免費的真的最貴?從教育現場使用雲端服務的資安爭議,談隱私面臨的各種威脅/施典志
上午一則標題聳動的新聞,引發了網路業界和鄉民的諸多討論。新創刊的《鏡周刊》爆料,標題說「貪谷歌免費帳號,柯文哲害35萬學童個資外洩」,內容指控台北市政府與Google簽約使用其免費雲端空間做為教育平台,但:
「Google看似完全免費的服務,其實是收集學童個人資料後,再轉賣或運用在廣告上謀利;而台北市政府除了隱瞞家長,將學生個資免費提供給Google外,更糟糕的是縱然事後家長得知實情,卻無法刪除早已被官員上傳的個人資料。」
這樣的指控其實未必有根據。事實上,據IThome的報導,Google早在2014年就已全面取消Google Apps(現已更名為G Suite)教育版的廣告,也不再掃描其中的Email。
而綜觀鏡傳媒的報導內文,並沒有直接採訪Google就個資問題提供官方說法。再者,根據Google自己的說明頁面,G Suite教育版不擁有學校及學生的資料,不會販賣這些資料,也不在其上刊登廣告;台北市教育局稍晚也出面澄清。所以鏡傳媒這篇報導的真實性是值得懷疑的。
不過,本文的重點並不在於替誰澄清有沒有個資外洩;我們想討論的是,教育現場的師生,乃至於所有個人使用者,到底該不該依賴各種科技產品與雲端服務,以及隨之而來的資料隱私與安全問題。
教育現場的科技產品、雲端服務應用
在教育現場使用各種資訊設備(電腦、平板)以及雲端服務,不只是趨勢,而且是正在日漸普遍的事實。根據Google表示,全球已有超過六千萬名師生使用G Suite教育平台。
從教學的實際成效來看,美國一項針對43萬多名學生、三萬五千位家長、四萬四千名教師進行的調查研究指出,資訊工具的輔助對學生的課業有許多正面幫助,對於學童學會各種生活必備知能也有俾益;學生學習的投入程度更高,對教師來說也帶來敎學上的幫助。
全球已有六千萬名師生使用線上教育平台與科技產品,對教學品質與學習成效確有助益。
對教育單位而言,建置自有的雲端平台不但耗費大量預算與時間,在提供的服務內容、技術與資安維護的能力上,也未必會比Google等大型廠商更佳;因此在教育現場使用大型廠商提供的雲端服務,從技術與成本的角度來看,可說是合理的選擇。
然而,師生在教育現場不只是使用雲端服務,也普遍使用筆記型電腦、平板電腦等科技產品;這些裝置本身也會記錄儲存各種個資與使用足跡,並且上傳到雲端平台。長期關注科技產品服務用戶人權與各種公益事務的「電子前鋒基金會」(Electronic Frontier Foundation)在一篇報告中就指出學生在使用科技產品和雲端服務時,可能被收集、傳輸的個資和使用足跡,可說巨細靡遺。以使用Google教育平台來說,會被收集、記錄、在Google各項服務(不只是其教育平台)之間流轉的資料和使用記錄,就包括了:
搜尋記錄
網頁點閱記錄
YouTube搜尋與觀看記錄
Gmail郵件內容
Google+個人檔案
文件、照片
如果師生使用的瀏覽器是Google Chrome的話,還有下列資訊也會被記錄、傳輸到Google:
瀏覽記錄
書籤
網站的帳號與密碼
在網站表單上填過的資料
安裝過的擴充套件
EFF進一步指出,儘管Google教育平台承諾不在教育平台之內將資料使用於商業目的,但並未承諾在師生在離開Google教育平台後,其資料也不會被商業性使用;EFF指出,Google自己的廣告聯播網Double Click,會將Cookie用於網路上超過數萬家商業網站上的廣告。當師生使用教育現場的裝置瀏覽非Google教育平台的網站時,其個資與使用足跡被記錄、追蹤、使用的情形,就和一般人的情形是完全相同的。
簡而言之,儘管Google教育平台承諾不會收集並使用師生的資料,但這僅限於Google教育平台內部而已;只要出了這個平台,用戶要承擔的個資外洩風險,就和一般網路使用者沒有兩樣。
就該用隱私換取便利?
教育現場面臨的問題,其實也是所有網路與科技產品用戶共同面臨的問題。舉例來說,許多人可能完全沒有意識到各種科技產品正在24小時收集個人資料,例如日漸普遍的穿戴式裝置,隨時都在記錄並傳輸穿戴者的生理數據、具備語音回應功能的手機或智慧助理,也在24小時監聽你身邊的所有聲音。
更不用說在手機或電腦上的各種App與服務,不論是基於善意或惡意,以及各種以國家社會安全為由的監控體系,也都日夜不間斷地收集、傳輸我們的一舉一動。
不只教育現場,只要使用科技產品和網路服務,就面臨個資安全風險。問題是,我們能因噎廢食嗎?
當愈來愈多個人、企業、組織日趨依賴科技產品與網路服務時,個資與使用足跡遭到追蹤、商業使用與外洩的風險就如影隨形,無可迴避。無怪乎Facebook CEO Mark Zuckerberg在2010年就說過「隱私將不再是未來社會的常規」;因為許多便利而低成本的服務(例如Facebook自身),正是用個人隱私為代價換取來的。
問題是,我們能接受,甚至應該接受這樣的「現實」嗎?
結語:資安教育與監督機制的必要性
事實上,資安隱憂絕對不只發生在教育現場的科技產品與雲端應用,而是存在於所有人使用科技產品和網路服務的每個當下。為了擔心這些而不用科技產品、不用網路服務,顯然也是因噎廢食,不切實際;但我們該如何在享受科技產品的同時,盡量保護自己的隱私?以下是我們的建議:
落實資安教育:不只是師生,全民都需要加強各種資安教育,例如使用高安全性密碼、具備辨識疑似惡意網站與軟體的能力、不任意點擊或安裝來路不明的網站與軟體、不分享來路不明或有安全疑慮的連結、不任意填寫個資、使用追蹤阻擋工具、使用瀏覽器的「私密瀏覽模式」與「勿追蹤」功能等等。具備資安知識,並養成好的使用習慣,才能在個人能力可及的範圍內保護自己。
強化各種監督機制:雖然許多人會認為應由國家立法規範各種個資的運用,但一來科技發展速度遠快過政府修法步調,二來政府自身也極可能就是侵害隱私的當事人。我們相信與其依靠政府,不如強化民間的監督力量;透過多元利益方共同參與的網路治理機制、公益團體和輿論的壓力,持續對可能使用個資牟利的公司或單位施壓,讓個資使用情形與相關的法令決策更加公開透明,方能持續改善個資的集體安全。