2026年数据安全法案例试题及答案

2026年数据安全法案例试题及答案某医疗科技有限公司（以下简称"医联科技"）是一家专注于肿瘤精准治疗的互联网企业，主要业务包括收集患者诊疗记录、基因检测数据并通过算法提供个性化治疗方案。2025年12月，国家网信办在数据安全检查中发现，医联科技存在以下问题：1.未对收集的患者诊疗数据（含身份证号、联系方式、诊断结果、基因序列）进行分类分级，直接存储于公司云服务器；2.2025年3月将20万条患者基因检测数据通过集团内部系统传输至美国关联公司用于算法优化，未向省级网信部门申报数据出境安全评估；3.2025年7月服务器遭黑客攻击，导致5000条患者诊疗记录泄露，其中200条包含患者家庭住址及过往病史，公司在发现泄露后48小时才向属地公安部门报告；4.部分员工通过私人邮箱下载患者数据用于学术研究，公司未对员工访问权限进行最小化控制。经核查，泄露数据已被用于精准诈骗，造成患者经济损失合计120万元。问题1：医联科技的哪些行为违反了《中华人民共和国数据安全法》？需结合具体法条说明。问题2：针对医联科技的数据泄露事件，监管部门可采取哪些行政处罚措施？依据是什么？问题3：若患者因数据泄露遭受经济损失，可通过哪些法律途径维权？答案1：（1）未履行数据分类分级义务。根据《数据安全法》第二十一条第一款"国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护"，第二款"各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护"。医联科技作为处理生物健康领域数据的企业，其收集的患者基因检测数据、诊疗记录属于可能影响个人重大权益的重要数据（参考《重要数据识别指南（试行）》中"生物健康领域中涉及个人基因、重大疾病的敏感数据"），但未进行分类分级，违反该条款。（2）未履行重要数据出境安全评估义务。依据《数据安全法》第三十一条"关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定"。结合《数据出境安全评估办法》第四条"数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）数据处理者是关键信息基础设施运营者；（二）数据处理者处理100万人以上个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息"。医联科技向境外传输20万条基因检测数据（属于敏感个人信息），已触发评估条件，但未申报，违反规定。（3）未履行数据安全事件报告义务。根据《数据安全法》第三十四条"数据处理者应当定期对其数据处理活动进行风险监测；发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告"。医联科技在数据泄露后48小时才报告，超过《数据安全法实施条例（草案）》第二十九条"发生数据安全事件的，数据处理者应当在24小时内向设区的市级以上有关主管部门报告"的时限要求，构成违规。（4）未落实数据访问权限最小化原则。《数据安全法》第二十七条规定"数据处理者应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动的，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务"。结合《个人信息保护法》第五十一条"个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（三）采取合理的访问控制措施"。医联科技未对员工访问权限进行最小化控制，导致私人邮箱下载数据，违反数据安全管理义务。答案2：监管部门可采取以下行政处罚措施：（1）警告并责令整改。依据《数据安全法》第四十五条第一款"开展数据处理活动的组织、个人不履行本法第二十一条、第二十四条、第二十七条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照"。医联科技存在多项基础安全义务未履行，可先予警告并责令限期整改。（2）罚款。针对数据出境未评估的行为，根据《数据安全法》第四十六条"违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款"。医联科技传输20万条敏感数据，属于"情节严重"，可处100万1000万元罚款，对直接责任人员处1万10万元罚款。（3）针对数据泄露未及时报告的行为，依据《数据安全法》第四十五条第二款"有前两款行为，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款"，可对相关责任人追加罚款。（4）若造成严重后果（患者经济损失120万元），可责令暂停相关业务或停业整顿。参考《数据安全法》第四十五条第一款"造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿"。答案3：患者可通过以下途径维权：（1）民事赔偿诉讼。根据《数据安全法》第七十条"违反本法规定，给他人造成损害的，依法承担民事责任"，以及《民法典》第一千一百六十五条"行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任"。患者可向法院起诉医联科技，要求赔偿因数据泄露导致的直接经济损失（如诈骗损失）及精神损害赔偿（若因信息泄露导致名誉受损、精神痛苦）。（2）向监管部门投诉举报。依据《数据安全法》第八条"任何组织、个人有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理，并对投诉人、举报人予以保密"。患者可向属地网信部门、公