当前位置:首页 > 教育资讯

学生隐私在教育培训机构间“裸奔”, 信息安全如何上保险?

“家乐妈妈您好,我们是一线名师一对一辅导机构,现在有2小时的免费试听课,您什么时间方便,带孩子来试听一下吧。”

“您家孩子今年六年级了吧?是不是该上初一了?孩子成绩怎么样?学校排名如何?班课效果不好,还是考虑给孩子报一对一,更有针对性......”

近来,北京家长申柳每天都会接到来自多个校外培训机构的类似推销电话,尤其令她气愤的是,教育培训机构的销售人员不仅准确地报出了她家孩子的姓名、年级,甚至,手机接收到的信息显示,儿子的名字也一字不差,让人细思极恐。

学习教育类服务APP等数字化平台若不采集学生的个人隐私信息,就无法提供服务吗?

“对于用户而言,我们不采集任何个人用户的私人信息,只知道用户使用手机或电脑的型号、网络类型(即使用的是WiFi还是4G)等必需的信息,以判断匹配设备的兼容性,不涉及人物画像。”全球实时互动云服务商声网Agora产品市场负责人朱超华向未来网记者说道,“用户完全不用担心隐私泄露和信息安全。”

学生隐私信息“裸奔”成行业潜规则

未来网记者获悉,事实上,申柳遇到的信息安全泄露问题并非个案,学生的个人隐私信息在教育培训机构之间“裸奔”几乎成了行业习以为常的潜规则。

据多位用户反映,许多学习教育类服务APP都在采集用户手机号,还有姓名、年级等信息,甚至,要求使用者授权APP可以读取相册、通讯录等更加隐私的信息。

2020年底,在公安部部署的中小学生网课集中整治专项行动中,上海市公安机关发现近80款教育类APP存在超范围采集公民个人信息等违规行为。比如,上海某信息科技有限公司旗下的“轻轻教育”APP未经同意,擅自要求用户授权拍摄、录音、读取通讯录、编辑通讯录、拨打电话等个人信息。

将于5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“规定”)明确了39种常见类型App的必要个人信息范围,必要个人信息,“是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。”针对学习教育类,基本功能服务为“在线辅导、网络课堂等”,必要个人信息为“注册用户移动电话号码”。

规定第三条指出,“本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”

截图自国家互联网信息办公室官网

根据规定,前述学习类APP要求用户授权相册、录音、通讯录等个人信息显然超出了“必要个人信息”的范畴,属于过度采集个人信息。

中国政法大学传播法研究中心副主任朱巍向未来网记者表示,此前,老百姓不清楚APP强制的授权信息是否违规,现在,四部门联合发布的规定明确了常见APP索权的边界,用户可以直接对照规定,及时发现不合理索权,确保个人信息得到保护。

筑起个人信息屏障,在线服务平台是不想还是不能?

工信部副部长刘烈宏曾指出,有的App私自收集这些信息有商业利益驱动,超出用户许可范围实施大数据汇聚分析,还原用户画像,进行广告的精准推送,带来风险隐患,引发用户不安。

尤其是,随着在线教育服务的快速发展,如今,无论使用直播课还是录播课云服务,学生们都要面对个人隐私信息授权和学习数据泄露的风险。对于家长而言,学生在线上课的数据更详细,信息量更大,庞大的动态数据安全问题更值得关注。人们翘首以盼教育市场上合规采集未成年学生个人信息的平台。

有没有办法为个人信息安全上一道保险,筑起保护屏障呢?

“无论是使用我们的PaaS系统,还是aPaaS系统,我们都不会保存运营方(教育培训机构)使用过程中产生的用户数据。”大家担心的直播平台的数据安全考验着云服务商的技术和社会责任感。对此,朱超华表示,“声网只提供接口,即把上课过程中产生的数据保存到教育培训机构指定的服务器,不会保存他的数据。”

据悉,SaaS、PaaS和aPaaS底层直播系统平台对于数据的处理不尽相同。

使用SaaS平台,教育培训机构需要把所有老师、学生的资料都输入到该系统,教培机构的排课表也必须录入该系统,这就意味着教培机构的数据安全掌握在第三方开发平台手中;PaaS系统相当于一个SDK,第三方开发平台完全不保存使用者的信息,也不会采集老师的信息,用户通过一个ID就进来了,第三方开发平台并不知道使用者是谁;如果使用低代码或零代码的aPaaS系统,课中会产生一些临时数据,课程结束后,可以通过服务端接口同步到使用方(比如培训机构)自己的数据库,第三方平台可以选择保存或销毁这些数据。

“课程结束后,数据就会被全部销毁,我们平台不保存。”朱超华向未来网记者解释道,目前,国内对信息安全和个人隐私的关注越来越高,声网的做法是通过全球性安全合规认证,并与全球安全机构合作,经常做网络漏洞的扫描和修复,全面满足GDPR、CCPA隐私法规要求。同时,网络架构和基础设施符合SOC2,确保物理和虚拟访问都得到有效管理、监控和控制。

“一方面,不采集任何个人用户的私人信息;另一方面,充分保证使用过程中产生数据的信息安全。”朱超华再次强调。

(应受访者要求,文中学生和家长为化名。)

少年必读

《曹文轩经典文学系列》(草房子+青铜葵花+细米 插图版)

本文来自网络,不代表教育资讯立场,转载请注明出处。