2025年數(shù)據(jù)安全與信息保護(hù)能力考試試卷及答案一、單項(xiàng)選擇題（共10題，每題2分，共20分）1.根據(jù)《數(shù)據(jù)安全法》修訂版（2024年實(shí)施），關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)通過(guò)（）。A.國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估B.行業(yè)主管部門(mén)備案C.第三方機(jī)構(gòu)合規(guī)認(rèn)證D.數(shù)據(jù)接收方所在國(guó)法律審查2.某醫(yī)療平臺(tái)擬使用AI技術(shù)分析患者診療數(shù)據(jù)以優(yōu)化用藥建議，依據(jù)《個(gè)人信息保護(hù)法》及配套規(guī)則，其處理患者個(gè)人信息時(shí)應(yīng)優(yōu)先滿足（）。A.完全匿名化處理后使用B.取得患者單獨(dú)同意，并明確告知AI分析的具體用途C.僅需在隱私政策中概括說(shuō)明“用于數(shù)據(jù)建?！盌.經(jīng)醫(yī)療機(jī)構(gòu)內(nèi)部倫理委員會(huì)批準(zhǔn)即可3.關(guān)于數(shù)據(jù)分類分級(jí)，以下表述錯(cuò)誤的是（）。A.分類應(yīng)基于數(shù)據(jù)的內(nèi)容屬性（如個(gè)人信息、業(yè)務(wù)數(shù)據(jù)）和用途（如內(nèi)部使用、對(duì)外共享）B.分級(jí)需結(jié)合數(shù)據(jù)一旦泄露、篡改或損毀可能對(duì)國(guó)家安全、公共利益或個(gè)人/組織權(quán)益造成的影響程度C.金融機(jī)構(gòu)客戶交易記錄屬于“一般數(shù)據(jù)”，無(wú)需特別保護(hù)D.涉及國(guó)防科技研發(fā)的實(shí)驗(yàn)數(shù)據(jù)應(yīng)劃定為“核心數(shù)據(jù)”4.某企業(yè)擬采用隱私計(jì)算技術(shù)實(shí)現(xiàn)與外部機(jī)構(gòu)的聯(lián)合建模，以下操作符合數(shù)據(jù)安全要求的是（）。A.直接向合作方提供原始數(shù)據(jù)樣本用于模型訓(xùn)練B.通過(guò)聯(lián)邦學(xué)習(xí)技術(shù)在不交換原始數(shù)據(jù)的前提下共享模型參數(shù)C.將數(shù)據(jù)脫敏后以明文形式傳輸至合作方服務(wù)器D.要求合作方簽署《數(shù)據(jù)使用承諾書(shū)》后開(kāi)放全量數(shù)據(jù)查詢權(quán)限5.依據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》（2024年修訂），以下無(wú)需申報(bào)數(shù)據(jù)出境安全評(píng)估的情形是（）。A.某汽車企業(yè)向境外母公司傳輸境內(nèi)用戶車輛位置軌跡數(shù)據(jù)（涉及10萬(wàn)人以上）B.某教育機(jī)構(gòu)向境外科研機(jī)構(gòu)提供匿名化處理后的學(xué)提供績(jī)統(tǒng)計(jì)數(shù)據(jù)（無(wú)法復(fù)原）C.某金融科技公司向境外關(guān)聯(lián)方傳輸客戶征信報(bào)告（涉及5000人）D.某能源企業(yè)向境外子公司傳輸境內(nèi)電網(wǎng)實(shí)時(shí)運(yùn)行數(shù)據(jù)（屬于重要數(shù)據(jù)）6.數(shù)據(jù)安全事件發(fā)生后，運(yùn)營(yíng)者應(yīng)在（）內(nèi)向?qū)俚鼐W(wǎng)信部門(mén)和行業(yè)主管部門(mén)報(bào)告。A.12小時(shí)B.24小時(shí)C.48小時(shí)D.72小時(shí)7.某電商平臺(tái)用戶發(fā)現(xiàn)其注冊(cè)手機(jī)號(hào)被非法出售給營(yíng)銷公司，平臺(tái)經(jīng)核查確認(rèn)是內(nèi)部系統(tǒng)管理員通過(guò)后臺(tái)接口違規(guī)導(dǎo)出數(shù)據(jù)所致。平臺(tái)應(yīng)首先承擔(dān)（）。A.民事賠償責(zé)任B.行政處罰責(zé)任C.刑事責(zé)任D.信用懲戒責(zé)任8.關(guān)于數(shù)據(jù)加密技術(shù)，以下說(shuō)法正確的是（）。A.對(duì)稱加密（如AES）的密鑰需在傳輸前通過(guò)安全信道交換B.非對(duì)稱加密（如RSA）的公鑰需嚴(yán)格保密C.哈希算法（如SHA256）可用于數(shù)據(jù)完整性驗(yàn)證，但無(wú)法解密還原D.量子加密技術(shù)已完全替代傳統(tǒng)加密方式，無(wú)需考慮后量子密碼問(wèn)題9.某政務(wù)部門(mén)擬建設(shè)公共數(shù)據(jù)開(kāi)放平臺(tái)，根據(jù)《公共數(shù)據(jù)管理?xiàng)l例》，其開(kāi)放數(shù)據(jù)時(shí)應(yīng)遵循（）。A.“最小必要”原則，僅開(kāi)放無(wú)關(guān)個(gè)人隱私的統(tǒng)計(jì)類數(shù)據(jù)B.“應(yīng)開(kāi)盡開(kāi)”原則，除法律禁止或涉及國(guó)家安全的數(shù)據(jù)外均需開(kāi)放C.“分級(jí)開(kāi)放”原則，按數(shù)據(jù)敏感程度設(shè)置無(wú)條件開(kāi)放、受限開(kāi)放和不開(kāi)放類別D.“按需開(kāi)放”原則，僅向申請(qǐng)使用的企業(yè)或個(gè)人提供定制化數(shù)據(jù)10.針對(duì)AI提供內(nèi)容（AIGC）的數(shù)據(jù)安全管理，以下要求錯(cuò)誤的是（）。A.提供涉及個(gè)人信息的內(nèi)容時(shí)，需確保訓(xùn)練數(shù)據(jù)已獲得合法授權(quán)B.提供虛假新聞、誤導(dǎo)性信息的，由提供內(nèi)容的用戶承擔(dān)全部責(zé)任C.對(duì)提供的敏感內(nèi)容（如醫(yī)療診斷建議）需標(biāo)注“AI提供”并提示風(fēng)險(xiǎn)D.訓(xùn)練模型使用的開(kāi)源數(shù)據(jù)需核查是否存在知識(shí)產(chǎn)權(quán)或隱私侵權(quán)問(wèn)題二、多項(xiàng)選擇題（共5題，每題4分，共20分。每題至少有2個(gè)正確選項(xiàng)，多選、錯(cuò)選、漏選均不得分）1.數(shù)據(jù)處理者的主要數(shù)據(jù)安全義務(wù)包括（）。A.制定數(shù)據(jù)安全管理制度和操作規(guī)程B.對(duì)數(shù)據(jù)處理人員進(jìn)行安全培訓(xùn)和考核C.定期開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估并留存記錄D.發(fā)生數(shù)據(jù)安全事件時(shí)立即采取補(bǔ)救措施并報(bào)告2.個(gè)人信息處理中“最小必要”原則的具體體現(xiàn)包括（）。A.收集的個(gè)人信息類型與處理目的直接相關(guān)B.收集的個(gè)人信息數(shù)量為實(shí)現(xiàn)目的所需的最少范圍C.處理方式為對(duì)個(gè)人權(quán)益影響最小的方式D.存儲(chǔ)時(shí)間為實(shí)現(xiàn)目的所需的最短期限3.重要數(shù)據(jù)識(shí)別的關(guān)鍵依據(jù)包括（）。A.數(shù)據(jù)一旦泄露可能危害國(guó)家安全B.數(shù)據(jù)涉及大量個(gè)人生物識(shí)別信息（如指紋、人臉）C.數(shù)據(jù)關(guān)系到公共衛(wèi)生安全（如傳染病疫情數(shù)據(jù)）D.數(shù)據(jù)屬于企業(yè)內(nèi)部經(jīng)營(yíng)決策文件（如未公開(kāi)的財(cái)務(wù)報(bào)表）4.數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估應(yīng)涵蓋的內(nèi)容有（）。A.數(shù)據(jù)處理活動(dòng)的合法性、正當(dāng)性、必要性B.數(shù)據(jù)泄露、篡改、損毀的可能性及影響程度C.已采取的安全技術(shù)和管理措施的有效性D.數(shù)據(jù)處理對(duì)個(gè)人權(quán)益、公共利益的潛在風(fēng)險(xiǎn)5.跨境數(shù)據(jù)流動(dòng)的合規(guī)路徑包括（）。A.通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估B.與境外接收方簽訂標(biāo)準(zhǔn)合同C.符合所在國(guó)或地區(qū)的等效保護(hù)要求D.經(jīng)數(shù)據(jù)主體逐一書(shū)面同意（適用于非重要數(shù)據(jù)）三、判斷題（共5題，每題2分，共10分。正確填“√”，錯(cuò)誤填“×”）1.數(shù)據(jù)匿名化處理后，因無(wú)法識(shí)別特定自然人，處理者無(wú)需再承擔(dān)任何數(shù)據(jù)安全責(zé)任。（）2.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)自行建設(shè)數(shù)據(jù)安全技術(shù)防護(hù)體系，不得委托第三方服務(wù)機(jī)構(gòu)。（）3.個(gè)人信息主體有權(quán)要求數(shù)據(jù)處理者提供其個(gè)人信息的存儲(chǔ)地點(diǎn)、處理方式等詳細(xì)信息。（）4.數(shù)據(jù)安全審查重點(diǎn)評(píng)估數(shù)據(jù)處理活動(dòng)對(duì)國(guó)家安全、公共利益的影響，不涉及企業(yè)商業(yè)利益。（）5.數(shù)據(jù)分類分級(jí)結(jié)果應(yīng)定期更新，原則上每年至少評(píng)估一次。（）四、簡(jiǎn)答題（共3題，每題10分，共30分）1.簡(jiǎn)述數(shù)據(jù)分類分級(jí)的實(shí)施步驟及核心要點(diǎn)。2.列舉個(gè)人信息處理中“告知同意”原則的具體要求，并說(shuō)明例外情形。3.某跨國(guó)企業(yè)擬將境內(nèi)用戶行為日志數(shù)據(jù)（非重要數(shù)據(jù)）傳輸至境外總部用于用戶畫(huà)像分析，需完成哪些合規(guī)流程？五、案例分析題（共1題，20分）2025年3月，某智能家居企業(yè)“智居科技”發(fā)生數(shù)據(jù)泄露事件：黑客通過(guò)攻擊其用戶管理系統(tǒng)，獲取了20萬(wàn)用戶的姓名、手機(jī)號(hào)、家庭住址及智能設(shè)備控制權(quán)限（可遠(yuǎn)程開(kāi)關(guān)門(mén)窗、空調(diào)）。經(jīng)調(diào)查，系統(tǒng)存在以下問(wèn)題：①未對(duì)用戶數(shù)據(jù)訪問(wèn)權(quán)限進(jìn)行細(xì)化管理，運(yùn)維人員默認(rèn)擁有全量數(shù)據(jù)查看權(quán)限；②用戶密碼存儲(chǔ)采用明文形式；③未部署入侵檢測(cè)系統(tǒng)，事件發(fā)生48小時(shí)后才被發(fā)現(xiàn)。問(wèn)題：（1）分析“智居科技”在數(shù)據(jù)安全管理中存在的主要漏洞。（8分）（2）依據(jù)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，指出企業(yè)應(yīng)承擔(dān)的法律責(zé)任。（6分）（3）提出事件發(fā)生后的應(yīng)急處置措施及長(zhǎng)期整改建議。（6分）答案一、單項(xiàng)選擇題1.A2.B3.C4.B5.B6.B7.A8.C9.C10.B二、多項(xiàng)選擇題1.ABCD2.ABCD3.ABC4.ABCD5.ABCD三、判斷題1.×2.×3.√4.×5.√四、簡(jiǎn)答題1.實(shí)施步驟：①明確分類分級(jí)目標(biāo)（如合規(guī)、風(fēng)險(xiǎn)管控）；②制定分類標(biāo)準(zhǔn)（按數(shù)據(jù)內(nèi)容屬性、業(yè)務(wù)場(chǎng)景等）；③開(kāi)展數(shù)據(jù)資產(chǎn)梳理（識(shí)別所有數(shù)據(jù)資產(chǎn)清單）；④評(píng)估數(shù)據(jù)敏感程度（結(jié)合泄露影響、法規(guī)要求）；⑤劃分等級(jí)（通常分為一般、重要、核心三級(jí)）；⑥形成分類分級(jí)目錄并動(dòng)態(tài)更新。核心要點(diǎn)：與業(yè)務(wù)需求匹配、符合法規(guī)要求（如《數(shù)據(jù)安全法》對(duì)重要數(shù)據(jù)的定義）、確保分級(jí)結(jié)果可執(zhí)行（如不同等級(jí)對(duì)應(yīng)不同保護(hù)措施）。2.具體要求：①以顯著方式、清晰易懂的語(yǔ)言告知（如隱私政策彈窗、單獨(dú)提示）；②告知內(nèi)容包括處理目的、方式、范圍、存儲(chǔ)時(shí)間、共享對(duì)象等；③同意需由個(gè)人主動(dòng)作出（如勾選、點(diǎn)擊確認(rèn)），不得默認(rèn)同意或捆綁同意；④個(gè)人有權(quán)撤回同意，處理者需提供便捷撤回方式。例外情形：為履行法定職責(zé)或義務(wù)（如稅務(wù)機(jī)關(guān)收集納稅人信息）；為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件（如疫情流調(diào)）；為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等；個(gè)人信息已匿名化處理。3.合規(guī)流程：①開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估（包括數(shù)據(jù)敏感程度、境外接收方保護(hù)能力、對(duì)個(gè)人權(quán)益影響等）；②若數(shù)據(jù)涉及10萬(wàn)人以上或?qū)儆谥匾獢?shù)據(jù)，需申報(bào)國(guó)家網(wǎng)信部門(mén)安全評(píng)估；③若不滿足安全評(píng)估條件，可與境外接收方簽訂《數(shù)據(jù)出境標(biāo)準(zhǔn)合同》，并向省級(jí)網(wǎng)信部門(mén)備案；④在隱私政策中向用戶明確告知數(shù)據(jù)出境的目的、接收方、保護(hù)措施等，取得用戶同意（如涉及個(gè)人信息）；⑤定期對(duì)數(shù)據(jù)出境活動(dòng)進(jìn)行合規(guī)審計(jì)（至少每年一次）。五、案例分析題（1）主要漏洞：①訪問(wèn)控制缺失：運(yùn)維人員權(quán)限未最小化，存在越權(quán)訪問(wèn)風(fēng)險(xiǎn)；②數(shù)據(jù)存儲(chǔ)不安全：用戶密碼明文存儲(chǔ)，違反“加密存儲(chǔ)”要求；③監(jiān)測(cè)預(yù)警不足：未部署入侵檢測(cè)系統(tǒng)，導(dǎo)致事件發(fā)現(xiàn)滯后；④應(yīng)急響應(yīng)機(jī)制不完善：事件發(fā)現(xiàn)時(shí)間超過(guò)24小時(shí)報(bào)告時(shí)限。（2）法律責(zé)任：①民事責(zé)任：需對(duì)受影響用戶承擔(dān)損害賠償（如因設(shè)備被遠(yuǎn)程控制造成的財(cái)產(chǎn)損失）；②行政責(zé)任：由網(wǎng)信部門(mén)或行業(yè)主管部門(mén)責(zé)令整改，可處500萬(wàn)元以下罰款或上一年度營(yíng)業(yè)額5%以下罰款；對(duì)直接責(zé)任人員處10萬(wàn)元以上100萬(wàn)元以下罰款；③信用責(zé)任：違法行為可能被記入信用檔案并予以公示。（3）應(yīng)急處置措施：①立即斷開(kāi)被攻擊系統(tǒng)網(wǎng)絡(luò)連接，防止數(shù)據(jù)進(jìn)一步泄露；②啟動(dòng)應(yīng)急預(yù)案，向?qū)俚鼐W(wǎng)信部門(mén)和公安部門(mén)報(bào)告（24小時(shí)內(nèi)）；③通知受影響用戶（通過(guò)短信、APP推送），提