公办学校作为国家教育体系的重要组成部分,其网站不仅是信息发布、教学服务与家校沟通的核心平台,更是承载政务公开、招生管理、学籍查询、在线报名等关键职能的数字化基础设施。在当前网络空间法治化、数据治理精细化的大背景下,公办学校网站建设已远超技术部署层面,而成为一项兼具行政合规性、网络安全性和数据伦理性的系统工程。其中,“等保测评”(即网络安全等级保护测评)与“个人信息保护要求”构成两大刚性合规支柱,二者相互支撑、缺一不可,共同构筑起公办学校网站合法、安全、可信的运行底线。
等保测评是公办学校网站必须履行的法定网络安全义务。依据《网络安全法》第二十一条、《数据安全法》第二十七条及《关键信息基础设施安全保护条例》,教育行业信息系统被明确纳入等级保护制度适用范围;而根据《教育行业信息系统安全等级保护基本要求》(教技函〔2017〕13号),公办中小学及高校门户网站、教务系统、学籍管理系统等面向公众提供服务的信息系统,原则上应至少定级为第二级,并完成定级备案、建设整改、等级测评与监督检查全流程。实践中,许多学校存在“重建设轻防护”“重前端轻后端”倾向:例如使用开源CMS未及时更新补丁、服务器未配置防火墙策略、后台管理接口暴露于公网、数据库未加密存储敏感字段等,均可能导致等保测评中“安全计算环境”“安全区域边界”等关键测评项失分。值得注意的是,等保并非一次性验收,而是持续性合规——学校需每年开展一次复测,并在系统架构变更、重大功能上线前重新组织差距分析与加固整改。若未通过等保测评或拒不整改,不仅面临网信、公安部门的限期责令改正乃至行政处罚,更可能在发生数据泄露事件时被认定为“未履行网络安全保护义务”,承担民事赔偿与行政追责双重风险。
个人信息保护要求构成了公办学校网站内容运营与功能设计的根本约束。《个人信息保护法》第五十一条明确规定,处理个人信息的组织应采取必要措施保障所处理个人信息的安全,而公办学校在招生登记、健康打卡、课后服务报名、家长问卷等场景中,高频采集学生姓名、身份证号、家庭住址、联系电话、监护人信息乃至生物识别特征(如人脸识别考勤),均属于法律定义下的“敏感个人信息”。这就意味着,学校网站在收集环节必须严格遵循“最小必要+明示同意”原则:不得以默认勾选方式获取授权,不得将非必要信息采集设为注册前置条件,不得在未单独告知并取得监护人书面同意的情况下,向第三方共享学生人脸图像用于商业分析。同时,在存储与传输环节,须采用国密算法(如SM4)对敏感字段加密,禁止明文存储身份证号与手机号;在展示环节,应对前台页面中的身份证后四位以外数字、完整手机号等实施脱敏处理;在删除环节,须建立数据生命周期管理制度,对超过留存期限(如招生结束后6个月)的临时性采集信息予以彻底擦除,而非仅作逻辑删除。现实中,部分学校网站仍存在隐私政策形同虚设、Cookie权限过度索取、家长端APP强制绑定社交账号等问题,此类行为已多次被地方网信办通报整改。
更需强调的是,等保测评与个人信息保护并非孤立执行的两项任务,而是深度耦合的治理闭环。等保测评中的“安全管理制度”“安全管理人员”“安全建设管理”等管理类指标,直接对应《个人信息保护法》第四章关于“个人信息处理者义务”的规定;而等保技术要求中关于访问控制、日志审计、入侵防范等内容,则为落实“知情-同意-限制-删除”全链条提供了底层能力支撑。例如,某地教育局在督导中发现,一所中学网站虽通过二级等保测评,但其在线填表系统未记录用户授权操作日志,导致无法追溯某次批量导出学生信息的行为是否获得有效同意——这暴露出“重技术测评、轻制度落地”的典型短板。因此,合规建设必须坚持“技管结合”:一方面依托专业机构开展等保差距分析与渗透测试,另一方面同步修订《学校网站数据安全管理办法》《学生个人信息处理规程》等内部制度,并将合规要求嵌入网站开发需求文档(PRD)、上线评审清单与运维巡检表单之中。
综上可见,公办学校网站建设的政策合规绝非应付检查的表面文章,而是关乎教育公信力、学生权益保障与校园数字生态可持续发展的基础性命题。唯有将等保测评视为网络安全能力的体检报告,将个人信息保护内化为教育服务的价值自觉,方能在数字化浪潮中真正践行“以学生为中心”的育人初心,让每一所学校的网站既成为阳光透明的政务窗口,也成为值得托付的信任空间。
