2025年网络安全法与数据保护课程考试试题及答案

2025年网络安全法与数据保护课程考试试题及答案1.单项选择题（每题1分，共20分）1.1根据《网络安全法》，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过A.工信部备案B.国家网信办审批C.国家安全审查D.行业协会评估答案：C1.2《个人信息保护法》规定，处理敏感个人信息应当取得个人的A.默示同意B.书面同意C.单独同意D.口头同意答案：C1.3数据出境安全评估的负责主体是A.公安部B.国家网信办C.国家市场监管总局D.国家密码管理局答案：B1.4网络运营者发生网络安全事件后，向有关主管部门报告的时限为A.1小时B.2小时C.12小时D.24小时答案：B1.5下列哪一项不属于《数据安全法》规定的“数据处理活动”A.收集B.存储C.传输D.浏览答案：D1.6关键信息基础设施的安全保护等级原则上不低于A.第一级B.第二级C.第三级D.第四级答案：C1.7对个人信息实行分类分级保护时，最核心的分级维度是A.数据规模B.数据敏感程度C.数据存储位置D.数据加密强度答案：B1.8网络产品提供者发现其产品有安全缺陷时，应当及时告知用户并向A.工信部报告B.公安部报告C.国家网信办报告D.有关主管部门报告答案：D1.9违反《网络安全法》受到行政处罚，情节严重的，对直接负责的主管人员处A.1万元以下罚款B.1万元以上10万元以下罚款C.10万元以上100万元以下罚款D.100万元以上罚款答案：C1.10对跨境传输个人信息进行安全评估时，不需要重点考虑A.境外接收方所在国家法律环境B.境外接收方数据保护水平C.境外接收方股权结构D.传输数据规模答案：C1.11《网络安全法》正式施行的日期是A.2016年11月7日B.2017年6月1日C.2018年5月1日D.2019年1月1日答案：B1.12网络运营者收集个人信息，应当遵循的原则不包括A.合法B.正当C.必要D.盈利答案：D1.13国家网信部门对关键信息基础设施进行A.年度检查B.不定期抽查C.风险抽查检测D.自查备案答案：C1.14数据安全负责人应当具备A.高级职称B.数据安全专业背景C.五年以上管理经验D.网络安全相关资质答案：D1.15对个人信息处理活动进行审计的周期不得超过A.每季度B.每半年C.每年D.每两年答案：C1.16网络运营者终止运营，其个人信息应当A.移交公安机关B.删除或匿名化C.出售给第三方D.永久保存答案：B1.17对未成年人个人信息的处理应当取得A.未成年人同意B.监护人同意C.学校同意D.公安机关同意答案：B1.18网络安全等级保护2.0标准中，云计算扩展要求属于A.安全通用要求B.安全扩展要求C.行业特定要求D.管理要求答案：B1.19对数据出境进行风险自评估时，评估报告保存期限不少于A.1年B.2年C.3年D.5年答案：C1.20违反国家核心数据管理制度，最高可处A.100万元罚款B.500万元罚款C.1000万元罚款D.上一年度营业额5%以下罚款答案：D2.多项选择题（每题2分，共20分）2.1下列属于《数据安全法》定义的“数据处理”环节的有A.收集B.存储C.使用D.删除答案：ABCD2.2关键信息基础设施包括A.金融基础设施B.能源基础设施C.交通基础设施D.教育基础设施答案：ABC2.3个人信息处理者应当事前进行个人信息保护影响评估的情形有A.处理敏感个人信息B.向境外提供个人信息C.利用个人信息进行自动化决策D.公开披露个人信息答案：ABCD2.4网络安全事件应急预案应当包括A.事件分类分级B.应急指挥机构与职责C.监测预警D.事后总结与整改答案：ABCD2.5网络运营者采取加密措施时，可使用的国产商用密码算法有A.SM2B.SM3C.SM4D.AES答案：ABC2.6数据出境安全评估重点审查的内容包括A.数据出境目的B.境外接收方履约能力C.数据规模与范围D.个人同意情况答案：ABCD2.7网络运营者对用户发布的信息不得A.篡改B.删除C.隐匿D.非法向他人提供答案：ACD2.8国家网信部门可以对网络运营者采取的措施有A.约谈B.责令改正C.暂停业务D.罚款答案：ABCD2.9个人信息处理者委托第三方处理个人信息，应当A.进行事前评估B.签订数据保护协议C.监督受托方D.向个人告知答案：ABC2.10网络运营者应当建立的网络安全管理制度包括A.安全责任制度B.安全教育培训制度C.日志留存制度D.数据分类分级制度答案：ABCD3.填空题（每空1分，共20分）3.1《网络安全法》规定，网络运营者应当对其收集的用户信息严格保密，并建立健全________制度。答案：用户信息保护3.2关键信息基础设施运营者采购网络产品或服务，可能影响国家安全的，应当通过________。答案：国家安全审查3.3个人信息处理者因业务需要向境外提供个人信息，应当通过国家网信部门组织的________。答案：数据出境安全评估3.4网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息________，防止信息泄露、毁损、丢失。答案：安全3.5国家建立数据________制度，对数据实行分类分级保护。答案：分类分级保护3.6网络运营者发生网络安全事件，应当立即启动________，采取相应补救措施，并按照规定向有关主管部门报告。答案：应急预案3.7关键信息基础设施运营者应当设置专门的________，负责关键信息基础设施安全保护。答案：安全管理机构3.8个人信息处理者处理敏感个人信息，应当取得个人的________同意。答案：单独3.9网络运营者应当留存网络日志不少于________个月。答案：63.10国家支持企业和高等院校、职业学校等教育培训机构开展________相关教育。答案：网络安全3.11违反《数据安全法》规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处________万元以上________万元以下罚款。答案：10；1003.12网络运营者发现其网络产品、服务存在安全缺陷，应当立即采取________措施。答案：补救3.13国家网信部门会同国务院有关部门建立________信息共享机制。答案：网络安全3.14个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行________。答案：审计3.15关键信息基础设施运营者采购网络产品或服务，应当与提供者签订________协议。答案：安全保密3.16网络运营者收集个人信息，应当以________方式向个人告知处理规则。答案：显著3.17国家鼓励关键信息基础设施以外的网络运营者________参与关键信息基础设施保护体系。答案：自愿3.18数据出境安全评估结果有效期为________年。答案：23.19网络运营者终止运营，应当停止收集个人信息，并在________个工作日内删除或匿名化个人信息。答案：153.20国家建立________数据管理制度，对影响国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据实行更加严格的管理制度。答案：核心4.简答题（每题10分，共30分）4.1（封闭型）简述《个人信息保护法》确立的“告知—同意”规则的核心内容。答案：（1）处理个人信息前，应当以显著方式向个人告知处理者身份与联系方式、处理目的、方式、种类、保存期限、个人权利行使方式等事项；（2）处理者须取得个人在充分知情前提下自愿作出的明确同意；（3）处理目的、方式、种类发生变更的，应重新告知并再次取得同意；（4）处理敏感个人信息须取得单独同意；（5）法律、行政法规另有规定的除外情形无需同意，但仍应履行告知义务。4.2（开放型）结合实践，说明企业在进行数据出境风险自评估时应当重点关注的三个风险维度，并提出对应的缓解措施。答案：维度一：境外接收方所在国家或地区的法律与执法环境风险。缓解措施：评估接收方所在国对数据保护的立法水平、执法强度、政府获取数据的权力边界；优先选择具有充分性认定或签署标准合同的国家或地区；通过合同条款约定数据主体救济渠道。维度二：接收方数据保护能力风险。缓解措施：审查接收方信息安全管理体系认证（如ISO27001）、过往数据泄露记录、技术防护水平；在合同中明确加密、访问控制、审计日志、事件响应等安全义务；设置年度第三方安全审计条款。维度三：数据主体权益保障风险。缓解措施：向数据主体充分告知境外接收方身份、处理目的、风险及救济途径；提供便捷的行权渠道（查询、更正、删除、撤回同意）；建立跨境投诉处理机制；购买数据泄露责任保险，设立赔偿基金。4.3（封闭型）列举《网络安全法》对网络运营者设定的四项基本安全义务。答案：（1）制定内部安全管理制度和操作规程，确定网络安全负责人；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）监测、记录网络运行状态、网络安全事件，并按照规定留存网络日志不少于六个月；（4）对重要数据和个人信息实行分类、备份、加密等措施，防止数据泄露、毁损、丢失。5.应用题（共60分）5.1案例分析（20分）案情：A公司是一家面向全球的短视频平台，注册用户2亿，日活5000万。2025年3月，A公司将境内用户短视频内容及其关联的个人标签、地理位置、设备信息批量传输至位于美国加州的关联公司B，用于训练推荐算法。传输前A公司仅通过弹窗告知“为提升用户体验，部分信息可能境外处理”，未提供单独同意选项，也未进行数据出境安全评估。2025年5月，境外公司B发生数据泄露，涉及4500万用户。国家网信办对A公司立案调查。问题：（1）指出A公司违反的法律条款；（2）说明可能面临的行政处罚；（3）提出整改方案。答案：（1）违反条款：①《个人信息保护法》第38条：未通过安全评估擅自向境外提供个人信息；②《个人信息保护法》第29条：处理敏感个人信息（地理位置、设备信息）未取得单独同意；③《个人信息保护法》第55条：未进行个人信息保护影响评估；④《网络安全法》第42条：未履行数据安全保护义务，导致大量数据泄露。（2）处罚：①依据《个人信息保护法》第66条，可处5000万元以下或者上一年度营业额5%以下罚款；②对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款；③依据《网络安全法》第64条，可处10万元以上100万元以下罚款，责令暂停相关业务、停业整顿、关闭网站、吊销许可证或营业执照。（3）整改方案：①立即暂停跨境传输，启动数据本地化存储；②30日内向国家网信办申报数据出境安全评估，签署标准合同并通过认证机制；③重新设计弹窗与隐私政策，就敏感个人信息获取单独同意；④完成个人信息保护影响评估并建立年度审计制度；⑤对境外接收方进行安全能力复审，部署端到端加密、零信任架构、API访问令牌限流；⑥建立7×24小时跨境事件响应通道，设置1000万元数据泄露赔付基金。5.2计算题（10分）某电商平台2024年度全球营业额为800亿元人民币，其中中国大陆营业额占60%。因违法处理个人信息被国家网信办处以“上一年度营业额5%”罚款。计算罚款金额并说明计算依据。答案：罚款基数为“上一年度营业额”，根据《个人信息保护法》第66条，指企业全球营业额800亿元。罚款金额=800亿元×5%=40亿元。依据：法律条文明确以“上一年度营业额”为基数，不区分地域。5.3综合设计题（30分）背景：C集团拟在2025年建设“智慧医疗云平台”，整合旗下30家三甲医院数据，涉及患者病历、影像、基因数据、医保结算信息，需与境外科研机构合作开展联合AI诊断研究。任务：设计一套覆盖“数据采集—存储—使用—共享—出境—销毁”全生命周期的合规技术管理方案，要求：（1）画出数据流向图并标注控制点；（2）列出各阶段需遵循的国家标准或行业标准（至少5项）；（3）给出出境场景下的评估与审批路径；（4）说明患者同意机制与行权渠道；（5）设计数据泄露应急响应流程（含时限）。答案：（1）数据流向图（文字描述）：患者终端→医院前置机（加密传输TLS1.3+SM4）→集团数据中心（私有云，等级保护三级）→脱敏子系统（标识化、去标识化）→AI训练沙箱（访问控制、审计）→跨境传输网关（审批通过后方可出境）→境外合作机构（VPC隔离）→研究完成后删除（可验证删除）。控制点：①采集网关；②脱敏网关；③API网关