TronClass
數位教學平台

資安隱憂

朝陽科技大學在106學年度購買了一套新的數位教學平台「TronClass暢課」,取代了原本使用已久的iLMS,理由似乎是原本的廠商已經不再提供更新與維護,且無法與行動裝置密切的結合,才購買了新的系統。並且在107學年度開始,就沒再匯入該學期課程至iLMS,也就是說師生毫無選擇、只能使用新版的TronClass。

TronClass在上線後,學校似乎常常舉辦研習,請來台灣智園的講師,來教老師如何使用,讓上課更有趣、更有效率。其中包括了雷達點名、QRcode點名、選人、搶答、課堂互動等功能。

在剛開始,我確實覺得很棒,也希望每位老師都能多多的使用,來讓上課更有趣、更多互動,畢竟現在老師大部分都是打開整頁都是滿滿的字的PPT在上課,對於完全不想印紙本講義的我來說,如果能夠在每一堂課都充分使用這個APP的話,會提高很多我的學習意願。

但在使用的過程,就感覺到TronClass在操作上並不順暢,尤其和iLMS相比,平均網頁的載入速度都還要多好幾秒,常常看到Loading的圈圈在轉,其實是等的非常焦慮,很疑惑這平台背後到底在跑些什麼東西,於是就上網了解了一下TronClass這個平台。

接著,查到了TronClass官方宣傳冊寫著:採用「SaaS雲端服務」、「公有雲」、「台灣境內雲端機房」來提供自動化的即時更新,私有雲則是在學校的機房,於是我個人猜想可能是因為還會連到公有雲,才會造成速度比較緩慢。

在使用過程當中,除了緩慢,還會不斷出現中國用語或簡體字,如:信息、視頻、網絡、互聯網、計算機等等,甚至在語言或地區排序列表當中,第一個都是「中國大陸」,第二個才是「台灣」。雖然這並不代表什麼,但試著思考看看,如果是台灣人自己開發的教學平台,有可能把自己的地區擺在第二選項嗎?那出現中國用語又怎麼說?因此我從這邊猜測,智園是先在中國提供這套教學平台,才進入台灣的教育市場使用。

但只要說到中國,就難免想到是否會有資安的問題?近期因新冠病毒疫情的關係,遠距教學的需求大增,Zoom視訊會議平台爆出資安隱憂、Microsoft Teams也有資安漏洞。在這樣的情況下,如果連學校自己購買的數位教學平台都有資安疑慮的話,那學生究竟該如何線上學習?更何況這不只是疫情期間使用的,而是日常上課就在使用的教學平台。

在思考這個問題的同時,剛好修了一堂學校開設的通識課,是在談「人工智慧社會的隱私與資安」,有次老師剛好談到他的學生,使用MitmProxy研究了中國的APP美圖秀秀、Camera360小影,發現都會回傳資料到中國的伺服器。雖然都說這是沒有經過用戶同意的,但其實APP在安裝後,開啟第一件事就會跳出「請認真閱讀使用者協議及隱私政策」,需要用戶按全部「同意」才能開始使用。

一般人一定是不會閱讀這些協議條款的,但其實這裡面都說得非常清楚我們須將您的圖片上傳至我們的伺服器進行處理完畢後,再將處理後圖片返回給您 」您利用美圖秀秀拍攝或者製作的資訊內容(「使用者內容」)中所含之智慧財產權歸您所有。您同意美圖秀秀公司為了提供、最佳化和宣傳推廣本服務,可以在全球範圍內免費、非獨占性地、不可撤銷地蒐集、使用、儲存、管理和保護您在本服務過程中產生的使用者內容

話說回來,這讓我想到TronClass的兩個問題:

  1. 整套APP是由智園軟體公司開發,師生在個人手機使用的時候,都是從AppStore、Play商店下載的,再登入學校帳號來使用,但APP本身就會有自己的協議條款。

  2. 學校在簽約的時候,是否有清楚了解所有師生的數據,會回傳到TronClass的「公有雲」機房?學校是不是也有詳閱了這些隱私權政策或協議?

於是我朝了這幾個方向下去研究,發現Play商店AppStore確實有隱私權政策。但在看隱私權政策之前,卻先看到了iOS的AppStore的TronClass開發者是「Wisdom Garden Hong Kong Limited」。是香港智園?為何不是台灣智園?

接下來,看一下隱私權政策的部分。

Play商店AppStore的隱私權政策確實寫得很清楚,會蒐集個人資訊,包括姓名、E-mail、學號、個人照片,以及曾經使用的資訊,包括上傳的檔案、輸入的文字、瀏覽行為、地理位置、手機型號。

這些都涉及到學生個人的隱私,但礙於學校只有這一套教學平台,學生有權利拒絕使用、不同意這些條款嗎?如果不安裝,學生看不到教材、無法點名、上課就無法參與互動。

看來只能摸摸鼻子、安裝下去了。

還有剛剛提到的,學校簽約時是否有詳閱這些政策?畢竟學校簽約,等同代替學生同意把學習與相關資料授權給智園公司使用,應該要很慎重。但礙於無法取得學校當初簽約的文件,只能透過其他方式來觀察一些跡象。

後來發現TronClass有提供免費試用平台的服務,我就去註冊使用,當時看到註冊協議的網址是:www.tronclass.com.tw/user-agreement,如果說平台是相同的,那我把前面網域換成學校的,應該就可以知道學校的系統是簽哪個註冊協議,又或是說整套系統是哪裡搬來的吧?果然,學校的註冊協議就在這個頁面。

(2020/04/24系統更新後就顯示為台灣智園了,連結是Wayback Machine留存的頁面)

但第一句就令我問號了,為何又是「智園香港有限公司」?難道我們整個平台都不是台灣的?其中回傳的資料究竟是回傳到中國的伺服器,還是前面所聲稱的「台灣境內雲端機房」?

再繼續閱讀註冊協議,發現竟然「用戶的發表、上傳行為是對TronClass的授權」、「用戶同意TronClass亦有權將該權利授於第三方使用」、「如協商不成雙方同意將爭議提交西安智園軟件開發管理有限公司所在地法院訴訟解決」,詳細註冊協議如附圖或上方連結。

我們真的有同意這些嗎?學校就這樣幫我們同意、註冊了?我們的作業、教材就這樣授權給了智園?

註:即便現在學校的註冊協議已經變成台灣智園,但上述談到的條款仍然存在、完全相同。

雖然註冊協議看起來確實很可怕,但也可能確實沒那麼邪惡,或許只是「有權」而已,並不是常態的在蒐集資料。為了進一步求證是否回傳資料到國外的伺服器,向剛剛提的老師請求協助架設MitmProxy來監測TronClass傳送與接收的封包。

技術層面排除了,接著就是我實際測試登入使用TronClass了,看看MitmProxy會攔截到什麼資訊。登入後,答案揭曉,果然跟猜想的一樣。我不太了解實際到底回傳什麼,畢竟這不是我的專業,但我看得懂其中連了一堆學校以外的伺服器網址,在此刻出現了。

其中最可疑的莫過於.cn結尾的這組網址了,於是查了一下,在中國的「工業和信息化部的ICP/IP地址域名信息備案管理系統」,查到了這是「北京腾云天下科技有限公司 」,網站域名和站台首頁網址就是上面兩組可疑的伺服器。

相信這也代表著所謂的「公有雲」是將我們的資料回傳到中國了,這似乎和官方說的「台灣境內雲端機房」有落差。至於回傳了哪些內容,目前我的技術能力,還沒有辦法看懂就是了。

同時,也在台灣智園的官網上發現,維運工程師的職缺須具備的能力就包含了「熟悉AWS、Azure、阿裏雲等主流雲計算服務商 」,也就代表著台灣智園所說的「台灣境內雲端機房」並非事實。

我認同智園努力的開發一套完善的數位教學平台,試著打造更好的學習環境,但我畢竟不是資訊安全的專家,也不懂究竟怎樣的方式才能在「提升教學成效」與「維護資訊安全」之間取得平衡,我只知道如果我詳閱這些註冊協議與隱私權政策的話,我並不會同意,更何況這套教學平台是從中國開始的,又會連上中國的伺服器,不禁讓人聯想到有無受到中國政府的監控的可能?

學校在採購各種系統時,是否有責任、需要將資訊安全納入考量?又或是提供其他開源平台,來供師生自由選擇使用?

回到一般人的使用習慣來說,我們未來在註冊、安裝各個應用程式時,每個人是否都需要詳細的閱讀相關的政策條款,才能了解到可能會有哪些風險?看來現今社會,我們除了都需要具備媒體識讀的能力之外,對於資訊安全也該重視了,這不只是資訊人的事,而是攸關到每個人的隱私,每個人都應該學會保護自己。

※統計至本篇文章完成日(2020/5/2),台灣智園已提供至少18所學校服務,包括:馬偕醫護管理專科學校大同大學、弘光科技大學、空中大學、雲林科技大學、實踐大學、朝陽科技大學、海洋大學、亞東技術學院、元培醫事科技大學、輔仁大學、淡江大學、東海大學、台灣大學進階推廣學院、台北酷課雲(台北中崙高中、台北和平高中、台北南湖高中、新北大觀國中)。但以上學校除少部分無第二套數位教學平台外,其餘皆都有Moodle、iCAN等其他教學平台。

補充:

2019年9月19日,在Facebook社團「NTU臺大學生交流版」有學生發布相片,表示綜合教學大樓內的教室,裝設設著已被政府列入公務禁止採購品項的「海康威視」監視器。

臺大學生會福利部也在隔天(9/20)於Facebook粉絲專頁發文說明:「學生會必須嚴正指出,雖仍不確定海康威視是否會列入公部門禁用名單,惟其爭議甚多,除了被質疑可能有「開後門」之情形外,海康威視更投入新疆再教育營的監控設施、人臉辨識與雲端監測,並與中國官方關係密切,在人權紀錄上有嚴重瑕疵。」、「本會認為縱使最終廠商禁用名單上並無海康威視,台大亦應基於 #保障學生資訊隱私與安全之考量,在海康威視有諸多重大爭議的情況下, #禁止其成為校園標案之內容,防止海康威視的產品進入校園,落實對學生人權之保障。」

於另一篇撤換進度文章當中亦提及,該監視器設備為提供老師教學使用的「錄播系統」。

經查詢,在電子政府採購網當中搜尋到臺灣大學在106年11月公告的「綜合教學館採購錄播系統案」為台灣智園有限公司得標,其中原產地國別清楚寫著「中國大陸」,而「TronClass暢課」寫的卻是中華民國,令人疑惑究竟何者才是正確的資訊?

回到剛剛的監視器。在台灣智園的官網上查詢到,這套得標的錄播系統應該是「TronCast暢播」,其中可能會使用到上面說的「海康威視」監視器的功能,應是其中的「課堂行為分析」功能,官網說明:「基於AI技術智能分析舉手、站立、趴桌子、玩手機、抬頭等學生課堂行為與反應,協助老師適時調整教學設計 」

再對應到台灣財經雜誌《財訊》的報導 (2018年9月3日):

台灣智園執行長邢溢將透露,這個課程情境中人臉、表情與動作的偵測,其實是智園計畫在2019年底,要推出課程情境與教學評估的人工智慧影像辨識最新武器,目前已經全面蒐集影像數據,向機器學習的過程推進中

在中國雙一流大學已有高達3分之1市占率的智園,目前仍把「如何以人工智慧偵測並推測課堂最適化情境,以提升教學成效」列為當務之急。如學生的抬頭、舉手、低頭、言語互動等行為與學習專注、教師課程設計間的關係等等,不同課程又有哪些差異,皆在不斷地透過影像數據的演算與教育現場的觀察,建立最佳化的模型。」

「邢溢將不斷澄清,現階段在社會氛圍未達成共識前,尚未計畫在台灣地區的學校推動人臉影像辨識的應用 」。

也就是說,臺灣大學所採用的這套錄播系統,很可能是使用了在中國的這套人臉辨識系統,但在上述的需要分析各種不同行為所代表的涵義,相信也必須仰賴文章一開始說的「公有雲」,但學生都有同意提供自己的人臉與行為「被」作為大數據來分析嗎?學生是否也有權拒絕?大家都應該要好好思考這個問題的嚴重性。