Споразумението на PowerSchool за 17,25 милиона долара относно проследяването на ученици чрез Naviance
Колективно споразумение за 17,25 милиона долара срещу PowerSchool привлича ново внимание към практика, за чието съществуване много семейства никога не са знаели: тихото, непрекъснато наблюдение на ученици чрез самите платформи, които училищата им възлагат да използват. Делото се фокусира върху Naviance, широко използван инструмент за готовност за колеж и кариера, и твърди, че платформата е вградила софтуер за проследяване от трети страни, който събира натискания на клавиши, кликвания и лични комуникации на ученици без съгласие от 2021 г. до 2026 г. Случаят е един от най-ясните примери до момента за това как провалите на поверителността при проследяване на данни на ученици в образователните технологии могат да продължат години, преди някой да бъде подведен под отговорност.
Какво всъщност събираше Naviance — и за колко дълго
Naviance не е нишов инструмент. Използван от милиони гимназиални ученици в Съединените щати, той служи като хъб за проследяване на кандидатури за колеж, кариерни оценки и академично планиране. Тъй като училищата го възлагат, учениците и семействата обикновено нямат избор, освен да го използват.
Според делото, проследяването, вградено в Naviance, надхвърляше значително стандартния анализ. Твърди се, че софтуерът на трети страни е улавял данни на ниво натискания на клавиши, което означава, че всеки знак, който ученик въвежда, може да бъде записан. Също така се съобщава, че са събирани кликвания, модели на навигация и лични комуникации. Този тип събиране на данни не е пасивно. То е детайлно, поведенческо и в много случаи много по-разкриващо от обикновен запис на влизане.
Може би най-впечатляващо е времетраенето. Предполагаемото проследяване обхваща от 2021 г. до 2026 г., петгодишен прозорец, през който милиони ученици може да са имали събрана чувствителна информация без тяхно знание или без знанието на техните родители или настойници. Не е получено съгласие. Не е направено ясно оповестяване. Наблюдението беше, по дизайн, невидимо.
Защо платформите, издадени от училищата, са сляпо петно за поверителността на учениците
Когато компания продава потребителско приложение и вгражда тракери, потребителите поне имат теоретичната възможност да откажат. Когато училище налага платформа, тази възможност изчезва. Учениците трябва да използват инструмента, за да изпълнят задачи, да подадат кандидатури или да достъпят ресурси. Това създава фундаментален проблем със съгласието, с който съществуващите закони се борят да се справят напълно.
Федерални рамки като FERPA (Закон за правата на семейството върху образованието и поверителността) и COPPA (Закон за защита на поверителността на децата онлайн) предоставят някои основни защити, но те не са проектирани с мисъл за сложността на съвременните екосистеми на образователните технологии. Едно училище може да сключи договор с доставчик. Този доставчик може да вгради код от трети страни. Тези трети страни могат да събират данни. Всяка стъпка може технически да отговаря на съществуващите правила, като същевременно води до предаване на данни на ученици към субекти, за които семействата никога не са чували.
Тази динамика е това, което прави случая с PowerSchool значим отвъд сумата в долари. Това е документиран пример за пропастта между правно съответствие и истинска прозрачност. Фактът, че проследяването твърди се е продължило пет години без публично известие, подчертава колко малко видимост имат родителите и учениците обикновено върху това какво наистина правят училищните платформи.
Този проблем не се ограничава до пасивно проследяване. Както демонстрира пробивът на ShinyHunters в Canvas, излагането на данни на ученици обхваща както тайно наблюдение, така и активни кибератаки. Когато близо 275 милиона записа на ученици бяха изложени на риск чрез този инцидент, това затвърди, че секторът на образователните технологии е изправен пред уязвимости от множество посоки едновременно.
Как работи скритото проследяване на натискания на клавиши и комуникация
За читателите, незапознати с техническите механики, си струва да разберат как този тип проследяване работи на практика. Скриптовете за проследяване от трети страни обикновено се вграждат от разработчиците на платформата по време на процеса на изграждане. Когато потребителят зареди страница, тези скриптове се изпълняват автоматично на заден план. Потребителят не вижда нищо необичайно.
Скриптовете за запис на натискания на клавиши могат да записват въвеждането в реално време, улавяйки това, което някой пише, преди дори да натисне изпращане. Инструментите за повторение на сесия могат да записват движения на мишката, поведение на превъртане и модели на кликване, за да възстановят точно какво е направил потребителят по време на сесия. Прихващане на комуникация може да се случи, когато съобщения, изпратени през вътрешната система на платформа, преминават през инфраструктура на трети страни, преди да достигнат своето местоназначение.
Нищо от това не изисква специален достъп до устройство. Това се случва вътре в браузъра, в рамките на самата платформа. Стандартният антивирусен софтуер не го маркира. Родителските контроли не го блокират. Дори разширенията на браузъра, фокусирани върху поверителността, може да не го уловят, ако скриптовете са дълбоко интегрирани в собствения код на платформата.
Ето защо съгласието и оповестяването на ниво договор, между училища и доставчици, имат толкова голямо значение. До момента, в който ученик отвори Naviance, тръбопроводът за данни вече е установен.
Какво могат да направят семействата, за да ограничат наблюдението в образователните технологии
Споразумението на PowerSchool няма да бъде последното от този вид. Приемането на образователни технологии продължава да се разширява, а финансовите стимули за монетизиране на поведенчески данни остават силни. Въпреки това, семействата не са напълно без средства за противодействие.
Поискайте инвентара на данните. Съгласно FERPA, родителите на ученици под 18 години имат право да поискат достъп до образователни записи. Училищата също трябва да могат да предоставят списък на доставчици от трети страни, с които споделят данни за ученици. Изискването на този списък уведомява училищата, че семействата обръщат внимание.
Преглеждайте ежегодно училищните политики за технологии. Много райони актуализират своите политики за приемливо използване и поверителност на данните в началото на всяка учебна година. Прочитането на тези документи, дори на обобщено ниво, може да разкрие кои платформи се използват и какви практики за данни са оповестени.
Използвайте защити на ниво браузър, където е възможно. Въпреки че семействата не винаги могат да се откажат от платформи, възложени от училище, учениците, които използват лични устройства за училищна работа, могат да се възползват от браузъри или разширения, фокусирани върху поверителността, които ограничават изпълнението на скриптове от трети страни, когато тези инструменти не пречат на изискваната функционалност на платформата.
Ангажирайте училищните настоятелства и администратори. Най-ефективната дългосрочна защита идва от институционалната отговорност. Въпроси, водени от родители, на заседания на училищното настоятелство относно договори с доставчици и одити на данни създават натиск за по-силен надзор.
Останете информирани за инциденти в образователните технологии. Случаят с PowerSchool и пробивът на ShinyHunters в Canvas са част от по-широк модел. Разбирането, че пробивите на данни на ученици и наблюдението са повтарящи се проблеми, а не изолирани събития, е основата за изискване на по-добри защити.
Споразумението за 17,25 милиона долара срещу PowerSchool е значим резултат, но истинското значение е това, което разкрива за стандартните индустриални практики. Ако платформа, използвана от милиони ученици в продължение на пет години, може да вгради неоповестен софтуер за проследяване, въпросът, който си струва да бъде зададен, не е само какво е правил Naviance, а какво може да правят други платформи за образователни технологии в момента. Семействата, преподавателите и законодателите имат роля да изискват отговори преди следващото споразумение, а не след него.
