收到学校要求下架学生服务相关的小程序

我有一个朋友，咳咳，本科阶段（未毕业）开发了一款微信小程序。用户提供学校统一登录的用户名和密码，然后程序去拉取成绩、课程表、消费等信息，并提供给用户。项目是开源的，服务器放在境内云服务器上。

然后近期信息化技术中心以《数据安全法》、《网络安全法》为由，要求停止运营。此前，他们在刚开发这款小程序时向信息化技术中心提出过合作，当时对方拒绝并提出两个选项：

程序给信息化技术中心运营，学生只负责开发，都不带挂名的，并且要写信息化技术中心提的需求。
给信息化技术中心打工，维护学校的系统（ C#、Java 之类），按勤工助学（ 12/h ）给钱。

然后谈崩了。

现在情况是：

由于需要走学校统一登录，所以数据库大概率需要明文存储用户密码。一个解决方案是，数据库中存储一个对称加密后的密码，小程序前端存储一个 key ，每次用户操作时解密。或，数据库不存储用户密码，全部放到小程序前端以满足合规性。其实没啥用，因为理论上还是能获取用户密码的。我现在倒是觉得用户密码是累赘。
由于请求过多，数据库中缓存了一些数据。一些学校页面需要近 10 秒才能访问。并且，由于一些功能大家之前不咋用，但是因为小程序使得查询更方便了，所以查询次数增多（如成绩），因此我同学认为其他一些业务数据的缓存也是必要的。

技术约束：

要走学校的上网认证系统去连公网，不然啥都传不出去。
信息化技术中心总能顺着网线找过来。

其他：

其实做这个事情最大的阻力还是同学指导老师，都不会和信息化技术中心争取一下。
其实是学校网站里的一些数据有问题，他们不想我同学频繁查，这样去提数据有问题的人就变多了。为此他们还让我同学下架了一个模块。
感觉是学校部门之间的问题，信息化技术中心主要是想清闲点不给自己找事情，学校知道了不知道会不会支持。其实服务器放学校什么的，包括运营和学校联合起来、我们都接受的。
该项目从设计之初就是不盈利、无广告。云服务器靠学校报销，无金钱利益牵扯。

请问：

个人为主体的小程序，在这种情况下，数据是否存在合规性相关问题。
不想这个项目荒废，现在应该咋办？我同学打算先拖拖，后面以个人名义运营。

pusheax

2021-10-28 10:10:44 +08:00

那个“缓存”，属于做大死。你很难说得清只是“缓存”，还是“收集”。
国内这一块的法制建设还比较模糊，扣帽子的罪名很多。之前有人爬学校数据，判了 3 年。裁判文书网上的公开案例，不嫌麻烦可以搜一下。
不过吧，大学来点骚操作也很正常。有一点微小的建议：
真的下定决心要做坏事，就要绝对低调。绝口不提，并且把技术痕迹擦干净。包括不限于改考勤、改成绩、解门禁、改热水卡什么的。同时最好是为了经济利益，而非装逼。
要不就归顺朝廷，在有明确授权的情况下，弄点社团、APP 、战队啥的。这种事情，名声越大越好。适合装逼，但是很多时候还得砸钱做。
别模棱两可，黑不完全黑，白不完全白。到时候一抓一个准......

libook

2021-10-28 11:19:26 +08:00

按照数据安全法和个人信息保护法来说，你朋友的这个程序确实问题很多。

按照法律的相关规定，学生、小程序、教务系统三方中，每组双方之间都要达成数据的授权协议，即学生和教务系统、学生和小程序、小程序和教务系统，其中有问题是小程序和教务系统，只要学校不审批同意，小程序就无权获取、使用教务系统的信息。当然最终还是以法院判决结果为准，现在只是说小程序在这个案件里是处于绝对劣势的。

其余的就是网络安全和数据安全方面如何做到国家要求的程度，这个得参考相关国家或行业标准，如 GB/T 22239-2019 ，数据也要做加密、脱敏、匿名化等处理，这些个人做会比较难，一般托管在大平台上问题也不大，但你要知道公安和通管是有监督和执法权的，他们随时可能提出检查要求，特别是这个是跟教育领域有关，会比较敏感。

你可以考虑做个本地版本，比如油猴脚本，或者开源的客户端，把服务器拿掉，所有数据都在本地存储，这样一方面是去中心化的学校管不了，另一方面也消除了大部分安全风险。