2025年《数据安全法》数据分类分级保护专项练习题及答案

2025年《数据安全法》数据分类分级保护专项练习题及答案1.单项选择题（每题1分，共20分）1.1根据《数据安全法》第二十一条，国家建立数据分类分级保护制度，其中“核心数据”的识别主体是A.网络运营者B.行业主管部门C.国家数据安全工作协调机制D.省级网信部门答案：C1.2下列哪一项不属于“重要数据”的法定特征A.一旦篡改可能直接危害国家安全B.达到一定规模即自动纳入重要数据目录C.一旦泄露可能直接影响经济运行D.由本地区、本部门统一确定具体目录答案：B1.3数据处理者开展跨境数据提供活动，应依法进行安全评估，该评估的最长有效期为A.6个月B.1年C.2年D.3年答案：C1.4关键信息基础设施运营者采购网络产品或服务，影响国家数据安全的，应当接受A.网络安全审查B.数据出境评估C.个人信息保护认证D.等级保护测评答案：A1.5国家推动数据安全检测、评估、认证服务，其认可机构是A.国家市场监督管理总局B.国家网信部门C.国务院标准化行政主管部门D.国家数据安全工作协调机制办公室答案：B1.6对“核心数据”采取的最高级别保护措施应至少达到等保A.二级B.三级C.四级D.五级答案：C1.7数据处理者发生重要数据泄露事件，应在几小时内向省级主管部门报告A.1小时B.2小时C.24小时D.72小时答案：B1.8国家数据安全工作协调机制建立的专家委员会，其职能不包括A.制定数据跨境流动负面清单B.审议核心数据目录C.指导重要数据出境评估D.发布数据安全漏洞预警答案：A1.9对“个人敏感数据”进行去标识化后，仍被认定为重要数据的依据是A.数据规模超过100万条B.数据可与其他信息结合识别特定自然人C.数据已被公开披露D.数据已加密且密钥由境外接收方持有答案：B1.10行业主管部门制定本行业重要数据目录时，无需考虑的因素是A.数据一旦泄露对公共利益的危害程度B.数据是否涉及商业秘密C.数据是否已被企业公开D.数据对行业竞争力的影响答案：C1.11数据出境安全评估的重点内容不包括A.境外接收方所在国家法律环境B.数据发送方的资产负债率C.数据出境后再转移的风险D.合同条款能否保障数据安全答案：B1.12对“国家核心数据”实施出境管制，其批准文件签发主体为A.国家网信部门B.国务院公安部门C.国家数据安全工作协调机制D.国务院答案：D1.13数据处理者委托第三方开展数据安全评估，评估报告保存期限不得少于A.1年B.2年C.3年D.5年答案：C1.14下列关于“数据分类”的描述正确的是A.由企业自行决定即可B.必须与国家标准完全一致C.以“数据对国家安全、公共利益的影响”为首要标准D.仅适用于公共数据答案：C1.15对重要数据实行容灾备份，其最低备份频率为A.实时B.每日C.每周D.每月答案：B1.16国家鼓励通过下列哪种方式促进数据跨境安全流动A.单边开放B.数据自由贸易港C.对等豁免D.最惠国待遇答案：C1.17数据安全负责人必须具备的任职条件不包括A.具有3年以上数据安全管理经验B.通过国家级数据安全能力认证C.为数据处理者高级管理人员D.不得同时兼任个人信息保护负责人答案：D1.18对“核心数据”进行加工处理，必须采取的额外措施是A.双人双岗B.全程审计C.国密算法加密D.物理隔离答案：B1.19重要数据出境评估未通过，数据处理者可以A.再次提交同一方案B.向国务院申请行政复议C.向国家网信部门申诉D.修改方案后重新申请评估答案：D1.20国家建立数据安全应急处置机制，最低响应级别为A.特别重大B.重大C.较大D.一般答案：D2.多项选择题（每题2分，共20分）2.1下列数据应被优先纳入“重要数据”识别范围的有A.达到10万条的车联网数据B.覆盖全省的电力调度数据C.含基因序列的健康医疗大数据D.公开的气象观测数据答案：A、B、C2.2依据《数据安全法》，数据处理者应当履行的义务包括A.建立数据安全管理制度B.开展数据安全教育培训C.向境外司法机构直接提供用户数据D.采取加密、去标识化技术措施答案：A、B、D2.3国家数据安全工作协调机制的职责有A.统筹协调国家数据安全重大事项B.制定数据安全国家标准C.发布数据安全风险警示D.审批所有数据出境申请答案：A、C2.4对“核心数据”进行共享时，必须A.报国家网信部门单独审批B.采用国产密码算法进行端到端加密C.在共享前进行安全评估D.与接收方签署数据返还协议答案：B、C、D2.5数据出境安全评估报告应包含A.数据出境目的、方式、范围B.境外接收方数据保护水平C.数据发送方上市融资计划D.数据出境风险及应对措施答案：A、B、D2.6以下哪些情形需要重新进行数据出境评估A.数据出境目的发生重大变化B.境外接收方所在国立法发生重大变化C.数据出境规模增加不足10%D.数据出境后再转移路径变化答案：A、B、D2.7国家支持的数据安全技术创新方向包括A.可信计算B.区块链存证C.量子加密D.数据垄断算法答案：A、B、C2.8行业主管部门对重要数据目录的制定程序应包括A.公开征求意见B.组织专家评审C.报国家网信部门备案D.直接向社会发布无需备案答案：A、B、C2.9数据处理者发生数据安全事件后，应报告的要素有A.事件涉及的数据类型、数量B.已采取的处置措施C.事件对国家安全的影响评估D.事件责任人处理结果答案：A、B、C2.10国家鼓励的数据安全社会化服务包括A.数据安全保险B.数据安全众测C.数据匿名化认证D.数据黑市交易撮合答案：A、B、C3.填空题（每空1分，共20分）3.1国家建立数据分类分级保护制度，将数据分为一般数据、________、________三类。答案：重要数据；核心数据3.2重要数据目录由________以上有关主管部门组织制定，并报________备案。答案：省级；国家网信部门3.3关键信息基础设施运营者在我国境内收集和产生的重要数据应当在________存储。答案：境内3.4数据处理者开展数据处理活动应当依照法律、行政法规的规定，建立健全________管理制度。答案：全流程数据安全3.5国家支持数据安全检测、评估、认证等________专业服务依法开展。答案：第三方3.6对“核心数据”实行________保护，具体办法由________会同国务院有关部门制定。答案：严格；国家网信部门3.7国家建立数据安全________机制，对数据安全事件进行分级处置。答案：应急处置3.8数据出境安全评估坚持________、________、风险可控的原则。答案：事前评估；持续监督3.9国家鼓励数据依法合理有效利用，保障数据依法有序________流动。答案：自由3.10国家推动建立________数据跨境传输安全管理认证制度。答案：非个人3.11数据处理者委托他人开展数据处理活动，应当通过________方式约定数据安全保护义务。答案：合同3.12国家建立数据安全________制度，对数据安全风险进行监测预警。答案：风险监测预警3.13国家支持________、科研机构、企业参与数据安全国际规则和标准的制定。答案：行业协会3.14国家鼓励开展数据安全________教育，培养数据安全专业人才。答案：宣传普及3.15国家推动政务数据________，提高政务数据质量，促进数据共享。答案：开放3.16国家建立数据安全________制度，对违反数据安全法的行为实施信用惩戒。答案：信用档案3.17国家支持在________、数据安全等领域加强标准化工作。答案：数据跨境流动3.18国家建立数据安全________机制，对数据安全违法行为实施联合惩戒。答案：行政执法与刑事司法衔接3.19国家鼓励数据安全________创新，支持数据安全产品和服务研发。答案：技术3.20国家建立数据安全________制度，对数据安全事件信息进行共享。答案：信息共享4.判断题（每题1分，共10分）4.1任何数据处理者均可自行定义“核心数据”范围。答案：错误4.2国家数据安全工作协调机制办公室设在国家网信部门。答案：正确4.3重要数据出境评估通过后，无需再接受事中事后监督。答案：错误4.4国家鼓励数据安全与信息化发展同步规划、同步建设、同步使用。答案：正确4.5数据处理者仅需对“核心数据”建立容灾备份制度。答案：错误4.6国家支持在自由贸易试验区开展数据跨境流动试点。答案：正确4.7国家建立数据安全认证制度，认证结果可作为政府采购参考。答案：正确4.8数据安全事件信息属于国家秘密，一律不得公开。答案：错误4.9国家鼓励企业建立数据安全“首席数据官”制度。答案：正确4.10国家数据安全标准全部为强制性标准。答案：错误5.简答题（每题10分，共30分）5.1简述“重要数据”与“核心数据”在识别标准上的三点主要差异。答案：（1）危害客体差异：重要数据危害国家安全、经济运行、社会稳定、公共健康和安全；核心数据直接危害国家安全、经济安全、社会稳定、公共健康和安全中的核心利益。（2）识别主体差异：重要数据由行业主管部门、省级以上政府制定目录；核心数据由国家数据安全工作协调机制统筹协调确定。（3）保护强度差异：重要数据采取与等保三级以上相匹配的措施；核心数据采取最高级别保护，要求物理隔离、国密算法、全程审计、双人双岗等严格措施，并实行出境管制。5.2简述数据出境安全评估的五个主要流程。答案：（1）自评：数据处理者对照评估要点开展自评，形成自评报告；（2）材料提交：向所在地省级网信部门提交申请表、自评报告、合同、接收方保护能力说明等材料；（3）形式审查：省级网信部门5个工作日内完成材料完整性审查；（4）实质评估：省级网信部门组织专家或第三方机构对数据出境风险、接收方所在国法律环境、合同条款等进行实质评估，必要时开展现场检查；（5）决定与送达：省级网信部门在45个工作日内作出通过、不通过或限期整改的决定，并书面送达申请人；评估结果有效期2年，期满或情形重大变化需重新评估。5.3简述数据处理者在发生重要数据泄露事件后的应急处置“黄金2小时”要求。答案：（1）事件发现后30分钟内：完成初步定级，启动应急预案，成立应急指挥部；（2）1小时内：采取阻断、隔离、下架等技术措施，防止危害扩大；（3）2小时内：向所在地省级主管部门提交书面快报，内容包括事件描述、涉及数据类型与数量、初步原因、已采取措施、潜在影响；（4）同时：通知可能受影响的用户、合作伙伴，必要时通过网站、短信、媒体发布警示信息；（5）24小时内：提交详细报告，包括事件全过程、损失评估、整改方案；（6）72小时内：完成首次整改，接受主管部门现场核查；（7）7日内：向社会公布事件调查结果及后续改进措施，接受社会监督。6.案例分析题（每题20分，共40分）6.1案例背景：甲公司是一家注册在上海的网约车平台，拥有注册用户5000万，日均订单300万单，数据存储在阿里云华东节点。2025年3月，甲公司拟将经过“匿名化”处理的用户出行轨迹数据提供给美国乙大学用于智慧交通研究，数据规模约120亿条记录，数据字段已删除姓名、身份证号，但保留精确到10米的经纬度、时间戳、车辆编号。甲公司认为数据已匿名化，不属于重要数据，故未申报出境评估，直接通过API接口传输。传输第7天，被上海市网信办监测发现。问题：（1）指出甲公司数据定级错误之处并说明理由；（2）列出甲公司违反《数据安全法》的具体条款；（3）给出上海市网信办可依法采取的处置措施；（4）为甲公司设计一份合规整改路线图，要求含时间、任务、责任人。答案：（1）定级错误：出行轨迹数据虽经删除标识符，但经纬度10米精度+时间戳+车辆编号可结合外部公开信息重新识别特定自然人，且数据规模120亿条、覆盖全国主要城市，一旦泄露可被用于分析城市关键交通节点、敏感设施分布，属于《汽车数据安全管理若干规定》明确的重要数据。甲公司仅依据“匿名化”即认定为非重要数据，属于定性错误。（2）违反条款：①未履行重要数据出境安全评估义务，违反《数据安全法》第三十条；②未建立数据分类分级保护制度，违反第二十一条；③未履行数据出境风险监测义务，违反第二十九条；④未建立数据安全组织，未明确数据安全负责人，违反第二十七条。（3）处置措施：①责令立即停止数据出境，下线API；②约谈法定代表人，给予警告；③处以50万元罚款，对直接负责的主管人员处5万元罚款；④将违法行为记入信用档案并公示；⑤责令在30日内完成数据出境安全评估，评估通过前不得恢复传输；⑥必要时启动网络安全审查。（4）整改路线图：第1—3天：成立由CEO牵头的数据安全合规专班，任命数据安全负责人（首席合规官），冻结全部跨境接口；第4—7天：聘请第三方评估机构，对存量数据进行分类分级，确认120亿条轨迹数据为“重要数据”；第8—15天：编制数据出境安全评估申报材料，含数据出境目的、范围、接收方保护能力、风险分析、合同条款（增加中国法律适用、争议仲裁地北京、数据返还与删除条款）；第16—20天：向上海市网信办提交评估申请，同步开展个人信息影响评估（PIA），对可识别部分进一步泛化精度至500米、增加噪声；第21—45天：配合网信办完成专家评议、现场检查，按意见补充材料；第46—60天：评估通过后，仅传输经泛化且规模压缩至20亿条的脱敏样本，建立每季度重新评估机制；第61—90天：建立数据安全管理体系，通过DSG认证，开展全员培训，完成制度上墙、技术落地；责任人：CEO统筹，首席合规官督办，法务、技术、数据、内审四部门协同，第三方顾问全程辅导；输出：整改报告+评估通过决定书+认证证书，提交上海市网信办备案并向社会公示。6.2案例背景：丙银行总部位于深圳，2025年4月开发一套“跨境小微贷”模型，需使用港澳地区子公司收集的中小企业税务、海关、支付流水三类数据共800万条。丙银行将数据通过专线回传至深圳大数据平台，与境内征信数据融合后训练信贷模型。回传前，丙银行向广东网信办申请数据入境评估，但被告知该场景属于“数据出境”反向流动，应适用《数据安全法》第三十条。丙银行认为数据入境不属于出境，拒绝申报。一周后，媒体曝光丙银行涉嫌非法获取境外敏感数据，引发股价波动。问题：（1）解释为何“数据入境”在此情形下被认定为“数据出境”；（2）指出丙银行数据分类分级应遵循的金融行业标准编号及名称；（3）给出广东网信办可依据的执法条款及处罚幅度；（4）为丙银行设计一套双向跨境数据流动合规方案，要求含技术、管理、法律三层措施。答案：（1）法律适用：港澳子公司虽属丙银行控制，但在法律主体上属于境外独立法人；境外数据由港澳子公司传输至境内总部，构成“境外—境内”流动，依据《数据安全法》第二十九条、第三十条，境外数据处理者向境内提供重要数据，应参照出境评估机制履行安全评估义务，故被认定为“数据出境”反向场景。（2）行业标准：JR/T0197—2020《金融数据安全数据安全分级指南》，将税务、海关、支付流水数据划为3级（重要）乃至4级（核心）敏感数据。（3）执法条款：违反《数据安全法》第三十条，未依法申报数据出境评估；依据第六十一条，由省级以上网信部门责令改正，给予警