2025年信息科学与数据政策考试试题及答案

2025年信息科学与数据政策考试试题及答案一、单项选择题（每题2分，共20分）1.依据2024年修订的《数据安全法实施条例》，以下哪类数据不属于“重要数据”范畴？A.某省人口健康医疗数据（覆盖全省80%户籍人口）B.某互联网企业收集的100万条用户购物偏好数据（无身份关联）C.某能源企业存储的全国电网实时调度数据D.某科研机构发布的涉及关键核心技术的实验参数数据答案：B解析：重要数据的界定需满足“一旦泄露、破坏、篡改或非法获取，可能危害国家安全、经济运行、社会稳定、公共健康和安全”。用户购物偏好数据若无身份关联且不涉及公共利益，通常不纳入重要数据范畴（条例第三章第十三条）。2.隐私计算技术中，“联邦学习”的核心优势是？A.实现跨机构数据明文共享B.仅交换模型参数而非原始数据C.完全消除数据泄露风险D.支持实时大规模数据清洗答案：B解析：联邦学习通过在本地训练模型、仅上传模型参数（如梯度）的方式，避免原始数据流通，平衡数据利用与隐私保护（《隐私计算技术白皮书（2024）》定义）。3.根据《提供式人工智能服务管理暂行办法（2025修订版）》，提供式AI服务提供者对用户输入内容的留存期限最长不超过？A.15日B.30日C.60日D.90日答案：D解析：修订版办法第二十一条明确，为追溯违法内容来源，输入内容留存期不超过90日，输出内容按“谁发布、谁负责”原则由发布者留存（特殊国家安全案件除外）。4.数据要素市场化配置中，“数据资产入表”的关键前提是？A.数据已完成脱敏处理B.数据具备明确的权属界定C.数据存储于标准化平台D.数据年交易次数超过10次答案：B解析：财政部《企业数据资源相关会计处理暂行规定（2025）》指出，数据资产入表需满足“企业拥有或控制、能带来经济利益、成本可计量”，其中权属清晰是核心前提（第一条第二款）。5.以下哪项不符合《个人信息保护法》关于“最小必要原则”的要求？A.外卖APP仅收集用户姓名、手机号、配送地址B.金融APP在用户注册时要求提供近3年银行流水C.社交APP根据用户设置的“公开范围”限制信息可见性D.医疗APP仅在诊疗过程中收集患者既往病史答案：B解析：最小必要原则要求收集的个人信息应与服务目的直接相关且数量最少。金融APP注册时要求近3年银行流水超出“注册”这一具体场景的必要范围（第二十三条）。6.数据跨境流动“白名单”制度中，“白名单国家/地区”的认定标准不包括？A.与我国签订数据保护互认协议B.数据保护水平与我国具有等效性C.对我国企业数据出境无歧视性限制D.年数据贸易额超过500亿美元答案：D解析：《数据出境安全评估办法（2025修订）》附件明确，白名单认定基于“法律制度等效性、监管合作机制、企业权益保障”，不涉及贸易额指标（第四条第三款）。7.区块链技术在数据存证中的核心作用是？A.降低数据存储成本B.实现数据实时共享C.确保存证数据不可篡改D.提升数据计算效率答案：C解析：区块链通过哈希算法和分布式记账，使数据一旦上链即难以篡改，为数据存证提供可信时间戳和操作记录（《区块链数据存证应用指南》第一章）。8.某企业拟开展“用户行为数据”的自动化决策，根据《个人信息保护法》，以下哪项无需向用户告知？A.决策的具体规则（如算法逻辑）B.决策的影响范围（如是否影响信用评分）C.拒绝自动化决策的救济方式D.企业用于训练算法的外部数据来源答案：D解析：自动化决策需告知用户“规则、影响、救济”，但外部数据来源若涉及第三方隐私，可不主动告知（需用户主动查询时提供）（第二十四条）。9.以下哪项属于“数据安全风险评估”的必选内容？A.数据存储介质的物理安全等级B.数据处理人员的背景调查记录C.数据泄露可能造成的社会影响D.数据清洗工具的技术先进性答案：C解析：《数据安全风险评估指南》规定，评估需覆盖“数据资产价值、潜在风险场景、影响程度（包括国家安全、社会公共利益、个人权益）”（第三章第五条）。10.人工智能伦理“可解释性”原则要求？A.算法代码完全公开B.决策过程能被人类理解C.训练数据来源可追溯D.模型参数可复现答案：B解析：可解释性指AI系统的决策逻辑需以人类可理解的方式（如自然语言、可视化图表）呈现，而非要求代码公开或参数复现（《人工智能伦理准则（2025）》第六条）。二、简答题（每题8分，共32分）1.简述数据要素“三权分置”的具体内容及其政策意义。答案：“三权分置”指数据资源持有权、数据加工使用权、数据产品经营权分置。数据资源持有权：数据原始收集方（如企业、机构）对数据资源的合法持有资格；数据加工使用权：经授权的主体对数据进行清洗、分析、建模等加工处理的权利；数据产品经营权：将加工后的数据产品（如分析报告、算法模型）投入市场交易的权利。政策意义：通过明确不同主体在数据全生命周期中的权利边界，解决数据“谁能持有、谁能使用、谁能收益”的核心问题，促进数据要素流通和价值释放，避免权属不清导致的交易障碍（参考《关于构建数据基础制度更好发挥数据要素作用的意见》）。2.对比“匿名化”与“去标识化”的技术差异，并说明二者在个人信息保护中的法律后果。答案：技术差异：匿名化：通过技术手段彻底移除个人信息与特定自然人的关联，即使结合其他信息也无法识别到个人（如不可逆加密+信息抽象化）；去标识化：仅移除直接标识符（如姓名、身份证号），但保留间接标识符（如年龄、地域），结合其他信息仍可能识别到个人（如“25岁、上海、程序员”可关联到具体个体）。法律后果：匿名化数据不再属于“个人信息”，不受《个人信息保护法》约束；去标识化数据仍属于个人信息，处理时需遵守告知同意、最小必要等原则（《个人信息保护法》第四条）。3.列举《关键信息基础设施安全保护条例》中对数据安全的三项特殊要求。答案：（1）关键信息基础设施运营者（CIIO）应在境内存储重要数据，确需出境的需通过国家数据出境安全评估；（2）需制定数据安全事件应急预案，每年至少开展1次应急演练；（3）采购网络产品和服务时，需对数据安全影响进行风险评估，并报省级公安部门备案；（4）定期开展数据安全检测评估，评估报告需留存至少3年（任选三项，依据条例第十五至十七条）。4.说明联邦学习在医疗数据共享中的应用场景及技术优势。答案：应用场景：跨医院联合训练疾病预测模型（如糖尿病并发症预测），无需共享患者原始病历；多区域公共卫生数据联合分析（如传染病传播规律），保护区域敏感信息；药企与医院合作研发新药，通过模型参数交换验证药效相关性。技术优势：隐私保护：仅传输模型参数，避免患者个人健康信息泄露；数据利用效率：打破“数据孤岛”，整合分散数据提升模型准确性；合规性：符合《个人信息保护法》“最小必要”和“本地化存储”要求（参考《医疗健康数据联邦学习应用指南》）。三、案例分析题（20分）2025年3月，某头部电商平台“云购”发生数据泄露事件：黑客通过攻击其用户行为分析系统，获取了2000万条用户的浏览记录、加购信息及部分支付时间戳（未包含银行卡号、密码）。经调查，“云购”未对用户行为数据进行脱敏处理，且数据存储系统未启用访问控制（所有运维人员均可直接读取全量数据）。事件导致部分用户接到精准营销电话，引发公众对数据安全的质疑。问题：（1）分析“云购”在数据安全管理中存在的违规行为。（8分）（2）若你是该平台数据安全负责人，应采取哪些应急响应措施？（6分）（3）从数据政策角度，提出避免类似事件的长效改进建议。（6分）答案：（1）违规行为：①未履行“最小必要”原则：用户行为数据（浏览、加购）虽非敏感信息，但未进行脱敏处理（如去除时间戳中的精确到秒的信息），增加泄露风险（《个人信息保护法》第二十三条）；②违反数据安全“访问控制”要求：未对数据存储系统设置权限分级（如仅允许分析人员访问匿名化数据，运维人员仅能管理系统），导致全量数据暴露（《数据安全法》第二十一条）；③未落实“风险监测”义务：未及时发现黑客攻击（如未部署入侵检测系统），延误事件响应（《网络安全法》第二十一条）；④可能违反“数据分类分级”要求：用户行为数据虽非“重要数据”，但涉及大规模个人信息，应划分为“一般敏感数据”并采取相应保护措施（《数据安全法实施条例》第十条）。（2）应急响应措施：①立即阻断攻击源，隔离受影响系统，防止数据进一步泄露；②启动数据泄露通知程序：48小时内向省级网信部门报告，并通过APP弹窗、短信告知用户（《个人信息保护法》第五十一条）；③对已泄露数据进行技术溯源，评估风险（如是否存在用户身份关联可能），为受影响用户提供短期骚扰电话拦截服务；④开展内部审计，追究相关责任人（如运维权限管理失职的技术主管）；⑤发布公开声明，说明事件原因、处理进展及改进方案，修复公众信任。（3）长效改进建议：①完善数据分类分级：将用户行为数据标记为“一般敏感数据”，明确脱敏规则（如时间戳精确到“日”）和存储权限；②强化访问控制：采用零信任架构（ZeroTrust），对数据访问实施“最小权限”原则（如分析人员仅能访问脱敏后数据，运维人员仅能查看元数据）；③部署数据安全技术工具：如数据脱敏系统、实时流量监测（NTA）、AI异常行为检测模型，提升主动防御能力；④加强员工安全培训：定期开展数据安全意识教育，重点培训权限管理、应急响应流程；⑤参与行业数据安全标准制定：推动电商行业用户行为数据保护指南出台，统一脱敏、存储、共享规范（参考《电子商务数据安全管理指引（征求意见稿）》）。四、论述题（28分）结合信息科学技术发展与数据政策实践，论述“数据要素市场化与个人信息保护的平衡路径”。答案：数据要素市场化旨在通过数据流通释放经济价值，而个人信息保护强调保障个体权益，二者看似矛盾，实则是“发展与安全”的辩证统一。平衡路径需从技术、制度、治理三方面协同推进：一、技术层面：以隐私增强技术（PETs）支撑数据利用与保护的“技术解”隐私计算（联邦学习、安全多方计算）、差分隐私、可信执行环境（TEE）等技术为数据“可用不可见”提供了工具。例如，金融机构可通过联邦学习联合训练反欺诈模型，仅交换模型参数而非用户交易数据；政务部门利用差分隐私技术统计人口特征时，在结果中添加可控噪声，既保证统计准确性又避免个体信息泄露。技术赋能使数据要素在流动中“脱敏而有用”，降低保护与利用的冲突。二、制度层面：构建“权属清晰、规则明确”的数据治理框架（1）完善数据确权制度：落实“三权分置”，明确数据资源持有权（如平台对用户行为数据的合法持有）、加工使用权（如第三方机构经授权分析数据）、产品经营权（如数据服务商销售分析报告），避免因权属模糊导致的“不敢用、不愿用”问题；（2）细化分类分级标准：根据数据敏感性（如个人信息、重要数据、公共数据）制定差异化规则。例如，个人信息遵循“告知-同意”原则，重要数据实施“严格管控+安全评估”，公共数据推动“有条件开放”；（3）建立数据交易流通规则：通过数据交易所规范交易流程（如清洗、定价、合规审查），引入“数据沙盒”试点新场景，降低交易风险。三、治理层面：形成“政府-企业-个人”协同参与的多元共治模式（1）政府：扮演“规则制定者”和“监管者”角色，出台《数据要素市场管理条例》，明确数据交易负面清单（如禁止买卖未脱敏个人信息），加强对“数据垄断”“过度收集”等行为的监管；（2）企业：履行“数据责任主体”义务，建立数据安全官（CSO）制度，将个人信息保护嵌入产品全生命周期（如隐私设计），通过认证（如ISO27001、个人信息保护认证）提升信任度；（3）个人：强化“数据权利主体”意识，通过“一键撤回同意”“数据可携带权”等机制参与治理，同时提高数据安全意识（如谨慎授权、定期检查权限）。四、实践案例：以医疗数据为例的平衡探索