2025法律职业资格数据安全应急规则题库及答案

2025法律职业资格数据安全应急规则题库及答案1.【单项选择】根据《数据安全法》第21条，国家建立数据分类分级保护制度，对影响国家安全、国民经济命脉、重要民生、重大公共利益的数据实行：A.备案管理 B.重点保护 C.风险评估 D.出口管制答案：B2.【单项选择】2025年3月1日施行的《网络数据安全管理条例（草案）》规定，处理超过多少条个人敏感信息的数据处理者，应当设立数据安全管理责任人？A.10万 B.50万 C.100万 D.500万答案：C3.【单项选择】发生数据泄露事件后，数据处理者向省级以上网信部门报告的时限为：A.立即 B.1小时内 C.2小时内 D.24小时内答案：B4.【单项选择】下列哪一项不属于《个人信息保护法》规定的“敏感个人信息”？A.14周岁以下未成年人的个人信息 B.银行账户信息 C.网页浏览记录 D.遗传信息答案：C5.【单项选择】依据《关键信息基础设施安全保护条例》，下列单位中，哪一类必须每年至少开展一次数据安全应急演练？A.县级医院 B.农村信用社 C.省级政务云平台 D.小型电商平台答案：C6.【单项选择】数据出境安全评估中，评估重点不包括：A.数据出境目的 B.境外接收方所在国法律环境 C.数据备份介质品牌 D.数据规模与范围答案：C7.【单项选择】根据《突发事件应对法》，数据安全事件被认定为特别重大级别，需由哪一级政府统一发布预警？A.县级 B.市级 C.省级 D.国务院答案：D8.【单项选择】对个人信息处理活动进行“去标识化”后，再发生泄露造成损害的，处理者：A.绝对免责 B.仍应承担举证责任 C.仅承担行政责任 D.仅承担刑事责任答案：B9.【单项选择】2025年1月1日起，违反国家核心数据管理制度，擅自向境外提供核心数据，情节特别严重的，最高可处：A.100万元罚款 B.500万元罚款 C.1000万元罚款 D.上一年度营业额5%罚款答案：D10.【单项选择】数据安全事件应急预案首次备案，应当自预案印发之日起多少个工作日内完成？A.5 B.10 C.15 D.30答案：B11.【单项选择】对政务数据共享场景，下列哪一项做法符合最小授权原则？A.全量共享后脱敏 B.按需申请、场景授权、单次使用 C.统一建库、永久使用 D.先共享后审计答案：B12.【单项选择】数据安全事件应急响应结束后的总结报告，应当至少保存：A.1年 B.2年 C.3年 D.5年答案：C13.【单项选择】下列哪一项不是《个人信息保护法》规定的“告知—同意”豁免情形？A.突发公共卫生事件中保护自然人生命健康 B.履行法定职责 C.企业内部人力资源管理 D.新闻报道舆论监督答案：C14.【单项选择】数据安全风险评估报告应当经谁签字确认后存档？A.法定代表人 B.数据安全负责人 C.技术总监 D.法务总监答案：B15.【单项选择】对跨境传输的数据采取“标准合同”路径时，境内处理者应当在合同生效后多少个工作日内向省级网信部门备案？A.5 B.10 C.15 D.30答案：B16.【单项选择】国家网信部门对数据安全事件建立“熔断”机制，触发条件不包括：A.境外上市审查发现数据风险 B.大规模数据泄露影响国家安全 C.数据出境后遭境外机构滥用 D.企业未按时缴纳罚款答案：D17.【单项选择】数据安全事件分级标准中，“重要数据”丢失超过多少条即达到重大级别？A.10万 B.50万 C.100万 D.1000万答案：B18.【单项选择】对个人信息处理者实施的“合规审计”属于：A.自愿性审计 B.强制性审计 C.第三方认证 D.行政指导答案：B19.【单项选择】数据安全事件应急演练采取“双盲”模式是指：A.不提前通知时间、不预设脚本 B.不通知监管、不通知用户 C.不备份数据、不保存日志 D.不设置指挥长、不设置观察员答案：A20.【单项选择】数据安全事件信息公开时，对涉及商业秘密的内容，应当：A.一律公开 B.一律不公开 C.区分处理、必要脱敏 D.征求股东意见答案：C21.【多项选择】下列哪些情形应当启动数据安全事件Ⅰ级响应？A.核心数据泄露1TB B.涉及国防科研数据丢失 C.全国范围政务系统瘫痪2小时 D.个人信息泄露5000万条答案：A、B、C、D22.【多项选择】依据《个人信息保护法》，处理者应当事前进行个人信息保护影响评估的情形包括：A.处理敏感个人信息 B.向境外提供个人信息 C.利用个人信息进行自动化决策 D.公开披露个人信息答案：A、B、C、D23.【多项选择】数据安全事件应急处置领导小组的法定职责有：A.决策是否断网 B.统一对外信息发布 C.向公安机关报案 D.决定罚款数额答案：A、B、C24.【多项选择】下列哪些属于《数据出境安全评估办法》规定的“高风险”因素？A.数据出境后可能被境外政府轻易获取 B.出境数据规模超过100GB C.境外接收方曾被境外监管机构处罚 D.数据涉及关键技术出口管制清单答案：A、C、D25.【多项选择】数据安全事件报告应当包括：A.事件初步原因 B.已采取的措施 C.预估影响范围 D.事件责任人处理结果答案：A、B、C26.【多项选择】对个人信息处理者实施的“合规审计”可采取的方式有：A.内部审计 B.第三方审计 C.监管抽查 D.同行互评答案：A、B、C27.【多项选择】下列哪些行为可能导致数据处理者承担《刑法》第253条之一“侵犯公民个人信息罪”？A.出售住宿信息5000条 B.非法购买通信记录1万条 C.为合法经营交换客户名单5万条 D.内部员工私自导出员工通讯录答案：A、B28.【多项选择】数据安全事件应急演练评估报告必须包含：A.演练目标达成情况 B.发现的问题及整改建议 C.参演人员名单及签字 D.演练费用明细答案：A、B、C29.【多项选择】对“政务数据共享平台”的安全要求包括：A.双向身份认证 B.全链路加密 C.日志留存不少于6个月 D.接口限流熔断答案：A、B、C、D30.【多项选择】下列哪些属于《网络安全审查办法》明确规定的“影响国家安全”考量因素？A.核心数据被恶意篡改 B.关键信息基础设施供应中断 C.大量个人信息集中出境 D.上市过程中被外国政府控制答案：A、B、C、D31.【填空题】根据《数据安全法》，国家建立数据安全________制度，对数据实行分类分级保护。答案：风险评估32.【填空题】个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行________。答案：合规审计33.【填空题】数据安全事件分为特别重大、重大、较大和________四级。答案：一般34.【填空题】关键信息基础设施运营者采购网络产品或服务，影响国家安全的，应当通过________。答案：网络安全审查35.【填空题】数据处理者发生数据安全事件，造成或者可能造成个人信息泄露的，应当________通知可能受影响的个人信息主体。答案：及时36.【填空题】国家网信部门会同国务院有关部门建立________机制，对数据出境活动进行安全评估。答案：数据出境安全评估37.【填空题】对“重要数据”出境，应当通过________所在地省级网信部门向国家网信部门申报评估。答案：数据处理者38.【填空题】数据安全事件应急响应结束后，应当在________个工作日内向主管部门提交总结报告。答案：1539.【填空题】对个人信息采取加密、去标识化等安全技术措施，属于《个人信息保护法》规定的________措施。答案：必要40.【填空题】政务部门共享数据应当遵循________原则，不得超出法定职责范围。答案：最小够用41.【简答题·封闭型】简述《数据安全法》中数据处理者“风险监测”义务的具体内容。答案：1.建立持续监测机制，对数据处理活动中的异常流量、异常访问、异常操作进行实时告警；2.对核心数据、重要数据设置专门监测策略，记录访问日志并保存不少于6个月；3.发现数据安全缺陷、漏洞时，立即采取补救措施，并按规定向主管部门报告；4.每年至少进行一次数据安全风险自评估，形成书面报告并签字存档。42.【简答题·开放型】结合实践，说明企业如何在“数据出境+上市”双重场景下同步满足证监会与网信部门的数据合规要求。答案：1.上市前启动数据合规专项，聘请券商、律所、安全机构组成联合工作组；2.梳理全部数据资产，区分核心、重要、一般数据及个人信息，绘制数据地图；3.对出境数据采用“评估+认证+合同”组合路径：核心数据禁止出境，重要数据走国家评估，个人信息100万条以上走认证或标准合同；4.建立VIE架构下数据隔离机制，境内IDC与境外云端物理分离，接口层加密传输；5.向省级网信部门提交《数据出境安全评估申报表》，同步在证监会招股书“风险因素”章节披露数据合规安排；6.接受网络安全审查，针对外资股东背景、境外接收方司法辖区出具法律意见书；7.上市后持续披露：每年在年报中更新数据出境规模、合规审计结论、演练次数；8.设置“数据合规委员会”，由独立董事、外部专家、CISO组成，对重大数据事项拥有一票否决权；9.建立股价波动触发数据事件披露机制，出现数据泄露2小时内发布临时公告，24小时内提交监管报告；10.通过上述措施，实现境外上市融资与数据安全合规的兼容。43.【简答题·封闭型】列举并简要说明数据安全事件应急预案的六大核心模块。答案：1.事件分级与响应启动条件；2.组织架构与职责分工，含领导小组、技术组、法务组、公关组；3.监测预警与信息通报流程；4.应急处置操作清单，含断网、隔离、备份恢复、证据保全；5.外部报告与用户信息告知机制；6.事后总结、奖惩与预案修订程序。44.【简答题·开放型】某省医保信息平台遭勒索软件攻击，导致3000万条个人诊疗记录加密，黑客要求支付300万美元比特币。请从法律、技术、公关三个维度给出应对策略。答案：法律维度：1.立即启动Ⅰ级响应，2小时内向国家医保局、省网信、公安报告；2.依据《个人信息保护法》第57条，通过官网、短信、公众号同步发布事件通知，告知用户防范诈骗；3.申请公安机关冻结黑客钱包地址，固定电子证据；4.依据《反恐怖主义法》对拒不支付ransom的决策进行法律背书；5.事后配合检察机关提起刑事附带民事公益诉讼，索赔数据修复费用及用户精神损害赔偿。技术维度：1.立即切断医保专网与互联网边界，启用DNSsinkhole；2.使用离线备份进行系统重建，备份节点验证哈希值确保干净；3.部署EDR对横向移动路径进行溯源，确认初始入口为钓鱼邮件；4.对未加密副本进行全量扫描，确认数据完整性；5.建立零信任架构，引入微隔离与动态权限，防止二次入侵。公关维度：1.召开新闻发布会，由副省长牵头，展示公安、医保、技术三方联合处置进展；2.设置24小时热线，聘请心理咨询师缓解公众焦虑；3.通过短视频平台发布“防骗指南”，提醒患者警惕虚假理赔；4.与媒体签署“客观报道”备忘录，统一口径，避免使用“泄露”一词，采用“数据被加密”表述；5.事件结束后发布《医保数据安全白皮书》，邀请第三方安全公司背书，重建公信力。45.【应用题·综合分析】A公司系全国性网约车平台，日均订单2000万笔，用户轨迹、支付、人脸认证数据集中存储于华北某云机房。2025年4月10日10:00，机房所在城市发生7.2级地震，机房楼体出现裂缝，市电中断，柴油储备仅支持4小时，UPS剩余2小时。此时监控显示部分磁盘阵列报警，存在物理损坏风险。请回答：（1）列出A公司应立即采取的五项法律义务；（2）给出数据恢复优先级排序并说明理由；（3）若最终确认5万条司机人脸照片丢失，如何计算可能面临的罚款区间并给出合规整改路径。答案：（1）法律义务：①10:30前向市网信办、交通运输部和公安机关报告重大事件；②启动Ⅱ级响应，成立应急指挥部；③通过App弹窗、短信向可能受影响用户告知数据风险；④对无法恢复的数据进行影响评估，形成报告签字存档；⑤地震结束后15日内向主管部门提交总结报告。（2）恢复优先级：第一级，实时订单交易数据（影响乘客人身安全与资金）；第二级，司机人脸认证库（涉及公共交通安全准入）；第三级，用户支付Token（涉及金融合规）；第四级，历史轨迹日志（用于公安侦查）；第五级，营销数据。理由：生命安全>公共安全>金融合规>侦查需要>商业增值。（3）罚款计算：依据《个人信息保护法》第66条，情节严重时处5000万元以下或上一年度营业额5%以下罚款。A公司2024年营收400亿元，5%即20亿元上限；考虑5万条人脸照片属于敏感个人信息，但未大规模扩散，适用“较重情节”，罚款区间确定为5000万元—2亿元。合规整改路径：①建立异地三活架构，RPO<15秒；②对人脸数据采用秘密共享算法分片存储；③引入数据丢失险，与保险公司签订赔偿协议；④每季度聘请第三方进行灾难恢复演练，演练报告向监管备案；⑤设立2亿元数据安全基金，用于用户损失先行赔付。46.【应用题·计算】某省政务云承载100个厅局业务，数据总量10PB，其中核心数据0.5PB、重要数据2PB、一般数据7.5PB。按《GB/T379882019数据安全能力成熟度模型》，其备份策略要求：核心数据RPO=0，RTO<30分钟；重要数据RPO≤1小时，RTO<4小时；一般数据RPO≤24小时，RTO<72小时。已知：①全量备份速度100TB/小时；②增量备份速度500TB/小时；③每日增量：核心10TB、重要50TB、一般200TB；④每周一次全量备份窗口为周六00:00—24:00。请计算：（1）周六全量备份是否能在24小时内完成？（2）若采用“永久增量”策略，每周需要多少小时可完成全部备份？（3）在地震场景下，仅远程备份中心可用，恢复10PB数据需80小时，是否满足RTO要求？如不满足，给出最小带宽升级方案（假设传输效率80%）。答案：（1）全量10PB=10240TB，备份速度100TB/小时，需102.4小时>24小时，无法完成。（2）永久增量：每周一次全量仍102.4小时；每日增量共260TB，速度500TB/小时，需0.52小时/天×7天=3.64小时；合计106.04小时/周。（3）核心RTO<0.5小时、重要<4小时、一般<72小时，现统一80小时，核心与重要数据均不满足。需分级恢复：优先恢复核心0.5PB，需4小时（带宽=0.5×1024×8/(4×0.8)=320Gbps）；再恢复重要2PB，需16小时（带宽320Gbps保持不变）；剩余7.5PB可在后续60小时完成。因此最小升级方案：备份中心至生产中心专线带宽≥320Gbps，采用DWDM+SDN智能调度，确保核心数据4小时内恢复。47.【案例分析】B集团为跨境电商平台，2025年2月引入境外SaaS服务商C公司做邮件营销。B集团将境内2000万用户邮箱、消费记录通过API推送给C公司，未做任何脱敏。2025年5月，C公司因配置错误，其MongoDB数据库暴露在公网，被爬虫获取800万条中国用户数据并在黑客论坛出售。部分用户收到境外诈骗邮件后集体投诉。国家网信办对B集团立案调查。请回答：（1）B集团违反了哪些具体法律条款？（2）C公司是否构成《个人信息保护法》下的“境外接收方”，B集团是否仍需承担连带责任？（3）若用户提起民事公益诉讼，如何证明损害因果关系？（4）给出B集团后续合规整改的“技术+法律+管理”三位一体方案。答案：（1）违反条款：①《个人信息保护法》第38条，未通过安全评估、认证或标准合同路径出境；②第39条，未事前进行个人信息保护影响评估；③第57条，未在事件发生后及时通知用户和监管；④《数据安全法》第31条，向境外提供重要数据未申报评估。（2）C公司属于“境外接收方”，B集团作为境内提供者未尽到审慎挑选、合同约定、监督义务，依据《个人信息保护法》第59条，需与C公司承担连带责任。（3）因果关系证明：用户提交收到诈骗邮件的时间轴、邮件头显示C公