Acordul de 17,25 milioane de dolari al PowerSchool privind monitorizarea studenților prin Naviance

Acordul de 17,25 milioane de dolari al PowerSchool privind monitorizarea studenților prin Naviance

Un acord de 17,25 milioane de dolari într-un proces colectiv împotriva PowerSchool readuce în atenție o practică de care multe familii nici nu știau că există: supravegherea tăcută și continuă a elevilor prin chiar platformele pe care școlile le impun. Procesul s-a concentrat pe Naviance, un instrument utilizat pe scară largă pentru orientare în carieră și pregătire pentru facultate, și a susținut că platforma a încorporat software de urmărire terță care colecta tastele apăsate, clicurile și comunicările private ale elevilor fără consimțământ, din 2021 până în 2026. Acest caz este unul dintre cele mai clare exemple de până acum despre cum deficiențele de confidențialitate ale tehnologiei educaționale în urmărirea datelor elevilor pot persista ani de zile înainte ca cineva să fie tras la răspundere.

Ce colecta, de fapt, Naviance – și pentru cât timp

Naviance nu este un instrument de nișă. Folosit de milioane de elevi de liceu din Statele Unite, servește drept hub pentru urmărirea aplicațiilor la facultate, evaluări de carieră și planificare academică. Pentru că școlile îl impun, elevii și familiile nu au, de regulă, altă opțiune decât să îl folosească.

Conform procesului, urmărirea încorporată în Naviance a depășit cu mult analizele standard. Software-ul terț ar fi captat date la nivelul tastelor apăsate, ceea ce înseamnă că fiecare caracter tastat de un elev putea fi înregistrat. De asemenea, s-ar fi colectat clicuri, modele de navigare și comunicări private. Acest tip de colectare a datelor nu este pasivă. Este granulară, comportamentală și, în multe cazuri, mult mai revelatoare decât o simplă înregistrare a conectării.

Poate cel mai izbitor este intervalul de timp. Urmărirea s-ar fi desfășurat din 2021 până în 2026, o fereastră de cinci ani în care milioane de elevi ar fi putut avea informații sensibile colectate fără știrea lor sau a părinților/tutorilor. Nu s-a obținut niciun consimțământ. Nu s-a făcut nicio dezvăluire clară. Supravegherea a fost, prin design, invizibilă.

De ce platformele impuse de școli sunt un punct nevralgic pentru confidențialitatea elevilor

Când o companie vinde o aplicație pentru consumatori și încorporează module de urmărire, utilizatorii au cel puțin opțiunea teoretică de a refuza. Când o școală impune o platformă, această opțiune dispare. Elevii trebuie să folosească instrumentul pentru a-și face temele, a trimite aplicații sau a accesa resurse. Asta creează o problemă fundamentală de consimțământ pe care legile actuale au încercat, dar nu au reușit să o abordeze pe deplin.

Cadrele federale precum FERPA (Legea privind drepturile și confidențialitatea educației familiale) și COPPA (Legea privind protecția vieții private online a copiilor) oferă unele protecții de bază, dar nu au fost concepute având în vedere complexitatea ecosistemelor moderne de tehnologie educațională. O școală poate contracta un furnizor. Acel furnizor poate încorpora cod terț. Acele terțe părți pot colecta date. Fiecare pas poate respecta tehnic regulile existente, iar datele elevilor ajung tot la entități de care familiile nu au auzit niciodată.

Această dinamică face ca dosarul PowerSchool să fie semnificativ dincolo de suma implicată. Este un exemplu documentat al decalajului dintre conformitatea legală și transparența reală. Faptul că urmărirea s-ar fi desfășurat timp de cinci ani fără notificare publică subliniază cât de puțină vizibilitate au, de obicei, părinții și elevii asupra a ceea ce fac cu adevărat platformele școlare.

Această problemă nu se limitează la urmărirea pasivă. Așa cum a demonstrat breșa ShinyHunters asupra Canvas, expunerea datelor elevilor acoperă atât supravegherea ascunsă, cât și atacurile cibernetice active. Când aproape 275 de milioane de înregistrări ale elevilor au fost puse în pericol prin acel incident, s-a întărit ideea că sectorul edtech se confruntă simultan cu vulnerabilități din mai multe direcții.

Cum funcționează urmărirea ascunsă a tastelor și a comunicării

Pentru cititorii nefamiliarizați cu mecanismele tehnice, merită să înțelegem cum funcționează în practică acest tip de urmărire. Scripturile de urmărire terțe sunt de obicei încorporate de dezvoltatorii platformei în timpul procesului de construcție. Când un utilizator încarcă o pagină, acele scripturi se execută automat în fundal. Utilizatorul nu vede nimic neobișnuit.

Scripturile de înregistrare a tastelor pot capta introducerea în timp real, înregistrând ceea ce cineva tastează chiar înainte de a apăsa trimitere. Instrumentele de reînregistrare a sesiunii pot înregistra mișcările mouse-ului, comportamentul de derulare și modelele de clic pentru a reconstitui exact ce a făcut un utilizator într-o sesiune. Interceptarea comunicării poate avea loc atunci când mesajele trimise prin sistemul intern al unei platforme trec prin infrastructura terță înainte de a ajunge la destinație.

Nimic din toate acestea nu necesită acces special la un dispozitiv. Se întâmplă în interiorul browserului, în interiorul platformei în sine. Software-ul antivirus standard nu o semnalează. Controalele parentale nu o blochează. Chiar și extensiile de browser axate pe confidențialitate ar putea să nu le detecteze dacă scripturile sunt profund integrate în codul propriu al platformei.

De aceea, consimțământul și dezvăluirea la nivel de contract, între școli și furnizori, contează atât de mult. Până când un elev deschide Naviance, conducta de date a fost deja stabilită.

Ce pot face familiile pentru a limita supravegherea edtech

Acordul PowerSchool nu va fi ultimul de acest fel. Adoptarea tehnologiei educaționale continuă să se extindă, iar stimulentele financiare pentru a monetiza datele comportamentale rămân puternice. Cu toate acestea, familiile nu sunt complet lipsite de soluții.

Solicitați inventarul datelor. În conformitate cu FERPA, părinții elevilor sub 18 ani au dreptul de a solicita accesul la dosarele educaționale. Școlile ar trebui, de asemenea, să poată furniza o listă a furnizorilor terți cu care împărtășesc datele elevilor. Solicitarea acestei liste pune școlile în gardă că familiile sunt atente.

Examinați anual politicile tehnologice școlare. Multe districte își actualizează politicile de utilizare acceptabilă și confidențialitate a datelor la începutul fiecărui an școlar. Citirea acestor documente, chiar și la nivel de sinteză, poate dezvălui ce platforme sunt utilizate și ce practici de date sunt dezvăluite.

Folosiți protecții la nivel de browser unde este posibil. Deși familiile nu pot renunța întotdeauna la platformele impuse de școală, elevii care folosesc dispozitive personale pentru teme pot beneficia de browsere sau extensii axate pe confidențialitate care limitează executarea scripturilor terțe, acolo unde astfel de instrumente nu interferează cu funcționalitatea necesară a platformei.

Implicați consiliile școlare și administratorii. Cea mai eficientă protecție pe termen lung vine din responsabilizarea instituțională. Întrebările părinților la ședințele consiliului școlar despre contractele cu furnizorii și auditurile de date creează presiune pentru o supraveghere mai puternică.

Rămâneți informați despre incidentele edtech. Cazul PowerSchool și breșa ShinyHunters la Canvas fac parte dintr-un tipar mai larg. Înțelegerea faptului că breșele de date ale elevilor și supravegherea sunt probleme recurente, nu evenimente izolate, este fundația pentru a cere protecții mai bune.

Acordul de 17,25 milioane de dolari împotriva PowerSchool este un rezultat semnificativ, dar adevărata importanță constă în ceea ce dezvăluie despre practicile standard din industrie. Dacă o platformă folosită de milioane de elevi timp de cinci ani a putut încorpora software de urmărire nedezvăluit, întrebarea care merită pusă nu este doar ce făcea Naviance, ci ce ar putea face acum alte platforme edtech. Familiile, educatorii și factorii de decizie au cu toții un rol în a cere răspunsuri înainte de următorul acord, nu după.