保护研究方面取得了丰硕成果。

六、结语

大数据技术是一把双刃剑。大数据技术开发与运用越深入，维护数据安全与保护学生隐私的难度也越大。但是，运用大数据推动教育系统变革和保护学生数据隐私之间，两者并非排他性目标，政策制定者和实践工作者需要在这两者间找到有效的平衡。正如2014年白宫白皮书所言：“学生和家庭需要坚实的保护，免受日益严重的隐私侵犯。与此同时，他们应有机会参与大数据支持下的新型学习变革，这将有助于学生天赋的实现。”

身处大数据时代，我们需要为推动应用教育大数据“加油”，同时也要检查好数据隐私保护这个“刹车”。只有切实加强数据治理体系建设，维护好教育数据隐私与安全，才能推动教育大数据事业的健康发展。（《比较教育研究》。略有删减，原标题为《大数据时代美国学生数据隐私保护立法与治理体系》。）