FERPA（家庭教育权利和隐私法） & AI Compliance

Overview

《家庭教育权利和隐私法》（FERPA）是美国于1974年颁布的联邦法律，旨在保护学生教育记录的隐私。该法由美国教育部下属的学生隐私政策办公室管理，适用于所有接受联邦资助的教育机构和教育行政部门——这几乎涵盖了美国所有公立 K-12 学校、学院和大学。违规可导致联邦资助被撤回，因此 FERPA 合规是教育机构的重要优先事项。

FERPA 赋予家长和符合条件的学生（18岁及以上或就读高等教育机构的学生）关于教育记录的特定权利，包括查阅和审查记录的权利、请求修正不准确记录的权利、同意从教育记录中披露个人可识别信息（PII）的权利，以及向教育部提出投诉的权利。当学生年满18岁或进入高等教育阶段时，这些权利从家长转移到学生本人。

对于教育领域的 AI 应用，FERPA 对学生数据的使用方式构成了重大限制。自适应学习平台、预测学生辍学风险的预警系统、自动化作文评分系统和学习分析仪表板都依赖于 FERPA 所保护的学生数据。教育机构必须确保处理学生记录的 AI 系统符合 FERPA 的同意要求、披露限制和记录保存义务。AI 在教育领域的日益普及促使教育部发布了关于 FERPA 如何适用于教育科技和 AI 驱动教育服务的更新指南。

AI-Specific Requirements

FERPA 的同意要求是教育领域 AI 合规的核心。通常，机构必须在从教育记录中披露个人可识别信息之前获得家长或符合条件学生的书面同意。有几项例外情况，包括"学校官员"例外（34 CFR 99.31(a)(1)），允许在有正当教育利益的情况下向学校官员披露，以及"目录信息"例外，适用于机构指定为非敏感的基本联系信息。对于 AI 系统，当 AI 供应商代表机构处理学生数据时，通常引用学校官员例外。

当教育机构在学校官员例外下使用 AI 服务提供商时，必须确保该提供商执行机构服务或功能、仅将 PII 用于协议中规定的目的、在教育记录的使用和维护方面受机构直接控制，并遵守 FERPA 的再披露限制。关键是，即使使用第三方 AI 服务，机构仍然对确保 FERPA 合规承担责任。这为机构保持对学生数据的控制（而非将其发送到外部云端 AI 平台）提供了强有力的动机。

FERPA 还要求机构记录每次对教育记录中个人可识别信息的访问请求和披露。对于持续处理学生数据的 AI 系统，这一记录保存义务要求对数据访问和使用进行全面的日志记录。教育部的指南强调，机构必须对 AI 供应商进行尽职调查，包括评估其数据安全实践、数据保留策略和数据删除能力。未能对 AI 供应商保持充分监督的机构将面临 FERPA 违规风险，可能危及其联邦资助。

How Ertas Helps

Ertas Data Suite 使教育机构能够将学生数据完全保留在本地，消除了学生记录传输到外部 AI 服务提供商时产生的 FERPA 合规复杂性。通过在机构自有基础设施内处理所有训练数据，无需对外部 AI 供应商进行教育记录的第三方披露，无需为外部 AI 供应商援引学校官员例外，也不存在供应商违反 FERPA 再披露学生 PII 的风险。气隙隔离架构确保学生数据始终处于机构的直接控制之下。

Ertas Data Suite 中的 PII 脱敏功能对教育 AI 应用特别有价值。学生姓名、学号、电子邮件地址和其他个人可识别信息可在数据进入 AI 训练管道之前被自动检测和遮蔽。这使得机构能够在不暴露个别学生身份的情况下构建有效的 AI 模型——用于自适应学习、预警系统或行政优化。数据血缘追踪记录对学生数据应用的每次转换，形成 FERPA 记录保存要求所需的全面记录。

Ertas Studio 的 Vault 提供了 FERPA 合规所需的访问控制。只有具有正当教育利益的授权机构人员才能访问用于 AI 开发的学生数据。静态加密保护存储的教育记录免受未授权访问，全面的审计日志记录每次数据访问事件。当 AI 项目结束、不再需要学生数据时，系统支持机构可以记录和验证的数据删除工作流。这种完整的生命周期管理确保学生数据从收集到删除全程受到保护，始终保持 FERPA 合规。

Compliance Checklist