学校数据隐私：挑战与变革

就在几年前，在疫情爆发之前，找到一个拥有专门负责数据隐私的领导职位，并专注于数据隐私的学区，就像发现“独角兽”一样——非常罕见，几乎是神话般的存在。

学区可能理论上对聘请首席隐私官感兴趣，其工作是防止学生数据被滥用，例如制定隐私政策、对员工进行隐私问题培训，并确保安全地收集和使用数据。但大多数学区没有资源或意愿来创建这个职位。

然而，与神话中的独角兽不同，其中一些学校的隐私官实际上是存在的。例如：巴尔的摩县公立学校在2016年左右设立了创新与数字安全总监的职位，这是其最接近的职位。根据其领导层的说法，该学区主动设立这个职位，因为学区周围的社区越来越担心其日益采用的技术会带来额外的隐私风险。作为美国较大的学区之一，它与数百家技术提供商合作。

尽管付出了努力，该学区在2020年遭受了一次大规模的勒索软件攻击。

自那次攻击以来，该学区和州政府投入了更多资源用于隐私保护。例如，巴尔的摩学区将其IT部门的预算增加了1250万美元，并且去年，马里兰州为该州的学区聘请了首席数据官和首席隐私官。巴尔的摩县公立学校的信息技术执行董事Jim Corns表示，数据隐私已成为学校系统工作的“核心和根本”部分。

该州还推动将其他资源用于加强隐私保护：马里兰州通过了学区的数据治理要求，并且该州的教育部门制定了关于学区应如何处理该问题的指导方针。Corns说，这是来自最高领导层的信号，表明这很重要。

瓦解

在过去的几年里，由于备受瞩目的勒索软件攻击和数据泄露事件上了头条新闻，学区专门投入资源和人员进行数据隐私的需求变得显而易见。疫情带来了新技术浪潮，并增加了全国学校对技术的使用。

但巴尔的摩是否表明情况发生了根本性的变化？学校是否增加了主要致力于保护隐私的职位？

嗯，是也不是。但基本上不是。

技术民主中心公民技术项目的高级顾问Cody Venzke表示，一些州已强制要求数据隐私官作为其更大规模的学生隐私立法的一部分，或者正在考虑这样做。（Venzke的组织在2019年发布了一份报告，主张在学校中设置首席隐私官，并提供了职位描述模板。）

但数据隐私专家兼咨询公司PlayWell, LLC的总裁Linnette Attai认为，这些努力尚未转化为大多数学校的改变。她说，在全国范围内，学区拥有专门负责数据隐私的人员仍然不常见。

Attai认为，那是因为即使在加利福尼亚州和伊利诺伊州等州——法律要求设立此类职位——学校也不一定总是会贯彻执行。例如，这些工作通常被作为额外职责分配给已经很忙碌的员工。“在实践中，它往往会瓦解，”Attai说。虽然法律要求学区聘请这些职位，但它不一定提供资源来这样做。这可能相当于各州在没有向学区解释如何或那会是什么样子的情况下说“做得更好”，她说。在某些情况下，州法律甚至不明确隐私官职位的定义是什么，她补充道。

结果是，担任保护学生数据职位的人员通常没有多少培训，并且他们可能同时兼任另一份工作。

Attai说，这当然比什么都不做好。但在这个学校技术使用不断增加的时代，挑战比一个专门的职位所能管理的还要大，她补充说。毕竟，如今的学校要与越来越多的供应商打交道，并且必须应对难以理解的合同和法律。

巴尔的摩县的Corns说，他的学区在让每个人保持一致方面做得相当成功。例如，该学区所做的一件事是让教师接受强制性的数据隐私和合规性培训，这样他们就可以掌握如何处理学生数据的知识。

官员们正在努力强调不仅是数据安全，还有数据管理——以确保使用数据的任何人都遵循最佳实践。

通过这种方式，Corns希望使数据隐私成为每个人的工作，而不仅仅是一个人或一个部门的工作。他说：“我们已将其融入组织的结构中，以便个人帮助我们。” “我们正在努力让每个人都在同一个团队，在同一个页面上。”