2026年数据出境安全评估办法题库及答案

2026年数据出境安全评估办法题库及答案一、单项选择题（每题1分，共30分）1.根据《数据出境安全评估办法（2026年修订）》，以下哪类数据出境必须向国家网信部门申报安全评估？A.经去标识化处理的个人敏感信息B.涉及国家核心数据但已加密的数据C.关键信息基础设施运营者处理的个人信息达到国家网信部门规定规模D.公开数据且不含个人信息答案：C解析：办法第七条明确，关键信息基础设施运营者处理的个人信息达到国家网信部门规定规模（境内存储个人信息超过100万人或年出境量超过10万人）必须申报评估。2.数据出境风险自评估报告的有效期为：A.6个月B.12个月C.18个月D.24个月答案：B解析：办法第十九条，自评估报告自出具之日起12个月内有效，逾期需重新评估。3.评估过程中，发现接收方所在国家或地区未与我国签订数据跨境传输协定的，应当：A.直接禁止出境B.由数据处理者承诺即可出境C.启动增强型尽职调查，重点评估法律环境与救济渠道D.降低数据加密等级以节省成本答案：C解析：办法第十三条，无法援引国际协定时，应通过增强型尽职调查补足风险缺口。4.数据出境安全评估的法定办结时限为：A.15个工作日B.30个工作日C.45个工作日D.60个工作日答案：C解析：办法第二十四条，国家网信部门自材料齐备之日起45个工作日内完成评估，必要时可延长15个工作日。5.以下哪项不属于“数据出境”定义范围？A.境内运营者将数据存储至境外公有云B.境外母公司远程登录境内服务器运维C.境内数据中心经国际专线向境外分支机构提供实时备份D.境内员工出差携带已加密笔记本，笔记本内含有10万条个人信息答案：B解析：办法第三条，数据出境指“境内运营者通过网络或其他方式向境外提供数据”，境外远程登录未发生数据转移，故不属于出境。6.若数据处理者采用联邦学习技术实现“数据不动模型动”，则：A.无需申报评估B.仍需申报，因参数更新可能泄露原始信息C.由企业自行决定D.仅需向行业主管备案答案：B解析：办法第十条，参数梯度若可反推原始数据，仍视为实质出境。7.数据出境评估重点不包括：A.数据出境必要性B.接收方数据保护水平C.数据再转移风险D.数据在境内备份的冗余度答案：D解析：办法第十六条，评估要素未涉及境内冗余度。8.国家网信部门可基于哪一理由暂停已通过的评估结论？A.接收方股价下跌B.国际地缘政治变化导致法律环境重大改变C.境内数据处理者更换LogoD.数据加密算法从AES-256改为SM4答案：B解析：办法第二十九条，法律环境重大改变可触发暂停。9.评估材料中“数据出境链路拓扑图”必须标注：A.境外机房装修风格B.链路加密协议版本及密钥长度C.境外员工年龄分布D.境内服务器品牌答案：B解析：办法附件2技术文件清单，要求标注链路加密协议及密钥长度。10.若数据处理者就同一批数据在12个月内多次出境，应：A.每次均重新申报B.首次申报后，后续仅需提交增量说明C.无需重复申报D.每季度提交一次汇总答案：A解析：办法第二十条，同一批数据每次出境均视为独立行为，须重新申报。11.办法对“大规模”敏感个人信息的界定阈值是：A.1万人B.5万人C.10万人D.50万人答案：C解析：办法第七条，敏感个人信息年出境量超过10万人即达到“大规模”。12.数据出境合同中必须约定的“数据主体权利条款”不包括：A.查询权B.删除权C.被遗忘权D.可携带权答案：C解析：我国法律未引入“被遗忘权”概念，合同无需约定。13.评估过程中，国家网信部门可委托哪类机构进行技术检测？A.任何取得ISO27001认证的咨询公司B.国家认可的数据安全测评机构C.境外律所D.数据处理者内部审计部答案：B解析：办法第二十六条，技术检测须由国家认可的数据安全测评机构实施。14.若数据处理者隐瞒出境数据真实规模，可被处以：A.警告B.上一年度营业额5%以下罚款C.吊销营业执照D.以上皆可答案：D解析：办法第三十四条，根据情节轻重可并处多种处罚。15.数据出境后，接收方发生兼并收购导致控制权变更，数据处理者应在多少日内报告？A.5日B.10日C.15日D.30日答案：C解析：办法第三十一条，15日内向原评估机关报告并提交补充材料。16.办法所称“重要数据”识别依据：A.企业自行认定B.行业主管部门制定的目录C.联合国标准D.欧盟GDPR指南答案：B解析：办法第五条，重要数据范围由行业主管部门目录确定。17.数据出境安全评估的档案保存期限不少于：A.1年B.2年C.3年D.5年答案：C解析：办法第三十八条，档案保存不少于3年。18.若数据出境目的从“业务协同”变更为“训练人工智能模型”，应：A.内部审批即可B.重新申报评估C.向行业组织备案D.无需任何操作答案：B解析：办法第二十一条，出境目的变更属于重大变化，须重新申报。19.办法对“数据出境合同”的法律适用条款要求：A.必须约定适用中国法律B.可约定适用接收方所在国法律C.必须约定适用第三国法律D.无需约定答案：A解析：办法第十二条，合同须明确适用中国法律且不得排除中国法院管辖。20.评估结论有效期届满，数据处理者希望继续出境，应提前多少日提交续评申请？A.10日B.20日C.30日D.60日答案：C解析：办法第二十八条，提前30日提交续评。21.以下哪项技术措施不能单独作为降低风险的理由？A.端到端全同态加密B.差分隐私C.数据脱敏至K-匿名D.简单哈希不加盐答案：D解析：不加盐哈希易被彩虹表破解，无法有效降低风险。22.办法规定，数据出境评估实行：A.自愿申报B.事后备案C.一事一评估D.年度统一评估答案：C解析：办法第八条，实行“一事一评估”。23.若数据处理者为跨国公司，其中国区主体将数据传至全球总部，全球总部再分发给第三国子公司，该情形属于：A.单次出境B.二次出境C.再转移D.境内流转答案：C解析：办法第十四条，再转移需单独评估并征得同意。24.数据出境评估中，对“数据最小化”的审查重点是：A.是否仅出境业务必需字段B.是否压缩数据体积C.是否使用高压缩率算法D.是否删除日志答案：A解析：办法第十六条，审查是否超出业务必需范围。25.办法对“敏感个人信息”的加密传输最低要求是：A.对称加密密钥长度≥128位B.非对称加密密钥长度≥2048位C.哈希长度≥256位D.对称加密密钥长度≥256位且采用国密算法答案：D解析：办法附件3技术要求，出境敏感个人信息须采用SM4/SM2或同等强度算法，密钥长度≥256位。26.若数据出境涉及跨境支付，还需同步遵守：A.人民银行《跨境支付管理办法》B.外汇局《支付机构外汇业务管理办法》C.以上均需D.以上均不需答案：C解析：数据出境与资金跨境监管并行，需双重合规。27.数据处理者委托云服务提供商出境，评估申报主体是：A.云服务商B.数据处理者C.云服务商与数据处理者共同D.由网信部门指定答案：B解析：办法第六条，评估义务由“境内数据处理者”承担。28.办法对“数据出境日志”保存期限要求：A.6个月B.1年C.2年D.3年答案：D解析：办法第三十九条，日志保存不少于3年。29.若评估结论为“禁止出境”，数据处理者可在多少日后再次申报？A.30日B.60日C.90日D.180日答案：C解析：办法第二十七条，整改后90日可再次申报。30.数据出境评估中，对“数据主体授权”的审查不包括：A.授权是否明示B.授权是否可撤回C.授权是否经过公证D.授权是否与出境目的直接相关答案：C解析：办法未要求强制公证。二、多项选择题（每题2分，共20分）31.以下哪些情形必须启动数据出境安全评估？A.关键信息基础设施运营者处理的个人信息超过100万人B.数据处理者出境重要数据C.出境个人信息中包含生物识别信息年累计1万人D.出境一般个人信息年累计50万人答案：A、B、C解析：办法第七条，A、B、C均达到强制评估阈值，D未达50万敏感个人信息门槛。32.数据出境风险自评估报告应包含：A.数据出境必要性分析B.接收方数据保护能力说明C.数据再转移风险控制措施D.境内备份冗余度答案：A、B、C解析：办法第十八条，D非强制要求。33.国家网信部门可采取哪些措施加强事中事后监管？A.飞行检查B.远程渗透测试C.约谈法定代表人D.冻结银行账户答案：A、B、C解析：办法第三十六条，D属金融监管手段。34.数据出境合同中必须约定的数据主体权利包括：A.查询B.更正C.删除D.可携带答案：A、B、C、D解析：办法第十二条，四项权利均需约定。35.以下哪些技术可辅助降低再识别风险？A.差分隐私B.同态加密C.安全多方计算D.明文传输答案：A、B、C解析：D增加风险。36.评估材料中“数据映射表”需列明：A.字段中文名B.字段类型C.敏感级别D.加密算法答案：A、B、C、D解析：办法附件2要求全量列明。37.若数据出境涉及再转移，必须满足：A.获得单独同意B.签署再转移协议C.再转移方通过同等水平评估D.向网信部门备案答案：A、B、C解析：办法第十四条，D非强制备案。38.数据处理者须建立数据出境应急响应机制，包括：A.数据泄露72小时内报告B.暂停出境通道C.通知数据主体D.公开道歉答案：A、B、C解析：D非强制。39.以下哪些行为将被视为“拒不改正”？A.未按期补充材料B.擅自扩大出境数据范围C.提供虚假加密说明D.未及时缴纳罚款答案：A、B、C解析：D属行政处罚执行问题。40.办法鼓励哪些主体参与数据出境标准制定？A.行业协会B.龙头企业C.第三方测评机构D.境外政府答案：A、B、C解析：D无权参与我国标准制定。三、判断题（每题1分，共10分）41.数据出境评估通过后，企业可永久使用该结论。答案：错解析：有效期仅12个月。42.办法允许通过标准合同替代安全评估。答案：错解析：标准合同仅为评估材料之一，不能替代评估。43.数据出境后，接收方所在国发生战争，企业可暂不报告。答案：错解析：办法第三十一条，重大环境变化须15日内报告。44.个人信息经不可逆匿名化后可自由出境。答案：错解析：办法第十一条，匿名化需经技术验证且不可复原。45.评估过程中，企业可申请商业秘密豁免披露部分材料。答案：对解析：办法第二十五条，可申请保密审查。46.数据出境日志可采用Syslog协议明文传输。答案：错解析：日志含敏感信息，须加密。47.办法对中小企业给予简化评估流程。答案：错解析：未设简化条款，一视同仁。48.数据出境评估不收取行政费用。答案：对解析：办法未设收费条款。49.评估结论为“附条件通过”时，企业须每季度提交执行报告。答案：对解析：办法第三十条，季度报告。50.办法授权省级网信部门开展评估。答案：错解析：办法第四条，国家网信部门统一负责。四、填空题（每空1分，共10分）51.关键信息基础设施运营者处理的个人信息达到________万人时，必须申报评估。答案：10052.数据出境安全评估实行“________”原则。答案：一事一评估53.接收方所在国家或地区未与我国签订数据跨境传输协定的，应启动________尽职调查。答案：增强型54.数据出境合同必须约定适用________法律。答案：中国55.评估结论有效期为________个月。答案：1256.数据出境日志保存期限不少于________年。答案：357.数据出境再转移需获得数据主体的________同意。答案：单独58.数据出境风险自评估报告应由________签字确认。答案：法定代表人或授权代表59.国家网信部门可委托________机构进行技术检测。答案：国家认可的数据安全测评60.数据处理者隐瞒出境规模，最高可处上一年度营业额________%罚款。答案：5五、简答题（每题10分，共20分）61.简述数据出境安全评估的五大核心要素。答案：（1）数据出境必要性：是否仅为业务功能所需，有无替代方案；（2）数据类型与敏感程度：区分个人信息、敏感个人信息、重要数据；（3）接收方保护水平：包括法律环境、技术能力、组织架构；（4）再转移风险：接收方是否继续向第三方转移，控制措施是否有效；（5）数据主体权益保障：查询、更正、删除、可携带、救济渠道是否完备。62.说明“增强型尽职调查”在评估中的实施步骤。答案：步骤一：收集接收方所在国立法、执法、司法案例，评估政府获取数据难度；步骤二：分析接收方隐私政策、审计报告、认证资质，形成差距分析；步骤三：要求接收方提供技术白皮书，验证加密、访问控制、审计措施；步骤四：模拟攻击测试，检验数据泄露风险；步骤五：制定补偿机制，包括保险、托管金、法律救济基金；步