2025年网络安全法考试真题（附答案）

2025年网络安全法考试练习题（附答案）一、单项选择题（共15题，每题2分，共30分。每题只有1个正确答案）1.2024年修订的《中华人民共和国网络安全法》正式施行时间是？A.2024年1月1日B.2024年7月1日C.2024年11月1日D.2025年1月1日【答案】C【解析】依据《中华人民共和国网络安全法》（2024修订）附则规定，本法自2024年11月1日起施行。2.生成式人工智能服务提供者应当留存训练数据来源、生成内容日志等信息不少于（）年？A.1B.2C.3D.5【答案】C【解析】依据《中华人民共和国网络安全法》（2024修订）第十二条第二款，提供生成式人工智能服务应当留存训练数据来源、生成内容日志等信息不少于三年。3.关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据或者（）条以上个人信息出境的，应当依法通过国家网信部门组织的安全评估？A.10万敏感个人信息/100万一般个人信息B.5万敏感个人信息/50万一般个人信息C.20万敏感个人信息/200万一般个人信息D.100万敏感个人信息/1000万一般个人信息【答案】A【解析】依据《中华人民共和国网络安全法》（2024修订）第三十八条、《数据出境安全评估办法》规定，关键信息基础设施运营者出境重要数据，或者出境10万条以上敏感个人信息、100万条以上一般个人信息的，应当申报数据出境安全评估。4.网络安全等级保护制度将网络安全保护等级共分为（）级？A.3B.4C.5D.6【答案】C【解析】依据《中华人民共和国网络安全法》（2024修订）第二十一条、《网络安全等级保护条例》，我国网络安全等级保护分为5个级别，级别越高防护要求越严格。5.网络运营者接到监管部门关于违法信息的处置通知后，应当在（）内采取删除、屏蔽、断开链接等处置措施，防止信息扩散？A.12小时B.24小时C.48小时D.72小时【答案】B【解析】依据《中华人民共和国网络安全法》（2024修订）第五十条，网络运营者应当按照监管部门要求，在24小时内处置违法信息，留存相关记录。6.网络暴力受害人向网络运营者申请披露实施网络暴力的用户身份信息的，网络运营者应当？A.直接拒绝，保护用户隐私B.在核验受害人身份、申请事由合法的前提下提供必要信息C.要求受害人向法院起诉后才可以提供D.直接向社会公开施暴者的全部个人信息【答案】B【解析】依据《中华人民共和国网络安全法》（2024修订）第二十四条第三款，网络运营者应当为网络暴力受害人提供必要的溯源、证据留存支持，核验身份后依法提供相关用户信息。7.处理不满十四周岁未成年人个人信息的，应当取得（）的同意？A.未成年人本人B.未成年人的父母或者其他监护人C.未成年人所在学校D.未成年人住所地居委会【答案】B【解析】依据《中华人民共和国网络安全法》（2024修订）第四十四条，不满十四周岁未成年人个人信息属于敏感个人信息，处理应当取得监护人同意。8.发生特别重大网络安全事件后，事发单位应当在（）内向属地网信、公安部门上报事件情况？A.1小时B.2小时C.4小时D.8小时【答案】B【解析】依据《国家网络安全事件应急预案》，特别重大、重大网络安全事件发生后，事发单位应当在2小时内完成初报。9.关键信息基础设施运营者应当至少（）开展一次网络安全检测和风险评估？A.每半年B.每年C.每两年D.每三年【答案】B【解析】依据《中华人民共和国网络安全法》（2024修订）第三十四条，关键信息基础设施运营者应当每年至少开展一次安全评估，将评估结果和改进措施报送监管部门。10.网络运营者违反网络安全法规定，拒不改正或者造成严重后果的，最高可处（）的罚款？A.一百万元B.一千万元C.上一年度营业额百分之五D.上一年度营业额百分之十【答案】C【解析】依据《中华人民共和国网络安全法》（2024修订）第六十六条，情节特别严重的，处上一年度销售额百分之五以下罚款，最高不超过五千万元。11.下列不属于敏感个人信息的是？A.生物识别信息B.宗教信仰信息C.公开的手机号码D.医疗健康信息【答案】C【解析】依据《个人信息保护法》《网络安全法》相关规定，已经合法公开的非敏感类个人信息不属于敏感个人信息范畴。12.国家网信部门对违反我国网络安全法的境外机构、个人，可采取的措施不包括？A.冻结其在境内的财产B.将其纳入负面清单，禁止其在境内从事网络服务C.责令境内运营者停止为其提供服务D.直接对其境外财产进行查封【答案】D【解析】我国监管部门无境外执法权，不能直接查封境外财产，可通过跨境司法协作途径追责。13.网络运营者应当对其收集的用户信息严格保密，建立健全的制度不包括？A.用户信息加密制度B.用户信息分级分类管理制度C.用户信息对外出售审批制度D.用户信息访问权限控制制度【答案】C【解析】网络运营者不得非法出售或者向他人提供用户个人信息，不存在对外出售审批制度。14.下列不属于网络安全法规定的从业禁止情形的是？A.违反网络安全法受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位工作B.违反网络安全法受到行政拘留的人员，终身不得从事网络相关行业C.重大网络安全事件主要责任人，3-5年内不得从事网络运营关键岗位工作D.特别重大网络安全事件主要责任人，终身不得从事关键信息基础设施运营相关工作【答案】B【解析】只有受到刑事处罚的人员才适用终身从业禁止，行政拘留不适用终身从业禁止。15.网络运营者对监管部门作出的行政处罚决定不服的，可采取的救济途径不包括？A.申请行政复议B.提起行政诉讼C.直接拒绝执行处罚决定D.申请听证【答案】C【解析】当事人对行政处罚决定不服的，可申请复议或诉讼，但不得拒绝执行已生效的处罚决定。二、多项选择题（共10题，每题3分，共30分。每题有2个及以上正确答案，多选、少选、错选均不得分）1.《中华人民共和国网络安全法》（2024修订）的适用范围包括下列哪些情形？A.我国境内的网络建设、运营、维护和使用活动B.境外主体对我国境内关键信息基础设施实施网络攻击、窃取数据的活动C.境外主体在境外发布针对我国公民的网络诽谤内容并传播至境内的D.我国公民在境外使用境外网络的私人活动【答案】ABC【解析】依据《中华人民共和国网络安全法》（2024修订）第二条、第八条，本法适用于我国境内的网络建设、运营、维护、使用及网络安全监管活动；境外主体实施危害我国国家安全、公共利益、公民合法权益的网络活动的，适用本法追究法律责任；我国公民在境外的私人网络活动不属于本法调整范围。2.下列属于关键信息基础设施重点保护领域的有？A.能源、交通、水利B.金融、公共服务C.电子政务、国防科技工业D.互联网内容平台【答案】ABC【解析】依据《关键信息基础设施安全保护条例》，关键信息基础设施涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，一般互联网内容平台不属于关键信息基础设施范畴。3.生成式人工智能服务提供者应当履行的安全义务包括？A.确保训练数据来源合法，不得侵犯他人知识产权B.建立内容审核机制，对生成内容的真实性、合法性负责C.进行算法备案，定期向监管部门报送算法运行情况D.不得生成含有危害国家安全、扰乱社会秩序、侵犯他人合法权益的内容【答案】ABCD【解析】以上均为《中华人民共和国网络安全法》（2024修订）《生成式人工智能服务管理暂行办法》规定的生成式AI服务提供者法定义务。4.个人信息处理的合法基础包括？A.取得个人同意B.为订立、履行合同所必需C.为履行法定职责或者法定义务所必需D.为应对突发公共卫生事件所必需【答案】ABCD【解析】依据《个人信息保护法》第十三条，以上情形均属于个人信息处理的合法基础。5.数据出境的合法合规路径包括？A.通过国家网信部门组织的数据出境安全评估B.取得国家网信部门认可的个人信息保护认证C.按照国家网信部门制定的标准合同与境外接收方订立合同D.直接向境外传输，事后补报备案【答案】ABC【解析】数据出境应当事前完成合规程序，不得事后补报。6.网络运营者应当采取的防范网络暴力的措施包括？A.建立网络暴力监测预警机制，及时发现违法内容B.为受害人提供证据留存、溯源支持C.对实施网络暴力的用户采取禁言、关闭账号等处置措施D.必要时将施暴者信息移送公安机关【答案】ABCD【解析】以上均为网络安全法规定的网络运营者防范网络暴力的法定义务。7.下列属于网络安全等级保护2.0要求的有？A.技术防护和管理防护并重B.覆盖云计算、大数据、物联网等新技术场景C.实现动态防护、主动防御D.每三年开展一次等级测评【答案】ABC【解析】三级及以上网络系统应当每年开展一次等级测评，D选项错误。8.发生网络安全事件后，运营者应当采取的处置措施包括？A.立即启动应急预案，采取技术措施阻断攻击B.及时告知受影响的用户，说明风险和防范措施C.按照规定向监管部门上报事件情况D.自行销毁相关日志记录，避免被监管部门处罚【答案】ABC【解析】网络运营者应当留存事件相关日志不少于6个月，不得销毁证据。9.关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的，应当遵守的规定包括？A.通过国家网信部门会同有关部门组织的国家安全审查B.与提供者签订安全保密协议，明确安全和保密义务与责任C.优先采购国产自主可控产品D.只要价格优惠可以直接采购境外产品【答案】ABC【解析】关键信息基础设施采购境外产品服务可能影响国家安全的，必须通过安全审查，不得直接采购。10.违反网络安全法的责任形式包括？A.行政处罚B.民事赔偿责任C.刑事责任D.行业自律处分【答案】ABC【解析】行业自律处分不属于法律责任范畴。三、判断题（共10题，每题1分，共10分。判断正误，正确填√，错误填×）1.所有个人信息出境均需向国家网信部门申报安全评估。（）【答案】×【解析】只有符合《数据出境安全评估办法》规定的法定情形（关键信息基础设施运营者出境数据、出境重要数据、出境10万条以上敏感个人信息、100万条以上一般个人信息等）才需要申报安全评估，其他情形可通过个人信息保护认证、签订标准合同等合规路径出境。2.生成式人工智能服务提供者无需向用户告知其使用生成式AI生成内容。（）【答案】×【解析】依据网络安全法规定，生成式AI服务提供者应当以显著方式告知用户内容为AI生成，不得冒充人工发布内容。3.关键信息基础设施运营者的主要负责人对本单位的网络安全工作负总责。（）【答案】√【解析】依据《中华人民共和国网络安全法》（2024修订）第三十三条，关键信息基础设施运营者主要负责人是网络安全第一责任人。4.匿名化处理后的信息不属于个人信息，无需按照个人信息相关规定进行保护。（）【答案】√【解析】匿名化是指无法识别到特定自然人且无法复原的处理，处理后的信息不属于个人信息范畴。5.网络运营者为了提升服务质量，可以收集与提供的服务无关的用户个人信息。（）【答案】×【解析】个人信息处理应当遵循最小必要原则，不得收集与服务无关的个人信息。6.网信部门开展监督检查时，有权进入网络运营者的办公场所、数据中心进行现场检查。（）【答案】√【解析】依据《中华人民共和国网络安全法》（2024修订）第五十四条，监管部门有权开展现场检查，运营者应当配合。7.我国公民在境内使用境外虚拟专用网络（VPN）访问境外网站的行为均属于违法行为。（）【答案】×【解析】只有未经批准擅自建立、使用非法定信道进行国际联网的行为才属于违法行为，企业因业务需要经批准使用合规VPN的不属于违法。8.网络运营者发现用户发布的违法信息后，只需删除相关内容即可，无需留存相关记录。（）【答案】×【解析】网络运营者应当留存违法信息处置记录不少于6个月，供监管部门核查。9.对违反网络安全法的单位处一百万元以上罚款的，当事人有权要求举行听证。（）【答案】√【解析】依据行政处罚法相关规定，较大数额罚款应当告知当事人听证权利。10.国家对网络安全人才实行职业资格准入制度，所有从事网络安全工作的人员必须取得相应职业资格证书。（）【答案】×【解析】只有关键信息基础设施运营者的网络安全管理和关键岗位人员才需要具备相应的专业背景和职业资格，并非所有网络安全从业人员都要求强制持证。四、案例分析题（共2题，每题15分，共30分）案例12025年3月，国家网信部门接到多起举报，国内头部生成式AI服务提供商智算科技有限公司存在以下违法情形：（1）训练数据未经授权使用120万份国内创作者的原创文字、美术作品，未向权利人支付报酬也未履行告知义务；（2）平台内容审核机制缺失，生成内容频繁出现侮辱诽谤特定自然人的网络暴力内容，累计接到用户举报1.2万次未处置；（3）2024年12月未经安全评估将境内收集的180万条用户提问日志、注册个人信息传输至境外母公司服务器；（4）平台未落实网络安全等级保护2.0要求，存在高危漏洞未修复，2025年2月被黑客攻击泄露32万条用户敏感个人信息（含人脸、身份证号），未向监管部门上报也未告知用户。智算科技2024年度营业额为12亿元。请结合《中华人民共和国网络安全法》（2024修订）回答下列问题：1.智算科技存在哪些违反网络安全法的行为？（6分）2.监管部门可对智算科技及相关责任人作出哪些行政处罚？（5分）3.智算科技应当采取哪些整改措施？（4分）参考答案1.违法行为得分点（每点1.5分，共6分）：（1）违反生成式AI服务合规义务，未确保训练数据来源合法，未对生成内容合法性负责；（2）违反网络内容管理义务，未及时处置违法网络信息、防范网络暴力；（3）违反数据出境合规要求，未依法申报数据出境安全评估，擅自出境个人信息；（4）违反网络安全等级保护义务和个人信息保护义务，未修复安全漏洞，发生个人信息泄露事件未履行上报和告知义务。2.行政处罚得分点（每点1分，共5分）：（1）责令立即改正违法行为，给予警告，没收违法所得；（2）对智算科技处2024年度营业额3%（3600万元）罚款；（3）对直接负责的主管人员和其他直接责任人员处20万元以上100万元以下罚款；（4）责令智算科技暂停相关业务、停业整顿，情节严重的可吊销相关业务许可证；（5）对直接责任人可作出3至5年的网络相关行业从业禁止决定。3.整改措施得分点（每点1分，共4分）：（1）立即清理违法训练数据，建立训练数据合规审核机制，完善生成内容全流程审核体系，处置已生成的违法网暴内容，向被侵权人赔礼道歉；（2）召回已出境的全部个人信息，补报数据出境安全评估，未通过评估前不得开展任何数据出境活动；（3）立即修复全部安全漏洞，升级网络安全防护体系，落实等级保护2.0要求；（4）向受泄露影响的用户履行告知义务，向网信、公安部门提交事件处置报告，建立个人信息泄露应急处置机制。案例2某市轨道交通集团为该市关键信息基础设施运营单位，2024年10月采购境外某企业生产的信号控制系统，未按规定申报国家安全审查即投入使用。2025年5月，该信号系统被境外黑客组织植入后门，导致全市12条地铁线路全部停运7小时，覆盖出行乘客210万人次，直接经济损失1.8亿元。事件发生后，轨道交通集团未按规定