去年PowerSchool泄密事件 私隐专员归咎教局监管不力
发布 : 2025-11-20 来源 : 明报新闻网
用微信扫描二维码,分享至好友和朋友圈
发布 : 2025-11-20 来源 : 明报新闻网
用微信扫描二维码,分享至好友和朋友圈
【明报专讯】安省信息和私隐专员科赛姆(Patricia Kosseim)在本周二(18日)发表的报告中说,教育局缺乏足够的网络安全控制且监管不力,为去年PowerSchool大规模网络攻击埋下伏笔,导致数百万安省学生的个人信息被泄露。
报告针对的是在2024年发生的一宗网络攻击事件,黑客攻击的对象是教育局使用的云端软件,获取的学生资料可追溯至1965年。科赛姆在报告中说:「我得出的结论是,这些机构没采取合理的措施来防止未经授权访问其保管或控制的个人信息。」
她在谈及包括多伦多公校教育局、皮尔区和约克区公校教育局等在内的教育局与PowerSchool签署的合约时写道:「某些机构与PowerSchool签署的合约存在缺陷,缺乏合理的条款来确保由PowerSchool代表这些机构持有的个人信息的私隐和安全。」
她还写道:「此外,各机构缺乏必要的监督措施来有效和定期地监控PowerSchool是否履行了其合约义务。在某些情况下,因没有实施适当的保存时间表及没有定期清理个人信息,导致机构过度收集了敏感的个人信息,且保留个人信息的时间远远超过必要的期限。」
多伦多公校教育局的发言人伯德(Ryan Bird)在声明中说,教育局非常重视保护学生和教职员工的信息。「尽管自网络攻击事件发生以来,教育局已采取了新的措施,我们将与PowerSchool紧密合作,落实报告中提出的建议,来进一步加强对个人信息的保护。」
科赛姆的建议包括:限制PowerSchool的远程维护支持访问权限,仅在有需要时提供;加强早期违规检测流程和私隐泄露应对计划;停止任何不必要的个人信息收集,且仅在必要时保留个人信息,从而避免在发生泄露事件时加剧损害的风险。
科赛姆还鼓励教育局「实施私隐影响的评估,以评估他们正在使用或考虑采用的技术的私隐影响」。
报告针对的是在2024年发生的一宗网络攻击事件,黑客攻击的对象是教育局使用的云端软件,获取的学生资料可追溯至1965年。科赛姆在报告中说:「我得出的结论是,这些机构没采取合理的措施来防止未经授权访问其保管或控制的个人信息。」
她在谈及包括多伦多公校教育局、皮尔区和约克区公校教育局等在内的教育局与PowerSchool签署的合约时写道:「某些机构与PowerSchool签署的合约存在缺陷,缺乏合理的条款来确保由PowerSchool代表这些机构持有的个人信息的私隐和安全。」
她还写道:「此外,各机构缺乏必要的监督措施来有效和定期地监控PowerSchool是否履行了其合约义务。在某些情况下,因没有实施适当的保存时间表及没有定期清理个人信息,导致机构过度收集了敏感的个人信息,且保留个人信息的时间远远超过必要的期限。」
多伦多公校教育局的发言人伯德(Ryan Bird)在声明中说,教育局非常重视保护学生和教职员工的信息。「尽管自网络攻击事件发生以来,教育局已采取了新的措施,我们将与PowerSchool紧密合作,落实报告中提出的建议,来进一步加强对个人信息的保护。」
科赛姆的建议包括:限制PowerSchool的远程维护支持访问权限,仅在有需要时提供;加强早期违规检测流程和私隐泄露应对计划;停止任何不必要的个人信息收集,且仅在必要时保留个人信息,从而避免在发生泄露事件时加剧损害的风险。
科赛姆还鼓励教育局「实施私隐影响的评估,以评估他们正在使用或考虑采用的技术的私隐影响」。