美国联邦《家庭教育权利和隐私法案》数据安全条款 – 仅限与美国学校签订的协议中包含
服务提供商同意遵守《家庭教育权利和隐私法案》(34 CFR § 99.33 (a)(2))中关于从教育记录中重新披露个人身份信息的限制规定以及下述条款。34 CFR 99.33 (a)(2) 规定,从教育机构获取教育记录信息的某一方的管理人员、雇员和代理人,仅可为信息披露之目的使用该等信息。
涵盖数据与信息包括由教育机构提供的电子学生教育记录信息,以及教育机构的学生提供给服务提供商的任何数据。
服务提供商确认本协议允许其访问涵盖数据与信息。
服务提供商同意严格保密涵盖数据与信息。除非经本协议允许或要求、法律要求、或经教育机构另行书面授权,服务提供商不得使用或披露从教育机构(或其学生)处或代表其收到的涵盖数据与信息。服务提供商同意不将涵盖数据与信息用于信息披露目的之外的任何其他目的。
在本协议终止、取消、期满或其他方式结束时,服务提供商应将所有涵盖数据与信息归还给教育机构,若归还不具可行性,则应销毁任何及所有涵盖数据与信息。若服务提供商销毁信息,则应向教育机构提供一份证明,确认数据销毁的日期。
若教育机构基于诚信原则合理确定服务提供商已实质性违反本合同项下的任何义务,教育机构拥有自行决定权,有权要求服务提供商接受监督和报告计划;给予服务提供商十五(15)天的期限来纠正违约行为;或在无法纠正的情况下立即终止协议。在采取任何这些选项之前,教育机构应向服务提供商发出书面通知,说明违规情况及其拟采取的行动。如果美国教育部家庭政策合规办公室确定服务提供商不当披露了从教育机构教育记录中获取的个人身份信息,教育机构可在至少五年内不允许该服务提供商访问教育记录。
服务提供商应制定、实施、维护并使用适当的管理性、技术性和物理性安全措施,以保护从教育机构或其学生处或代表其收到的所有以电子方式维护或传输的涵盖数据与信息的保密性、完整性和可用性。这些措施应通过合同延伸至服务提供商使用的所有分包商。
服务提供商应在发现后一天内向教育机构报告任何未经本协议或教育机构书面授权的涵盖数据与信息的使用或披露。服务提供商的报告应说明:(i) 未经授权使用或披露的性质,(ii) 被使用或披露的涵盖数据与信息,(iii) 谁进行了未经授权的使用或接收了未经授权的披露,(iv) 服务提供商已采取或将采取何种措施减轻未经授权使用或披露的任何有害影响,以及 (v) 服务提供商已采取或将采取何种纠正措施以防止未来发生类似的未经授权使用或披露。服务提供商应提供教育机构合理要求的其他信息,包括书面报告。
因服务提供商未能履行本协议项下的任何义务而导致涉及第三方的所有索赔、责任、损害或判决,服务提供商应为教育机构进行辩护并使教育机构免受损害,包括承担教育机构的费用和律师费。
