奥地利数据保护机构(DSB)近日作出裁决,认定美国科技公司微软在未获得用户同意的情况下,向一名在校学生的设备安装追踪Cookie,构成违反《通用数据保护条例》(GDPR)的行为。这也是继去年十月首次胜诉后,奥地利数字隐私组织“不关你的事”(noyb)在该案中取得的又一进展。 据调查,在使用Microsoft 365教育版过程中,微软向未成年用户设备植入的追踪Cookie主要用于分析用户行为、收集浏览器数据,并为广告投放提供支持。有关追踪在学校、教育部门及学生家长不知情的情况下进行,引发了对未成年人隐私保护的担忧。 事件背景可追溯至新冠疫情期间。彼时各地教育机构紧急转向线上教学,广泛采用Microsoft 365教育版、Google Workspace教育版等云端协作工具。随着使用规模扩大,平台数据处理的透明度与合规性问题逐渐显现。 noyb于2024年向奥地利数据保护机构提出投诉,要求调查Microsoft 365教育版是否违反GDPR关于透明度的要求。调查显示,微软存在多项问题:未能清楚说明平台具体处理哪些儿童数据;将数据保护义务更多转移给使用其系统的学校,弱化自身责任;未能充分保障数据主体查阅自身数据的权利。 涉事学校及奥地利教育部门的表态同样值得关注。双方均称在隐私组织投诉前并不知道追踪Cookie的存在,折射出教育机构在引入第三方云服务时,对数据处理细节掌握不足、监督机制不完善的现实。微软依靠复杂的技术实现与相对笼统的隐私说明,使学校管理者难以准确了解学生数据的去向与用途。 noyb的数据保护律师费利克斯·米科拉施在声明中表示,对未成年人进行追踪明显违背隐私保护原则,并对微软的隐私立场提出质疑。这也继续指向一个关键问题:在商业模式推动下,科技企业能否真正把用户隐私置于优先位置。 奥地利数据保护机构的裁决具有约束力。机构责令微软在四周内停止对投诉人的追踪行为,并要求其提供完整的数据传输信息,同时对“内部报告”“业务建模”“核心功能改进”等术语作出明确解释,以提升平台运营透明度并保障未成年用户权益。 对此——微软发言人回应称——Microsoft 365教育版符合必要的数据保护标准,教育机构可继续在GDPR框架下合规使用。微软表示正在研究裁决,并将适时决定后续措施。但该回应未直接说明追踪Cookie相关指控,也未明确将如何调整数据处理做法。 该案的外溢影响不容忽视。全球大量教育机构正在使用Microsoft 365教育版,类似的数据保护争议可能并非个案。奥地利的裁决为其他国家和地区监管机构提供了参照,也对教育机构如何更有效地保护学生数据提出了更高要求。
未成年人数据保护不是枝节问题,而是教育数字化能否获得社会信任的关键;只有把“以学生为中心”落实到数据最小化、透明可验证和责任清晰上,数字工具才能真正服务教学、促进公平,并在创新与规范之间形成可持续的平衡。