2025年网络安全法考试真题及答案

2025年网络安全法考试练习题及答案第一部分单项选择题（共15题，每题1分，共15分。每题只有1个正确答案，多选、错选、不选均不得分）1.2024年修订的《中华人民共和国网络安全法》的正式施行时间是（）A.2024年10月1日B.2025年1月1日C.2025年3月1日D.2025年5月1日参考答案：B解析：2024年11月全国人大常委会审议通过修订后的《中华人民共和国网络安全法》，自2025年1月1日起正式施行。2.下列主体的活动中，不适用《网络安全法》的是（）A.境内某国有企业建设内部办公网络B.境外某企业为境内用户提供电商服务C.香港特别行政区某企业运营本地社交平台D.境内关键信息基础设施运营者在境外存储运营数据参考答案：C解析：根据《网络安全法》地域适用规则及港澳基本法规定，《网络安全法》未列入港澳基本法附件三，不适用于港澳特别行政区本地网络活动。3.下列主体中，不属于《网络安全法》规定的“网络运营者”的是（）A.生成式AI大模型服务提供商B.某民办高校的校园网络运维部门C.仅使用网络开展内部办公的个体工商户D.提供云计算服务的运营商参考答案：C解析：《网络安全法》规定的网络运营者指网络的所有者、管理者和网络服务提供者，仅自用网络、不对外提供服务的主体不属于网络运营者范畴。4.下列领域的设施中，不属于关键信息基础设施保护范围的是（）A.公共通信和信息服务B.能源、交通、水利、金融C.生成式AI基础算力设施D.中小学校园教学网络参考答案：D解析：修订后的《网络安全法》明确将生成式AI算力设施纳入关基保护范围，中小学校园教学网络未涉及国家关键领域核心业务，不属于关基范畴。5.核心数据的认定和目录发布主体是（）A.国家网信部门会同有关部门B.省级网信部门C.行业主管部门D.关键信息基础设施运营者参考答案：A解析：《网络安全法》规定国家网信部门会同国务院有关部门制定核心数据目录，明确核心数据认定标准和管理要求。6.网络运营者处理公民生物识别、健康医疗、金融账户等敏感个人信息的，应当取得（）A.用户默认同意B.用户单独明示同意C.用户口头同意D.用户所在单位同意参考答案：B解析：《网络安全法》明确要求处理敏感个人信息应当取得个人的单独明示同意，法律、行政法规另有规定的除外。7.发生特别重大网络安全事件后，事发网络运营者应当向属地省级网信部门上报的时限是（）A.1小时内B.4小时内C.12小时内D.24小时内参考答案：A解析：根据《网络安全事件分级响应指南》及修订后的《网络安全法》，特别重大、重大网络安全事件上报时限为事发后1小时内。8.关键信息基础设施运营者向境外提供（）以上个人信息的，应当申报国家数据出境安全评估。A.1万人B.10万人C.100万人D.1000万人参考答案：C解析：结合《数据出境安全评估办法》与《网络安全法》修订内容，关基运营者出境100万人以上个人信息的，应当申报国家数据出境安全评估。9.生成式AI服务提供者应当在服务上线前至少（）向属地省级网信部门提交算法备案材料。A.10个工作日B.30个工作日C.60个工作日D.90个工作日参考答案：B解析：《网络安全法》明确新型网络服务提供者应当在服务上线前30个工作日履行算法备案义务。10.网络运营者未履行网络安全等级保护义务，造成严重后果的，最高可处以（）罚款。A.100万元B.500万元C.1000万元D.5000万元参考答案：C解析：修订后的《网络安全法》大幅提升处罚幅度，未履行等级保护义务情节严重的，处100万元以上1000万元以下罚款。11.关键信息基础设施运营者的（）对本单位的关键信息基础设施安全负总责。A.安全部门负责人B.技术负责人C.法定代表人、主要负责人D.运维团队负责人参考答案：C解析：《网络安全法》明确关基运营者的法定代表人、主要负责人是关基安全第一责任人。12.公民向网络运营者提出删除个人信息的请求后，运营者应当在（）内作出处理并告知申请人。A.7个工作日B.15个工作日C.30个工作日D.60个工作日参考答案：B解析：《网络安全法》明确个人信息主体行使更正、删除、复制等权利的，运营者应当在15个工作日内响应。13.掌握超过（）用户个人信息的网络平台运营者赴境外上市的，应当申报网络安全审查。A.10万B.100万C.1000万D.1亿参考答案：B解析：结合《网络安全审查办法》与《网络安全法》修订内容，该触发阈值为100万用户个人信息。14.网络运营者违反《网络安全法》规定，被处以吊销业务许可证行政处罚的，其直接负责的主管人员（）内不得从事网络运营相关管理工作。A.1年B.3年C.5年D.终身参考答案：C解析：《网络安全法》明确行业禁入规则，受吊销许可证处罚的主管人员5年内不得从事相关行业管理工作。15.当事人对网信部门作出的行政处罚决定不服的，可以在收到处罚决定书之日起（）内申请行政复议，或者提起行政诉讼。A.15日B.30日C.60日D.90日参考答案：C解析：根据《行政复议法》及《网络安全法》相关规定，行政复议申请时限为60日。第二部分多项选择题（共10题，每题2分，共20分。每题有2个及以上正确答案，多选、少选、错选、不选均不得分）1.我国网络安全治理的基本原则包括（）A.网络空间主权原则B.统筹发展与安全原则C.协同共治原则D.权责一致、过罚相当原则参考答案：ABCD解析：修订后的《网络安全法》明确将网络空间主权、统筹发展和安全、依法治理、风险防控、协同共治、权责一致作为核心治理原则。2.关键信息基础设施运营者应当履行的特殊安全义务包括（）A.每年至少开展1次关基安全检测评估，向行业主管部门报送评估报告B.采购涉及国家安全的网络产品和服务的，应当申报网络安全审查C.重要数据和核心数据应当在境内存储，确需出境的履行法定审批程序D.对核心运维人员开展安全背景审查参考答案：ABCD解析：四个选项均为《网络安全法》规定的关基运营者特殊义务，区别于一般网络运营者的等级保护义务。3.网络运营者处理个人信息的合法事由包括（）A.取得个人同意B.为订立、履行个人作为一方当事人的合同所必需C.为履行法定职责或者法定义务所必需D.为应对突发公共卫生事件所必需参考答案：ABCD解析：四个选项均符合《网络安全法》及《个人信息保护法》规定的个人信息处理合法基础。4.网络安全事件发生后，网络运营者应当采取的处置措施包括（）A.立即启动应急预案，采取技术措施阻断攻击、消除隐患B.及时告知受影响用户事件的危害、防护措施等信息C.按照规定向网信、公安等主管部门上报事件情况D.留存事件相关日志、数据等证据不少于6个月参考答案：ABCD解析：四个选项均为《网络安全法》规定的网络运营者应急处置义务。5.数据出境的合法路径包括（）A.通过国家网信部门组织的数据出境安全评估B.取得国家网信部门认可的个人信息保护认证C.按照国家网信部门制定的标准合同范本与境外接收方签订合同D.法律、行政法规或者国家网信部门规定的其他条件参考答案：ABCD解析：四个选项为《网络安全法》明确的三类法定出境路径+兜底条款。6.生成式AI服务提供者应当履行的义务包括（）A.建立违法内容识别过滤机制，防范生成危害国家安全、虚假诈骗等违法内容B.公示算法基本原理、应用场景、决策逻辑等信息，保障算法透明度C.不得利用算法实施价格歧视、流量操纵等损害用户合法权益的行为D.建立生成内容溯源机制，对生成的内容留存不少于3个月的日志记录参考答案：ABCD解析：四个选项均为修订后的《网络安全法》新增的新型网络服务提供者义务。7.有权对网络安全违法行为实施行政处罚的部门包括（）A.网信部门B.电信主管部门C.公安部门D.行业主管部门参考答案：ABCD解析：《网络安全法》明确“网信部门统筹协调、多部门分工负责”的监管体系，四个选项均有相应执法权限。8.下列属于核心数据范围的有（）A.关键信息基础设施的核心技术参数、运行日志B.关系国家经济安全的产业核心数据C.涉及国家秘密的相关数据D.100万以上公民的敏感个人信息集合参考答案：ABCD解析：核心数据指关系国家安全、国民经济命脉、重要民生、重大公共利益的数据，四个选项均符合核心数据认定标准。9.网络运营者落实网络安全等级保护义务的要求包括（）A.按照等级保护标准完成网络定级备案B.落实安全管理和技术防护措施，同步规划、同步建设、同步使用安全设施C.每3年至少开展1次等级保护测评D.定期开展从业人员安全培训参考答案：ABCD解析：四个选项均为网络安全等级保护2.0制度的法定要求，纳入《网络安全法》修订内容。10.违反《网络安全法》可能承担的责任类型包括（）A.警告、罚款、责令停业整顿等行政责任B.侵犯用户合法权益的民事赔偿责任C.构成犯罪的刑事责任D.纳入失信联合惩戒名单的信用责任参考答案：ABCD解析：《网络安全法》建立了行政、民事、刑事、信用惩戒衔接的责任体系，四个选项均为法定责任类型。第三部分判断题（共10题，每题1分，共10分。正确打√，错误打×）1.香港、澳门特别行政区的网络活动直接适用《中华人民共和国网络安全法》。参考答案：×解析：根据港澳基本法规定，《网络安全法》未列入基本法附件三，不适用于港澳地区本地网络活动。2.核心数据不得出境，确因业务需要出境的，应当经过国家网信部门组织的安全审查。参考答案：√解析：《网络安全法》明确核心数据必须境内存储，确需出境的应当经过国家安全审查。3.生成式AI服务提供者对其生成的内容的合法性承担主体责任。参考答案：√解析：修订后的《网络安全法》明确“谁提供服务、谁负责内容合规”的规则，生成式AI服务提供者对生成内容合法性负责。4.网络运营者处理不满14周岁未成年人个人信息的，应当取得其父母或者其他监护人的同意。参考答案：√解析：符合《网络安全法》及《未成年人网络保护条例》的相关规定。5.发生一般网络安全事件的，运营者可以在24小时内上报主管部门，无需立即上报。参考答案：×解析：一般网络安全事件上报时限为4小时内，不得迟报、瞒报。6.关键信息基础设施运营者采购网络产品和服务，只要性能符合要求即可使用，无需进行安全审查。参考答案：×解析：采购涉及国家安全的网络产品和服务的，必须申报网络安全审查。7.任何个人和组织都有权向网信、电信、公安等部门举报网络安全违法行为，相关部门应当对举报人的信息予以保密。参考答案：√解析：符合《网络安全法》第十一条的举报保护规定。8.为了提升用户体验，网络运营者可以在用户未明确同意的情况下，默认收集用户的位置信息、通讯录信息等敏感个人信息。参考答案：×解析：收集敏感个人信息必须取得用户单独明示同意，不得默认授权、捆绑授权。9.国家对网络安全专业技术人员实行职业资格制度，从事网络安全运维、测评等工作的人员应当取得相应职业资格。参考答案：√解析：修订后的《网络安全法》明确了网络安全人才职业资格管理要求。10.网络运营者违反《网络安全法》规定，拒不整改的，监管部门可以约谈其法定代表人、主要负责人，要求其落实整改责任。参考答案：√解析：符合《网络安全法》的约谈制度规定。第四部分案例分析题（共2题，每题20分，共40分）案例一A公司是国内知名生成式AI大模型服务提供商，2025年2月属地网信部门专项检查中发现以下问题：1.该公司的大模型产品上线前未按规定开展安全评估，也未履行算法备案程序；2.用户注册使用服务时，系统默认勾选同意隐私政策，未单独告知用户将收集聊天记录、设备识别码、位置信息等敏感个人信息，也未取得用户单独同意；3.大模型多次生成危害国家安全、侵犯知识产权、散布虚假信息的违法内容，公司未建立有效的内容审核过滤机制，也未公开投诉举报渠道，未响应用户的违法内容举报。问题：1.指出A公司的违法行为分别违反了《网络安全法》的哪些规定？（8分）2.网信部门可以对A公司作出哪些行政处罚？（6分）3.A公司应当落实哪些整改措施？（6分）参考答案：1.对应违法条款如下：（1）未开展安全评估、未履行算法备案义务，违反《网络安全法》第二十八条第二款：“提供生成式人工智能、深度合成等新型网络产品和服务的运营者，应当按照国家规定开展安全评估，履行算法备案义务，建立健全内容审核、用户身份核验、应急处置等管理制度”的规定；（2分）（2）默认收集敏感个人信息、未取得用户单独同意，违反《网络安全法》第四十一条：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要和诚信原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；收集敏感个人信息的，应当取得个人单独明示同意”的规定；（2分）（3）未建立违法内容处置机制、未设立投诉举报渠道，违反《网络安全法》第四十七条：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告”（2分），以及第六十条第二款：“网络运营者应当建立健全投诉、举报机制，公布投诉、举报方式等信息，及时受理并处理有关网络安全的投诉和举报”的规定。（2分）2.行政处罚内容：（1）责令限期改正，给予警告，没收违法所得；（2分）（2）拒不改正或者情节严重的，处100万元以上1000万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；（2分）（3）对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。（2分）3.整改措施：（1）合规体系整改：15个工作日内完成算法备案，委托具备资质的第三方机构开展上线前安全评估，评估报告报送省级网信部门审核；（2分）（2）个人信息保护整改：优化授权流程，以显著方式告知用户个人信息收集规则，单独取得敏感个人信息收集同意，删除已违规收集的全部用户个人信息；（2分）（3）内容治理整改：升级违法内容识别过滤模型，建立7×24小时人工审核机制，公开投诉举报渠道，3个工作日内处置用户举报，每月向属地网信部门报送内容治理情况。（2分）案例二B公司是某市轨道交通集团，属于国家认定的关键信息基础设施运营者，2025年3月为开展客流数据分析，与境外C数据分析公司签订合作协议，将其运营的地铁系统3年累计1.2亿条乘客个人信息、轨道交通线路运行核心参数等核心数据传输至C公司的境外服务器，未申报数据出境安全评估，也未报行业主管部门批准。后续发生数据泄露事件，导致大量乘客个人信息被倒卖，部分线路运行参数被境外势力获取，造成重大国家安全隐患。问题：1.指出B公司的违法行为违反了《网络安全法》的哪些规定？（8分）2.B公司及相关责任人应当承担哪些法律责任？（6分）3.结合《网络安全法》说明关键信息基础设施运营者开展数据出境活动应当遵守哪些要求？（6分）参考答案：1.对应违法条款如下：（1）未落实关基安全保护义务，违反《网络安全法》第三十四条：“关键信息基础设施运营者应当自行或者委托网络安全服务机构对其关键信息基础设施的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门”的规定；（2分）（2）未履行数据出境安全评估义务，违反《网络安全法》第三十七条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据和核心数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”的规定；（2分）（3）违规处理个人信息，违反《网络安全法》第四十二条：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息”的规定；（2分）（4）未履行网络安全事件应急处置义务，违反《网络安全法》第五十五条：“发生网络安全事件时，运营者应当立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告”的规定。（2分）2.责任内容：（1）行政责任：对B公司处500万元以上1000万元以下罚款，责令停业整顿，吊销相关业务许可；对主要负责人、直接责任人处50万元以上100万元以下罚款，终身禁止从事关基运营管理工作；（2分）（2）民事责任：对受个人信息泄露影响的乘客承担赔偿责任，包括财产损失赔偿、精神损害赔偿等；（2分）（3）刑事责任：相关责任人行为构成《刑法》规定的侵犯公民个人信息罪、过失泄露国家秘密罪等罪名的，依法追究刑事责任。（2分）3.数据出境要求：（1）存储要求：关基运营者在境内收集产生的重要数据和核心数据应当境内存储，确需出境的应当符合法定条件；（2分）（2）评估要求：出境数据属于核心数据、或者累计出境100万人以上个人信息的，应当申报国家数据出境安全评估；（2分）（3）监管要求：数据出境前应当向行业主管部门报备，与境外接收方签订数据安全协议，明确境外接收方的安全保护义务，定期评估境外接收方的安全防护能力，确保数据出境后的安全。（2分）第五部分论述题（共1题，15分）题目：结