收到学校要求下架学生服务相关的小程序

我有一个朋友，咳咳，本科阶段（未毕业）开发了一款微信小程序。用户提供学校统一登录的用户名和密码，然后程序去拉取成绩、课程表、消费等信息，并提供给用户。项目是开源的，服务器放在境内云服务器上。

然后近期信息化技术中心以《数据安全法》、《网络安全法》为由，要求停止运营。此前，他们在刚开发这款小程序时向信息化技术中心提出过合作，当时对方拒绝并提出两个选项：

1. 程序给信息化技术中心运营，学生只负责开发，都不带挂名的，并且要写信息化技术中心提的需求。
2. 给信息化技术中心打工，维护学校的系统（ C#、Java 之类），按勤工助学（ 12/h ）给钱。

然后谈崩了。

现在情况是：

1. 由于需要走学校统一登录，所以数据库大概率需要明文存储用户密码。一个解决方案是，数据库中存储一个对称加密后的密码，小程序前端存储一个 key ，每次用户操作时解密。或，数据库不存储用户密码，全部放到小程序前端以满足合规性。其实没啥用，因为理论上还是能获取用户密码的。我现在倒是觉得用户密码是累赘。

2. 由于请求过多，数据库中缓存了一些数据。一些学校页面需要近 10 秒才能访问。并且，由于一些功能大家之前不咋用，但是因为小程序使得查询更方便了，所以查询次数增多（如成绩），因此我同学认为其他一些业务数据的缓存也是必要的。

技术约束：

1. 要走学校的上网认证系统去连公网，不然啥都传不出去。
2. 信息化技术中心总能顺着网线找过来。

其他：

1. 其实做这个事情最大的阻力还是同学指导老师，都不会和信息化技术中心争取一下。
2. 其实是学校网站里的一些数据有问题，他们不想我同学频繁查，这样去提数据有问题的人就变多了。为此他们还让我同学下架了一个模块。
3. 感觉是学校部门之间的问题，信息化技术中心主要是想清闲点不给自己找事情，学校知道了不知道会不会支持。其实服务器放学校什么的，包括运营和学校联合起来、我们都接受的。
4. 该项目从设计之初就是不盈利、无广告。云服务器靠学校报销，无金钱利益牵扯。

请问：

1. 个人为主体的小程序，在这种情况下，数据是否存在合规性相关问题。
2. 不想这个项目荒废，现在应该咋办？我同学打算先拖拖，后面以个人名义运营。