文章專區

2021-06-15遠距監考的代價:隱私、數位機會均等、電腦自主權 474 期

Author 作者 洪朝貴/朝陽科技大學資訊管理系副教授。
如果被大環境所逼迫,學生們必須在游泳池裡上體育課,田徑老師應該要求學生像在陸地上一樣地正常跑步嗎?如果賣教學輔具的廠商已經成功地把「錨定延長雙腿組」推銷給校方,讓學生戴上後可以穩穩地踩在兩公尺深的池底走路,又可保持頭在水面上正常呼吸,身為田徑老師的你,會要求學生採用嗎?

瘟疫蔓延下,線上考試防弊成為老師們的一大挑戰。美國許多大學幫老師們採購了「監考軟體」以便防止學生作弊,這類的「教學輔具」卻帶來更嚴重的副作用與新的頭痛問題。

 

侵犯隱私權的監考軟體

這些監考軟體的細節各有不同,但基本上都是要求學生在自己家裡的電腦安裝,並且接受監考軟體的監控,以防範考試時透過上網搜尋等等方式作弊。從Google搜尋趨勢來看,較熱門的監考軟體依序包含:ProctorU、Respondus、Proctorio、Honorlock、Examity等。

這類軟體大致包含以下的要求及
功能:
‧學生的電腦需有鏡頭與麥克風。
‧網路需穩定,避用wifi最好。
‧軟體會錄影桌面與環境。
‧軟體會將視窗最大化,並且禁止學生開啟其他應用軟體/瀏覽器視窗或分頁、禁止複製貼上。
‧有些軟體以人工智慧偵測學生的臉孔、眼睛轉動、頭部姿勢等等是否有「可疑的動作」。
‧考試開始時,學生必須拿著攝影機繞著房間巡視一圈,證明沒有其他作弊的機關。

這些操作與功能,對於學生的隱私都有高度的侵犯性。

如果我是學生或家長,第一優先擔心的就是生物資訊的外洩。諸如臉孔圖像與聲紋等等資訊,都是一輩子不能改的高度個人隱私資訊。我經常在課堂上提醒學生不要為了便利而採用(其實是監控技術的)指紋辨識登入手機。

視訊會議軟體跟監考軟體一樣,都有機會蒐集用戶的臉孔與聲紋。但兩者有一個很大的不同之處:視訊會議軟體比較不敢明目張膽分析這些資訊;而監考軟體則會很順理成章地,把這些資訊與學生姓名學號等等資料直接連結。

此外,Respondus甚至還蒐集另一個較少人關注的生物資訊:鍵盤使用行為。這有點類似中共集權政府,為了克服臉孔辨識面臨的口罩挑戰而開發、遠距離也適用的步態辨識技術。

當校方或教師透過考試的壓力要求學生把隱密的生物辨識資訊(多次)交給這些軟體公司時,是否已經觸犯法律?其他諸如瀏覽紀錄、已安裝或正在執行的應用軟體等等,也都因為涉及作弊的可能性而會被監考軟體詢問。但這些資訊就像是圖書館的借閱紀錄,(更應該)屬於個人隱私,學校與老師憑什麼要求學生接受商業公司翻閱?難怪關注隱私的公民團體EPIC會對這些公司提告。

 

收集了個資,然後呢?

更進一步,這些公司會不會把個資賣給大數據分析廠商呢?或是在後續因併購而進入數據分析公司之手?臉書積極布局VR頭盔市場,其中一個原因,可能就是看上它可以大量蒐集目光焦點,及未來可以蒐集腦波等等你我的隱私資料(也就是它的大數據)。那麼,這些監考軟體公司,是不是也有機會成為臉書或其他高度侵犯隱私公司的併購標的呢?

相關的隱憂不只於此,2014年時Proctoru的客戶資料被駭客盜走,2020年時被放在網路上販售。如果外洩的學生個資不只是姓名、地址、手機、email、雜湊過的密碼,而是生物資訊,學校跟老師有能力負責嗎?特別是如果以監考為由要求學生配合,對那些當初拒絕在自己的電腦上安裝非自由軟體的學生,老師學校要如何交代呢?

此外,在監考軟體中諸如「繞著房間巡視一圈」的要求,也帶出了更多侵犯實體世界隱私的問題。

身為老師,我從來不敢在線上課程要求學生這麼做;那麼又是誰賦予權利,允許這些軟體公司的AI及監考老師如此深度地入侵學生生活空間隱私呢?如果學生房間中有一些不希望被看到卻又不小心沒收好的(家人的)政黨旗幟、宗教經書、性愛玩具,這要算是學生自己的責任嗎?

這類技術同時也把數位機會歧視的問題,擴大到實體生活空間。舉例來說,如果學生的家庭空間有限、人口眾多,無法有個人的房間呢?需要幫忙看弟妹所以房門不能關?除此之外,有不少有色人種的學生抱怨被Proctorio嫌光線太暗,以致遲遲無法完成臉孔辨識、無法即時開始考試;還有些學生則因為家中網路不穩,導致於考試權益受到了影響。

 
監考軟體除了侵犯學生的隱私資訊,還可能進一步將相關資訊洩漏給數據分析商或駭客。(123RF)
 

如何對抗「遙控數位枷鎖」?

從技術的角度來看,這類技術跟數位權利管理(Digital Rights Management ) 類型的技術一樣, 都是rootkit型的惡意程式(malware):企圖取得電腦最高權限,並且限制電腦主人自由的惡意軟體。

我把它們通稱為「遙控數位枷鎖」,因為兩者都企圖把電腦的最高控制權從用戶(學生或數位內容閱聽者)的手中奪走並且轉移集中到遠方人士的手裡──也許是老師或著作權人,但更有可能的是(權力更集中的)軟體廠商。

儘管我不是學生,也沒有人要求我用這些軟體應試,身為堅持使用GNU/Linux的電腦玩家同時也是消費者權益與資訊人權的倡議者,我很感興趣的一件事是:如何與這類入侵我電腦的惡意軟體鬥智對抗?資安專家研究惡意軟體時經常採用的方法,就是把它關在一個虛擬
機裡面──就像把危險的病毒關在一個可控制的培養皿或試管裡面研究一樣。

那麼是否也可以用相同的方式對付監考軟體?尤其是那些要求Windows環境的監考軟體,平常用Linux工作的我(以及同樣具有資訊人權意識的學生)本來就非得這麼用不可。用虛擬機(virtual machine)與上述監考軟體的名字搜尋,可以找到很多建議。

但是一旦被關在虛擬機裡,監考軟體本身承諾的限制功能不就破功了嗎?事實上,從2010年起就有人建議用更簡單的遠端桌面軟體VNC來對抗Respondus公司的軟體Lock Down Browser。當然,軟體公司也不斷地推出反制措施。不過直到最近一年,仍有幾個成功把Proctorio關在虛擬機裡執行的報告。這些方法不僅客觀存在,主觀來說,從電腦老師的角度來看,我也會很樂意看見學生展現他們的技能,跨過這些喧賓奪主監控軟體的限制。

 

別讓「老大哥」趁著疫情入侵校園

富比士特約作者,也是科技與社會學者勞森(Sean Lawson)撰寫了一篇富含連結的文章來探討這類間諜軟體的諸多問題,並警告大家要小心伴隨著疫情趁勢入侵校園的這些「老大哥」。

不幸的是,美國似乎還有很多大學看不出這類技術與教育本質的衝突。這些老大哥不僅借病毒之助入侵學生的電腦,而且態度非常強硬高傲。加州大學聖塔芭芭拉分校針對學生隱私問題提出警告,竟被ProctorU控告誹謗。加拿大英屬哥倫比亞大學的員工在推特上評論Proctorio自家公開的訓練影片、邁阿密大學學生截取Proctorio的一小段程式碼加以評論,都被Proctorio以侵犯著作權為由提告⋯⋯。

 
監考軟體潛藏著監控思維,與教育現場鼓勵的好奇、主動、尊重隱私等均格格不入。(123RF)
 
值此疫情大作之際,臺灣的教育界會不會也被這些監控軟體入侵?

在此,筆者呼籲老師們回歸教育的本質去思考問題:這些監控軟體(及各公司「防弊像防賊」與「興訟以杜絕批評」的企業文化)所採取的踐踏用戶權益高傲姿態,對照我們在教育現場一直強調並希望啟發與鼓勵的好奇心、學習動機、尊重別人的自主性、互助與分享知識的精神,或者是隱私、消費者權益、數位機會均等、自由軟體等公民意識,全部都鮮明強烈地格格不入。大人們面對遠距教學的挑戰,如果採用如此缺乏想像力與判斷力、一味試圖配合舊思維的選擇,恐怕也將在下一代心中留下深刻的負面印象。

硬要監考線上的考試,就像是硬要在水裡上跑步課一樣不切實際。網路教學的確會讓某些實體課堂的活動變得極不方便,但在另一些方面也開啟了新的可能性,例如原本害羞的學生變得比較願意透過聊天文字視窗發言。老師們或許可以改採互評、共筆、聊天室窗回答等等方式來(部分)取代考試評量。當然老師們需要花時間學習與適應,畢竟這是新的大環境,我們無法改變,只能應變。如果體育課因大環境被迫在水裡上課,何不乾脆改教學生游泳與打水仗呢?這不是比較符合教育的本質嗎?

參考資料
1. Sean Lawso, Are Schools Forcing Students To Install Spyware That Invades Their Privacy As A Result Of The Coronavirus Lockdown?, https://reurl.cc/kZVN4q, 2020.
2. Thom Wiggers, Dissecting Proctorio, https://thomwiggers.nl/post/proctorio/, 2021.
3. Monica Chin, Privacy group files complaint against five online test-proctoring services, https://reurl.cc/3aN1o0, 2020.