这听起来当然不是最佳实践，但我不确定它是否一定违反任何法律。我猜你来自美国，所以有数据保护法，但它们的定义并不像我们想要的那样 - 与英国一样，指南倾向于使用“适当保护”之类的词。

您应该可以使用这样的论点，即如果他们继续发送同时具有用户名和密码的纸质邮件或电子邮件，他们最终可能不仅会遭受巨额罚款，而且还会造成相当大的声誉损失。根据您所在的州 - 有些要求公开披露敏感信息，但即使没有，父母也会转告！

期望应该是必须截获两条消息才能获得未经授权的访问。如果一个是通过 USPS，一个是通过电子邮件，那就更好了，因此需要攻击者破坏两种通信形式，但这对于学校来说可能过于复杂。

只是一些常识性的安全性，永远不要相信他们通过电子邮件向您发送您选择的密码（不是随机生成的密码）的网站。没有人应该知道您的密码，甚至网站也不应该知道。如果他们知道您的密码，这仅意味着他们以明文形式存储密码。到目前为止，一个安全的网站将知道并存储您密码的哈希值，以便能够对其进行验证。当您登录时，网站可以根据您的输入计算另一个哈希值并比较这两个哈希值。如果它们匹配，则密码正确，如果不匹配，则不正确。

在明文电子邮件中发送用户名和密码是一种不好的做法，但我不知道这是否非法。

要确定它是否可能违反任何法律或法规，您可以查看FERPA。教育机构须遵守 FERPA 下的特殊合规要求。FERPA 倾向于适用于接受美国政府资助的教育机构。FERPA 对学生记录的访问施加了严格的规定，因此您学校的做法可能会引发您可以向学校提出的 FERPA 合规问题。不过，您必须自己调查 FERPA 是否适用于这种情况的细节。