大数据文摘出品
作者:Caleb
一个官方系统能有多难用?
在瑞典首都斯德哥尔摩,有这么一个学校官方系统Skolplattform。该系统耗资超过10亿瑞典克朗(约1.17亿美元),2013年正式投入使用,旨在为斯德哥尔摩50万多名儿童、教师和家长提供更加轻松的生活方式。
Skolplattform由三个不同的部分组成,包含18个单独的模块,由5个外部公司共同维护。这个系统也已经被600所幼儿园和177所学校所使用,每个老师、学生和家长都有独立的登录账号。
听上去都很完美,唯一的问题是,这个系统并不怎么会工作。
根据一位三个孩子的父亲Christian Landgren表示,他每天的耐心全都浪费在了这个系统上。如果Landgren想了解孩子们在学校都干了些什么,他需要翻阅无穷无尽的复杂菜单栏。
如果说弄清楚上体育课都需要带些什么器具已经很麻烦了的话,那么想要为孩子们请病假简直就是一场噩梦。
2018年8月,Skolplattform已经成为了斯德哥尔摩数千名父母心中的刺,“所有家长都很生气”,Landgren说。
在安卓商场,Skolplattform的用户评分只有1.2星。
有人留言表示,“这绝对是最烂的APP”,这个APP甚至“让我后悔生了孩子”。
还有人说得更直接一点,“导航很困难,菜单栏不工作”,他们甚至都不知道怎么打开通知。
到底是出了什么问题,让家长们如此愤怒和无奈?
官方不改?那自己上
其实,Landgren除了是三个孩子的父亲,还是瑞典创新咨询公司Iteam的开发者和首席执行官。
由于实在受不了Skolplattform的系统,他决定要自己动手创办一个程序。
于是,他给市政府官员写信,要求查看Skolplattform的API文件。在等待答复的过程中,他登录了自己的账户,想要弄清楚系统是否可以被逆向开发。
仅仅几个小时,就有了一些初步的成果,“我现在能看到学校平台上的一些信息,我要在他们的API之上再建立一个新的API”。
从2020年11月底,斯德哥尔摩教育委员会因Skolplattform的“严重缺陷”被罚款400万瑞典克朗(约456,658美元)后,Landgren就开始着手工作了。
也是在同一时间,瑞典数据监管机构Integritetsskyddsmyndigheten发现该平台存在严重缺陷,暴露了数十万家长、儿童和教师的数据。在某些情况下,人们的个人信息可以通过谷歌直接获得。
在随后的几周里,Landgren与其他开发者兼家长Johan Öbrink和Erik Hellman合作,他们三人制定了一个计划,决定创建一个开源版本Skolplattform,并将其作为一个应用程序发布,供整个斯德哥尔摩的家长使用。
在Landgren早期工作的基础上,他们打开Chrome的开发者工具,登录Skolplattform,写下了所有的URL和有效载荷。他们利用这些代码,调用平台的私有API,并建立软件包,使其能够在手机上运行。说白了,也基本上就是在现有的Skolplattform上再创建一个层。
于是就有了Öppna Skolplattformen,即开放学校平台。
该应用程序于2021年2月12日发布,其所有代码在GitHub上以开源许可证的形式发布,也就是说,这些代码是开放给任何人的,包括斯德哥尔摩市政府。
GitHub主页:
但是,政府官员没有如大家期待地一样去改善现有的系统,反而在Öppna Skolplattformen发布之前就警告Landgren,这可能是违法的。
官方不想合作,还出动警察调查
在之后的八个月里,斯德哥尔摩市政府试图破坏或关闭Öppna Skolplattformen。
政府官员警告家长停止使用该应用程序,声称它可能会非法获取个人信息。官员们表示已经向数据保护机构针对该应用程序进行了上报,Landgren表示,他们调整了官方系统的底层代码,试图以阻止Öppna Skolplattformen的运行。
4月,市政府宣布警方介入调查。官员声称,Öppna Skolplattformen及其联合创始人犯了刑事数据泄露罪,要求网络犯罪调查人员调查该应用程序的工作方式。
其实Öppna Skolplattformen本身并不复杂。虽然官方平台是为斯德哥尔摩每个家庭创办的,包括20万名家长、2.35万名学校工作人员和14万名学生,但Öppna Skolplattformen的目标用户只有家长。
目前,应用程序在iPhone和安卓系统上被下载了约12,500次,目前评分为4.2星。
家长主要使用瑞典数字身份系统BankID登录,Skolplattform同样如此。登录后,用户可以通过Skolplattform API拉入应用程序看到关于他们孩子的信息。
该应用程序还会显示了学校的日历和活动,比如音乐会、学生的日程表、与成绩和新闻更新相关的教师通知、食堂供应的食物,以及如果孩子生病了可以报告的选项。
Öppna Skolplattformen的联合创始人之一Öbrink说:“我们显示的所有信息都是公开的和公共的。”
他解释说,比如当你要看学生的成绩时,这是通过应用内的浏览器显示的,应用本身并不能访问任何数据。该应用程序的最初迭代之一就包括了一些家长的个人信息,这些信息可以通过官方平台获得,但后来被删除了。
Öbrink补充说:“我们从未预料到它会像现在这样运作良好。”Öppna Skolplattformen团队与市政府举行了会议,他们说官员们可以拿着他们的代码,使用他们版本的应用程序。“他们不想合作,也不想与我们讨论合作,他们只是继续向警方举报我们”。
拉锯战开始了
斯德哥尔摩从一开始就对Öppna Skolplattformen充满了担忧。
“我们没有开放的API,他们做了自己的方案”,教育部门的数字化和IT副主管Hélène Mossberg表示,这个非官方应用程序可能是“非法的”,因为这涉及到人们的个人数据。
虽然Mossberg总体上对该应用程序持肯定态度,但她说正在对其进行“严格的调查”。官方文件显示,斯德哥尔摩鼓励开发商在调查完成之前不要发布该应用程序。
2月中旬,瑞典安全公司Certezza完成了对该应用程序的外部审计,但最终报告并没有公布,Öppna Skolplattformen团队在法庭上对这一做法提出了质疑。
2月底,市政府表示正在对Skolplattform进行安全更新,以阻止任何潜在的个人数据被访问,这一做法也关闭了Öppna Skolplattformen的自制API。
这也开始了双方间的拉锯战。Skolplattform更新后;Öppna Skolplattformen也进行了相应的更新。直到3月,官方还一直坚持更改其基础系统,Öppna Skolplattformen也被迫更新了七次。
斯德哥尔摩教育局局长Lena Holmdahl说,该市的行为符合其对供应商、学生和雇员的责任。“Öppna Skolplattformen让我们很为难,我们有责任遵守协议、法律和法规”。
Holmdahl补充到,市政府已经与该团队会面,试图解释其立场。“背后的开发者们有许多有趣的想法和思路,但他们已经越级染指了我们的工作”。
洗清“冤屈”,但政府却不怎么买账
在争端发生的同时,Öppna Skolplattformen的欢迎程度持续增长,参与开发的人数也逐渐变多了。
联合创始人Landgren和Öbrink说,目前有多达40人参与到程序的开发中来。这些人发现并消除了错误,开发了搜索功能,并将该应用程序翻译成不同的语言。甚至在被如此针对的情况下,他们还提出了官方应用程序的潜在安全问题。
“我们使用的这些官方工具还停留在90年代,”Landgren说,“为了弥合这一差距,我们一致认为开源是最佳方式”。公民开发比政府IT项目更高效,因为这些项目往往需要几年才能完成,但在准备好的时候已经过时了。
8月16日,警方调查负责人Åsa Sköldberg表示,他们没有任何犯罪行为,数据监管机构Integritetsskyddsmyndigheten的一位发言人说,他们没有按照政府的投诉对该软件进行调查。
同时,Landgren也分享了当时没有公开的安全审查报告。根据审查结论,这个开源的应用程序没有向第三方发送任何敏感信息,也没有对用户构成威胁。警方报告进一步为其洗清了冤屈,“Öppna Skolplattformen使用的所有信息是斯德哥尔摩市自愿发布的公共信息”。
9月初,政府与一个外部供应商达成了协议,该供应商将能够在Öppna Skolplattformen和该市之间建立许可证。斯德哥尔摩市议员Isabel Smedberg-Palmqvist在一份声明中表示,“有了这个解决方案,斯德哥尔摩市可以保证以正确和安全的方式处理个人数据”。
这可以视为对Öppna Skolplattformen的认可,毕竟团队已经为该程序投入了数百小时时间。但Landgren表示,在几天前,Öppna Skolplattformen再次受到阻止访问官方API的冲击。
政府在发布公告后,就没有落实了。
革命尚未成功
现在,Landgren希望Öppna Skolplattformen能够与市政府达成协议,让政府支付程序的许可费。
“我们的目标是让所有家长都能免费使用。”细节和数字仍在谈判中,如果交易能够达成,Öppna Skolplattformen的志愿者也将收获一比酬劳。
其实,Skolplattformen也有所改进,包括在新冠期间,但仍有许多工作需要完善。“我所接触的教师在使用该系统时都遇到了很大的困难,”斯德哥尔摩Lärarförbundet工会的教师兼董事会成员Sanna Olsson说,“随着逐渐迭代,一些功能已经变得更加顺畅也更容易使用,但还有太多的功能没有真正落实下来”。比如,当她试图以家长身份登录系统时,系统有一半时间都不能工作。
Holmdahl承认,这个应用程序可以让家长更容易使用,但她表示,这和非官方程序不同,这个程序还必须要同时为教师和学生工作。“用户驱动的信息技术发展是有趣的,但必须与立法和安全的个人数据的责任联系在一起才行”。Holmdahl坚持认为,斯德哥尔摩有一个许可协议,人们可以用它来获取个人数据,但在Öppna Skolplattformen在创办初期并没有许可供应商。
尽管存在争议,Öppna Skolplattformen已经辐射到了斯德哥尔摩之外的地区,比如瑞典第二大城市哥德堡。据了解,家长和市政府官员之间还在会谈中,团队表示已经在开发新版本了。
Landgren希望Öppna Skolplattformen的经历能够为政治家和政府官员敲响警钟,政府为公民提供的技术应该要有公民的参与,他们应该学会用小规模团队运行IT项目。最重要的是,他们应该开放API,放手让市民去建立更适合他们的技术。
相关报道:
点「在看」的人都变好看了哦!