西班牙数据保护机构(AEPD)近日宣布,对马德里一所天主教学校开出首张针对教育机构的个人罚单,原因是其不当使用谷歌教育管理平台,导致未成年人数据被用于非教学目的。监管机构指出,该校在三个关键方面违反了《通用数据保护条例》(GDPR):允许使用超出教育权利范围的个人数据、未向家长充分披露信息、且未进行充分的数据影响评估。
这一裁决发生在西班牙社会关于青少年科技使用的激烈争论背景下。近年来,许多家庭开始抵制过早向子女提供智能手机,呼吁回归纸质教材。西班牙议会正在审议《反屏幕法》,旨在规范学校中笔记本电脑和平板电脑的个体使用。此前,穆尔西亚和马德里自治区等地已限制设备使用,其他大区也在制定类似法规。多位家长因担心教室数字化问题,已向监察员或数据保护机构提出投诉,本案正是此类投诉的典型案例。
2024年4月,一位母亲向数据保护机构投诉称,其子女在小学阶段通过学校提供的谷歌Workspace for Education平台访问了与学习无关的内容,如YouTube和视频游戏。该平台是广泛使用的教育工具,包含发布笔记、布置作业、团队协作、邮件发送及存储演示文稿等功能,其中Google Classroom最为知名。投诉人还强调,学校从未告知其关于该平台的具体使用方式。
尽管学校在两次信息请求中声称已与家长沟通数据使用情况,但监管机构质疑沟通方式的有效性,认为未能证明所有家庭都获得了完整信息。更严重的是,学校仅告知了学生姓名、密码和年级等基础信息,却未说明平台会收集设备信息、访问记录及用户上传内容等敏感数据,也未告知数据将跨境传输至欧盟以外国家。
此外,监管机构认定该校的数据影响评估存在重大缺陷:未全面识别关键处理要素(如数据类型和跨境传输),未评估实际风险,也未进行符合GDPR要求的比例性分析。学校辩称数字工具是现代教学不可或缺的一部分,但监管机构反驳称,数据不仅用于教学服务,还被用于优化服务、提供推荐等超出教育范畴的目的,这违反了数据最小化原则。
鉴于531名拥有账户的学生均为未成年人,且学校明知并容忍了这些额外用途,监管机构将情节视为加重因素,最终处以2万欧元罚款,若在规定期限内支付可减至1.2万欧元。该校已支付罚款,表明其承认责任。同时,监管机构要求学校在三个月内整改,否则将启动新的处罚程序。
对此,学校发言人回应称,其始终秉持勤勉、负责态度,与监管机构充分合作,并提供了详尽的技术和法律文件。学校强调,谷歌平台仅用于封闭且受监督的教育环境,配置了适龄限制并关闭了非必要服务,确保学生数据安全且未隐瞒任何信息给家长。
西班牙作为欧盟成员国,其数据保护执法力度代表了欧洲对教育数字化的审慎态度。近年来,欧洲多国加强对教育科技公司的监管,强调儿童数据隐私优先。对于中国企业在拓展海外教育市场时,此案例警示:即便使用成熟平台,也必须确保数据处理目的严格限定于教育场景,跨境传输需合规,且必须向用户透明披露。教育科技产品的本地化不仅是语言适配,更是法律合规与信任构建的过程。