教育中的 PDF:教师与学校的隐私
学校的 PDF 承载着关于未成年人的数据:成绩单、学籍记录、家长同意书。为什么它们绝不该被传到上传网站,以及如何在本地处理它们。
学期的最后一周。一位老师手上有三十份各自独立的成绩单 PDF,需要把它们合并成一个文件放进年级文件夹。学校的笔记本电脑上没装任何能干这活的软件,于是她搜索「合并 PDF」,打开第一个搜索结果,把三十份写满学生姓名、分数和行为评语的文档拖进去,点了那个按钮。
合并后的文件下载好了。文件夹更新了。没人察觉到什么。但那三十份成绩单刚刚离开了学校,落到了一家这位老师从未听说过的公司所运营的服务器上,而它们每一份说的都是一个孩子的事。
这不是法律意见,我也不是你的数据保护负责人。每所学校都有自己的政策,也都有自己的数据保护官(DPO)要对其负责。但教育是建立在关于未成年人的数据之上的,而这恰恰是法律守护得最严密的那类数据。所以,在下一个截止日期把某个人推向某个随便找来的工具之前,把利害关系讲清楚是值得的。
学校的 PDF 里满是孩子的数据
想想一所学校每周在纸面和屏幕上产出些什么。带分数的成绩单。带住址和出生日期的学籍记录。郊游的家长同意书。病史和过敏登记表。学生保护方面的记录。免费校餐的资格信息。特殊教育需求计划。其中几乎每一项都能指向某个特定的孩子,而且很多内容触及到法律视为额外敏感的事项,比如健康。
GDPR 给予孩子的数据专门的保护。道理很简单:孩子对风险的意识更弱,而一次泄露的后果会跟着他们很多年。一份泄露的成绩单没法像密码那样重置。一条被披露的学生保护记录可能造成真实的伤害。所以当一所学校处理这些文件时,要做得谨慎,其标准比几乎任何其他场合都更高。
而且责任落在学校身上。在 GDPR 之下,学校就是这些数据的控制者。这份义务不会因为现在是七月、大家都累了、合并又必须现在做完,就暂停。
上传网站会拿那个文件做什么
当那份 PDF 被送到一个在线工具时,它就脱离了学校的掌控。它跑到一台学校并不运营的服务器上,在那里被处理,而且在任何东西返回之前,它可能被缓存、被排队、被复制。工具背后的那家公司成了代表学校行事的处理者,而学校仍然是要对整件事负责的控制者。
这种安排是有附加条件的。学校理应与那个处理者签有一份书面合同,写明他们可以拿这些数据做什么、何时删除它们。对于一个通过搜索找来的免费工具,学校什么都没有。没有合同,不知道服务器在哪里,没办法说清还有谁能碰到那个文件。如果那些服务器在欧盟之外,那么学校还做出了一次孩子数据的跨境传输——而这正是 GDPR 设下最多阻力的那类事情。
如果学生数据通过一项学校无法担保的服务被暴露出去,这可能构成一次个人数据泄露事件。涉及孩子的泄露,是监管机构和家长反应最激烈的那一类。通报、一场调查,以及一封非常尴尬的家长信,全都会从这一次匆忙的上传中接踵而来。
最让人恼火的是,这件任务本身——合并或保护几个文件——从来就不需要离开校舍。
在你自己的机器上处理学校的 PDF
解决办法在这里,而且它比问题本身要轻得多。如果 PDF 从不离开你的设备,就没有任何外部处理者碰到它。没有合同要去追,没有传输要去论证,没有第三方可能泄露一个孩子的记录。学校依然是控制者,依然欠学生那份一贯的谨慎,但整整一层风险根本就不存在了,因为数据留在了原地。
这正是那些完全在你浏览器里运行的工具背后的理念。代码在本地、在你电脑的内存里完成工作,文件原地不动。我们就是这样打造 reader.me 的。当你合并或保护一份学校的 PDF 时,它是在你的浏览器里被处理的,从不会到达我们的任何服务器。如果你想要证据,打开浏览器的开发者工具,在你操作时盯着 Network 标签页,你会看到没有任何带着你文档的东西发出去。
三件活儿就覆盖了学校所需的大部分场景:
- 用合并 PDF把所有那些成绩单拢进一个文档,就在笔记本电脑上,不用上传。
- 用保护 PDF给一个敏感文件加上密码,在它去往任何地方之前就把它锁住,这样一份同意书或一条记录在到达家长的收件箱之前就已被加密。
- 用签署 PDF给一张表格或一封信加上你的签名,不必先打印、扫描,或把文档发给一个陌生人。
给教师休息室的几个习惯
- 把每一份学生文档都当作关于未成年人的数据来对待。 成绩单、学籍记录、郊游表格和特殊教育需求计划都算,哪怕只是一页扫描件。
- 绝不要把学生文件拖进随便找来的在线工具。 没有合同、服务器位置不明,就意味着孩子的数据不去那里,没有例外。
- 对于合并、保护、签署这类日常活儿,默认使用在你浏览器里运行的工具。 如果它能在本地完成,就没有处理者要去审查,也没有任何东西跨越国境。
- 在送回家之前先把文件锁上。 给 PDF 加个密码,胜过往班级群发邮件里塞一个不设防的附件。
- 在采用任何处理学生文件的工具之前,先和学校里负责数据保护的人确认一下。 他们会感谢你的。
围绕孩子数据的规则听起来很重,它们也确实重,因为这些数据本身就重。但日常的解决办法很小。把文件留在你的机器上,使用不上传的工具,问题中最沉重的那部分就永远到不了你这里。如果你想看更长的版本,了解上传是怎样触发这些义务的,我另外写过一篇GDPR 与上传 PDF。