2025年数据安全知识试题及答案

2025年数据安全知识试题及答案一、单项选择题（每题2分，共20题，满分40分）1.根据《中华人民共和国数据安全法》，下列选项中不属于数据处理活动范畴的是（）A.数据收集B.数据存储C.数据销毁D.数据出境安全评估2.根据《生成式人工智能服务管理暂行办法》及配套合规要求，生成式人工智能训练数据处理不符合规定的是（）A.对使用的公开个人信息进行去标识化处理B.使用敏感个人信息训练模型取得个人单独同意C.直接使用与原收集目的不一致的公开个人信息训练模型D.对来源不明的训练数据进行合法性审核3.根据我国数据安全监管要求，重要数据识别、分级分类工作的责任主体是（）A.行业监管部门B.数据处理者C.行业协会D.网信部门4.关键信息基础设施运营者在我国境内运营中收集和产生的重要数据向境外提供的，应当依法开展（）A.备案B.安全评估C.登记申报D.合同备案5.根据《中华人民共和国个人信息保护法》，处理敏感个人信息的合规要求是（）A.只要取得个人概括同意即可开展处理B.应当取得个人单独同意，且具有特定目的和充分必要性C.不需要取得个人同意，只要公开处理规则即可D.只需要履行告知义务，不需要取得同意6.根据《数据出境安全评估办法》，下列哪种情形下数据处理者向境外提供数据必须申报数据出境安全评估（）A.处理个人信息达到100万人，向境外提供个人信息B.处理个人信息达到50万人，向境外提供个人信息C.向境外提供10万人以上非敏感个人信息D.向境外提供10万人以上一般业务数据7.我国《数据安全法》明确对数据实行的保护制度是（）A.分类分级保护B.统一集中保护C.核心数据重点保护D.一般数据自由保护8.重要数据处理者开展全流程数据安全风险评估的频率要求至少为（）A.每半年一次B.每年一次C.每两年一次D.每三年一次9.下列选项中，不属于核心数据核心特征的是（）A.泄露后会严重危害国家主权安全B.泄露后会严重损害社会公共利益C.泄露后仅会对单个自然人合法权益造成影响D.泄露后会严重影响国民经济命脉安全10.根据生成式人工智能服务合规要求，关于用户输入数据处理，下列说法正确的是（）A.所有用户输入内容都默认可以用于模型训练B.用户明确拒绝其输入内容用于训练的，提供者不得将该内容用于训练C.提供者可以不经同意将用户对话内容用于商业性模型优化D.只要是用户主动输入的个人信息都可以任意处理11.根据《中华人民共和国个人信息保护法》，处理不满（）周岁未成年人个人信息的，必须取得未成年人父母或者其他监护人的同意。A.12B.14C.16D.1812.数据处理者发生数据安全事件后，应当按照规定及时向（）报告。A.所在地网信部门、公安机关B.所在地市场监管部门C.行业协会D.所在地统计部门13.下列选项中，不属于《数据安全法》规定的数据处理者应当履行的核心安全保护义务的是（）A.建立健全全流程数据安全管理制度B.开展日常数据安全风险监测C.定期强制对所有存储数据进行去标识化处理D.对数据安全从业人员开展合规教育培训14.根据《网络数据安全管理条例》，互联网平台运营者应当对平台处理的（）实施重点保护。A.用户公开数据B.重要数据和核心数据C.非敏感个人信息D.平台公开运营数据15.下列数据出境方式中，不符合我国法律规定的是（）A.按照要求完成数据出境安全评估后出境B.签订标准合同并完成备案后出境C.经过个人信息保护认证后出境D.未履行任何合规程序直接将数据交由境外主体存储处理16.我国重要数据目录的制定发布主体是（）A.国家网信部门统筹，会同国务院有关部门、各地区研究制定B.省级网信部门自行制定本地区重要数据目录C.数据处理者结合自身业务自行制定D.行业协会结合行业特点自行制定17.下列行为中，不属于非法获取数据的是（）A.通过爬虫技术绕过平台反爬机制批量获取非公开用户数据B.未经用户同意私自收集用户个人信息C.黑客入侵企业系统窃取核心业务数据D.合法从政府公开信息平台获取已经依法公开的政务数据18.我国数据安全审查制度的规制对象是（）A.影响或者可能影响国家安全的数据处理活动B.所有数据出境活动C.所有处理个人信息的活动D.中小微企业日常数据处理活动19.根据《个人信息保护法》，下列选项中不属于个人信息主体法定权利的是（）A.查阅、复制其个人信息B.要求处理者更正、补充不准确的个人信息C.要求处理者删除违规处理的个人信息D.直接占有处理者存储其个人信息的服务器设备20.我国2025年数据安全监管的核心方向不包括（）A.生成式人工智能训练数据合规监管B.重要数据和核心数据出境安全监管C.中小微企业数据安全合规指导帮扶D.全面无限制放开数据跨境流动二、多项选择题（每题3分，共10题，满分30分）1.根据《中华人民共和国数据安全法》，开展数据处理活动应当遵守的基本要求包括（）A.遵守法律法规，尊重社会公德伦理，不得损害公共利益B.建立健全数据安全管理制度，落实数据安全保护主体责任C.不得窃取或者以其他非法方式获取数据D.不得非法出售或者非法向他人提供数据2.根据《数据出境安全评估办法》，下列哪些情形下数据处理者向境外提供数据应当申报数据出境安全评估（）A.向境外提供核心数据B.处理个人信息达到100万人的个人信息处理者向境外提供个人信息C.向境外提供10万人以上敏感个人信息D.关键信息基础设施运营者向境外提供境内收集产生的重要数据3.根据《中华人民共和国个人信息保护法》，下列选项中属于敏感个人信息的有（）A.生物识别信息、宗教信仰信息B.特定身份信息、医疗健康信息C.金融账户信息、行踪轨迹信息D.不满十四周岁未成年人的个人信息4.生成式人工智能服务提供者应当遵守的数据安全合规要求包括（）A.确保训练数据来源合法，不得侵犯他人知识产权和个人信息权益B.不得非法收集、使用敏感个人信息用于模型训练C.建立训练数据合法性审核机制，落实全流程数据安全保护责任D.对用户输入的个人信息严格按照《个人信息保护法》要求进行处理5.数据处理者发生数据安全事件后，应当采取的正确处置措施包括（）A.立即采取技术补救措施，控制安全风险扩散B.及时告知受到影响的个人信息主体相关风险和处置措施C.按照法律法规要求及时向主管部门报告事件情况D.为消除风险立即销毁所有涉及的数据6.我国对核心数据的保护要求包括（）A.对核心数据实行全流程封闭式安全管理B.核心数据处理者应当定期开展数据安全风险评估并上报评估报告C.未经国家主管部门批准，核心数据不得出境D.核心数据必须存储在中华人民共和国境内7.根据《中华人民共和国个人信息保护法》，下列哪些情形下个人信息处理者处理个人信息不需要取得个人同意（）A.为订立、履行个人作为一方当事人的合同所必需B.为履行法定职责或者法定义务所必需C.为应对突发公共卫生事件，或者紧急情况下保护自然人生命财产安全所必需D.在合理范围内处理个人自行公开或者其他已经合法公开的个人信息，法律另有规定的除外8.企业数据安全管理体系应当包含的核心制度有（）A.数据分级分类管理制度B.数据安全风险定期评估制度C.数据安全事件应急处置制度D.数据安全合规定期培训制度9.下列行为中，属于危害数据安全的违法行为有（）A.非法窃取、出售、向他人提供公民个人信息B.未落实数据安全保护义务，导致数据发生泄露、篡改、丢失C.未经安全评估擅自向境外提供核心数据D.依法公开已经按照程序要求可以公开的政务数据10.我国鼓励合法数据开发利用，同时要求数据开发利用活动应当符合的要求包括（）A.有利于促进数字经济健康高质量发展B.不得危害国家安全和社会公共利益C.不得损害自然人、法人和非法人组织的合法权益D.符合数据伦理和科技伦理规范三、判断题（每题1分，共10题，满分10分）1.根据《中华人民共和国数据安全法》，任何组织和个人都不得非法收集、存储、加工、传输、出售或者向他人提供个人或组织的数据。（）2.核心数据可以由数据处理者自主决定向境外提供，只要完成企业内部审批流程即可。（）3.个人信息处理者处理个人信息，应当遵循合法、正当、必要、诚信的基本原则。（）4.生成式人工智能服务商可以任意使用用户的对话内容用于模型训练，不需要征得用户同意。（）5.数据处理者是数据安全保护的责任主体，对自身开展的数据处理活动承担数据安全主体责任。（）6.处理不满十四周岁未成年人个人信息，只要取得未成年人本人同意即可，不需要取得监护人同意。（）7.我国个人信息出境只有数据出境安全评估一种合规路径。（）8.重要数据处理者应当至少每年开展一次数据安全风险评估，并将评估报告报送相关主管部门。（）9.去标识化处理后的个人信息不再属于个人信息，可以任意流转和处理。（）10.数据安全是监管部门和企业的责任，普通个人不需要提升数据安全防范意识。（）四、案例分析题（每题10分，共2题，满分20分）1.案例：国内某生成式人工智能企业A，为提升模型效果，从第三方数据服务商采购了包含500万条公民个人信息的训练数据集，其中包含12万条敏感个人信息（含身份证号、人脸信息、行踪轨迹）。A企业未对数据集来源合法性进行审核，也未取得任何个人信息主体的同意，直接将全部数据用于模型训练，后因数据泄露被网信部门立案调查。问题：（1）结合现行法律法规，说明A企业的行为违反了哪些数据安全合规要求？（2）A企业应当承担哪些法律责任？2.案例：国内某外资连锁零售企业B，在境内运营拥有150万注册会员，存储了所有会员的姓名、联系方式、收货地址、消费记录等个人信息。企业B计划将所有会员个人信息同步至境外总部服务器，供总部开展全球用户分析。问题：（1）企业B的上述数据出境行为是否需要申报数据出境安全评估？请说明理由。（2）若企业B未履行任何合规程序直接将数据出境，将面临哪些处罚？参考答案一、单项选择题1.D2.C3.B4.B5.B6.A7.A8.B9.C10.B11.B12.A13.C14.B15.D16.A17.D18.A19.D20.D二、多项选择题1.ABCD2.ABCD3.ABCD4.ABCD5.ABC6.ABCD7.ABCD8.ABCD9.ABC10.ABCD三、判断题1.√2.×3.√4.×5.√6.×7.×8.√9.×10.×四、案例分析题第1题参考答案（1）A企业违反的核心合规要求如下：①违反训练数据来源合法性要求：根据《生成式人工智能服务管理暂行办法》，生成式人工智能提供者应当确保训练数据来源合法，A企业使用来源不明、非法获取的个人信息训练模型，未履行数据来源审核义务，违反该要求；②违反敏感个人信息处理规则：根据《个人信息保护法》，处理敏感个人信息应当取得个人单独同意，且具有特定目的和充分必要性，A企业未经同意处理12万条敏感个人信息，违反该规则；③未落实数据安全主体责任：根据《数据安全法》，数据处理者应当建立全流程数据安全管理制度，针对重要数据处理活动开展合规审核，A企业未建立训练数据安全审核机制，未落实数据安全保护主体责任；④侵犯个人信息主体法定权利：A企业未经同意批量处理个人信息，违反个人信息保护的知情权、决定权原则，侵害了个人信息主体的合法权益。（6分）（2）A企业应当承担的法律责任：根据《数据安全法》《个人信息保护法》《生成式人工智能服务管理暂行办法》相关规定，监管部门可对其作出以下处罚：责令改正违法行为，给予警告，没收违法所得；情节严重的，处上一年度营业额5%以下罚款，可责令暂停相关业务、停业整顿、吊销相关业务许可证或营业执照；对直接负责的主管人员和直接责任人员处10万元以上100万元以下罚款；如果行为构成侵犯公民个人信息罪等刑事犯罪的，依法追究相关人员的刑事责任。（4分）第2题参考答案（1）企业B需要申报数据出境安全评估。理由：根据《数据出境安全评估办法》明确规定，处理个人信息达到100万人的个人信息处理者向境外提供个人信息的，应当向国家网信部门申报数据出境安全评估。本案中企业B在境内运营处理的注册会员个人信息达到150万人，符合法定应当申报出境安全评估的情形，因此必须完成申报程序，