2026年网络安全法律法规培训试卷及答案

2026年网络安全法律法规培训试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填在括号内）1.根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品或服务，可能影响国家安全的，应当通过（）进行安全审查。A.工信部备案B.国家网信部门会同国务院有关部门C.公安部网络安全保卫局D.国家市场监督管理总局2.2025年7月1日起施行的《网络数据安全管理条例（试行）》规定，处理个人信息达到（）以上的个人信息处理者，必须设置专门的个人信息保护负责人。A.10万人B.50万人C.100万人D.500万人3.某省政务云发生数据泄露事件，造成500万条自然人敏感信息外泄。依据《网络安全法》，省级网信办可对直接负责的主管人员处以上一年年收入（）的罚款。A.1%—5%B.5%—10%C.10%—50%D.50%—100%4.《个人信息保护法》中，对“敏感个人信息”的判定标准不包括（）。A.一旦泄露可能致个人人格尊严受到侵害B.一旦泄露可能致人身、财产安全受到危害C.信息主体主动公开的信息D.包括生物识别、宗教信仰、特定身份、医疗健康、金融账户等信息5.关键信息基础设施（CII）安全保护中，运营者应当（）至少开展一次网络安全检测评估。A.每季度B.每半年C.每年D.每两年6.2026年3月，某网约车平台因算法歧视被提起公益诉讼。依据《互联网信息服务算法推荐管理规定》，对算法歧视行为的最高罚款额度为（）。A.50万元B.100万元C.500万元D.上一年度营业额5%7.《数据出境安全评估办法》规定，数据出境评估的重点不包括（）。A.数据出境目的合法性B.境外接收方所在国法律环境C.数据出境链路加密强度D.数据出境后存储介质品牌8.某金融App在隐私政策中未明示收集“剪切板”信息，被监管部门认定为“未经告知收集个人信息”。依据《个人信息保护法》，可对其处以（）罚款。A.10万元以下B.10万—100万元C.100万—5000万元D.5000万元以上9.《网络安全法》第21条提出的“网络安全等级保护制度”中，等级保护对象共分（）级。A.三B.四C.五D.六10.2025年修订的《刑法》第285条之一规定，非法获取计算机信息系统数据，情节特别严重的，最高可判处（）。A.三年以下有期徒刑B.三年以上七年以下有期徒刑C.七年以上有期徒刑D.无期徒刑11.某云服务商因未履行“数据安全保护义务”致使用户数据被批量篡改，依据《数据安全法》，可对单位处以（）罚款。A.5万—50万元B.50万—500万元C.500万—5000万元D.1亿元12.《关键信息基础设施安全保护条例》规定，CII运营者发生“重大网络安全事件”后，应当向（）报告。A.工信部B.公安部C.国家网信部门D.行业主管部门及省级网信部门13.2026年1月，某AI生成式模型在训练阶段使用了含人脸信息的公开数据集，但未进行去标识化。该行为最可能违反（）。A.《网络安全法》B.《数据安全法》C.《个人信息保护法》D.《电子商务法》14.《网络产品安全漏洞管理规定》要求，网络产品提供者应在知道漏洞后（）小时内向工信部报送漏洞信息。A.24B.48C.72D.16815.某企业为跨境电商平台，日均处理欧盟用户订单1万单。若其违反《通用数据保护条例》（GDPR），可能面临的最高罚款为（）。A.1000万欧元B.2000万欧元C.全球营业额2%D.全球营业额4%或2000万欧元孰高16.《个人信息保护法》规定，处理敏感个人信息应当取得个人的（）。A.明示同意B.书面同意C.单独同意D.口头同意17.2025年12月，某政务App强制用户同意“人脸识别用于商业营销”，被认定为“强制收集非必要个人信息”。监管部门可依据（）进行处罚。A.《广告法》B.《消费者权益保护法》C.《个人信息保护法》D.《反垄断法》18.《网络安全审查办法》规定，对“国外上市”的CII运营者启动审查的触发条件之一是“掌握（）以上个人信息”。A.10万人B.50万人C.100万人D.1000万人19.2026年4月，某物联网厂商默认弱口令“admin/admin”致数十万台摄像头被控。依据《网络产品安全漏洞管理规定》，对厂商的直接负责人员可处以（）罚款。A.1万—5万元B.5万—50万元C.50万—100万元D.100万—500万元20.《数据安全法》确立的数据分类分级保护制度中，国家核心数据实行（）保护。A.一般B.重点C.严格D.动态二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些情形属于《个人信息保护法》规定的“个人信息处理者应当事前进行个人信息保护影响评估”？（）A.处理敏感个人信息B.向境外提供个人信息C.利用个人信息进行自动化决策D.公开披露个人信息E.将个人信息用于精准广告22.依据《网络安全法》，网络运营者收集、使用个人信息应当遵循的原则包括（）。A.合法B.正当C.必要D.诚信E.有偿23.下列哪些属于《关键信息基础设施安全保护条例》定义的“关键信息基础设施”？（）A.大型云计算平台B.省级政务网络C.年交易额100亿元的电商平台D.日均客流50万人的地铁信号系统E.拥有5000台服务器的网络游戏运营商24.2025年修订的《刑法》第286条之一规定的“拒不履行信息网络安全管理义务罪”中，“经监管部门责令改正而拒不改正”的情形包括（）。A.未落实实名认证B.未停止传输违法信息C.未删除违法信息D.未保存用户日志E.未履行数据出境评估25.根据《数据出境安全评估办法》，评估报告应当包括（）。A.数据出境规模B.境外接收方安全保护能力C.数据出境链路加密算法D.数据出境后再转移风险E.数据出境经济效益分析26.某App因“大数据杀熟”被提起公益诉讼，可依据的法律法规有（）。A.《个人信息保护法》B.《消费者权益保护法》C.《反垄断法》D.《互联网信息服务算法推荐管理规定》E.《电子商务法》27.以下哪些属于《网络数据安全管理条例（试行）》定义的“重要数据”？（）A.人口普查原始数据B.10万以上自然人敏感个人信息集合C.关键信息基础设施运行维护数据D.企业年度财务报表E.反映国家战略物资储备规模的数据28.依据《网络安全等级保护制度2.0》，等级保护工作流程包括（）。A.定级B.备案C.建设整改D.等级测评E.监督检查29.2026年5月，某AI公司训练大模型时使用了医疗影像数据，应当履行的合规义务有（）。A.取得数据主体单独同意B.进行去标识化C.设置个人信息保护负责人D.向省级卫健委备案E.开展算法备案30.《个人信息出境标准合同办法》规定，标准合同应当包括（）。A.境外接收方再转移的条件B.数据主体行使权利的途径C.争议解决机制D.合同解除条件E.数据出境链路带宽三、判断题（每题1分，共10分。正确打“√”，错误打“×”）31.任何个人和组织不得设立用于实施诈骗的通讯群组，违者由公安机关给予警告处罚即可。（）32.依据《网络安全法》，网络运营者可以出于业务需要在未经用户同意情况下收集与其提供的服务无关的个人信息。（）33.《数据安全法》规定，国家建立数据交易管理制度，支持数据依法有序自由流动。（）34.个人信息处理者委托第三方处理个人信息，无需对第三方进行监督。（）35.关键信息基础设施的运营者在中国境内收集的个人信息原则上应当在境内存储。（）36.2025年起，所有App上线前必须通过“个人信息保护认证”方可上架应用商店。（）37.《网络产品安全漏洞管理规定》将“0Day漏洞”定义为“未被公开且未发布补丁的漏洞”。（）38.依据《个人信息保护法》，未成年人个人信息属于敏感个人信息。（）39.数据出境安全评估的有效期为2年，期满后需重新评估。（）40.《网络安全审查办法》仅适用于境外上市的中概股企业，不适用境内上市企业。（）四、填空题（每空1分，共10分）41.《网络安全法》自________年________月________日起施行。42.《个人信息保护法》规定，处理个人信息应当具有明确、合理的________，并应当与处理目的直接相关。43.关键信息基础设施的安全保护等级应________国家网络安全等级保护制度的________级。44.《数据安全法》提出，国家建立________数据目录，对列入目录的数据实行重点保护。45.网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息________，防止信息泄露、毁损、丢失。46.2025年修订的《刑法》第286条之一，将“拒不履行信息网络安全管理义务”的最高刑期提高至________年有期徒刑。47.《网络数据安全管理条例（试行）》规定，处理重要数据的大型网络平台运营者应当________发布数据安全社会责任报告。48.数据出境安全评估中，评估重点之一是境外接收方所在国家或地区的________环境和________环境。49.依据《个人信息出境标准合同办法》，标准合同应当在数据出境前向________备案。50.《互联网信息服务算法推荐管理规定》要求，具有舆论属性或社会动员能力的算法推荐服务提供者应当在提供服务之日起________个工作日内履行备案手续。五、简答题（每题10分，共30分）51.简述《个人信息保护法》中“告知—同意”原则的例外情形，并举例说明。52.某跨境电商平台拟将境内用户订单数据出境至美国云服务商，请列出其应当履行的合规步骤。53.结合《关键信息基础设施安全保护条例》，说明CII运营者在“供应链安全”方面应当采取的具体措施。六、案例分析题（10分）54.背景：2026年2月，A市某三甲医院通过第三方B公司开发的“AI辅助诊断系统”对肺癌CT影像进行训练。系统部署在C云平台上，训练数据包含15万名患者影像及病历，数据未经去标识化直接上传至C平台对象存储（位于新加坡节点）。训练完成后，B公司将模型权重回传至医院本地服务器。事件曝光后，患者李某发现其病历被用于训练，且医院未告知亦未取得同意。问题：（1）指出该案例中存在的违法违规情形；（2）依据现行法律法规，说明医院、B公司、C平台分别可能承担的法律责任；（3）提出整改建议。七、计算题（10分）55.某App运营者2025年营业收入为人民币12亿元，因“未经用户同意收集个人信息”被处以营业额4%罚款。请计算罚款金额，并依据《个人信息保护法》说明罚款裁量因素。附：答案与解析一、单选1.B2.C3.C4.C5.C6.D7.D8.C9.C10.C11.C12.D13.C14.B15.D16.C17.C18.C19.B20.C二、多选21.ABCD22.ABCD23.ABCD24.ABCD25.ABCD26.ABDE27.ABCE28.ABCDE29.ABC30.ABCD三、判断31×32×33√34×35√36×37√38×39√40×四、填空41.2017年6月1日42.目的43.不低于；三44.重要45.安全46.747.每年48.法律；政策49.省级网信部门50.10五、简答（要点示例）51.例外包括：①履行法定职责或法定义务；②应对突发公共卫生事件；③为公共利益实施新闻报道、舆论监督；④已公开信息在合理范围处理；⑤法律、行政法规另有规定。举例：疾控机构在疫情期间无需同意即可收集患者行程信息。52.步骤：①开展数据出境风险自评估；②判断是否触发安全评估门槛（重要数据或100万人以上）；③向省级网信部门申报数据出境安全评估；④与境外接收方签订标准合同；⑤完成个人信息保护认证或签订标准合同并备案；⑥建立数据出境日志并留存3年；⑦每年复评并报告。53.供应链措施：①采购前安全审查，签署安全保密协议；②对网络产品、服务进行源代码检测、渗透测试；③建立合格供应商目录并动态管理；④要求供应商提供安全运维、漏洞响应SLA；⑤对供应商人员背景审查与权限最小化；⑥建立替代供应方案，确保断供可替代；⑦定期组织供应链安全演练。六、案例解析（1）违法点：①未经告知同意处理敏感个人信息；②数据出境未评估；③未去标识化；④未设置个人信息保护负责人；⑤未开展个人信息保护影响评估。（2）责任：医院为个人信息处理者