Nagodba PowerSchoola od 17,25 milijuna dolara zbog studentskog praćenja u alatu Naviance

Nagodba PowerSchoola od 17,25 milijuna dolara zbog studentskog praćenja u alatu Naviance

Skupna tužba protiv PowerSchoola vrijedna 17,25 milijuna dolara ponovno skreće pozornost na praksu za koju mnoge obitelji nikada nisu znale da postoji: tihi, neprekidni nadzor učenika putem platformi koje im škole dodjeljuju za korištenje. Tužba se usredotočila na alat Naviance, široko korištenu platformu za pripremu za fakultet i karijeru, i navela da je ta platforma ugradila softver za praćenje trećih strana koji je bez pristanka prikupljao pritiske tipki, klikove i privatne komunikacije učenika od 2021. do 2026. godine. Ovaj je slučaj jedan od najjasnijih primjera do sada kako propusti u privatnosti studentskih podataka u obrazovnoj tehnologiji mogu trajati godinama prije nego što itko odgovara.

Što je Naviance zapravo prikupljao – i koliko dugo

Naviance nije nišni alat. Koriste ga milijuni srednjoškolaca diljem Sjedinjenih Američkih Država i služi kao središnje mjesto za praćenje prijava na fakultete, procjene karijere i akademsko planiranje. Budući da ga škole dodjeljuju, učenici i njihove obitelji u pravilu nemaju izbora nego ga koristiti.

Prema tužbi, praćenje ugrađeno u Naviance nadilazilo je standardnu analitiku. Softver trećih strana navodno je bilježio podatke na razini pritisaka tipki, što znači da se svaki znak koji je učenik upisao mogao snimiti. Klikovi, obrasci navigacije i privatne komunikacije također su navodno prikupljani. Ova vrsta prikupljanja podataka nije pasivna. Ona je granularna, bihevioralna i u mnogim slučajevima daleko otkrivajuća od običnog zapisa prijave.

Možda najupečatljivija jest vremenska crta. Navodno praćenje trajalo je od 2021. do 2026. godine, petogodišnji prozor tijekom kojega su milijunima učenika osjetljive informacije mogle biti prikupljene bez njihova znanja ili znanja njihovih roditelja ili skrbnika. Nije dobiven nikakav pristanak. Nije pružena nikakva jasna obavijest. Nadzor je po svojoj konstrukciji bio nevidljiv.

Zašto su platforme koje izdaju škole slijepa točka za privatnost učenika

Kada tvrtka prodaje potrošačku aplikaciju i ugrađuje tragače, korisnici barem imaju teoretsku opciju odbiti. Kada škola obveže platformu, ta opcija nestaje. Učenici moraju koristiti alat kako bi izvršili zadatke, predali prijave ili pristupili resursima. To stvara temeljni problem pristanka s kojim se postojeći zakoni teško u potpunosti nose.

Savezni okviri poput FERPA-e (Zakon o obrazovnim pravima i privatnosti obitelji) i COPPA-e (Zakon o zaštiti privatnosti djece na internetu) pružaju određene osnovne zaštite, ali nisu osmišljeni imajući na umu složenost modernih ekosustava obrazovne tehnologije. Škola može ugovoriti suradnju s dobavljačem. Taj dobavljač može ugraditi kod trećih strana. Te treće strane mogu prikupljati podatke. Svaki korak može tehnički biti u skladu s postojećim pravilima, a opet rezultirati time da studentski podaci odlaze subjektima za koje obitelji nikada nisu čule.

Upravo ta dinamika čini slučaj PowerSchool značajnim izvan samog novčanog iznosa. On je dokumentirani primjer jaza između zakonite sukladnosti i stvarne transparentnosti. Činjenica da je praćenje navodno trajalo pet godina bez javne obavijesti podcrtava koliko malo uvida roditelji i učenici obično imaju u ono što školske platforme zapravo rade.

Ovaj problem nije ograničen samo na pasivno praćenje. Kao što je pokazao hakerski napad grupe ShinyHunters na Canvas, izloženost studentskih podataka obuhvaća i tajni nadzor i aktivne kibernetičke napade. Kada je kroz taj incident ugroženo gotovo 275 milijuna studentskih zapisa, to je potvrdilo da se sektor obrazovne tehnologije suočava s ranjivostima iz više smjerova istodobno.

Kako funkcionira skriveno praćenje pritisaka tipki i komunikacije

Za čitatelje koji nisu upoznati s tehničkom mehanikom, vrijedi razumjeti kako ova vrsta praćenja funkcionira u praksi. Skripte za praćenje trećih strana obično ugrađuju razvojni programeri platforme tijekom procesa izgradnje. Kada korisnik učita stranicu, te se skripte automatski izvršavaju u pozadini. Korisnik ne vidi ništa neobično.

Skripte za bilježenje pritisaka tipki mogu u stvarnom vremenu snimati unos, hvatajući ono što netko upiše prije nego što uopće pritisne pošalji. Alati za ponavljanje sesije mogu bilježiti pokrete miša, ponašanje pri pomicanju i obrasce klikanja kako bi rekonstruirali točno ono što je korisnik radio tijekom sesije. Presretanje komunikacije može se dogoditi kada poruke poslane kroz interni sustav platforme prolaze kroz infrastrukturu trećih strana prije nego što stignu na odredište.

Ni za što od toga nije potreban poseban pristup uređaju. Događa se unutar preglednika, unutar same platforme. Standardni antivirusni softver to ne označava. Roditeljski nadzori to ne blokiraju. Čak ni proširenja preglednika usmjerena na privatnost možda to neće uhvatiti ako su skripte duboko integrirane u vlastiti kod platforme.

Zbog toga su pristanak i obavijest na ugovornoj razini, između škola i dobavljača, toliko važni. Do trenutka kada učenik otvori Naviance, cjevovod podataka već je uspostavljen.

Što obitelji mogu učiniti da ograniče nadzor obrazovne tehnologije

Nagodba PowerSchoola neće biti posljednja takve vrste. Usvajanje obrazovne tehnologije nastavlja se širiti, a financijski poticaji za monetizaciju bihevioralnih podataka ostaju snažni. Ipak, obitelji nisu potpuno bez mogućnosti.

Zatražite inventar podataka. Prema FERPA-i, roditelji učenika mlađih od 18 godina imaju pravo zatražiti pristup obrazovnim zapisima. Škole bi također trebale moći dati popis dobavljača trećih strana s kojima dijele podatke učenika. Traženje tog popisa stavlja škole na znanje da obitelji obraćaju pozornost.

Pregledavajte godišnje pravila o školskoj tehnologiji. Mnogi okrugi ažuriraju svoja pravila o prihvatljivoj uporabi i privatnosti podataka na početku svake školske godine. Čitanje tih dokumenata, barem na sažetoj razini, može otkriti koje se platforme koriste i koje su prakse s podacima objavljene.

Koristite zaštite na razini preglednika gdje je to moguće. Iako se obitelji ne mogu uvijek isključiti iz platformi koje dodjeljuje škola, učenici koji za školski rad koriste osobne uređaje mogu imati koristi od preglednika ili proširenja usmjerenih na privatnost koji ograničavaju izvršavanje skripti trećih strana, sve dok takvi alati ne ometaju potrebnu funkcionalnost platforme.

Uključite školske odbore i administratore. Najučinkovitija dugoročna zaštita dolazi od institucionalne odgovornosti. Pitanja roditelja na sastancima školskog odbora o ugovorima s dobavljačima i revizijama podataka stvaraju pritisak za snažniji nadzor.

Budite informirani o incidentima u obrazovnoj tehnologiji. Slučaj PowerSchool i hakerski napad na Canvas od strane ShinyHunters dio su šireg obrasca. Razumijevanje da su povrede podataka učenika i nadzor ponavljajući problemi, a ne izolirani događaji, temelj je za zahtijevanje bolje zaštite.

Nagodba protiv PowerSchoola od 17,25 milijuna dolara značajan je ishod, no stvarni je značaj u tome što otkriva standardne industrijske prakse. Ako je platforma koju su milijuni učenika koristili pet godina mogla ugraditi neprijavljeni softver za praćenje, pitanje koje vrijedi postaviti nije samo što je radio Naviance, već što druge platforme obrazovne tehnologije možda rade upravo sada. Obitelji, nastavnici i kreatori politika svi imaju ulogu u traženju odgovora prije sljedeće nagodbe, a ne nakon nje.