在线监考的现状以及 GDPR 与美国法律的交叉
随着远程学习的兴起,在线监考(用于确保虚拟考试期间的学术诚信)已被美国各地的学校和大学广泛采用。这些工具使用身份验证、视频和音频监控、眼动追踪甚至基于人工智能的行为分析等方法。随着这项技术的普及,人们对此类软件如何收集、处理和存储敏感个人数据的担忧日益增加。在线监考最具争议的方面之一是使用人工智能对学生进行分析,分析他们的行为、目光和动作以标记可疑活动。这种自动化决策不仅会侵犯隐私,还可能导致不公平待遇,引发人们对其在欧洲和美国隐私法下的合法性的担忧。GDPR 和在线监考的隐私考虑
对于向欧洲经济区 (EEA) 教育机构提供工具的美国监考服务机构来说,通用数据保护条例 (GDPR) 是一个至关重要的法律框架。在线监考可能涉及分析。根据艺术。 4 段GDPR 中的第 4 条将分析定义为对个人数据进行任何自动化处理,以评估或预测个人方面(例如行为、可靠性或表现)。当监考软件使用分析来评估学生作弊的可能性时,它就属于这个定义。
根据艺术。 22 GDPR 规定,数据主体有权不受仅基于自动化处理(包括分析)的决策的约束,这些决策可能会对其产生法律或重大影响。如果通过自动化手段或算法根据学生作弊的可能性对其进行分类,这将导致自动决策。在线监考的背景下,这意味着学生不应该仅仅由人工智能系统来评判,除非他们根据《艺术》明确同意。 6 段1 升GDPR。这至关重要,因为影响学生学业成绩的分析可能会产生严重后果,需要强有力的保障措施来确保公平。
此外,如果监考软件处理特殊类别的数据,例如生物特征信息(例如面部识别或指纹扫描),意大利商业传真列表 则需要根据《条例》明确同意。 9 段2 升。 GDPR。机构必须确保学生充分了解他们的数据将如何被使用、处理和存储,并且必须提供选择退出此类分析的选项。
美国联邦隐私法和在线监考
在美国,在线监考必须遵守两项主要联邦法律:
家庭教育权利和隐私法案 (FERPA):FERPA 确保学生教育记录的保密性。根据《家庭教育权和隐私法》,教育机构在分享个人身份信息(包括在监考考试期间收集的数据)之前,必须获得学生(或未成年人父母)的明确书面同意。录制视频、音频或捕获敏感数据的监考工具必须确保严格将这些数据用于教育目的。
儿童在线隐私保护法案 (COPPA):该法律适用于 13 岁以下的儿童,并要求在线服务(包括监考工具)在收集个人信息之前获得父母同意。这在可能使用监考的 K-12 环境(小学和中学教育)中尤其重要。
FERPA 和 COPPA 都强调知情同意的必要性,确保学生数据得到谨慎处理并仅用于其预期目的。使用监考工具的机构必须严格控制谁有权访问这些数据,并确保这些数据不会被滥用或用于非教育目的。
影响在线监考的州特定法律
除联邦法律外,一些州还实施了自己的法律,直接影响在线监考工具的使用。虽然这些法律因州而异,但它们具有同意、透明度和数据使用限制的共同主题。以下是一些主要示例:
加利福尼亚州:加利福尼亚州凭借其严格的隐私法在规范在线监考方面处于领先地位。2022 年通过的参议院法案(“SB”)1172《学生考生隐私保护》专门解决了在线考试中的学生隐私问题。该法案禁止监考公司收集、保留或分享考试所需以外的个人数据。违反规定可能导致巨额罚款,每次罚款高达 1,000 美元。《加州隐私权法案》(CPRA)要求企业披露自动决策过程背后的逻辑以及可能对消费者产生的结果,确保人工智能驱动的监考工具的透明度。此外,加州的《学生在线个人信息保护法案》(SOPIPA)禁止将学生数据用于非教育目的,例如定向广告,而第 1584 号议会法案允许学校与符合 FERPA 的第三方签订合同来管理学生数据。
弗吉尼亚州:《弗吉尼亚州消费者数据保护法案》(VCDPA)规定,处理敏感个人数据(包括生物特征信息)必须获得明确同意。重要的是,它还赋予消费者选择退出自动决策的权利,这可能会影响人工智能在在线监考中的使用。
科罗拉多州:《科罗拉多州隐私法案》自 2023 年 7 月起生效,要求监考服务在收集生物特征数据之前获得同意。它还执行严格的数据保护标准,包括定期评估个人数据的存储是否真正符合其预期目的。
康涅狄格州:与科罗拉多州和弗吉尼亚州类似,康涅狄格州数据隐私法案 (CTDPA)将于 2023 年 7 月生效,对生物特征数据处理施加严格的同意要求。它还要求机构对人工智能分析等高风险流程进行数据保护影响评估 (DPIA)。
蒙大拿州和德克萨斯州:蒙大拿州(《蒙大拿州消费者数据隐私法案》,MTCDPA)和德克萨斯州(《德克萨斯州数据隐私和安全法案》,TDPSA)均出台了新的隐私法,将对在线监考中敏感个人数据的使用施加类似的限制,强调数据处理中的同意、透明度和问责制。
佛罗里达州:佛罗里达州数字权利法案 (FDBR) 要求处理敏感数据(例如种族或民族血统以及用于身份识别的生物特征数据)时必须获得同意。虽然 FDBR 缺乏关于避免自动化决策的具体规定,但它确实允许个人选择退出导致重大法律或类似影响的数据处理(第 501.705(2.e) 条)。
頁:
[1]