2026年网络安全法实施效果考核试卷

2026年网络安全法实施效果考核试卷一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项填写在答题卡上）1.根据《网络安全法》第21条，网络运营者应当按照网络安全等级保护制度的要求，采取监测、记录网络运行状态、网络安全事件的技术措施，相关网络日志留存时间不少于：A.30日B.60日C.90日D.6个月2.2025年7月，某省网信办对一家未履行数据出境安全评估义务的云计算公司处以罚款人民币210万元。该处罚的直接依据是：A.《网络安全法》第37条B.《数据安全法》第31条C.《个人信息保护法》第38条D.《关键信息基础设施安全保护条例》第25条3.关键信息基础设施（CII）运营者采购网络产品或服务时，应当通过国家网信部门会同国务院有关部门组织的：A.安全认证B.安全审查C.安全测评D.安全备案4.2026年3月，某网约车平台因“默认勾选”收集用户通讯录被监管部门认定违反《网络安全法》第41条。该条款的核心要求是：A.明示收集、使用信息的目的、方式和范围B.取得信息主体书面同意C.对个人信息进行去标识化处理D.建立个人信息跨境传输白名单5.网络运营者发生网络安全事件时，依照《网络安全法》第25条，以下哪项义务必须首先履行：A.向公安机关报案B.向行业主管部门报告C.立即启动应急预案，采取处置措施D.向社会公开事件细节6.2025年11月，国家互联网应急中心（CNCERT）发布通报，某IoT设备厂商因未修复已公开的高危漏洞，导致50万台摄像头被控。该行为主要违反：A.《网络安全法》第22条B.《刑法》第285条C.《民法典》第1033条D.《密码法》第18条7.根据《网络安全法》第47条，网络运营者发现用户发布违法信息时，应当采取的措施不包括：A.立即停止传输B.保存相关记录C.向网信部门报告D.将违法信息转存至境外服务器8.2026年1月，某银行因“数据分类分级”不到位，导致客户交易数据在测试环境泄露。该银行首要违反的条款是：A.《网络安全法》第21条B.《数据安全法》第21条C.《个人信息保护法》第51条D.《保守国家秘密法》第16条9.网络安全等级保护2.0中，云计算扩展要求对“镜像安全”提出明确指标，其对应等级保护第几级：A.第一级B.第二级C.第三级D.第四级10.2025年9月，某社交平台上线“AI好友推荐”功能，使用用户五年内全部聊天记录训练模型。若未取得用户单独同意，直接违反：A.《网络安全法》第41条B.《个人信息保护法》第13条C.《数据安全法》第32条D.《互联网信息服务算法推荐管理规定》第7条11.关键信息基础设施运营者每年至少进行一次网络安全检测评估，并将结果报送：A.公安机关B.国家网信部门C.行业保护工作部门D.国家密码管理局12.《网络安全法》第50条授权县级以上政府有关主管部门在应急处置时可以采取“网络通信管制”，其决定机关是：A.同级公安机关B.同级网信部门C.同级人民政府D.国务院13.2026年4月，某医疗App因隐私政策未列明数据接收方公司名称被下架，该执法依据属于：A.行政处罚裁量基准B.个人信息保护合规审计指南C.网络安全法第64条D.个人信息保护法第66条14.网络运营者收集未成年人个人信息时，根据《网络安全法》及配套规则，应当：A.征得未成年人本人同意即可B.征得监护人同意并制定专门处理规则C.向学校备案D.向共青团中央报备15.2025年12月，某省政务云因未落实“异地实时活灾备”被责令整改，该要求对应等级保护第几级：A.第二级B.第三级C.第四级D.第五级16.网络安全审查办公室对“滴滴出行”实施审查时，重点评估的风险不包括：A.核心数据被恶意篡改B.关键设备供应链中断C.用户数据被境外机构进行“用户画像”D.公司VIE架构变化17.2026年2月，某电商大促期间因“短信轰炸”导致用户投诉激增。平台未对营销类算法设置“一键退订”，主要违反：A.《广告法》第44条B.《个人信息保护法》第24条C.《网络安全法》第49条D.《电子商务法》第18条18.网络运营者利用“人脸识别”实现员工考勤，依据《网络安全法》及国标GB/T40660，应当：A.仅保存特征向量，不保存原始图像B.将人脸数据上传至境外公有云做备份C.允许员工选择其他验证方式D.将数据保存期限设为永久19.2025年10月，某车联网企业因T-Box固件未做签名验证，导致远程控车指令被重放攻击。该漏洞属于：A.通信完整性缺失B.身份认证缺失C.访问控制缺失D.不可否认性缺失20.网络安全事件分级中，造成1000万元以上直接经济损失或影响1000万人以上个人信息的事件应定为：A.特别重大（Ⅰ级）B.重大（Ⅱ级）C.较大（Ⅲ级）D.一般（Ⅳ级）二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些情形属于《网络安全法》第37条规定的“确需向境外提供”个人信息或重要数据：A.跨境电商发货所需物流数据B.境内公司境外上市所需审计底稿C.国际航班旅客订座信息D.境内数据中心因地震临时备份至境外云22.关键信息基础设施安全保护“三同步”原则包括：A.同步规划B.同步建设C.同步运行D.同步废弃23.2026年5月，某AI绘画小程序在用户上传照片后生成“二次元”形象，但未告知照片将用于算法优化。该行为违反：A.最小必要原则B.公开透明原则C.质量保障原则D.可问责性原则24.网络运营者开展“个人信息合规审计”时，必须涵盖：A.处理目的合法性B.数据接收方所在国法治环境C.自动化决策透明度D.未成年人信息处理合规性25.根据《网络安全法》第58条，国家网信部门可以会同国务院有关部门对以下哪些产品发起安全审查：A.境外开源操作系统B.境内生产的核心路由器C.境外提供的云数据库D.境内开发的即时通信软件26.2025年8月，某高校因邮件系统遭钓鱼攻击导致科研数据泄露，学校立即采取的合理应急措施包括：A.断开受感染网段B.向CNCERT报送事件C.向全校师生群发事件细节D.封存相关日志27.网络安全等级保护测评中，针对“恶意代码防范”检查点，第三级系统应实现：A.主机层防病毒B.网络层恶意流量检测C.应用层Webshell查杀D.物理层门禁防尾随28.2026年6月，某市政府上线“一网通办”小程序，因未做“个人信息处理规则”独立页面被通报。整改措施应包括：A.在注册页面设置超链至独立规则B.使用6号灰色字体集中描述C.提供简体、繁体、英文三语版本D.允许用户一键导出已收集信息29.网络运营者使用“隐私计算”技术对外提供数据服务时，仍需履行的义务有：A.进行个人信息保护影响评估B.取得数据主体单独同意C.向监管部门备案算法逻辑D.留存计算过程日志30.2025年12月，某区块链存证平台将用户合同哈希值写入境外公链，被认定“向境外提供数据”。以下抗辩理由无效的是：A.哈希值不可逆推原文B.公链节点遍布全球，无法界定“境外”C.已采用国密算法D.用户已点击“同意”三、判断题（每题1分，共10分。正确打“√”，错误打“×”）31.网络运营者将个人信息匿名化处理后，即可不受《网络安全法》约束。32.关键信息基础设施运营者必须设置首席网络安全官，否则构成违法。33.网络安全事件应急预案演练每年至少组织一次，且需覆盖业务高峰期。34.网络运营者可以在用户协议中约定“强制仲裁”，排除法院管辖。35.国家网信部门对App收集使用个人信息实施“备案”而非“许可”管理。36.网络运营者发现重大漏洞后，应在48小时内向工信部报送。37.政务数据共享平台可以“默认共享”，无需再次征得数据主体同意。38.网络运营者因破产解散，可一次性批量出售用户个人信息用于清偿债务。39.网络安全等级保护测评报告属于国家秘密，不得对外公开。40.网络运营者委托第三方处理个人信息，应对受托方进行监督。四、填空题（每空1分，共10分）41.网络安全等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，应定为第______级。42.《网络安全法》自______年6月1日起施行。43.关键信息基础设施运营者采购网络产品或服务，可能影响国家安全的，应当通过______审查。44.网络运营者收集个人信息应当遵循______、正当、必要的原则。45.国家建立网络安全监测预警和______制度。46.网络运营者应当采取技术措施确保个人信息______，防止泄露、毁损、丢失。47.2025年11月，国家标准化管理委员会发布《信息安全技术人脸识别数据安全要求》标准编号为GB/T______。48.网络运营者发生数据泄露事件，可能造成严重后果的，应当______告知用户。49.网络安全事件应急预案应当包括事件分类分级、______流程、保障措施等内容。50.网络运营者利用自动化决策方式向个人进行信息推送，应当同时提供______的选项。五、简答题（每题5分，共15分）51.简述《网络安全法》对“重要数据”出境管理的核心要求。52.关键信息基础设施运营者在发生网络安全事件时，向行业保护工作部门报告的内容包括哪些？53.网络运营者如何证明其处理个人信息活动符合“最小必要”原则？六、计算与案例分析题（共25分）54.（计算题，8分）某电商平台日均活跃用户3000万，平均每人每日产生日志原始大小为0.8MB。为满足《网络安全法》日志留存6个月要求，计算所需最小存储容量（以PB为单位，保留两位小数）。假设采用LZ4压缩比1:4，冗余备份系数1.2。给出计算步骤与LaTeX公式。55.（案例分析题，17分）背景：2026年3月，A市B区网信办对C科技有限公司作出200万元罚款。违法事实：（1）C公司运营的健康管理App在隐私政策中声称“血压数据仅本地保存”，实则明文上传至境外云服务商D云（位于S国）。（2）App在未登录状态下默认开启“附近病友”功能，持续收集GPS坐标，每30秒回传一次。（3）2025年12月，境外黑客通过未授权API批量下载1200万用户血压趋势图，C公司延迟72小时向监管部门报告。请回答：①指出C公司分别违反《网络安全法》《个人信息保护法》《数据安全法》的具体条款（3分）。②对每条违法行为给出整改措施（6分）。③若C公司不服拟提起行政诉讼，请列出可主张的两大抗辩点并评估胜诉概率（4分）。④从合规技术角度，设计一套“血压数据本地化处理”方案，要求包含加密、密钥管理、异常监测三个模块（4分）。——试卷结束——【参考答案与解析】一、单项选择题1.B2.A3.B4.A5.C6.A7.D8.A9.C10.B11.C12.C13.D14.B15.B16.D17.B18.C19.A20.A解析：3.安全审查见《网络安全法》第35条。6.未修复漏洞违反第22条“安全漏洞立即补救”义务。20.特别重大（Ⅰ级）标准：1000万人以上或1000万元以上。二、多项选择题21.ABCD22.ABC23.AB24.ABCD25.AC26.ABD27.ABC28.ACD29.ABD30.ABCD解析：25.境内产品境外提供亦需审查，见第58条“网络产品或者服务”。30.哈希值写入境外公链仍被认定“提供”，任何抗辩均无效。三、判断题31.×（匿名化仍受监管）32.×（未设置不直接违法，但第三级及以上强制）33.√34.×（排除管辖条款无效）35.√36.×（向CNCERT报送，非工信部）37.×（默认共享需再次告知同意）38.×（破产亦不得非法转让）39.×（测评报告可脱敏公开）40.√四、填空题41.四42.201743.网络安全44.合法45.信息通报46.安全47.41819-202548.及时49.应急处置50.不针对其个人特征五、简答题51.答：核心要求包括：1.评估出境必要性；2.通过安全评估或认证；3.签订标准合同/经保护区认证；4.记录出境日志；5.接受网信部门抽查。52.答：报告内容：事件发生时间、地点、类型、影响范围、已采取措施、潜在危害、下一步计划、联系人及方式。53.答：通过数据清单证明处理范围与业务功能直接关联；展示删除策略与周期；提供第三方“最小必要”审计报告；用户可随时撤回同意并删除。六、计算与案例分析题54.解：原始日志日总量Q6个月按182.5天计，压缩后总量Q含冗余Q答：最小存储容量为1.28PB。55.①（1）违反《网络安全法》第37条（数据出境评估）；（2）违反《个人信息保护法》第13、14条（未告知目的、未获单独同意）；（3）违反《数据安全法》第29条（未建立应急报告制度）。②整改：a.立即下架境外传输模块，接入本地云；b.重写隐私政策，登录前弹窗征得单