那么他们在哪里坚持新的欧洲隐私法
在不到三周的时间内,严格的隐私法规将对欧盟生效。这迫使全球的公司和大学重新评估他们的数据政策和实践。
对于横跨大学和私营部门的大规模开放式在线课程,对合规性的期望是不明智的。
新法律,即通用数据保护条例(GDPR),将要求任何为欧盟居民处理个人数据的实体尊重个人取消其信息的权利。法律还要求公司在共享数据之前得到用户的明确同意,并且还包括许多其他数据保护。对于跨行业的组织来说,为监管做准备一直是令人眼花缭乱的经历。
“很多[实体]面临的最大挑战是他们试图实施一项尚未生效的法律,并且写得很广泛,”Cooley的律师Matthew Johnson表示,他专注于高等教育机构和edtech公司。
在许多情况下,学院和大学可能会受到欧洲严格的隐私法的约束。例如,当在欧盟工作的教员与学院的学习管理系统进行交互时,或者当欧洲的未来学生申请加入美国院校时,学院将受规则管辖。
Inside Higher Ed此前报道称,许多机构正在努力为即将出台的法规做准备。对于拥有大量开放式在线课程的大学而言,这个问题更加棘手,这些课程采用外部学习平台,为全球数百万学习者提供免费或低成本的数字课程。
例如,MOOC提供商Coursera声称在欧洲有650万。在所有地区,欧洲拥有世界上MOOC用户最集中的地区之一。免费在线课程评论网站Class Central的一项研究发现,其近20%的用户位于欧洲。(美国用户占调查受访者的三分之一。)
“在我的课程中,我们有相当多的欧洲学生,”德克萨斯大学阿灵顿分校LINK研究实验室的副主任贾斯汀·戴林格说,他在edX上教授学习分析基础知识的MOOC。
Dellinger和Johnson都表示,GDPR合规的大部分责任都落在MOOC平台上,但鉴于学生数据与合作机构共享的普遍程度,它仍然常常不清楚。
对于他们来说,一些MOOC提供商已经采取了合规措施。Coursera的一位发言人在一封电子邮件中表示,该公司正在“改革其使用条款,隐私政策,并制定新的Cookie政策,让学员了解我们如何使用他们的数据。这也意味着引入新的产品功能,包括同意跟踪,数据可移植性以及被遗忘的权利。“
Coursera已经发布了满足GDPR要求的服务条款更新。当被问及公司是否计划审查教师数据收集实践时,发言人表示,Coursera“正在与大学合作伙伴密切合作,共同采取GDPR合规所需的措施。”
GDPR将于5月25日生效,未遵守规定可能导致2000万欧元的罚款或该实体全球年收入的4%,具体取决于更大的收益。但有一点需要注意:“执行此操作的每个主管当局都将决定应该采用哪种[后果],”约翰逊解释道。“很多条款都可以解释。”
围绕解释的问题让戴林格想知道像他一样的教师的角色,他们收集有关学生支持问题的信息,如技术挑战或对后续跟进进行评分。教师从他的edX课程中收集到的那种个人数据存储在他的个人设备上。对于在线和面对面讲师来说,这是一种常见的做法,但隐私法规要求Dellinger质疑他所担任的教师可能需要做些什么才能遵守。
Dellinger表示他已经接触过edX,但是截至5月1日,如果该机构或教师需要遵循的具体步骤才能符合要求,该平台就没有共享。
EdSurge还向edX询问了有关机构和教师之间数据共享的计划,以及是否已通知合规计划或是否需要采取任何措施。非营利组织MOOC平台仅为其隐私更新提供了广泛的计划:“为准备GDPR,edX网站的隐私政策正在更新,以帮助确保学习者了解可能收集的信息类型及其使用方式。这些更新还阐明了学习者如何管理他们的数据,“edX的发言人在一封电子邮件中写道。
不确定性引发了围绕GDPR“被遗忘权”规则的另一个考虑因素。如果学生希望从MOOC平台上删除他们的数据,是否会通知所有机构和讲师删除该信息?在Coursera,它取决于与学校的合同。发言人说:“此类请求受我们与大学合作伙伴签署的数据保护修正案的约束。” “个人数据的删除将根据数据保护条款和GDPR修正案进行处理,该修正案规定了Coursera和各机构的职责。”同时,edX没有提供特定问题的答案。
一些MOOC教员不太关心。“基本上这取决于Coursera公司,”加州大学欧文分校副教授唐纳德帕特森说道,他在Coursera教授MOOC。“我没有管理学生的任何信息或进展。”
如果你问约翰逊,一些问题只会及时回答。“我们没有执法历史可以回顾,”他说。“从现在起几年,我想我们会知道更多。”