Закон о правах семьи на образование и конфиденциальности (FERPA)

Обзор FERPA

Закон о семейных образовательных правах и конфиденциальности (FERPA) — это федеральный закон США, который защищает конфиденциальность образовательных записей учащихся, включая личную информацию и информацию каталога. FERPA был принят для обеспечения того, чтобы родители и учащиеся в возрасте 18 лет и старше могли получать доступ к этим записям, запрашивать изменения в них и контролировать раскрытие информации, за исключением конкретных и ограниченных случаев, когда FERPA допускает раскрытие информации без согласия.

Закон применяется к школам, школьным округам и любым другим учреждениям, которые получают финансирование от Министерства образования США, то есть практически во всех государственных школах и школьных округах K-12, а также в большинстве учреждений после средней школы, как государственных, так и частных.

Безопасность имеет центральное значение для соответствия требованиям FERPA, который требует защиты информации учащихся от несанкционированного раскрытия. Учебные заведения, использующие облачные вычисления, нуждаются в договорных заверениях, что поставщик технологий надлежащим образом управляет конфиденциальными данными учащихся.

Microsoft и FERPA

FERPA не требует и не признает аудиты или другие сертификации, поэтому любое учебное заведение, подпадающее под действие FERPA, должно самостоятельно оценить, влияет ли использование облачной службы на ее способность соответствовать требованиям FERPA. В добавлении к Условиям использования веб-служб для защиты данных (DPA) корпорация Майкрософт соглашается на то, что она будет назначена в качестве "учебного должностного лица" с "законными образовательными интересами" в данных клиента, как определено в ferpa. Данные клиента будут включать все записи учащихся, предоставленные в рамках использования Azure в учебном заведении. Когда корпорация Майкрософт обрабатывает записи об образовании учащихся, корпорация Майкрософт соглашается соблюдать ограничения и требования, установленные 34 CFR 99.33(a), так же, как это делают сотрудники учебных заведений. Корпорация Майкрософт опубликовала документацию, чтобы помочь клиентам Azure в удовлетворении требований к соответствию FERPA.

Затрагиваемые облачные платформы и службы Майкрософт

Службы, для которых корпорация Майкрософт соглашается на назначение в качестве "учебного должностного лица" с "законными образовательными интересами" в данных клиента, включают:

  • Azure и Azure для государственных организаций
  • Azure DevOps Services
  • Dynamics 365
  • Intune
  • Office 365, Office 365 правительство США, Office 365 правительство США - Высокий, и Office 365 обороны правительства США

Документы с рекомендациями по Azure

Вы можете скачать следующие документы, чтобы помочь в выполнении требований соответствия FERPA:

Office 365 и FERPA

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Microsoft Entra ID, Azure Information Protection, Bookings, диспетчер соответствия требованиям, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender для Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do для Интернета, MyAnalytics, Office 365 Advanced Compliance надстройка, Office 365 Cloud App Security, группы Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, harePoint Online, Skype для бизнеса, Stream
GCC High Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса
DoD Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса

Аудит, отчеты и сертификаты Office 365

FERPA не требует и не распознает аудиты или сертификаты.

Вопросы и ответы

Почему ferpa важно?

Этот федеральный закон США предписывает охрану конфиденциальности образовательных записей учащихся. Он также предоставляет родителям и соответствующим учащимся доступ к этим записям и возможность их исправления, а также определенные права, связанные с выпуском записей третьим лицам.

Какие последствия для соответствия требованиям имеют COPPA и CIPA в Azure?

COPPA и CIPA являются дополнительными законами, направленными на защиту частной жизни детей; однако они не применимы напрямую к Azure. Закон о защите конфиденциальности детей в Интернете (COPPA) является федеральным законом США, принятым для защиты частной жизни детей в возрасте до 13 лет. Федеральной торговой комиссии (FTC) управляет COPPA. COPPA применяется к веб-сайтам и веб-службы, направленным на детей, и предусматривает, что эти сайты и службы должны требовать согласия родителей на сбор и использование любой личной информации, принадлежащей детям. Для решения проблем, связанных с доступом детей к вредоносному контенту через Интернет, был принят Закон о защите детей в Интернете (CIPA). Федеральная комиссия по связи (FCC) выпустила правила, реализующие CIPA, и определила требования к школам и библиотекам, подлежащим CIPA. Клиентам, у которых есть вопросы о COPPA и CIPA в контексте внедрения Azure, следует ознакомиться с разделом "Учебные заведения" условий использования веб-служб DPA, в котором мы объясним, что клиенты несут ответственность за получение согласия родителей на использование microsoft веб-службы любым конечным пользователем.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы