收紧数据安全规则的建议 - 要求在之前发表评论 - 可能会使合规性对大学更具限制性。

联邦贸易委员会(FTC)正在提议对保障规则进行广泛的修改 。

GLBA已经要求大学保护这些数据,但法规可能迫使他们采取具体的,编纂的步骤来实现这一目标。

自2016年FTC首次提出保障措施规则变更以来,高级利益相关者一直敦促委员会确保大学目前在该规则下享有的灵活性和自主权不会被一个包罗万象的IT diktat所取代。这些利益相关者包括全国学院和大学商业官员协会(NACUBO),美国教育委员会和Educause,一个高等信息技术协会。

根据提议的变更,大学将有六个月的时间来满足诸如扩展数据加密和访问控制以及实现多因素身份验证以访问学生数据等要求。

高级利益相关者表示,该提案的一个问题是它将大学视为金融机构。这是因为,根据GLBA,获得Title IV资金的大学支付贷款和金融机构的补助金。但是 Educause和NACUBO 说,大学只是在狭隘和技术意义上的这种机构 - 与金融机构不同,它们中的每一个都是不同的。

“如果你知道一个学院或大学,你知道(只)一个学院或大学,” 梅根·施耐德,政府事务高级总监NACUBO告诉教育潜水。

另外, Educause的高级政策顾问Jarret Cummings在接受Education Dive采访时表示,为合规而分配的六个月是不够的。

“大学的网络和系统环境相当多样化,与传统的资金分配机构不同,”他说。他补充说,虽然这些系统具有行政和运营功能,但它们是“更加多样化的IT环境”的一部分,包括学术,研究,教学和学习。

Educause还有一个问题,它所说的是一个过于宽泛的定义,即规则变更所适用的机构内部的位置。例如,它认为,数据加密和持续监控授权用户等措施无法全权应用。

“鉴于学术自由的目标,必须非常谨慎地处理这样的大规模变革,因此该机构的主要任务,学术,不会受到影响,” 卡明斯说。

他补充说,任何网络安全变化都应明确定义为与客户信息有关。在这种情况下,学生是该机构的客户,类似于金融机构的账户持有人。

批评人士说,要求一个人监督该机构的网络安全也是个问题。因为大学不是一个金融机构,根据Educause,要求它有一个人来监控所有的网络安全是不切实际的。网络安全专业人员的短缺,特别是在农村地区,也将面临挑战。

“基于团队的方法更合适,该机构必须能够利用其内部的多个网络安全领导者,”卡明斯说。

一些观察人士表示,FTC的变化是有效的,理由是需要数据安全性,因为记录越来越数字化。

“(首席财务官)和商务办公室指导资金的电子转移。招生和财务援助人员收集数据。注册商维护数据。教职员工提交并访问数据。家长和学生提交数据,”律师事务所CapinCrouse写道在其网站上注意到,去年有关规则的变化。“每个人都应该关心数据安全。”

NACUBO的施奈德认为,大学已经开始以一种适合他们需求的方式保护敏感数据。“如果有人意识到需要保护数据,那就是大学和学院,他们非常清楚,”她说。