Мировое соглашение PowerSchool на $17,25 млн по делу о слежке за учащимися через Naviance
Коллективный иск против PowerSchool на сумму $17,25 млн привлек новое внимание к практике, о существовании которой многие семьи даже не подозревали: негласное, постоянное наблюдение за учащимися через те самые платформы, которые школы обязывают их использовать. В центре иска оказалась Naviance — широко распространенный инструмент для подготовки к поступлению в вуз и планирования карьеры. Как утверждается, платформа встроила стороннее программное обеспечение для отслеживания, которое собирало нажатия клавиш, клики и личные сообщения учащихся без их согласия в период с 2021 по 2026 год. Это дело — один из самых ярких примеров того, как сбои в сфере конфиденциальности данных учащихся в образовательных технологиях могут оставаться незамеченными годами, прежде чем кто-либо понесет ответственность.
Что на самом деле собирала Naviance — и как долго
Naviance — далеко не нишевый инструмент. Ее используют миллионы старшеклассников по всей территории США в качестве централизованной платформы для отслеживания заявок в колледжи, профориентационного тестирования и академического планирования. Поскольку ее назначают школы, у учащихся и их семей, как правило, нет выбора, кроме как пользоваться ею.
Согласно иску, механизмы отслеживания, встроенные в Naviance, выходили далеко за рамки стандартной аналитики. Стороннее программное обеспечение предположительно фиксировало данные на уровне нажатий клавиш, а значит, каждый символ, набранный учеником, мог быть записан. Клики, схемы навигации и личные сообщения, как сообщается, также собирались. Такой тип сбора данных нельзя назвать пассивным. Он детализированный, поведенческий и во многих случаях раскрывает куда больше информации, чем простая запись о входе в систему.
Пожалуй, самым поразительным является хронология. Предполагаемое отслеживание длилось с 2021 по 2026 год — пятилетний период, в течение которого у миллионов учащихся могла быть собрана конфиденциальная информация без их ведома или ведома их родителей и опекунов. Согласие получено не было. Четкого уведомления не предоставлялось. Слежка по своей сути была невидимой.
Почему школьные платформы — «слепая зона» для конфиденциальности учащихся
Когда компания продает потребительское приложение и внедряет трекеры, у пользователей, по крайней мере теоретически, есть возможность отказаться. Когда школа обязывает использовать платформу, эта возможность исчезает. Учащиеся обязаны пользоваться инструментом, чтобы выполнять задания, подавать заявки или получать доступ к ресурсам. Это создает фундаментальную проблему согласия, которую действующее законодательство пока не в состоянии полностью решить.
Федеральные законы, такие как FERPA (Закон о правах семьи на образование и неприкосновенность частной жизни) и COPPA (Закон о защите конфиденциальности детей в интернете), обеспечивают некоторые базовые меры защиты, но они разрабатывались без учета сложности современных экосистем образовательных технологий. Школа может заключить договор с поставщиком. Этот поставщик может встроить сторонний код. Эти третьи стороны могут собирать данные. Каждый шаг может формально соответствовать существующим правилам, но при этом приводить к тому, что данные учащихся передаются компаниям, о которых семьи никогда не слышали.
Именно эта динамика делает дело PowerSchool значимым не только с точки зрения денежной суммы. Это задокументированный пример разрыва между соблюдением законодательства и подлинной прозрачностью. Тот факт, что отслеживание предположительно продолжалось пять лет без публичного уведомления, подчеркивает, насколько слабо родители и учащиеся обычно представляют себе, чем на самом деле занимаются школьные платформы.
Эта проблема не ограничивается пассивным отслеживанием. Как показал взлом Canvas хакерами ShinyHunters, раскрытие данных учащихся охватывает как скрытое наблюдение, так и активные кибератаки. Когда почти 275 миллионов записей учащихся оказались под угрозой в результате того инцидента, это подтвердило, что сектор образовательных технологий сталкивается с уязвимостями сразу с нескольких направлений.
Как работает скрытая запись нажатий клавиш и сообщений
Читателям, не знакомым с техническими аспектами, стоит понять, как этот тип отслеживания работает на практике. Сторонние скрипты отслеживания обычно встраиваются разработчиками платформы в процессе сборки. Когда пользователь загружает страницу, эти скрипты автоматически запускаются в фоновом режиме. Пользователь не видит ничего необычного.
Скрипты-кейлоггеры могут записывать ввод в режиме реального времени, фиксируя то, что человек печатает, еще до нажатия кнопки «Отправить». Инструменты воспроизведения сеанса могут записывать движения мыши, поведение при прокрутке и схемы кликов, чтобы восстановить точную картину действий пользователя во время сеанса. Перехват сообщений может происходить, когда сообщения, отправленные через внутреннюю систему платформы, проходят через стороннюю инфраструктуру до того, как попасть к адресату.
Для этого не требуется особого доступа к устройству. Все происходит внутри браузера, в рамках самой платформы. Стандартное антивирусное ПО это не регистрирует. Родительский контроль не блокирует. Даже расширения для браузера, ориентированные на конфиденциальность, могут не распознать эти скрипты, если они глубоко интегрированы в собственный код платформы.
Вот почему согласие и прозрачность на уровне договора между школой и поставщиком так важны. К тому моменту, когда учащийся открывает Naviance, канал передачи данных уже создан.
Что могут сделать семьи, чтобы ограничить слежку в образовательных технологиях
Мировое соглашение с PowerSchool не станет последним в своем роде. Внедрение образовательных технологий продолжает расширяться, а финансовые стимулы для монетизации поведенческих данных остаются значительными. Тем не менее, семьи не полностью лишены средств защиты.
Запросите реестр данных. Согласно FERPA, родители учащихся младше 18 лет имеют право запрашивать доступ к учебным записям. Школы также должны быть в состоянии предоставить список сторонних поставщиков, которым они передают данные учащихся. Запрос такого списка сигнализирует школе, что семьи внимательно следят за ситуацией.
Ежегодно изучайте политики школы в сфере технологий. Многие школьные округа обновляют свои политики допустимого использования и конфиденциальности данных в начале каждого учебного года. Ознакомление с этими документами, хотя бы поверхностное, может показать, какие платформы используются и какую информацию о работе с данными они раскрывают.
Используйте защиту на уровне браузера там, где это возможно. Хотя семьи не всегда могут отказаться от использования назначенных школой платформ, учащиеся, использующие личные устройства для учебы, могут извлечь выгоду из браузеров или расширений, ориентированных на конфиденциальность, которые ограничивают выполнение сторонних скриптов, если такие инструменты не мешают работе требуемой платформы.
Взаимодействуйте со школьными советами и администрацией. Самая эффективная долгосрочная защита обеспечивается институциональной подотчетностью. Вопросы от родителей на заседаниях школьного совета о вендорских контрактах и аудите данных создают давление, способствующее более строгому контролю.
Будьте в курсе инцидентов в сфере образовательных технологий. Дело PowerSchool и утечка Canvas от ShinyHunters — часть более широкой тенденции. Понимание того, что утечки данных учащихся и слежка — это повторяющиеся проблемы, а не единичные случаи, является основой для требования более надежной защиты.
Мировое соглашение с PowerSchool на сумму $17,25 млн — значимый результат, но его настоящая важность заключается в том, что оно говорит о стандартной отраслевой практике. Если платформа, используемая миллионами учащихся на протяжении пяти лет, могла встроить нераскрытое ПО для отслеживания, стоит спросить не только о том, что делала Naviance, но и о том, что прямо сейчас могут делать другие образовательные платформы. И семьи, и педагоги, и законодатели должны сыграть свою роль, требуя ответов сейчас, а не после следующего мирового соглашения.
