2019年底教育部发布《教育移动互联网应用程序备案管理办法》，规定教育移动应用提供者需于2020年1月31日前完成ICP备案和等保备案。随着日期临近，许多教育平台运营者却在教育App等保备案上犯难。一些地方负责等保备案的公安部门规定，企业提供的教育App定级统一为三级，但这和其他一些省份的要求有所出入。根据《信息安全等级保护管理办法》，国家信息安全等级保护坚持自主定级、自主保护的原则，有教育机构认为，统一定三级的要求或于法无据。

但在落实上述政策时，出现执行标准不一、不同部门对业务的理解各异等问题，除上述定级问题外，提供者备案需提交的材料各地要求也有出入。教育部相关工作人员对此表示，定级为企业自主选择，现阶段教育App备案只要等保备案号，不需要提交等保备案证明。且考虑机构整改等需要一定时间，目前没有提交等保备案证明的时间表。同时备案也无需提交测评报告，定二级要拿了测评才给证，这和现行法律法规是冲突的。另外地方可根据实际情况提高相应标准，但不能违背中央政策。

按相关规定，三级备案需提交相应的测评报告。定了三级意味着每年都要测评，若因业务扩展增加了系统、App，测评成本将进一步上升。这意味着企业要面临更高的等保测评、整改成本，等保测评市场也跟着水涨船高，一些机构质疑其定级的合理性，并认为此举恐抬高市场准入门槛。针对统一定三级的要求，笔者先后两次采访一些省公安厅相关工作人员，其表示，教育移动应用分学校提供和企业提供，等保定级的建议都在二级以上。对于学校提供的，它是针对特定的群体，特定的业务，如果它数据的敏感性、重要程度不高，可以参照二级的标准。但对企业提供的、面向公众或者是很多的学校、不特定群体，那么，它的安全防护的标准建议参照三级……可以说是要求他定三级，并不是说所有教育的移动应用都一刀切定成三级，它是分提供的主体、面向的对象、获取数据的重要程度和敏感性。

但公安部门的说明并未获得教育部门的认同。教育部门人士表示，对企业提供的教育移动应用等保统一要求为三级的做法，恐提高市场准入门槛，不利于营商环境的打造。笔者从接近该省教育厅的渠道获得一份由该省公安厅发给对方的文档，这份《关于教育移动互联网应用网络安全备案审核内容及流程说明》面向省内教育移动应用提供者，涉及备案审核材料要求、定级说明、定级备案对象说明、测评说明、建设整改说明等内容，并附上网络安全等级保护相关法律规定。对于网络安全等级保护需要提交的相关材料，文档解释，其主要内容包括：网络安全等级保护备案表、网络安全等级保护三级备案证明、本年度网络安全等级保护测评报告。并提到，教育移动应用提供者应当在办理定级备案后，按照相关规定开展测评、整改等工作，测评报告附在整体合规申报材料内。

等保备案主要分为定级与备案两个部分，备案由公安部门负责。根据《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。定级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。根据国家标准《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240—2008），当等级保护对象受到破坏后造成“公民、法人和其他组织的合法权益”严重损害和特别严重损害的，或造成“社会秩序、公共利益”一般损害的，定为二级；造成“社会秩序、公共利益”严重损害或国家安全一般损害的，定为三级。从一级到三级各自的监管强度也分别由自主保护、指导上升再到监督检查。

无论是公安系统人员、相关测评机构还是教育机构，对于等保三级的理解各不相同，有的认为面对不特定群体，存储用户信息达5000条以上就要考虑定三级。有的则认为注册用户达十万以上就要申请三级。对于定级不准的，《信息安全等级保护备案实施细则》也做出相关规定：公安机关公共信息网络安全监察部门对定级不准的备案单位，在通知整改的同时，应当建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。备案单位仍然坚持原定等级的，公安机关公共信息网络安全监察部门可以受理其备案，但应当书面告知其承担由此引发的责任和后果，经上级公安机关公共信息网络安全监察部门同意后，同时通报备案单位上级主管部门。有法律研究者表示，无论是教育部门还是公安部门，只有备案了产品才能上市的行为属于行政许可，行政许可的设定需要有法律依据；若不备案不涉及其是否可上市的问题，则不属于行政许可，但若条文增加了公民、法人或其他组织的义务和行政机关的自我赋权，同样需要法律依据。

在某省在线教育的qq群内，笔者看到各教育机构从各自渠道了解的二级测评的价格差距巨大，报价从3.8万到80万—200万。也有一些机构以团购促销为名形成社群，并通过告知截止日期、迟早要交测评报告等希望客户尽早购买产品服务。但有机构人士在群内吐槽，创业公司产品还没发展起来就要收费十几万，报价太多了付完就倒闭了。也有业者建议，为了更快地通过测评整改，做好等保备案，最好找公安部门推荐的测评机构。从长期来看，规范和监管，对市场良性发展及终端用户的利益保障尤为必要。但因要求和具体执行的差异，很多教育机构感到迷茫——我应该定几级？我应该遵循什么？同时，有代理商在此中“浑水摸鱼”，进一步加大企业成本。

这对政策制定者、实施者和执行主体多方而言，是共同的挑战。也对教育的治理体系与治理能力，提出了更高的要求，教育服务产业是教育行业很重要的组成部分，建立长效、完善和健康发展的治理机制是核心。而对产业从业者而言，如何去理解和落实政策，并和行政部门做好沟通，也是更高的要求。出现问题，如何沟通与达成共识，最终能实现教育多方协作向前进，这是一个时代阶段内，所有主体共同的任务和挑战。