遠距監考的代價：隱私、數位機會均等、電腦自主權

如果被大環境所逼迫， 學生們必須在游泳池裡上體育課， 田徑老師應該要求學生像在陸地上一樣地正常跑步嗎？ 如果賣教學輔具的廠商已經成功地把 「錨定延長雙腿組」 推銷給校方， 讓學生戴上後可以穩穩地踩在兩公尺深的池底走路， 又可保持頭在水面上正常呼吸， 身為田徑老師的你， 會要求學生採用嗎？ 瘟疫蔓延下， 線上考試防弊成為老師們的一大挑戰； 美國許多大學幫老師們 採購了監考軟體以便防止學生作弊， 這類的 「教學輔具」 卻帶來更嚴重的副作用與新的頭痛問題。

這些監考軟體的細節各有不同， 但基本上都是要求學生在自己家裡的電腦安裝， 並且接受監考軟體的監控， 以防範考試時透過上網搜尋等等方式作弊。 從 google trend 來看， 較熱門的監考軟體依序包含： ProctorU、 Respondus、 Proctorio、 Honorlock、 Examity 等等。 這類軟體大致有以下要求及功能：

1. 學生的電腦必須有攝影機與麥克風。
2. 網路必須穩定； 最好不要用 wifi。
3. 軟體會錄影桌面及透過鏡頭錄影環境。
4. 軟體會將視窗最大化， 並且禁止學生開啟其他應用軟體/瀏覽器視窗或分頁、 禁止複製貼上。
5. 有些軟體以人工智慧偵測學生的臉孔、 眼睛轉動、 頭部姿勢等等是否有 "可疑的動作"。
6. 考試開始時， 學生必須拿著攝影機繞著房間巡視一圈， 證明沒有其他作弊的機關。

這對學生的隱私有高度的侵犯性。 如果我是學生或家長， 第一優先擔心的就是生物資訊的外洩。 諸如臉孔圖像與聲紋等等資訊， 都是一輩子不能改的高度個人隱私資訊。 我經常在課堂上提醒學生不要為了便利而採用 (其實是監控技術的) 指紋辨識登入手機。 視訊會議軟體跟監考軟體一樣都有機會蒐集用戶的臉孔與聲紋； 但兩者有一個很大的不同之處： 視訊會議軟體比較不敢明目張膽分析這些資訊； 而監考軟體則會很順理成章地把這些資訊與學生姓名學號等等資料直接連結。 Respondus 甚至還蒐集另一個較少人關注的生物資訊： 鍵盤使用行為。 這有點類似中共集權政府為了克服臉孔辨識面臨的口罩挑戰而開發、 遠距離也適用的步態辨識技術。 當校方或教師透過考試的壓力要求學生把隱密的生物辨識資訊 (多次) 交給這些軟體公司時， 是否已經觸犯法律？ 其他諸如瀏覽記錄、 已安裝或正在執行的應用軟體、 ... 等等， 也都因為涉及作弊的可能性而會被監考軟體詢問； 但這些就像是圖書館的借閱記錄， (更應該) 屬於個人隱私， 學校與老師憑什麼要求學生接受商業公司翻閱？ 難怪關注隱私的公民團體 EPIC 會 對這些公司提告。

更進一步， 這些公司會不會把個資賣給合作的大數據分析廠商呢？ 或是併購？ 臉書積極布局 VR 頭盔市場， 其中一個原因可能是看上它可以大量蒐集目光焦點及未來可以蒐集腦波等等你我的隱私 (也就是它的大數據)。 這些監考軟體公司會不會成為臉書或其他高度侵犯隱私公司的併購標的呢？ 2014 年時 Proctoru 的客戶資料 被黑帽駭客盜走， 2020 年時被放在網路上販售。 如果外洩的學生個資不只是姓名、地址、手機、email、雜湊過的密碼， 而是生物資訊， 學校跟老師有能力負責嗎？ 特別是特別是如果以監考為由要求學生配合， 對那些當初拒絕在自己的電腦上安裝非自由軟體的學生， 你要如何交代呢？

「繞著房間巡視一圈」 的要求， 又帶出了更多侵犯實體世界隱私的問題。 身為老師， 我從來不敢在線上課程要求學生這麼做； 那麼又是誰賦予權利， 允許這些軟體公司的 AI 及監考老師如此深度地入侵學生生活空間隱私呢？ 如果學生書架上或床上有一些不希望被看到卻又不小心沒收好的政黨旗幟、 宗教經書、 性愛玩具， 這要算是學生自己的責任嗎？

這類技術同時也把數位機會歧視的問題擴大到實體生活空間： 如果學生的家庭空間有限、 人口眾多， 無法有個人的房間呢？ 需要幫忙看弟妹所以房門不能關？ 有不少有色人種的學生抱怨 被 Proctorio 嫌光線太暗， 以致遲遲無法完成臉孔辨識、 無法即時開始考試； 還有些學生則因為家中網路不穩導致考試權益受影響。

從技術的角度來看， 這類技術跟數位權利管理 (Digital Rights Management) 類型的技術一樣， 都是 rootkit 型的 malware： 企圖取得電腦最高權限、 限制電腦主人自由的惡意軟體。 我把它們通稱為 「遙控數位枷鎖」， 因為兩者都企圖把電腦的最高控制權從用戶 (學生或數位內容閱聽者) 的手中奪走並且轉移集中到遠方人士的手裡 -- 也許是老師或著作權人， 但更有可能的是 (權力更集中的) 軟體廠商。

盡管我不是學生， 也沒有人要求我用這些軟體應試， 身為堅持使用 GNU/Linux 的電腦玩家同時也是消費者權益與資訊人權的倡議者， 我很感興趣的一件事是： 如何與這類入侵我電腦的惡意軟體鬥智對抗？ 資安專家研究惡意軟體時經常採用的方法， 就是把它關在一個虛擬機裡面 -- 就像把危險的病毒關在一個可控制的培養皿或試管裡面研究一樣。 那麼是否也可以用相同的方式對付監考軟體？ 尤其是面對那些要求 Windows 環境的監考軟體， 平常用 Linux 工作的我 (以及同樣具有資訊人權意識的學生) 本來就非得這麼用不可。 用 virtual machine 與上述監考軟體的名字搜尋， 可以找到很多建議。 但是一旦被關在虛擬機裡， 監考軟體本身承諾的限制功能不就破功了嗎？ 事實上從 2010 年起就有人建議用更簡單的遠端桌面軟體 vnc 來對抗 Respondus 的 LockDown Browser。 當然， 軟體公司也不斷地推出反制措施。 不過直到最近一年， 仍有幾個成功 把 Proctorio 關在虛擬機裡執行 的報告與 評論。 這些方法不僅客觀存在， 主觀來說， 從電腦老師的角度來看， 我也會很樂意看見學生展現他們的技能， 跨過這些喧賓奪主監控軟體的限制。

富比士特約作者也是科技與社會學者 Sean Lawson 撰寫了一篇 富含連結的文章 來探討這類間諜軟體的諸多問題， 並警告大家要小心伴隨著疫情趁勢入侵校園的這些 "老大哥"。 不幸的是， 美國似乎還有很多大學看不出這類技術與教育本質的衝突。 這些老大哥不僅借瘟疫之助入侵學生的電腦， 而且態度非常強硬高傲。 加州大學聖塔芭芭拉分校針對學生隱私問題提出警告， 竟被 ProctorU 控告誹謗； 加拿大英屬哥倫比亞大學的員工 在推特上評論 Proctorio 自家公開的訓練影片、 邁阿密大學學生 截取 Proctorio 的一小段程式碼加以評論， 都被 Proctorio 以侵犯著作權為由提告...

值此疫情大作之際， 臺灣的教育界會不會也被這些監控軟體入侵？ 筆者呼籲老師們回歸教育的本質去思考問題： 這些監控軟體 (及各公司 「防弊像防賊」 與 「興訟以杜絕批評」 的企業文化) 所採取的踐踏用戶權益高傲姿態， 對照我們在教育現場一直強調並希望啟發與鼓勵的好奇心、 學習動機、 尊重別人的自主性、 互助與分享知識的精神、 隱私/消費者權益/數位機會均等/自由軟體等等公民意識， 兩種文化鮮明強烈地格格不入。 大人們面對遠距教學的挑戰， 如果採用如此缺乏想像力與判斷力、 一味試圖配合舊思維的選擇， 恐怕也將在下一代心中留下深刻的負面印象。 硬要監考線上的考試， 就像是硬要在水裡上跑步課一樣不切實際。

網路教學讓某些實體課堂的活動變得極不方便， 但在另一些方面也 開啟了新的可能性， 例如原本害羞的學生變得比較願意透過聊天文字視窗發言。 老師們或許可以改採互評、 共筆、 聊天室窗回答... 等等方式來 (部分) 取代考試評量。 當然老師們需要花時間學習與適應， 畢竟這是新的大環境， 我們無法改變。 如果體育課被大環境逼迫要在水裡上課， 何不乾脆改教學生游泳與打水仗呢？ 這不是比較符合教育的本質嗎？

* * * * *

(本文是 科學月刊/科技報導紙本文章 的未潤飾/含超連結版本。)