Врегулювання позову проти PowerSchool на $17,25 млн через відстеження учнів у Naviance

Врегулювання позову проти PowerSchool на $17,25 млн через відстеження учнів у Naviance

Колективний позов на $17,25 мільйона проти PowerSchool привертає нову увагу до практики, про існування якої багато сімей навіть не підозрювали: мовчазне, безперервне спостереження за учнями через ті самі платформи, які школи зобов’язують їх використовувати. Позов стосувався Naviance — широко використовуваного інструменту для підготовки до коледжу та кар’єри — і стверджував, що платформа вбудувала стороннє програмне забезпечення для відстеження, яке збирало натискання клавіш, кліки та приватні повідомлення учнів без їхньої згоди з 2021 по 2026 рік. Ця справа є одним із найяскравіших прикладів того, як порушення конфіденційності через відстеження даних учнів у освітніх технологіях можуть тривати роками, перш ніж когось притягнуть до відповідальності.

Що насправді збирав Naviance — і як довго

Naviance — не нішевий інструмент. Його використовують мільйони старшокласників у Сполучених Штатах; він слугує центром для відстеження заявок до коледжів, оцінювання кар’єрних орієнтирів та академічного планування. Оскільки школи призначають його, учні та їхні родини зазвичай не мають іншого вибору, окрім як ним користуватися.

Згідно з позовом, відстеження, вбудоване в Naviance, виходило далеко за межі стандартної аналітики. Стороннє програмне забезпечення нібито фіксувало дані на рівні натискань клавіш — тобто кожен символ, який друкував учень, міг бути записаний. Кліки, шаблони навігації та приватні повідомлення також, за повідомленнями, збиралися. Цей тип збору даних не є пасивним. Він деталізований, поведінковий і в багатьох випадках значно більш викривальний, ніж простий запис входу в систему.

Мабуть, найбільш вражаючим є часовий проміжок. Імовірне відстеження тривало з 2021 по 2026 рік — п’ятирічний період, протягом якого у мільйонів учнів могла збиратися конфіденційна інформація без їхнього відома або відома їхніх батьків чи опікунів. Жодної згоди отримано не було. Жодного чіткого розкриття інформації не було зроблено. Спостереження було, за задумом, невидимим.

Чому платформи, видані школами, є сліпою зоною для конфіденційності учнів

Коли компанія продає споживчий застосунок і вбудовує трекери, у користувачів принаймні є теоретична можливість відмовитися. Коли ж школа вимагає використовувати платформу, ця можливість зникає. Учні мусять використовувати інструмент, щоб виконувати завдання, подавати заявки або отримувати доступ до ресурсів. Це створює фундаментальну проблему зі згодою, яку чинні закони досі не змогли повноцінно вирішити.

Федеральні рамки, такі як FERPA (Закон про права сім’ї на освіту та конфіденційність) і COPPA (Закон про захист конфіденційності дітей в Інтернеті), забезпечують деякі базові захисти, але вони не розроблялися з урахуванням складнощів сучасних екосистем освітніх технологій. Школа може укласти договір з постачальником. Постачальник може вбудувати сторонній код. Треті сторони можуть збирати дані. Кожен крок може технічно відповідати чинним правилам, водночас все одно призводячи до того, що дані учнів потрапляють до організацій, про які родини ніколи не чули.

Саме ця динаміка робить справу PowerSchool значущою поза межами грошової суми. Це задокументований приклад розриву між юридичною відповідністю та справжньою прозорістю. Той факт, що відстеження нібито тривало п’ять років без публічного повідомлення, підкреслює, як мало батьки та учні зазвичай знають про те, що насправді роблять шкільні платформи.

Ця проблема не обмежується пасивним відстеженням. Як продемонстрував злам Canvas хакерами ShinyHunters, витік даних учнів охоплює як приховане спостереження, так і активні кібератаки. Коли майже 275 мільйонів записів учнів опинилися під загрозою через цей інцидент, це підтвердило, що сектор освітніх технологій стикається з уразливостями з кількох напрямків одночасно.

Як працює приховане відстеження натискань клавіш і комунікацій

Для читачів, незнайомих із технічними механізмами, варто зрозуміти, як цей тип відстеження діє на практиці. Сторонні скрипти відстеження зазвичай вбудовуються розробниками платформи під час процесу збірки. Коли користувач завантажує сторінку, ці скрипти автоматично виконуються у фоновому режимі. Користувач не бачить нічого незвичного.

Скрипти реєстрації натискань клавіш можуть записувати введення в реальному часі, фіксуючи те, що хтось друкує, ще до того, як він натисне кнопку відправки. Інструменти відтворення сеансів можуть записувати рухи миші, поведінку прокручування та шаблони кліків, щоб точно відтворити, що користувач робив під час сеансу. Перехоплення комунікацій може відбуватися, коли повідомлення, надіслані через внутрішню систему платформи, проходять через сторонню інфраструктуру, перш ніж досягти місця призначення.

Для цього не потрібен спеціальний доступ до пристрою. Це відбувається всередині браузера, в межах самої платформи. Стандартне антивірусне програмне забезпечення не позначає це. Батьківський контроль не блокує це. Навіть розширення браузера, орієнтовані на конфіденційність, можуть не виявити цього, якщо скрипти глибоко інтегровані у власний код платформи.

Ось чому згода та розкриття інформації на рівні контракту, між школами та постачальниками, мають таке велике значення. До моменту, коли учень відкриває Naviance, канал передачі даних уже налаштований.

Що родини можуть зробити, щоб обмежити стеження в освітніх технологіях

Врегулювання з PowerSchool не буде останнім у своєму роді. Використання освітніх технологій продовжує розширюватися, а фінансові стимули для монетизації поведінкових даних залишаються сильними. Тим не менш, родини не є повністю безпорадними.

Запитайте перелік даних. Згідно з FERPA, батьки учнів віком до 18 років мають право вимагати доступ до освітніх записів. Школи також повинні мати можливість надати список сторонніх постачальників, з якими вони діляться даними учнів. Запит цього списку дає школам сигнал, що родини звертають увагу.

Щороку переглядайте шкільні політики щодо технологій. Багато районів оновлюють свої політики прийнятного використання та конфіденційності даних на початку кожного навчального року. Читання цих документів, навіть на рівні резюме, може виявити, які платформи використовуються та які практики роботи з даними розкриваються.

Використовуйте захист на рівні браузера, де це можливо. Хоча родини не завжди можуть відмовитися від платформ, призначених школою, учні, які використовують особисті пристрої для навчання, можуть скористатися браузерами або розширеннями, орієнтованими на конфіденційність, які обмежують виконання сторонніх скриптів, якщо це не заважає необхідній функціональності платформи.

Залучайте шкільні ради та адміністраторів. Найефективніший довгостроковий захист походить від інституційної підзвітності. Запитання від батьків на засіданнях шкільної ради щодо контрактів із постачальниками та аудитів даних створюють тиск для більш жорсткого нагляду.

Будьте в курсі інцидентів у сфері освітніх технологій. Справа PowerSchool та злам Canvas хакерами ShinyHunters є частиною ширшої тенденції. Розуміння того, що витоки даних учнів і стеження є повторюваними проблемами, а не поодинокими подіями, є основою для вимоги кращого захисту.

Врегулювання на $17,25 мільйона проти PowerSchool є значним результатом, але справжня значущість полягає в тому, що воно розкриває про стандартні галузеві практики. Якщо платформа, яку використовували мільйони учнів протягом п’яти років, могла вбудувати нерозкрите програмне забезпечення для відстеження, то питання, яке варто поставити, полягає не лише в тому, що робив Naviance, а в тому, що інші освітні платформи, можливо, роблять прямо зараз. Родини, освітяни та політики — усі мають відігравати роль у вимаганні відповідей до наступного врегулювання, а не після нього.