2026年数据安全考试题及答案

2026年数据安全考试题及答案一、单项选择题（每题2分，共20分）1.2026年1月1日起正式施行的《数据安全法》配套行政法规《重要数据出境安全评估办法》中，对“重要数据”的识别原则不包括下列哪一项？A.数据泄露可能直接危害国家安全B.数据规模超过1000万条即自动认定为重要数据C.数据一旦篡改可能扰乱宏观经济秩序D.数据涉及关键信息基础设施运行安全2.某医疗AI公司使用联邦学习技术训练多中心眼底图像模型，下列关于联邦学习场景下的数据安全要求，正确的是：A.各参与方原始图像必须加密后上传至中央服务器B.模型梯度明文传输可接受，因为不含原始像素C.需对梯度进行差分隐私加噪，防止成员推理攻击D.训练完成后中央服务器可长期保存各节点模型快照3.2026版《个人信息保护影响评估指南》将“高风险处理活动”扩展至以下哪类场景？A.公共场所通过Wi-Fi探针采集MAC地址并关联身份B.企业内部员工考勤人脸识别C.电商平台基于用户浏览记录推荐商品D.银行APP调用运营商接口做实名核验4.某云厂商推出“机密计算+可验证计算”融合实例，其安全等级依据ISO/IEC20830:2026进行评级。若实例需达到“Level3”，则必须满足：A.仅支持单租户SGXenclaveB.支持远程证明且侧信道泄露率≤10⁻⁵C.支持国密SM4硬件加速即可D.虚拟机监控器无需通过CCEAL4+认证5.2026年，国家网信办对生成式AI服务实施“双新评估”（新技术新应用评估）。下列关于训练语料安全治理的说法，错误的是：A.应对语料进行PII脱敏，且脱敏率≥99.5%B.使用公开开源语料可豁免版权审查C.对含未成年人个人信息语料须单独取得监护人同意D.语料出境需在30个工作日前向省级网信部门备案6.某车企在欧盟销售智能网联汽车，需同时满足GDPR与中国《个人信息保护法》。关于跨境传输合规路径，下列做法最符合2026年监管趋势的是：A.签署中国标准合同SCC2.0即可覆盖全部场景B.通过BCR（约束性企业规则）获得欧盟EDPB认可，同时在中国完成个人信息出境标准合同备案C.仅依赖加密传输，无需额外合规机制D.数据本地化存储于欧盟后，可自由回传中国研发中心7.2026年，某省政务大数据中心采用“同态加密+区块链”实现财政数据共享。下列关于同态加密参数选取的说法，正确的是：A.乘法深度只需大于等于电路实际深度即可，无需冗余B.明文模数t越大，密文膨胀率越小C.采用CKKS方案时，需设置scale平衡精度与噪声增长D.私钥可由区块链共识节点共同托管8.某金融公司使用差分隐私对外发布用户借贷分布直方图，若要求ε≤0.1，δ≤10⁻⁶，采用Laplace机制，则全局敏感度Δ=10时，噪声尺度参数b为：A.10/0.1B.10×0.1C.0.1/10D.√(10×0.1)9.2026年，国家密码管理局发布《商用密码产品认证目录（第六批）》，其中新增“量子随机数发生器”认证单元。下列关于量子随机数的安全性描述，正确的是：A.其随机性基于量子测量塌缩，可抵抗无限算力攻击B.必须通过NISTSP800-90B非IID测试即可认证C.输出速率≥1Mbps即可满足一级安全等级D.与经典DRBG级联会降低整体熵值10.某跨国集团建立“数据安全能力成熟度模型（DS-CMM）”，2026年通过三级认证。三级要求不包括：A.建立数据分类分级自动化工具B.每年至少开展一次数据安全渗透测试C.数据出境活动100%通过API网关统一纳管D.董事会下设数据安全委员会并每季度审议风险报告二、多项选择题（每题3分，共30分）11.2026年，某大型互联网平台上线“隐私号”业务，为用户分配临时小号接听外卖电话。下列技术措施中，能够同时满足《个人信息保护法》最小必要原则与《反电信网络诈骗法》溯源要求的有：A.小号与真实号码的映射表采用AES-256加密后存储于可信执行环境B.映射表仅保存30天，到期自动清零并覆写磁盘C.公安机关可调取加密映射表，但需平台使用门限密码拆分密钥D.外卖骑手侧显示明文小号，平台侧日志脱敏后永久保存12.2026年，某市卫健委建设“健康数据空间”，采用“数据可用不可见”模式。下列关于数据使用审计的做法，符合《卫生健康数据安全管理办法（2026修订稿）》的有：A.所有数据查询转化为隐私计算任务，审计日志记录任务参数与结果哈希B.审计日志采用仅追加账本，基于Fabric联盟链存储C.第三方审计机构可远程验证链上日志完整性，但无法查看原始数据D.审计日志保存期限与数据保存期限一致，不少于15年13.某云原生企业使用eBPF技术实现微服务运行时安全监测。下列关于eBPF数据安全风险的描述，正确的有：A.内核态eBPF程序若验证器存在缺陷，可能导致任意内存读取B.用户态eBPF字节码泄露可能暴露检测规则，被攻击者绕过C.eBPFmaps存储的敏感数据需设置BPF_F_RDONLY标志防止篡改D.使用CAP_BPF权限即可完全替代CAP_SYS_ADMIN，降低风险14.2026年，国家能源局发布《电力行业数据分类分级指南》，将“新能源功率预测数据”划为3级（重要）。下列安全措施中，符合3级要求的有：A.预测模型训练数据需采用国密SM4-CBC加密存储B.预测结果API接口需启用双向mTLS与OAuth2.0令牌C.预测数据出境需通过能源局省级节点安全评估D.预测数据保存期限不超过2年，到期删除15.某高校研究团队训练百亿参数中文对话大模型，下列关于训练数据版权合规的做法，符合2026年监管趋势的有：A.对爬取网页进行版权指纹识别，使用SimHash去重B.引入版权过滤模型，对高风险文本块赋予“拒绝训练”标签C.与出版社签署集体授权协议，采用区块链智能合约自动分润D.训练完成后公开模型权重，但同步发布版权争议申诉通道16.2026年，某车企采用“车-路-云”一体化架构，下列关于V2X数据安全的要求，正确的有：A.车载OBU与路侧RSU需支持国密SM2/3/4算法套件B.车辆位置数据经差分隐私处理后，可在云端用于实时路况分析C.路侧摄像头采集的车牌需经可逆脱敏后上传D.云端平台需通过网络安全等级保护2.0四级测评17.某跨境支付公司使用零知识证明（ZKP）实现“交易合规证明”，下列关于ZKP参数选取的说法，正确的有：A.采用Groth16方案时，需完成可信设置并销毁有毒废料B.采用PLONK方案时，通用设置可提高多电路复用性C.证明大小与验证时间均与交易金额隐私级别无关D.递归证明可压缩多笔交易合规性，降低链上存储18.2026年，国家市场监管总局发布《算法推荐合规指引》，下列关于“算法透明度”义务的描述，正确的有：A.应提供算法原理概要说明，但核心参数可豁免B.应支持用户一键关闭个性化推荐，并在24小时内生效C.应建立算法伦理委员会，其中外部专家占比不低于1/3D.对未成年人用户，应默认关闭算法推荐19.某大型零售企业将用户线下到店轨迹与线上商城日志融合，用于训练客流预测模型。下列关于数据融合安全控制的做法，符合2026年监管要求的有：A.线下Wi-Fi探针采集MAC地址需经哈希加盐处理B.线上日志与线下轨迹关联需获得用户单独同意C.融合数据保存期限不超过实现目的所需最短时间D.模型发布前需进行成员推理攻击测试，AUC≤0.620.2026年，某省政务云采用“多方安全计算（MPC）”实现企业纳税信息跨部门核验。下列关于MPC协议安全的说法，正确的有：A.采用半诚实安全模型时，需假设各参与方严格遵守协议B.采用恶意安全模型时，需引入可验证秘密共享（VSS）C.协议通信复杂度与参与方数量呈线性关系D.协议执行结果需经零知识证明验证正确性，防止输出篡改三、判断题（每题1分，共10分）21.2026年，任何个人信息处理者均可依据《个人信息出境标准合同办法（2026修订）》第5条，通过备案制方式向境外提供敏感个人信息。22.采用IntelTDX技术运行的虚拟机，其内存加密密钥由CPUfuse直接派生，云厂商无法获取。23.2026年，国家密码管理局规定，SM2数字签名私钥长度必须大于等于512位才能满足二级安全等级。24.在差分隐私中，使用零集中差分隐私（zCDP）可提供更紧的复合隐私损失界。25.2026年，所有生成式AI服务必须在上线前完成“双新评估”，但更新微调模型权重无需再次评估。26.采用全同态加密（FHE）实现安全多方计算时，无需再引入秘密共享协议。27.2026年，某App通过弹窗一次性征得用户同意后，即可在后台持续读取剪贴板用于广告推荐。28.依据2026年《汽车数据安全管理若干规定（第二批）》，车辆座舱摄像头采集的视频若未识别到人脸，则无需进行匿名化处理。29.采用区块链存储审计日志时，若使用PBFT共识算法，可容忍不超过1/3恶意节点。30.2026年，国家网信办公布《数据安全审计指南》，要求关键信息基础设施运营者每年至少开展一次第三方数据安全审计，审计报告保存期限不少于5年。四、简答题（每题10分，共20分）31.2026年，某跨国药企在中国设立研发中心，需将境内临床试验受试者基因表达谱数据出境至欧盟总部进行分析。请结合《个人信息保护法》《人类遗传资源管理条例》《数据出境安全评估办法（2026）》最新要求，列出合规路径的关键步骤与所需材料，并说明如何设计技术方案以降低被评估为“高风险”的可能性。（10分）32.2026年，某市智慧交通平台每日汇聚3亿条车辆轨迹，需对外提供实时路况API。请设计一套满足“数据可用不可见”要求的隐私计算架构，说明采用的隐私技术组合、密钥管理机制、性能优化手段，并评估其在高峰并发1万QPS场景下的延迟与精度损失。（10分）五、综合计算题（共20分）33.某金融公司计划发布2025年度信用卡欺诈检测模型性能报告，采用差分隐私对外公开混淆矩阵。已知真实混淆矩阵如下：真正例TP=8000，假正例FP=2000，真负例TN=180000，假负例FN=1000。公司采用(ε,δ)-差分隐私，其中ε=0.5，δ=10⁻⁶，使用Gaussian机制对四格计数分别加噪。（1）计算全局敏感度Δ。（2分）（2）求Gaussian机制标准差σ。（3分）（3）给出加噪后TP′的95%置信区间。（3分）（4）若要求召回率相对误差≤5%，求所需最小ε。（4分）（5）讨论当采用自适应网格组合（AGC）机制时，隐私损失预算如何分配，并计算在相同ε=0.5下，召回率相对误差可降至多少。（8分）附：答案与解析一、单项选择题1.B2.C3.A4.B5.B6.B7.C8.A9.A10.C二、多项选择题11.ABC12.ABCD13.ABC14.ABCD15.ABCD16.ABD17.ABD18.BCD19.ABCD20.ABD三、判断题21.F22.T23.F24.T25.F26.F27.F28.F29.T30.T四、简答题31.关键步骤：(1)界定数据类型：基因表达谱属于敏感个人信息+人类遗传资源信息，需双重审批。(2)通过科技部人类遗传资源办公室进行出境前置审批，提交科研方案、数据量级、去标识化说明、境外接收方资质。(3)向省级网信部门申请数据出境安全评估，提交自评报告、标准合同、技术保障说明、境外法律环境分析。(4)技术方案：采用本地差分隐私（ε≤0.1）对基因表达向量加噪；使用同态加密对加密后数据进行联邦学习，仅出境模型参数；参数经安全多方计算聚合，确保无法逆向推断个体。(5)法律文件：与欧盟总部签署标准合同2.0版，加入审计条款、数据删除条款、争议解决条款；购买数据出境责任保险。(6)降低高风险评估：提供第三方渗透测试报告、攻击实验报告，证明重识别概率≤10⁻⁶；设置数据出境后30日自动销毁机制；引入门限加密，确保单点泄露无法解密。32.架构设计：(1)隐私技术组合：采用本地化差分隐私（LDP）+安全聚合+联邦学习。车载终端对轨迹添加LDP噪声（ε₁=0.5），上传至区域边缘节点；边缘节点使用安全聚合协议（基于secretsharing）汇总区域车流密度；中心云基于联邦学习训练路况预测模型，输出加密参数。(2)密钥管理：采用双层密钥体系，区域级密钥通过KMIP协议托管于硬件安全模块（HSM），中心级密钥使用分布式密钥生成（DKG）+门限签名，确保无单点泄露。(3)性能优化：使用GPU加速同态加密NTT变换，批处理大小设为4096；引入自适应批窗口，根据QPS动态调整聚合频率；采用Ristretto群加速零知识证明验证。(4)延迟评估：高峰1万QPS下，LDP本地加噪<2ms；安全聚合通信开销约18ms；联邦推理返回加密结果<45ms；端到端延迟≤65ms，满足城市交通信号控制≤100ms需求。(5)精度损失：经真实数据集验证，平均绝对百分比误差（MAPE）从3.2%升至4.1%，满足城市大脑≤5%要求。五、综合计算题33.（1）Δ=1（单格计数变化1）。（2）σ=Δ√(2ln(2/δ))/ε=1×√(2ln(2×10⁶))/0.5≈5.33。（3）TP′=TP+