FERPA & AI Compliance

Overview

《家庭教育權利和隱私法》（FERPA）是美國於 1974 年頒布的聯邦法律，保護學生教育記錄的隱私。FERPA 由美國教育部內的學生隱私政策辦公室管理，適用於所有接受聯邦資助的教育機構和機關——這實際上包括了美國幾乎所有的公立 K-12 學校、學院和大學。違規可能導致聯邦資金被撤回，使 FERPA 合規成為教育機構的關鍵優先事項。

FERPA 賦予家長和合格學生（18 歲以上或就讀高等教育機構的學生）關於教育記錄的特定權利。這些權利包括查閱和審查記錄的權利、要求修正不準確記錄的權利、同意從教育記錄中披露個人識別資訊（PII）的權利，以及向教育部提出投訴的權利。當學生年滿 18 歲或進入高等教育時，這些權利從家長轉移給學生。

對於教育中的 AI 應用，FERPA 對學生資料的使用方式產生了重大限制。自適應學習平台、預測學生輟學風險的預警系統、自動化論文評分系統和學習分析儀表板都依賴於 FERPA 保護的學生資料。教育機構必須確保處理學生記錄的 AI 系統符合 FERPA 的同意要求、披露限制和記錄保存義務。AI 在教育中的日益普及促使教育部發布了關於 FERPA 如何適用於教育科技和 AI 驅動教育服務的更新指導。

AI-Specific Requirements

FERPA 的同意要求是教育中 AI 合規的核心。一般而言，機構必須在從教育記錄中披露個人識別資訊之前，獲得家長或合格學生的書面同意。有幾個例外情況，包括「學校官員」例外（34 CFR 99.31(a)(1)），允許向具有合法教育利益的學校官員披露，以及針對機構指定為非敏感的基本聯繫資訊的「目錄資訊」例外。對於 AI 系統，當 AI 供應商代表機構處理學生資料時，最常援引學校官員例外。

當教育機構根據學校官員例外與 AI 服務供應商合作時，他們必須確保供應商執行機構服務或功能、僅將 PII 用於協議中指定的目的、在教育記錄的使用和維護方面受機構的直接控制，並遵守 FERPA 對再次披露的限制。關鍵的是，即使使用第三方 AI 服務，機構仍需負責確保 FERPA 合規。這為機構提供了強烈的動機來維持對學生資料的控制，而不是將其發送到外部雲端 AI 平台。

FERPA 還要求機構維護每次存取請求和每次從教育記錄中披露個人識別資訊的記錄。對於持續處理學生資料的 AI 系統，此記錄保存義務要求全面記錄資料存取和使用情況。教育部的指導強調，機構必須對 AI 供應商進行盡職調查，包括評估其資料安全實踐、資料保留政策和資料刪除能力。未能對 AI 供應商保持充分監督的機構面臨 FERPA 違規風險，可能危及其聯邦資金。

How Ertas Helps

Ertas Data Suite 使教育機構能夠將學生資料完全保留在本地端，消除了當學生記錄傳輸到外部 AI 服務供應商時產生的 FERPA 複雜性。透過在機構自己的基礎設施內處理所有訓練資料，不存在教育記錄的第三方披露，不需要為外部 AI 供應商援引學校官員例外，也不存在供應商違反 FERPA 再次披露學生 PII 的風險。氣隙架構確保學生資料始終處於機構的直接控制之下。

Ertas Data Suite 中的 PII 編輯功能對教育 AI 應用特別有價值。學生姓名、ID 號碼、電子郵件地址和其他個人識別資訊可以在資料進入 AI 訓練管線之前自動偵測和遮蔽。這使機構能夠建構有效的 AI 模型——用於自適應學習、預警系統或行政最佳化——而不會在訓練過程中暴露個別學生的身分。資料譜系追蹤記錄應用於學生資料的每項轉換，建立 FERPA 記錄保存要求所需的全面記錄。

Ertas Studio 的 Vault 提供 FERPA 合規所需的存取控制。只有具有合法教育利益的授權機構人員才能存取用於 AI 開發的學生資料。靜態加密保護儲存的教育記錄免受未經授權的存取，全面的稽核日誌記錄每次資料存取事件。當 AI 專案結束且不再需要學生資料時，系統支援機構可以記錄和驗證的資料刪除工作流程。這種完整的生命週期管理確保學生資料從收集到刪除都受到保護，在整個過程中維持 FERPA 合規。

Compliance Checklist