2026年网络安全普法培训试题及答案解析

2026年网络安全普法培训试题及答案解析一、单项选择题（每题2分，共30分）1.根据《中华人民共和国网络安全法》，网络运营者收集、使用个人信息，应当遵循的原则是A.合法、正当、必要B.合法、合理、充分C.合理、正当、充分D.合法、合理、必要2.某APP在用户首次打开时强制要求读取通讯录，否则无法使用，该行为违反了哪项法律义务A.明示收集规则B.最小必要原则C.加密存储义务D.数据出境评估3.关键信息基础设施运营者采购网络产品或服务时，应当履行的安全审查义务出自A.网络安全法第35条B.数据安全法第24条C.个人信息保护法第38条D.密码法第12条4.下列哪一项不属于《个人信息保护法》规定的敏感个人信息A.14周岁以下未成年人的个人信息B.银行账户交易记录C.个人精准定位轨迹D.用户昵称5.某单位发生数据泄露事件，造成500万条个人信息泄露，应当于多久内向省级以上网信部门报告A.立即B.24小时内C.3个工作日内D.7个工作日内6.网络安全等级保护2.0标准中，第三级系统应至少多久开展一次等级测评A.每季度B.每半年C.每年D.每两年7.根据《数据安全法》，国家建立数据分类分级保护制度，其中“核心数据”由谁确定A.国务院B.国家网信部门C.中央国家安全领导机构D.行业主管部门8.某境外机构通过境内子公司收集我国测绘数据并传输至境外，未履行安全评估，最高可处A.100万元罚款B.500万元罚款C.1000万元罚款D.上一年度营业额5%以下罚款9.《网络产品安全漏洞管理规定》要求，漏洞发现者向厂商报告后，厂商应在多久内公开漏洞信息A.24小时B.48小时C.15日D.30日10.某政务系统采用国产密码算法SM4进行数据加密，其密钥长度是A.128位B.192位C.256位D.512位11.根据《个人信息保护法》，个人信息处理者跨境提供个人信息时，无需履行的义务是A.通过国家网信部门安全评估B.进行个人信息保护认证C.与境外接收方订立标准合同D.向公安机关备案12.某企业因未履行网络安全保护义务导致工业控制系统被入侵，造成重大生产事故，依据《网络安全法》，可对直接负责的主管人员处A.1万元以上10万元以下罚款B.5万元以上50万元以下罚款C.10万元以上100万元以下罚款D.50万元以上500万元以下罚款13.下列哪项行为不构成《刑法》第285条规定的“非法侵入计算机信息系统罪”A.利用钓鱼邮件获取政务邮箱口令后登录B.通过漏洞扫描工具进入未授权服务器C.经授权对系统进行渗透测试D.利用木马控制他人终端14.根据《关键信息基础设施安全保护条例》，运营者应当多久组织一次应急演练A.每季度B.每半年C.每年D.每两年15.某APP隐私政策中写明“我们可能与第三方共享您的信息用于改善服务”，但未列明第三方身份，该行为违反A.明示规则B.最小必要原则C.公开透明原则D.诚信原则二、多项选择题（每题3分，共30分）16.以下哪些属于《网络安全法》规定的网络安全义务A.采取防范计算机病毒和网络攻击的技术措施B.制定网络安全事件应急预案C.为公安机关提供技术支持和协助D.对重要数据实行本地化存储17.根据《个人信息保护法》，个人信息处理者应当事前进行个人信息保护影响评估的情形包括A.处理敏感个人信息B.利用个人信息进行自动化决策C.向境外提供个人信息D.公开披露个人信息18.等级保护2.0中，第三级系统安全区域边界应实现的安全功能有A.访问控制B.入侵防范C.恶意代码防护D.可信验证19.某金融APP收集用户人脸信息用于身份核验，应当履行的义务有A.取得个人单独同意B.告知处理目的和方式C.采用国家认可的生物识别认证技术D.允许用户随时撤回同意20.依据《数据安全法》，国家建立数据交易管理制度，数据交易场所应当A.审核交易双方身份B.对交易数据来源进行合规审查C.建立数据交易日志留存制度D.向税务部门报送交易记录21.下列哪些行为可能构成《刑法》第286条之一规定的“拒不履行信息网络安全管理义务罪”A.经监管部门责令改正而拒不改正B.违法信息大量传播C.致使用户信息泄露D.致使刑事案件证据灭失22.根据《网络数据安全管理条例（征求意见稿）》，大型互联网平台应当A.设立独立的数据安全监督机构B.每季度发布数据安全社会责任报告C.建立数据安全投诉举报渠道D.接受第三方数据安全审计23.某云服务商为政务系统提供云计算服务，应当满足的安全要求包括A.通过云计算服务安全评估B.机房位于中国境内C.运维人员经过安全背景审查D.提供全量数据出境通道24.依据《个人信息出境标准合同办法》，标准合同应当包含的条款有A.境外接收方再转移的条件B.个人信息主体权利救济方式C.争议解决管辖法院D.数据本地化备份义务25.下列哪些属于《密码法》规定的核心密码、普通密码A.政务领域使用的加密算法B.金融领域使用的密钥管理方案C.公民个人邮箱登录口令D.军事通信密码三、判断题（每题1分，共10分）26.网络运营者可以将用户日志信息永久保存以备后续分析。27.个人信息处理者委托第三方处理个人信息时，无需对第三方进行监督。28.关键信息基础设施运营者采购境外网络产品或服务，应当通过国家网信部门安全审查。29.等级保护第三级系统必须采用国密算法进行数据加密。30.任何个人和组织不得设立用于实施违法犯罪活动的网站、通讯群组。31.数据安全法规定，国家支持数据依法自由流动，但不得危害国家安全。32.个人信息保护法适用于在境外处理中国境内自然人个人信息的活动。33.网络产品提供者应当在其产品上线前进行安全认证。34.违反《网络安全法》规定，构成违反治安管理行为的，依法追究刑事责任。35.国家鼓励网络运营者自愿参与网络安全认证、检测和风险评估。四、填空题（每空2分，共20分）36.网络安全工作应当坚持________、预防为主、综合治理、________的原则。37.关键信息基础设施运营者应当设置专门________机构和________负责人。38.个人信息处理者处理敏感个人信息应当取得个人的________同意。39.国家建立数据________制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。40.网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息________，防止信息泄露、毁损、丢失。41.等级保护2.0将安全要求分为________类，其中________类为通用安全要求。42.违反《网络安全法》规定，给他人造成损害的，依法承担________责任。43.国家支持________和________参与网络安全国家标准、行业标准的制定。五、简答题（每题10分，共30分）44.简述《个人信息保护法》中规定的个人信息主体享有的八项权利。45.简述网络安全等级保护2.0中“一个中心、三重防护”的核心思想。46.某电商平台在“618”大促期间因服务器被DDoS攻击导致瘫痪2小时，平台方认为已购买云清洗服务即可免责。请结合《网络安全法》分析其观点是否成立，并说明理由。六、综合案例分析题（30分）47.背景材料：2026年3月，某市“智慧医疗”平台发生数据泄露事件。经调查，该平台由A公司承建并运维，存储了全市320万居民的健康档案、诊疗记录及核酸检测数据。事件起因系A公司工程师李某为方便远程维护，将数据库访问端口映射至公网，且未启用IP白名单，默认口令未修改。黑客利用扫描工具发现该端口，通过暴力破解获取管理员口令，导出约280万条数据并在暗网出售。泄露数据包含姓名、身份证号、手机号、既往病史、HIV检测结果等敏感信息。事件发生后，A公司未及时向市卫健委及市网信办报告，而是自行关闭端口并删除日志，企图掩盖事实。3月15日，市民王某接到诈骗电话，对方准确报出其HIV检测结果，王某遂向公安机关报案。公安机关立案侦查后，通报网信部门。网信部门依据《网络安全法》《数据安全法》《个人信息保护法》对A公司立案调查。问题：（1）指出A公司违反的法律条款及具体义务。（10分）（2）李某的行为是否构成犯罪？若构成，请说明涉嫌罪名及法律依据。（5分）（3）市网信办可对A公司作出哪些行政处罚？请给出处罚幅度。（10分）（4）王某能否提起民事赔偿？法律依据是什么？（5分）——试题结束——【参考答案与解析】1.A。解析：网络安全法第41条明确“合法、正当、必要”原则。2.B。解析：强制索权超出业务功能最小必要范围，违反个人信息保护法第6条。3.A。解析：网络安全法第35条确立关键信息基础设施采购安全审查制度。4.D。解析：用户昵称不属于敏感个人信息，法条列举生物识别、健康、金融账户等。5.B。解析：个人信息保护法第57条要求24小时内向监管部门报告。6.C。解析：等级保护管理办法规定第三级系统每年测评一次。7.C。解析：数据安全法第21条规定“核心数据”由中央国家安全领导机构确定。8.D。解析：数据安全法第46条设定“上一年度营业额5%以下”罚款。9.C。解析：《网络产品安全漏洞管理规定》第9条要求15日内公开。10.A。解析：SM4分组长度与密钥长度均为128位。11.D。解析：跨境提供个人信息无需向公安机关备案，应向网信部门履行评估、认证或标准合同义务。12.C。解析：网络安全法第59条对直接负责人员处10万元以上100万元以下罚款。13.C。解析：经授权渗透测试属于合法行为，不构成犯罪。14.C。解析：《关键信息基础设施安全保护条例》第23条要求每年演练一次。15.C。解析：未列明第三方身份违反公开透明原则，个人信息保护法第7条。16.ABCD。解析：网络安全法第21、25、28、37条分别对应各项义务。17.ABCD。解析：个人信息保护法第55条明确四种需评估情形。18.ABCD。解析：等级保护2.0安全区域边界要求涵盖四项功能。19.ABCD。解析：敏感个人信息处理规则要求单独同意、告知、技术合规、可撤回。20.ABC。解析：数据安全法第33条未要求向税务部门报送交易记录。21.ABCD。解析：刑法修正案（九）第286条之一设定四项入罪情形。22.ABCD。解析：条例征求意见稿对大型平台提出四项强化义务。23.ABC。解析：政务云不得提供全量数据出境通道，违反本地化要求。24.ABC。解析：标准合同办法第6条未强制要求本地化备份。25.ABD。解析：个人邮箱口令不属于核心、普通密码范畴。26.×。解析：日志保存应限于实现目的所需最短时间，禁止永久保存。27.×。解析：个人信息保护法第59条要求委托方对受托方进行监督。28.√。解析：网络安全法第35条确立安全审查制度。29.×。解析：等级保护2.0未强制要求第三级系统使用国密算法，但鼓励使用。30.√。解析：网络安全法第49条明文禁止。31.√。解析：数据安全法第7条确立该原则。32.√。解析：个人信息保护法第3条赋予域外适用效力。33.×。解析：网络产品提供者鼓励认证，非强制。34.×。解析：构成违反治安管理行为的，依法给予治安管理处罚，非“追究刑责”。35.√。解析：网络安全法第23条鼓励自愿认证。36.积极利用、依法管理37.安全管理、网络安全38.单独39.安全审查40.安全41.五、通用42.民事赔偿43.企业、社会组织44.答：（1）知情权、决定权；（2）查阅权、复制权；（3）更正权、补充权；（4）删除权；（5）撤回同意权；（6）限制处理权；（7）拒绝处理权；（8）可携权。45.答：“一个中心”指以安全管理中心为核心，实现统一策略、统一管控、统一审计；“三重防护”指安全计算环境、安全区域边界、安全通信网络三个层面的立体防护，通过技术与管理手段形成纵深防御体系。46.答：平台方观点不成立。网络安全法第21条要求网络运营者采取防范网络攻击的技术措施，购买云清洗服务仅为措施之一，不能替代应急预案、监测预警、事件报告等义务；第25条规定发生危害网络安全事件应立即启动应急预案，采取补救措施并报告主管部门。平台未履行报告义务，仍应承担行政责任；若造成用户损失，还应承担民事赔偿。47.综合案例解析：（1）A公司违反：①网络安全法第21条未采取防范网络攻击、入侵的技术措施；②第25条未建立应急预案且未向主管部门报告；③数据安全法第29条未履行数据安全保护义务；④个人信息保护法第51条未采取加密、去标识化等安全措施；⑤第57条未在24小时内向监管部门报告泄露事件。（2）李某构成犯罪。涉嫌刑法第285条第二款“非法侵入计算机信息系统罪”，其将端口映射至公网且未设白名单，属于“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统”，造成严重后果，应处三年以下有期徒刑或者拘役。（3）市网信办可依据：①网络安全法第59条，对A公司处10万元以上100万元以下罚款，对直接负责人员处1万元以上10万元以下罚款；②数据安全法第45条，对未履行数据安全保护义务的，可处5万元以上50万元以