校园软件非法收集学生敏感数据,美校方与企业和解赔偿近 1.2 亿元!
作者:修BUG | 发布时间:
2026 年 2 月 27 日消息,美国芝加哥公立学校与教育软件巨头 PowerSchool 因被指控非法窃听学生、系统性收集数百万学生敏感个人数据,达成集体诉讼和解协议,双方将共同支付 1725 万美元(约合人民币 1.18 亿元)了结此案。这也是首例针对校园强制使用教育技术产品过程中,相关方涉嫌隐私侵权的诉讼,再度引发各界对校园数据隐私保护的高度关注。
此次诉讼由一名身份标识为 Q.J. 的学生发起,该学生已于 2 月 23 日向美国伊利诺伊州一名联邦法官提交申请,请求批准这份拟议的和解协议并正式终结案件。诉状中明确指控,PowerSchool 及其子公司 Hobsons, Inc.,联合数据分析公司 Heap Inc.,在学生使用学校强制要求的教育技术产品期间,通过秘密记录学生通信内容的方式,非法收集了数百万名学生的敏感个人数据,严重侵犯学生隐私权益。
值得注意的是,Heap Inc. 目前已从伊利诺伊州的这起集体诉讼中被移除,其相关侵权指控案件正在纽约法院审理,尚未有最终定论。而芝加哥公立学校因放任涉事企业的侵权行为,也成为被告之一,需与 PowerSchool 共同承担和解相关责任,双方将联合出资设立和解基金。
根据和解条款的动议文件显示,此次 1725 万美元的赔偿款,将在超 1000 万名符合条件的集体成员之间进行分配。法院明确界定了赔偿覆盖范围:2021 年 8 月至 2026 年 1 月期间,所有登录过 PowerSchool 旗下 Naviance 平台的人员,均属于本次和解的集体成员,可参与赔偿分配。
除了资金赔偿,和解协议还对涉事方提出了一系列硬性的整改要求,以此防范后续再出现类似的隐私侵权问题。其中,PowerSchool 需成立专门的 “网络治理” 委员会,全程监督其在 Naviance 平台上对广告技术的使用规范;同时未来两年内,不得在该平台中使用任何第三方软件或代码。此外,PowerSchool 还需责令 Heap 及其他合作供应商,彻底删除所有集体成员的相关数据,并大幅强化自身的隐私信息披露措施,让数据使用行为更加透明。
芝加哥公立学校也在和解协议中作出承诺,后续将建立严格的供应商合规审核机制,强制要求合作的技术供应商每年提供合规认证,以此确保供应商严格遵守美国州及联邦层面的隐私相关法律,从校方层面把好数据隐私保护关。
这起隐私侵权诉讼的追溯时间最早可至 2023 年 8 月,原告 Q.J. 在诉状中指出,PowerSchool 与 Hobsons 对外宣称高度重视学生隐私保护,但其实际行为却与之相悖 —— 双方通过在线问卷、学习评估工具等多种渠道,非法收集学生的学籍记录、个人机密信息等敏感数据,形成了系统性的隐私侵权行为,而芝加哥公立学校对此视而不见,放任这些企业侵犯学生隐私。
截至目前,芝加哥公立学校尚未对该事件及和解协议作出任何回应;PowerSchool 的一名发言人则发表声明称,公司已与原告达成和解协议,且此次和解是在不承认存在任何不当行为的前提下进行的。该发言人还表示,公司将继续专注于为客户提供安全可靠的技术产品,确保为客户发展提供全方位的支持。
事实上,PowerSchool 在数据安全和隐私保护方面早已暴露出重大漏洞,此次的隐私侵权诉讼并非个例。2025 年 1 月,该公司曾官宣遭遇严重的黑客攻击事件,因自身网络安全措施存在明显短板,包括未启用多因素认证等关键防护手段,导致黑客成功窃取了海量敏感数据。此次数据泄露涉及 6200 万名学生、950 万名教师,泄露的信息包含特殊教育身份、心理健康细节、学生纪律记录以及家长限制令等高度敏感内容。该事件发生后,PowerSchool 已因此身陷多起相关诉讼,其数据安全防护能力也遭到了外界的广泛质疑和诟病。
信息来源:安全内参