2025年住宿业数据安全法规试题及答案

2025年住宿业数据安全法规试题及答案1.单项选择题（每题1分，共20分）1.1根据《2025年住宿业数据安全管理办法》，住宿经营者对顾客人脸识别信息的保存期限不得超过A.7日B.15日C.30日D.入住次日起90日答案：B1.2住宿业网络运营者发生个人信息泄露事件后，向所在地省级公安机关报告的时限为A.2小时B.6小时C.12小时D.24小时答案：A1.3下列哪一项不属于“敏感个人信息”范畴A.旅客护照号码B.旅客会员积分余额C.旅客生物识别特征D.旅客健康信息答案：B1.4对境外提供住宿业数据，应依法进行的评估程序是A.数据出境风险自评估B.国家网信部门安全评估C.行业自律评估D.第三方认证答案：B1.5住宿企业委托第三方处理入住数据时，必须签订的法定文件是A.数据处理委托书B.数据共享协议C.数据托管合同D.数据转让协议答案：A1.6违反《办法》第三十二条“超范围收集”的，最高可处以上一年度营业额A.1%罚款B.3%罚款C.5%罚款D.10%罚款答案：C1.7住宿业关键信息基础设施运营者，日志留存期限不少于A.3个月B.6个月C.1年D.2年答案：D1.8对未满十四周岁未成年人入住信息的处理原则为A.明示同意B.监护人同意C.推定同意D.无需同意答案：B1.9发生数据安全事件后，企业应首先启动A.应急预案B.媒体公关C.系统下线D.数据删除答案：A1.10住宿业数据分类分级指南中，“用户支付信息”被定为A.一级核心数据B.二级重要数据C.三级一般数据D.四级公开数据答案：A1.11对顾客身份证扫描件进行加密时，法定最低加密算法强度为A.DESB.3DESC.SM4D.RSA1024答案：C1.12下列哪项不是数据安全影响评估（DSIA）必须包含的内容A.数据类型与数量B.数据处理方式C.数据预期收益D.数据安全措施答案：C1.13住宿企业任命数据安全管理责任人后，向监管部门备案的时限为A.5个工作日B.7个工作日C.10个工作日D.15个工作日答案：B1.14对废弃房卡中存储的住客信息，正确的处理方式是A.直接丢弃B.粉碎后回收C.格式化后重复使用D.集中焚烧答案：B1.15住宿业信息系统“三级等保”测评周期为A.每半年一次B.每年一次C.每两年一次D.每三年一次答案：B1.16旅客行使删除权时，企业完成删除并反馈的最长时限为A.7日B.15日C.20日D.30日答案：B1.17下列哪一项属于“数据安全能力成熟度模型”第三级“定义级”特征A.随机执行B.已建立标准化流程C.能量化度量D.持续优化答案：B1.18住宿企业使用第三方SaaS云服务时，对云服务商的尽职调查记录应保存A.1年B.2年C.3年D.5年答案：C1.19对境外司法机构要求提供住客数据的，企业应当A.直接提供B.拒绝提供C.报省级公安机关批准D.报国家网信部门批准答案：D1.20住宿业数据安全事件分为特别重大、重大、较大、一般四级，其中“较大事件”指涉及个人信息主体数量A.1万以下B.1万以上10万以下C.10万以上100万以下D.100万以上答案：B2.多项选择题（每题2分，共20分；多选少选均不得分）2.1依据《办法》，住宿企业处理个人信息应具备的合法基础包括A.取得个人同意B.履行合同必需C.法定职责D.公共利益E.企业利益最大化答案：ABCD2.2住宿业关键信息基础设施的安全保护义务包括A.容灾备份B.渗透测试C.供应链安全审查D.数据本地化存储E.任意端口开放答案：ABCD2.3下列哪些情形住宿企业应当重新进行个人信息保护影响评估A.处理目的变更B.处理方式变更C.数据接收方变更D.数据保存期限缩短E.数据保存期限延长答案：ABCE2.4对住客人脸信息的收集与使用，企业必须A.单独告知B.明示同意C.提供非人脸替代方案D.即时上传公安数据库E.设定最小存储期限答案：ABCE2.5数据安全事件应急预案应包含A.事件分级标准B.应急组织架构C.事件报告路径D.事后恢复措施E.媒体红包预算答案：ABCD2.6住宿企业开展数据出境活动前，须提交的材料有A.数据出境安全评估申报表B.数据出境风险自评估报告C.与境外接收方签署的合同D.境外接收方所在国法律环境分析E.企业营业执照复印件答案：ABCD2.7以下哪些日志属于必须留存且不可更改A.前台PMS登录日志B.门锁卡制卡日志C.会员积分兑换日志D.员工排班表E.公安上传日志答案：ABCE2.8住宿企业应对第三方数据接收方进行的监督措施包括A.技术审计B.合同约束C.实地检查D.年度问卷E.口头承诺答案：ABCD2.9依据《个人信息保护法》，个人有权A.查询B.更正C.删除D.撤回同意E.要求企业赔偿损失答案：ABCDE2.10下列哪些技术措施可用于支付信息的去标识化A.令牌化B.哈希加盐C.对称加密D.差分隐私E.明文存储答案：ABCD3.填空题（每空1分，共20分）3.12025年《住宿业数据安全管理办法》由__________、__________、__________三部门联合发布。答案：公安部、国家网信办、商务部3.2住宿企业处理个人信息时，应当遵循“__________、__________、__________、__________”四项基本原则。答案：合法、正当、必要、诚信3.3对关键信息基础设施运营者，网络安全审查办公室应在收到申报材料后__________个工作日内完成形式审查。答案：53.4住宿企业应当建立数据分类分级制度，将数据分为__________级，其中支付订单信息属于第__________级。答案：三、一3.5发生数据泄露后，企业应通过__________方式向个人信息主体发送安全事件告知。答案：逐一或公告3.6住宿企业应当__________年至少开展一次数据安全应急演练，并保存演练记录__________年。答案：每、33.7对境外提供数据，企业应与境外接收方签订__________条款，约定数据出境目的、范围、保存期限、权利救济等。答案：标准合同3.8住宿企业前台采集的旅客身份证图像，应在传输环节采用__________协议，确保通道加密。答案：TLS1.33.9日志审计系统应具备__________功能，防止日志被篡改。答案：数字签名或区块链存证3.10住宿企业应当设置数据安全专职岗位，人员比例不低于信息化岗位总人数的__________%。答案：53.11对废弃硬盘实施__________擦除，符合《办法》第三十九条数据销毁要求。答案：多次覆写或物理粉碎3.12住宿企业收到旅客行使数据可携权请求后，应在__________日内提供__________格式文件。答案：15、机器可读3.13数据出境安全评估结论的有效期为__________年，期满后需重新评估。答案：23.14住宿企业采用云服务时，应选择通过__________认证的云平台。答案：云计算服务安全评估（增强级）3.15住宿企业应在每年__________月__________日前向监管部门报送上一年度数据安全报告。答案：3、314.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.1住宿企业可以将住客手机号直接共享给外部营销公司用于推广餐饮套餐。答案：×4.2数据安全事件造成5000万条入住记录泄露，应认定为特别重大事件。答案：√4.3住宿企业只需在注册地开展数据安全影响评估，无需在分店所在地重复评估。答案：×4.4境外司法机构提出数据请求时，企业可直接通过电子邮件提供加密数据。答案：×4.5日志留存期满后，企业可以立即彻底删除，无需额外审批。答案：√4.6住宿企业使用开源加密算法时，仍需通过国家密码管理局备案。答案：√4.7住客要求删除其历史入住记录，企业必须无条件立即删除。答案：×4.8数据安全负责人必须为企业高级管理人员，不得外包。答案：√4.9住宿企业采用公共云备份，备份数据可以存放于境外节点以节省成本。答案：×4.10住宿企业应在隐私政策中公布数据安全投诉渠道及处理时限。答案：√5.简答题（封闭型，每题5分，共15分）5.1简述住宿企业处理“敏感个人信息”前应履行的特别告知事项。答案：1.处理目的、方式、范围；2.必要性说明；3.对个人权益的影响；4.存储期限；5.保护措施；6.个人行使权利的方式和程序；7.企业联系人及投诉渠道。5.2列出数据出境安全评估中“境外接收方所在国家（地区）法律政策环境”评估要点。答案：1.数据保护立法水平；2.执法机构获取数据的权力与程序；3.对外国企业的歧视性措施；4.国际条约或协定；5.接收方历史合规记录；6.政治、经济稳定度。5.3说明住宿企业发生数据泄露事件后“事后恢复”阶段的三项核心任务。答案：1.漏洞修补与系统加固；2.受影响数据完整性与一致性校验；3.业务连续性恢复与替代通道建立。6.简答题（开放型，每题10分，共20分）6.1结合实例，论述住宿企业如何在“会员积分系统”中实现“最小必要”原则。答案：会员积分系统仅收集实现积分功能所必需的手机号、消费金额、入住天数；不收集婚姻、收入、健康信息；积分兑换礼品时仅验证积分余额与手机号后四位；系统后台默认不展示完整身份证号；提供“一键匿名”功能，允许用户隐藏会员等级；每季度审计字段使用率，删除90日无访问的冗余字段；通过API接口向第三方物流提供信息时，采用令牌化替代明文手机号；以上措施确保数据收集、使用、共享均限制在最小范围，降低泄露风险。6.2某连锁酒店集团计划将会员数据迁移至境外云数据中心，请设计一份合规路线图，涵盖评估、申报、合同、技术、监督五个维度。答案：评估维度：开展数据出境风险自评估，采用DSIA模板，识别个人敏感信息占比、数据量级、业务影响；聘请律师事务所出具境外法律环境分析报告。申报维度：向省级网信办提交数据出境安全评估申报表、自评估报告、境外接收方安全资质证明；配合现场访谈与系统演示。合同维度：与境外云厂商签署国家网信办发布的标准合同，附加数据本地化备份条款、事件响应SLA、违约金不少于合同额30%。技术维度：采用SM4+RSA混合加密，传输层TLS1.3，存储层AES256；实施差分隐私对会员生日、消费金额进行脱敏；建立跨境专线，禁止数据经公网绕行。监督维度：设立境外数据合规官，每季度向集团CISO提交访问日志审计报告；引入第三方SOC进行7×24监测；年度复评数据出境必要性，若业务调整可迁回境内，启动回迁预案，确保合规闭环。7.计算题（每题10分，共20分）7.1某酒店共有客房500间，年均入住率80%，每间客房日均产生日志原始大小50MB，日志压缩比4:1，等保要求留存2年。计算该酒店日志存储系统至少需要预留多少TB容量？（1TB=1024GB，1GB=1024MB，忽略冗余备份）答案：每日日志原始量=500×0.8×50MB=20000MB压缩后每日量=20000/4=5000MB≈4.88GB2年天数=365×2=730总容量=4.88GB×730=3562.4GB≈3.48TB答：至少需要3.48TB。7.2假设该酒店将会员数据库通过RSA2048加密后传输至境外，RSA2048公钥加密速度为0.5MB/s，数据库大小为800GB，若采用1000Mbps专线，计算最短传输时间（理论值，忽略协议开销）。答案：1000Mbps=125MB/s加密成为瓶颈：0.5MB/s时间=800GB/0.5MB/s=800×1024MB/0.5MB/s=1,638,400s换算小时=1,638,400/3600≈455.1小时≈18.96天答：最短约19天。8.案例分析题（综合类，25分）背景：2026年2月，某知名在线旅游平台（OTP）旗下直营酒店A发生数据库被勒索软件加密事件。攻击者通过钓鱼邮件获取前台主管邮箱权限，横向移动至PMS数据库服务器，加密全部住客信息并索要300万美元等值比特币。酒店A当日发现异常后立即隔离网络，并向属地公安机关报案。经初步排查，泄露数据包含近3年共计280万条住客记录，字段含姓名、身份证号、手机号、人脸识别特征、信用卡令牌、入住时间、房间号、消费金额。酒店A在72小时内恢复核心营业，但部分住客接到诈骗电话，造成社会舆情。公安机关认定该事件为“重大数据安全事件”。问题：（1）依据《2025年住宿业数据安全管理办法》，酒店A在事件发生后应履行哪些报告与告知义务？（6分）（2）指出酒店A在数据收集与存储环节违反“最小必要”原则的具体表现，并提出整改措施。（6分）（3）从技术与制度两方面，提出防止类似横向移动攻击的综合方案。（8分）（4）若酒店A因该事件被处以营业额5%罚款，其上一年度营业额为12亿元人民币，计算罚款金额，并说明企业可依法采取的救济途径。（5分）答案：（1）报告义务：2小时内向属地公安机关、省级网信办、行业主管部门报告；24小时内提交书面事件报告含影响范围、已采取措施；5个工作日内提交