2025年8月第3周合规与信息安全考核试卷含答案

2025年8月第3周合规与信息安全考核试卷含答案一、单项选择题（共15题，每题2分，共30分）1.根据《中华人民共和国数据安全法》修订版（2024年施行），以下哪类数据处理活动无需向省级数据安全监管部门备案？A.处理100万人以上个人生物识别数据B.金融机构处理客户信贷交易明细数据（涉及50万人）C.中小企业收集员工考勤打卡记录（不涉及敏感信息）D.医疗平台共享患者诊疗记录（经患者书面同意）答案：C2.某企业拟对用户个人信息进行自动化决策，根据《个人信息保护法》及配套规则，以下哪项操作符合“最小必要”原则？A.仅基于用户近期3次购物记录推荐商品B.收集用户近5年所有消费记录用于算法训练C.要求用户授权读取通讯录以完成注册D.对未同意个性化推荐的用户限制部分功能使用答案：A3.依据《网络安全等级保护条例（2025）》，三级以上信息系统的日志留存时间最短应为：A.30天B.6个月C.1年D.2年答案：B4.某跨境电商平台需将用户订单信息（含姓名、地址、支付流水）传输至海外服务器，根据《数据出境安全评估办法（2025修订）》，以下哪种情形可豁免安全评估？A.数据接收方为欧盟成员国认证的“充分性保护”机构B.单次传输涉及用户数量不超过5000人C.数据仅用于统计分析且不关联特定个人D.已通过国家网信部门认可的专业机构认证的标准合同答案：D5.某医疗APP在用户注册时默认勾选“同意共享个人信息至合作保险公司”，此行为违反了《个人信息保护法》的哪项要求？A.公开处理规则B.取得单独同意C.最小必要原则D.信息可追溯性答案：B6.根据《关键信息基础设施安全保护条例》，以下哪类单位不属于关键信息基础设施运营者？A.日均处理10万笔以上支付交易的第三方支付平台B.服务覆盖3个省份的天然气输配系统C.市立三甲医院的HIS（医院信息系统）D.省级气象数据中心（仅服务内部科研）答案：D7.某企业发现员工通过私人邮箱传输公司客户名单（含5000条个人信息），根据《个人信息保护法》第66条，监管部门可对企业处以最高多少罚款？A.上一年度营业额2%B.上一年度营业额5%C.500万元D.1000万元答案：B（注：2025年修订后上限调整为5%或5000万元，取其高）8.以下哪项不属于《数据分类分级指南（2025）》中“一般数据”的特征？A.泄露后可能对个人隐私造成轻微影响B.涉及企业普通经营数据（如日常采购记录）C.与国家安全、公共利益无直接关联D.泄露后可能导致企业经济损失超过500万元答案：D9.某金融机构进行网络安全风险评估时，发现其核心交易系统使用的加密算法为DES（56位密钥），此问题属于以下哪类风险？A.管理风险B.技术风险C.合规风险D.操作风险答案：B10.根据《个人信息跨境处理安全认证规范（2025）》，认证有效期内，企业发生以下哪种情形无需重新申请认证？A.数据接收方股权结构变更（母公司由A集团变为B集团）B.跨境数据类型新增用户设备MAC地址C.年跨境数据传输量从800万条增至1200万条D.数据处理目的由“订单管理”扩展为“用户行为分析”答案：C（注：传输量未超过原认证范围30%时无需重新申请）11.某企业拟与第三方云服务商签订数据存储协议，根据《数据安全法》及《云计算服务安全评估办法》，以下哪项条款无需明确约定？A.数据删除后的技术验证方式B.云服务商内部审计频率C.数据泄露时的通知时限（≤24小时）D.数据所有权归属（明确为委托方所有）答案：B12.以下哪项操作符合《网络安全法》关于“网络产品和服务安全审查”的要求？A.采购未通过安全审查的进口数据库软件（用于企业内部OA系统）B.关键信息基础设施运营者采购的工业控制系统已通过国家网信部门安全审查C.医疗机构采购的医疗影像处理软件未声明源代码比例D.金融机构使用的开源中间件未进行漏洞扫描答案：B13.某短视频平台用户发布含他人肖像的视频（未获授权），平台未及时处理，根据《民法典》第1019条及《网络信息内容生态治理规定》，平台可能承担的责任不包括：A.删除、屏蔽相关视频B.赔偿被侵权人精神损失C.对用户账号实施封禁D.向监管部门报告用户行为答案：D14.依据《数据安全管理认证实施规则（2025）》，以下哪项是认证机构重点核查的内容？A.企业近3年盈利情况B.数据处理者的岗位权限分离制度C.员工年度体检记录D.办公场所消防设施完备性答案：B15.某物联网企业开发智能手表，其收集的用户健康数据（心率、睡眠时长）属于《个人信息保护法》中的“敏感个人信息”吗？A.是，因涉及健康状况B.否，因未达到“高度敏感”标准C.是，因属于生物识别信息D.否，因仅用于用户自身健康管理答案：A（注：健康信息被明确列为敏感个人信息）二、多项选择题（共10题，每题3分，共30分，多选、错选、漏选均不得分）1.根据《个人信息保护法》及《常见类型移动互联网应用程序必要个人信息范围规定》，以下哪些APP的必要个人信息收集符合要求？A.地图导航类APP：位置信息、设备信息B.网络购物类APP：姓名、地址、支付信息C.即时通讯类APP：通讯录、通话记录D.在线阅读类APP：账号信息、阅读记录答案：ABD（C选项中通话记录非必要）2.数据安全事件发生后，责任主体需向监管部门报告的内容包括：A.事件影响的数据类型、数量B.已采取的补救措施C.事件发生的具体技术原因（如SQL注入漏洞）D.预计造成的经济损失答案：ABCD3.以下哪些行为符合“数据脱敏”的技术要求？A.对身份证号进行部分隐藏（如4403011234）B.将用户姓名替换为随机提供的匿名ID（无关联映射表）C.对手机号进行哈希处理（使用SHA-256算法，加盐）D.保留用户年龄（精确到5岁区间）代替具体出生日期答案：ABCD4.关键信息基础设施运营者应履行的安全保护义务包括：A.制定网络安全事件应急预案并定期演练B.对重要系统和数据进行容灾备份（异地备份）C.每年至少进行1次网络安全检测评估D.优先采购境内网络产品和服务（无同等替代时除外）答案：ABCD5.个人信息处理者在以下哪些情形下可无需取得用户同意？A.为履行法定职责或法定义务B.为应对突发公共卫生事件C.为公共利益实施新闻报道（合理使用）D.为用户提供产品或服务所必需（已在隐私政策中明确）答案：ABC（D选项仍需同意）6.数据分类分级的主要依据包括：A.数据的敏感程度（如是否涉及个人隐私、国家秘密）B.数据的价值（如对企业经营的影响程度）C.数据的生命周期（提供、存储、传输、删除阶段）D.数据的关联程度（与其他数据结合后的风险）答案：ABD（C为数据全流程管理内容）7.以下哪些属于《网络安全法》禁止的“危害网络安全”行为？A.未经允许对他人网站进行漏洞扫描B.制作、传播计算机病毒C.利用网络传播虚假恐怖信息D.非法侵入他人网络获取数据答案：ABD（C属于网络信息内容管理范畴）8.企业开展数据安全培训时，应覆盖的内容包括：A.个人信息保护相关法律法规B.数据泄露的常见场景与防范措施C.本企业数据分类分级规则D.数据安全岗位的具体职责答案：ABCD9.跨境数据流动中，“标准合同”的核心条款应包括：A.数据处理目的、范围及期限B.数据接收方的安全保护义务C.数据主体权利的行使方式（如查询、删除）D.争议解决机制（适用中国法律）答案：ABCD10.以下哪些情形可能触发数据安全风险评估？A.企业拟将用户位置数据用于广告精准推送（原用途为导航）B.第三方合作方发生股权变更（新股东为境外投资机构）C.数据处理规模从10万条增至50万条D.采用新技术（如联邦学习）处理用户行为数据答案：ABD（C选项未达到触发条件）三、判断题（共10题，每题1分，共10分，正确填“√”，错误填“×”）1.用户撤回个人信息处理同意后，企业可继续使用已收集的信息用于历史交易记录保存。（√）2.数据安全负责人必须由企业法定代表人担任。（×）（可由高级管理人员担任）3.重要数据的处理活动无需向社会公开处理规则。（×）（需公开但可豁免敏感细节）4.企业内部培训使用的客户案例（隐去姓名、联系方式）不属于个人信息。（√）5.网络安全等级保护三级系统的测评周期为每年1次。（√）6.数据出境安全评估中，“境外数据接收方”仅指外国企业，不包括中国企业的境外分支机构。（×）（包括）7.个人信息处理者无需对匿名化后的数据承担保护责任。（√）8.关键信息基础设施发生较大网络安全事件后，应在12小时内向省级网信部门报告。（×）（2小时内）9.企业可以将用户同意作为处理儿童个人信息的唯一合法基础。（×）（需取得监护人同意）10.数据安全认证证书的有效期为3年，期间无需监督审核。（×）（每年需监督审核）四、简答题（共5题，每题6分，共30分）1.简述个人信息处理中“告知-同意”原则的具体要求。答案：①告知内容需真实、准确、完整，包括处理目的、方式、范围、存储时间、数据接收方、用户权利及行使方式等；②告知形式需显著、清晰（如单独弹窗、独立隐私政策链接），避免隐藏在冗长条款中；③同意需由用户主动作出（如勾选、点击确认），禁止默认勾选或捆绑同意；④针对敏感个人信息、跨境传输等特殊场景，需取得用户“单独同意”；⑤用户撤回同意后，应停止处理并删除相关信息（法律另有规定除外）。2.数据分类分级的实施步骤通常包括哪些？答案：①确定分类维度（如业务场景、数据来源、敏感程度）；②制定分类标准（如分为公共数据、内部数据、个人数据；或一级/二级/三级）；③开展数据资产梳理（识别所有数据资产，建立清单）；④评估数据风险（泄露、篡改、丢失可能造成的影响）；⑤确定分级结果（如核心数据、重要数据、一般数据）；⑥制定分级保护策略（如访问控制、加密强度、备份频率）；⑦定期评审更新（数据类型或业务变化时重新评估）。3.网络安全风险评估的主要内容包括哪些方面？答案：①资产识别（硬件、软件、数据、人员等）；②威胁分析（外部攻击、内部误操作、自然灾害等）；③脆弱性评估（系统漏洞、配置缺陷、管理漏洞）；④风险计算（威胁发生概率×影响程度）；⑤现有控制措施有效性验证（如防火墙、访问控制、培训制度）；⑥残余风险评估（未被控制的风险）；⑦提出改进建议（技术措施、管理流程、人员培训）。4.企业应急响应计划应包含哪些核心要素？答案：①应急组织架构（明确指挥组、技术组、沟通组职责）；②事件分级标准（如一般/较大/重大事件的判定依据）；③响应流程（检测-确认-隔离-溯源-修复-通知）；④资源保障（备用系统、联系清单、工具库）；⑤对外沟通机制（用户通知模板、媒体应对策略、监管报告要求）；⑥事后总结（事件根因分析、漏洞修复、计划修订）；⑦定期演练要求（至少每半年1次实战演练）。5.简述第三方供应商合规管理的关键措施。答案：①供应商准入评估（资质审查、安全能力核查、历史合规记录）；②合同条款约束（明确数据处理范围、安全责任、违约赔偿、数据删除要求）；③数据访问控制（最小权限原则，限制供应商仅访问必要数据）；④持续监控（定期审计、日志核查、安全测评）；⑤事件联动机制（供应商发生数据泄露时，企业需同步启动应急响应）；⑥退出管理（终止合作时，监督供应商彻底删除或归还数据，销毁备份）。五、案例分析题（共2题，每题15分，共30分）案例1：2025年7月，某电商平台“快购”被用户举报，称其在未明确告知的情况下，将用户的购物记录、搜索关键词提供给关联的金融公司用于信用评估。经调查，“快购”隐私政策中仅笼统提及“可能与关联方共享数据用于业务协同”，未具体说明共享的目的、类型及接收方。部分用户表示从未注意到该条款，且未主动同意共享。问题：分析“快购”的违规行为及应承担的法律责任。答案：违规行为：①未履行“明确告知”义务，隐私政策对数据共享的描述模糊，未具体说明目的（信用评估）、数据类型（购物记录、搜索关键词）及接收方（关联金融公司）；②未取得用户“有效同意”，用户未主动确认共享，且条款隐藏在笼统表述中，违反“单独同意”要求（涉及敏感用途）；③违反“最小必要”原则，信用评估无需购物记录和搜索关键词（非必要数据）。法律责任：①根据《个人信息保护法》第66条，由监管部门责令改正，给予警告，没收违法所得；②情节严重的，处上一年度营业额5%以下或5000万元以下罚款，并可以责令暂停相关业务或停业整顿；③对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款；④用户可依