Vyrovnání společnosti PowerSchool ve výši 17,25 milionu dolarů kvůli sledování studentů přes Naviance

Vyrovnání společnosti PowerSchool ve výši 17,25 milionu dolarů kvůli sledování studentů přes Naviance

Hromadné vyrovnání ve výši 17,25 milionu dolarů se společností PowerSchool znovu upozorňuje na praxi, o níž mnoho rodin vůbec nevědělo: tiché, neustálé sledování studentů prostřednictvím platforem, které jim školy přímo zadávají k používání. Žaloba se zaměřila na Naviance, široce používaný nástroj pro přípravu na vysokou školu a kariéru, a tvrdila, že platforma obsahovala sledovací software třetích stran, který v letech 2021 až 2026 bez souhlasu shromažďoval stisky kláves, kliknutí a soukromou komunikaci studentů. Tento případ je jedním z dosud nejjasnějších příkladů toho, jak mohou selhání v oblasti ochrany soukromí studentů při sledování dat v edtechu přetrvávat roky, než je někdo pohnán k odpovědnosti.

Co Naviance skutečně shromažďoval – a jak dlouho

Naviance není okrajový nástroj. Používají ho miliony středoškolských studentů po celých Spojených státech a slouží jako centrum pro sledování přihlášek na vysoké školy, kariérní hodnocení a akademické plánování. Vzhledem k tomu, že jej zadávají školy, studenti a rodiny obvykle nemají jinou možnost než ho používat.

Podle žaloby šlo sledování v Naviance daleko nad rámec standardní analytiky. Software třetích stran údajně zachycoval data na úrovni jednotlivých stisků kláves, což znamená, že mohl zaznamenávat každý znak, který student napsal. Také kliknutí, vzorce navigace a soukromá komunikace byly podle zpráv sklízeny. Tento typ sběru dat není pasivní. Je detailní, behaviorální a v mnoha případech mnohem více odhalující než jednoduchý záznam o přihlášení.

Snad nejnápadnější je časová osa. Údajné sledování probíhalo od roku 2021 do roku 2026, tedy pětileté období, během něhož mohly být citlivé informace milionů studentů shromažďovány bez jejich vědomí nebo bez vědomí jejich rodičů či zákonných zástupců. Nebyl získán žádný souhlas. Nebylo učiněno žádné jasné oznámení. Sledování bylo ze své podstaty neviditelné.

Proč jsou platformy zadávané školami slepou skvrnou pro soukromí studentů

Když firma prodává spotřebitelskou aplikaci a vkládá do ní sledovací prvky, uživatelé mají alespoň teoretickou možnost je odmítnout. Když škola určí platformu jako povinnou, tato možnost mizí. Studenti musí nástroj používat k plnění úkolů, podávání přihlášek nebo přístupu ke zdrojům. To vytváří zásadní problém se souhlasem, který se stávající zákony snaží plně řešit.

Federální rámce jako FERPA (zákon o rodinných právech na vzdělání a soukromí) a COPPA (zákon o ochraně soukromí dětí online) poskytují určité základní ochrany, ale nebyly navrženy s ohledem na složitost moderních edtech ekosystémů. Škola může uzavřít smlouvu s dodavatelem. Tento dodavatel může vložit kód třetích stran. Tyto třetí strany mohou shromažďovat data. Každý krok může technicky vyhovovat stávajícím pravidlům, a přesto vést k tomu, že data studentů proudí k subjektům, o nichž rodiny nikdy neslyšely.

Tato dynamika činí případ PowerSchool významným nad rámec samotné peněžní částky. Je to zdokumentovaný příklad propasti mezi právním souladem a skutečnou transparentností. Skutečnost, že sledování údajně pokračovalo pět let bez veřejného upozornění, podtrhuje, jak malou viditelnost rodiče a studenti obvykle mají do toho, co školní platformy ve skutečnosti dělají.

Tento problém se neomezuje pouze na pasivní sledování. Jak ukázal únik dat z Canvasu skupinou ShinyHunters, vystavení dat studentů zahrnuje jak skryté sledování, tak aktivní kybernetické útoky. Když bylo tímto incidentem ohroženo téměř 275 milionů studentských záznamů, potvrdilo to, že edtech sektor čelí zranitelnostem z více směrů současně.

Jak funguje skryté sledování stisků kláves a komunikace

Pro čtenáře neznalé technických mechanismů stojí za to pochopit, jak tento typ sledování v praxi funguje. Sledovací skripty třetích stran jsou obvykle vkládány vývojáři platformy během procesu tvorby. Když uživatel načte stránku, tyto skripty se automaticky spustí na pozadí. Uživatel nevidí nic neobvyklého.

Skripty pro zaznamenávání stisků kláves mohou nahrávat vstup v reálném čase a zachytit, co někdo píše, ještě než to vůbec odešle. Nástroje pro záznam relace mohou zaznamenávat pohyby myši, chování při posouvání stránky a vzorce kliknutí, aby přesně zrekonstruovaly, co uživatel během relace dělal. K zachycení komunikace může dojít, když zprávy odeslané prostřednictvím interního systému platformy procházejí infrastrukturou třetích stran, než dorazí k cíli.

Nic z toho nevyžaduje zvláštní přístup k zařízení. Děje se to uvnitř prohlížeče, v rámci samotné platformy. Standardní antivirový software to neoznačí. Rodičovská kontrola to neblokuje. Dokonce ani rozšíření prohlížeče zaměřená na soukromí to nemusí zachytit, pokud jsou skripty hluboce integrovány do vlastního kódu platformy.

Proto je souhlas a informování na úrovni smlouvy mezi školami a dodavateli tak důležité. V okamžiku, kdy student otevře Naviance, je datový kanál již vytvořen.

Co mohou rodiny dělat pro omezení sledování v edtechu

Vyrovnání s PowerSchool nebude poslední svého druhu. Adopce edtechu se stále rozšiřuje a finanční pobídky ke zpeněžení behaviorálních dat zůstávají silné. To však neznamená, že rodiny jsou zcela bez možností.

Žádejte inventář dat. Podle FERPA mají rodiče studentů mladších 18 let právo požádat o přístup ke vzdělávacím záznamům. Školy by také měly být schopny poskytnout seznam dodavatelů třetích stran, se kterými sdílejí data studentů. Vyžádáním tohoto seznamu dávají rodiny školám najevo, že si všímají, co se děje.

Každoročně kontrolujte školní zásady pro technologie. Mnoho okresů aktualizuje své zásady přijatelného používání a ochrany dat na začátku každého školního roku. Přečtení těchto dokumentů, byť jen na shrnující úrovni, může odhalit, které platformy se používají a jaké postupy s daty jsou zveřejněny.

Používejte ochranu na úrovni prohlížeče, kde je to možné. I když rodiny nemohou vždy odmítnout školou zadané platformy, studenti používající pro školní práci osobní zařízení mohou využít prohlížeče nebo rozšíření zaměřené na soukromí, které omezují spouštění skriptů třetích stran, pokud takové nástroje nenarušují požadovanou funkčnost platformy.

Zapojte školní rady a administrátory. Nejúčinnější dlouhodobá ochrana vychází z institucionální odpovědnosti. Otázky rodičů na zasedáních školní rady ohledně smluv s dodavateli a auditů dat vytvářejí tlak na silnější dohled.

Buďte informováni o incidentech v edtechu. Případ PowerSchool a únik dat Canvasu skupinou ShinyHunters jsou součástí širšího vzorce. Pochopení, že úniky a sledování dat studentů jsou opakující se problémy, nikoli ojedinělé události, je základem pro požadování lepší ochrany.

Vyrovnání ve výši 17,25 milionu dolarů se společností PowerSchool je významným výsledkem, ale skutečný význam spočívá v tom, co odhaluje o standardních průmyslových praktikách. Pokud platforma používaná miliony studentů po dobu pěti let mohla obsahovat nezveřejněný sledovací software, otázka, kterou stojí za to si položit, není jen co dělal Naviance, ale co mohou právě teď dělat jiné edtech platformy. Rodiny, pedagogové i tvůrci politik – všichni mají svou roli v požadování odpovědí před dalším vyrovnáním, ne až po něm.