PowerSchool因Naviance学生追踪问题支付1725万美元和解金

PowerSchool因Naviance学生追踪问题支付1725万美元和解金

一项针对PowerSchool的1725万美元集体诉讼和解金，正重新引起人们对一种许多家庭从未知晓的做法的关注：通过学校指定学生使用的平台，对学生进行悄无声息、持续不断的监视。这起诉讼聚焦于广泛使用的大学及职业准备工具Naviance，指控该平台嵌入了第三方跟踪软件，在未获同意的情况下，收集了2021年至2026年间学生的击键、点击和私密通信内容。此案是迄今为止最清晰的案例之一，表明在学生数据跟踪方面，教育科技隐私漏洞可能持续多年，才有人被追究责任。

Naviance实际收集了什么——以及持续了多久

Naviance并非小众工具。全美有数百万高中生使用它，将其作为大学申请跟踪、职业测评和学业规划的中心枢纽。由于是学校指定使用，学生和家庭通常别无选择，只能使用。

根据诉讼，嵌入Naviance的跟踪行为远超标准分析。第三方软件据称捕获了击键级数据，意味着学生输入的每个字符都可能被记录。点击、导航模式和私密通信据报也被采集。这类数据收集并非被动为之。它是细粒度的、行为性的，而且在很多情况下，远比简单的登录记录更能揭示信息。

或许最令人震惊的是时间线。据称，跟踪行为从2021年持续到2026年，在这五年间，可能有数百万学生的敏感信息在本人、父母或监护人毫不知情的情况下被收集。未获取任何同意。未进行任何清晰披露。这种监视在设计上就是隐形的。

为何学校指定平台成为学生隐私的盲区

当一家公司销售消费类应用并嵌入跟踪器时，用户至少在理论上有拒绝的选择。当学校强制使用某个平台时，这一选择便消失了。学生必须使用该工具来完成作业、提交申请或获取资源。这就造成了一个根本性的同意难题，现有法律一直难以完全应对。

诸如FERPA（《家庭教育权利和隐私法案》）和COPPA（《儿童在线隐私保护法案》）等联邦框架提供了一些基本保护，但它们在设计时并未考虑到现代教育科技生态系统的复杂性。学校可以与供应商签订合同。该供应商可以嵌入第三方代码。这些第三方可以收集数据。每一步在技术上可能都符合现行规定，但结果仍然是学生数据流向家庭从未听说过的实体。

这种动态使得PowerSchool案的意义超越了和解金额本身。它是一个有文件证明的例子，显示了合法合规与真正透明度之间的差距。据称跟踪行为在未引发公众注意的情况下持续了五年之久，这一事实凸显出家长和学生对学校平台的实际运作方式通常了解甚少。

此问题不仅限于被动跟踪。正如ShinyHunters入侵Canvas事件所表明的那样，学生数据泄露横跨隐蔽监视和主动网络攻击两大领域。当那次事件导致近2.75亿条学生记录面临风险时，它更加印证了教育科技行业同时面对来自多个方向的漏洞。

隐藏的击键和通信跟踪如何运作

对于不熟悉技术细节的读者，有必要了解这类跟踪在实践中是如何操作的。第三方跟踪脚本通常由平台开发者在构建过程中嵌入。当用户加载页面时，这些脚本会在后台自动执行。用户不会看到任何异常。

击键记录脚本可以实时捕获输入内容，记录下一个人在点击提交之前所键入的内容。会话回放工具可以记录鼠标移动、滚动行为和点击模式，以重建用户在一次会话中的确切操作。通信拦截可能发生在通过平台内部系统发送的消息在到达目的地之前经过第三方基础设施的情况下。

这一切都不需要对设备进行特殊访问。它发生在浏览器内部，在平台自身之中。标准防病毒软件不会标记它。家长控制无法阻止它。如果脚本深度集成到平台自身的代码中，即使是注重隐私的浏览器扩展也可能无法捕获它。

正因如此，在合同层面，即学校与供应商之间，进行同意和披露才如此重要。当学生打开Naviance时，数据管道早已建立就绪。

家庭可以采取哪些措施来限制教育科技监控

PowerSchool的和解不会是最后一起此类事件。教育科技的采用持续扩大，将行为数据变现的经济动机依然强烈。即便如此，家庭并非完全无法应对。

索取数据清单。 根据FERPA，18岁以下学生的家长有权要求查阅教育记录。学校也应能提供一份与之共享学生数据的第三方供应商名单。索取这份名单会让学校意识到，家庭正在关注此事。

每年审查学校的技术政策。 许多学区在每个学年开始时都会更新其可接受使用和数据隐私政策。阅读这些文件，哪怕是概要性阅读，也能揭示正在使用哪些平台以及披露了哪些数据实践。

尽可能使用浏览器级别的保护。 虽然家庭通常无法选择不使用学校指定的平台，但学生使用个人设备完成学业时，可以从注重隐私的浏览器或扩展中获益，这些工具可以在不干扰所需平台功能的情况下，限制第三方脚本的执行。

与校董会和行政人员沟通。 最有效的长期保护来自机构问责制。家长在校董会议上就供应商合同和数据审计提出的疑问，会形成压力，促使加强监督。

及时了解教育科技事件。 PowerSchool案和ShinyHunters入侵Canvas事件都属于一种更广泛的模式。认识到学生数据泄露和监控是反复出现的问题，而非孤立事件，是要求更好保护的基础。

对PowerSchool的1725万美元和解是一个有意义的结果，但其真正的意义在于它所揭示的行业标准做法。如果一个数百万学生使用了五年的平台可以嵌入未公开的跟踪软件，那么值得一问的不仅是Naviance一直在做什么，还有此刻其他教育科技平台可能正在做什么。家庭、教育工作者和政策制定者都有责任在下一次和解到来之前——而非之后——要求得到答案。