第第PAGE\MERGEFORMAT1頁(yè)共NUMPAGES\MERGEFORMAT1頁(yè)數(shù)據(jù)安全法題庫(kù)與及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.根據(jù)中國(guó)《數(shù)據(jù)安全法》，以下哪項(xiàng)活動(dòng)不屬于國(guó)家核心數(shù)據(jù)出境安全評(píng)估的范圍？

（）

A.涉及國(guó)家秘密的數(shù)據(jù)出境

B.跨境傳輸關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)中收集的個(gè)人信息

C.非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者收集的公開(kāi)數(shù)據(jù)出境

D.為提供產(chǎn)品或服務(wù)所需并經(jīng)專業(yè)機(jī)構(gòu)評(píng)估的數(shù)據(jù)出境

2.根據(jù)《數(shù)據(jù)安全法》，哪類組織或個(gè)人需要對(duì)數(shù)據(jù)處理活動(dòng)履行安全保護(hù)義務(wù)？

（）

A.僅數(shù)據(jù)控制者

B.僅數(shù)據(jù)處理器

C.數(shù)據(jù)控制者和處理器均需履行

D.僅提供數(shù)據(jù)傳輸服務(wù)的第三方

3.若企業(yè)因數(shù)據(jù)泄露造成個(gè)人信息權(quán)益受損，根據(jù)《數(shù)據(jù)安全法》，應(yīng)如何承擔(dān)責(zé)任？

（）

A.僅承擔(dān)行政罰款

B.僅承擔(dān)民事賠償

C.行政處罰與民事賠償可擇一承擔(dān)

D.行政處罰與民事賠償可并行承擔(dān)

4.根據(jù)法律規(guī)定，個(gè)人信息處理的最小必要原則要求什么？

（）

A.收集越多數(shù)據(jù)越有利于業(yè)務(wù)發(fā)展

B.僅收集實(shí)現(xiàn)特定目的所必需的最少數(shù)據(jù)

C.必須獲得用戶明確同意后才可收集

D.收集的數(shù)據(jù)需符合用戶預(yù)期

5.《數(shù)據(jù)安全法》中“數(shù)據(jù)分類分級(jí)”制度的主要目的是什么？

（）

A.規(guī)定數(shù)據(jù)出境的審批流程

B.明確數(shù)據(jù)安全責(zé)任主體

C.對(duì)不同敏感程度的數(shù)據(jù)實(shí)施差異化保護(hù)

D.確定數(shù)據(jù)泄露的賠償標(biāo)準(zhǔn)

6.企業(yè)使用自動(dòng)化決策技術(shù)處理個(gè)人信息時(shí)，需滿足什么條件？

（）

A.僅需告知用戶但無(wú)需獲得同意

B.需確保決策結(jié)果公平、非歧視性

C.可替代人工審核完全自主執(zhí)行

D.僅適用于商業(yè)廣告推送場(chǎng)景

7.根據(jù)法律規(guī)定，個(gè)人信息處理者需建立的數(shù)據(jù)安全事件應(yīng)急預(yù)案應(yīng)包含哪些內(nèi)容？

（）

A.僅數(shù)據(jù)泄露后的通報(bào)流程

B.僅技術(shù)修復(fù)方案

C.數(shù)據(jù)泄露的處置流程、部門職責(zé)及改進(jìn)措施

D.僅需包含法律合規(guī)聲明

8.《數(shù)據(jù)安全法》中“數(shù)據(jù)跨境安全評(píng)估”的觸發(fā)條件是什么？

（）

A.所有數(shù)據(jù)出境均需評(píng)估

B.僅涉及國(guó)家核心數(shù)據(jù)的出境

C.僅涉及個(gè)人信息出境且達(dá)到一定規(guī)模

D.由數(shù)據(jù)接收方國(guó)家要求評(píng)估

9.企業(yè)委托第三方處理個(gè)人信息時(shí)，應(yīng)如何確保第三方履行安全義務(wù)？

（）

A.僅在合同中約定保密條款

B.對(duì)第三方進(jìn)行盡職調(diào)查并簽訂數(shù)據(jù)處理協(xié)議

C.由第三方自行承擔(dān)全部責(zé)任

D.無(wú)需特別審查第三方資質(zhì)

10.根據(jù)《數(shù)據(jù)安全法》，以下哪項(xiàng)屬于“匿名化處理”的有效方法？

（）

A.刪除所有姓名標(biāo)識(shí)

B.對(duì)原始數(shù)據(jù)進(jìn)行編碼且無(wú)法逆向識(shí)別

C.限制員工訪問(wèn)原始數(shù)據(jù)權(quán)限

D.僅對(duì)部分敏感字段脫敏

11.企業(yè)內(nèi)部制定的數(shù)據(jù)安全管理制度，應(yīng)至少包含哪些內(nèi)容？

（）

A.僅數(shù)據(jù)泄露的舉報(bào)流程

B.數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)、訪問(wèn)權(quán)限控制規(guī)則

C.僅對(duì)管理層的數(shù)據(jù)安全培訓(xùn)要求

D.僅需符合行業(yè)特定標(biāo)準(zhǔn)

12.根據(jù)法律規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在數(shù)據(jù)處理活動(dòng)中需特別關(guān)注什么？

（）

A.數(shù)據(jù)存儲(chǔ)成本

B.數(shù)據(jù)跨境傳輸效率

C.數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)能力

D.數(shù)據(jù)使用率最大化

13.用戶請(qǐng)求刪除其個(gè)人信息時(shí)，企業(yè)應(yīng)如何處理？

（）

A.僅在技術(shù)可行時(shí)刪除

B.需在15日內(nèi)響應(yīng)并完成刪除

C.刪除后無(wú)需通知用戶

D.僅刪除公開(kāi)渠道收集的數(shù)據(jù)

14.《數(shù)據(jù)安全法》中“數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估”的周期性要求是什么？

（）

A.每年至少開(kāi)展一次

B.僅在發(fā)生安全事件后開(kāi)展

C.由監(jiān)管部門根據(jù)需要安排

D.無(wú)需定期評(píng)估

15.企業(yè)在產(chǎn)品或服務(wù)中嵌入第三方SDK收集數(shù)據(jù)時(shí)，需注意什么？

（）

A.僅需獲得用戶同意即可使用

B.應(yīng)明確告知SDK收集的數(shù)據(jù)類型及目的

C.無(wú)需獲得用戶單獨(dú)同意

D.僅需在隱私政策中說(shuō)明SDK名稱

16.根據(jù)法律規(guī)定，哪些情形下個(gè)人信息處理可不經(jīng)用戶同意？

（）

A.為維護(hù)公共利益的科學(xué)研究

B.僅在企業(yè)內(nèi)部使用且不對(duì)外提供

C.收集已公開(kāi)且無(wú)法識(shí)別個(gè)人信息

D.依據(jù)法律、行政法規(guī)規(guī)定進(jìn)行處理

17.《數(shù)據(jù)安全法》中“數(shù)據(jù)備份與恢復(fù)”的要求是什么？

（）

A.僅對(duì)關(guān)鍵數(shù)據(jù)實(shí)施備份

B.備份數(shù)據(jù)需與原始數(shù)據(jù)存放于不同地區(qū)

C.應(yīng)定期驗(yàn)證備份數(shù)據(jù)可用性

D.備份數(shù)據(jù)無(wú)需脫敏處理

18.企業(yè)處理個(gè)人信息時(shí)，需確保用戶享有哪些基本權(quán)利？

（）

A.僅知情權(quán)

B.知情權(quán)、查閱權(quán)、更正權(quán)、刪除權(quán)

C.僅有權(quán)拒絕自動(dòng)化決策

D.僅有權(quán)要求賠償

19.根據(jù)法律規(guī)定，數(shù)據(jù)安全事件的應(yīng)急響應(yīng)流程中，第一步是什么？

（）

A.向監(jiān)管部門報(bào)告

B.確定事件影響范圍

C.通知受影響的用戶

D.啟動(dòng)技術(shù)修復(fù)措施

20.《數(shù)據(jù)安全法》中“數(shù)據(jù)安全負(fù)責(zé)人”的職責(zé)是什么？

（）

A.僅負(fù)責(zé)數(shù)據(jù)安全培訓(xùn)

B.對(duì)數(shù)據(jù)安全工作全面負(fù)責(zé)并監(jiān)督落實(shí)

C.僅需定期提交報(bào)告

D.僅負(fù)責(zé)技術(shù)系統(tǒng)的維護(hù)

二、多選題（共15分，多選、錯(cuò)選均不得分）

21.根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)安全保護(hù)制度應(yīng)至少包括哪些內(nèi)容？

（）

A.數(shù)據(jù)分類分級(jí)管理

B.數(shù)據(jù)安全技術(shù)防護(hù)措施

C.數(shù)據(jù)安全事件應(yīng)急預(yù)案

D.數(shù)據(jù)處理人員安全培訓(xùn)記錄

22.個(gè)人信息處理中“目的限制原則”要求什么？

（）

A.收集數(shù)據(jù)時(shí)需明確處理目的

B.處理活動(dòng)不得超出約定目的

C.可根據(jù)需要擴(kuò)大處理范圍

D.目的變更需重新獲得用戶同意

23.企業(yè)在數(shù)據(jù)出境前進(jìn)行安全評(píng)估時(shí)，需考慮哪些因素？

（）

A.數(shù)據(jù)敏感程度

B.數(shù)據(jù)接收方國(guó)家或地區(qū)的法律法規(guī)

C.數(shù)據(jù)傳輸?shù)募夹g(shù)手段

D.數(shù)據(jù)泄露可能造成的危害

24.《數(shù)據(jù)安全法》中“關(guān)鍵信息基礎(chǔ)設(shè)施”的認(rèn)定依據(jù)是什么？

（）

A.直接關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈

B.涉及個(gè)人信息大量處理

C.關(guān)系國(guó)計(jì)民生和公共利益

D.技術(shù)架構(gòu)復(fù)雜度高

25.個(gè)人信息處理中“最小必要原則”與“目的限制原則”的關(guān)系是什么？

（）

A.前者約束后者

B.后者支撐前者

C.兩者相互獨(dú)立

D.僅在處理敏感個(gè)人信息時(shí)適用前者

26.企業(yè)委托第三方處理個(gè)人信息時(shí)，合同應(yīng)明確哪些內(nèi)容？

（）

A.數(shù)據(jù)處理的目的、方式、范圍

B.第三方對(duì)數(shù)據(jù)的保密義務(wù)

C.數(shù)據(jù)安全責(zé)任的劃分

D.終止合同的流程及數(shù)據(jù)返還要求

27.數(shù)據(jù)安全事件應(yīng)急響應(yīng)中，需采取哪些措施？

（）

A.停止或限制數(shù)據(jù)訪問(wèn)

B.確定事件影響范圍及原因

C.通知監(jiān)管部門和受影響用戶

D.修復(fù)安全漏洞并防止復(fù)發(fā)

28.《數(shù)據(jù)安全法》中“數(shù)據(jù)安全責(zé)任”的分配原則是什么？

（）

A.誰(shuí)收集誰(shuí)負(fù)責(zé)

B.誰(shuí)處理誰(shuí)負(fù)責(zé)

C.因果掛鉤原則

D.跨部門協(xié)同負(fù)責(zé)

29.個(gè)人信息處理中“公開(kāi)透明原則”要求什么？

（）

A.隱私政策需清晰易懂

B.處理規(guī)則需對(duì)用戶公開(kāi)

C.用戶需主動(dòng)查詢才能知曉

D.僅需對(duì)監(jiān)管機(jī)構(gòu)透明

30.企業(yè)在處理個(gè)人信息時(shí)，哪些情形需獲得用戶單獨(dú)同意？

（）

A.收集敏感個(gè)人信息

B.自動(dòng)化決策并可能對(duì)權(quán)益產(chǎn)生重大影響

C.數(shù)據(jù)跨境傳輸

D.僅為內(nèi)部管理分析使用

三、判斷題（共10分，每題0.5分）

31.根據(jù)《數(shù)據(jù)安全法》，所有數(shù)據(jù)出境均需通過(guò)國(guó)家網(wǎng)信部門的安全評(píng)估。（）

32.企業(yè)員工因操作失誤導(dǎo)致數(shù)據(jù)泄露，若未造成嚴(yán)重后果，可免于承擔(dān)法律責(zé)任。（）

33.個(gè)人信息處理中“最小必要原則”意味著越少數(shù)據(jù)越好，因此收集數(shù)據(jù)前無(wú)需詳細(xì)規(guī)劃。（）

34.《數(shù)據(jù)安全法》中“數(shù)據(jù)分類分級(jí)”制度僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。（）

35.企業(yè)使用自動(dòng)化決策技術(shù)處理個(gè)人信息時(shí)，可完全免除人工干預(yù)義務(wù)。（）

36.根據(jù)法律規(guī)定，數(shù)據(jù)安全事件的應(yīng)急響應(yīng)報(bào)告需在24小時(shí)內(nèi)向監(jiān)管部門提交。（）

37.企業(yè)在產(chǎn)品中嵌入第三方SDK收集數(shù)據(jù)時(shí)，若SDK僅用于功能實(shí)現(xiàn)，無(wú)需明確告知用戶。（）

38.個(gè)人信息處理中“目的限制原則”允許處理目的在一定范圍內(nèi)合理變更。（）

39.《數(shù)據(jù)安全法》中“數(shù)據(jù)安全負(fù)責(zé)人”需對(duì)企業(yè)數(shù)據(jù)安全工作全面負(fù)責(zé)。（）

40.數(shù)據(jù)備份僅對(duì)關(guān)鍵數(shù)據(jù)實(shí)施，非關(guān)鍵數(shù)據(jù)無(wú)需備份。（）

四、填空題（共10空，每空1分，共10分）

41.根據(jù)《數(shù)據(jù)安全法》，國(guó)家建立______制度，對(duì)重要數(shù)據(jù)的處理活動(dòng)進(jìn)行______。（根據(jù)《數(shù)據(jù)安全法》第21條）

42.個(gè)人信息處理中“______原則”要求處理目的需明確、具體，并與收集數(shù)據(jù)的目的相符。（根據(jù)培訓(xùn)中“基本原則”模塊）

43.企業(yè)處理個(gè)人信息時(shí)，需采取______措施，防止未經(jīng)授權(quán)的訪問(wèn)、泄露或篡改。（根據(jù)《數(shù)據(jù)安全法》第33條）

44.《數(shù)據(jù)安全法》中“______”是指無(wú)法識(shí)別特定自然人的個(gè)人數(shù)據(jù)。（根據(jù)培訓(xùn)中“匿名化處理”概念）

45.數(shù)據(jù)安全事件的應(yīng)急響應(yīng)流程中，需首先______，確定事件的影響范圍及原因。（根據(jù)培訓(xùn)中“應(yīng)急響應(yīng)”模塊）

46.企業(yè)委托第三方處理個(gè)人信息時(shí)，合同應(yīng)明確第三方對(duì)數(shù)據(jù)的______和______責(zé)任。（根據(jù)《數(shù)據(jù)安全法》第37條）

47.根據(jù)法律規(guī)定，用戶請(qǐng)求刪除其個(gè)人信息時(shí)，企業(yè)應(yīng)在______內(nèi)響應(yīng)并完成刪除。（根據(jù)《數(shù)據(jù)安全法》第41條）

48.《數(shù)據(jù)安全法》中“______”是指數(shù)據(jù)處理者對(duì)數(shù)據(jù)處理活動(dòng)承擔(dān)的安全保護(hù)義務(wù)。（根據(jù)培訓(xùn)中“安全保護(hù)義務(wù)”模塊）

49.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在數(shù)據(jù)處理活動(dòng)中，需特別關(guān)注______的防護(hù)能力。（根據(jù)《數(shù)據(jù)安全法》第38條）

50.企業(yè)在產(chǎn)品或服務(wù)中嵌入第三方SDK收集數(shù)據(jù)時(shí)，需確保SDK的______合規(guī)性。（根據(jù)培訓(xùn)中“第三方組件”風(fēng)險(xiǎn)控制模塊）

五、簡(jiǎn)答題（共20分，共4題）

51.簡(jiǎn)述《數(shù)據(jù)安全法》中“數(shù)據(jù)分類分級(jí)”制度的主要作用及實(shí)施要點(diǎn)。（5分）

52.結(jié)合實(shí)際案例，分析企業(yè)如何落實(shí)“個(gè)人信息處理中目的限制原則”？（5分）

53.根據(jù)《數(shù)據(jù)安全法》，企業(yè)需建立哪些數(shù)據(jù)安全管理制度？（5分）

54.企業(yè)在數(shù)據(jù)跨境傳輸時(shí)，如何履行“數(shù)據(jù)出境安全評(píng)估”要求？（5分）

六、案例分析題（共25分）

某電商平臺(tái)在用戶注冊(cè)時(shí)收集了姓名、手機(jī)號(hào)、身份證號(hào)等個(gè)人信息，用于身份驗(yàn)證和商品推薦。后因第三方技術(shù)供應(yīng)商違規(guī)訪問(wèn)導(dǎo)致部分用戶身份證號(hào)泄露，平臺(tái)在48小時(shí)內(nèi)向用戶發(fā)送了泄露通知，但未及時(shí)采取技術(shù)措施阻止泄露，導(dǎo)致用戶投訴量激增。

問(wèn)題：

（1）分析本案例中平臺(tái)在數(shù)據(jù)安全保護(hù)方面存在哪些問(wèn)題？（6分）

（2）根據(jù)《數(shù)據(jù)安全法》，平臺(tái)應(yīng)如何承擔(dān)法律責(zé)任？（7分）

（3）為避免類似事件，平臺(tái)應(yīng)采取哪些改進(jìn)措施？（12分）

參考答案及解析

參考答案

一、單選題

1.C

2.C

3.D

4.B

5.C

6.B

7.C

8.B

9.B

10.B

11.B

12.C

13.B

14.A

15.B

16.C

17.C

18.B

19.B

20.B

二、多選題

21.ABCD

22.AB

23.ABCD

24.ACD

25.AB

26.ABCD

27.ABCD

28.ABC

29.AB

30.ABC

三、判斷題

31.×

32.×

33.×

34.×

35.×

36.√

37.×

38.×

39.√

40.×

四、填空題

41.重要數(shù)據(jù)

安全評(píng)估

42.目的限制

43.技術(shù)

44.匿名化

45.確定

46.保密

處理

47.十五

48.安全保護(hù)

49.數(shù)據(jù)安全

50.隱私

五、簡(jiǎn)答題

51.主要作用：

-對(duì)不同敏感程度的數(shù)據(jù)實(shí)施差異化保護(hù)；

-明確數(shù)據(jù)安全責(zé)任主體；

-提升數(shù)據(jù)安全管理的針對(duì)性。

實(shí)施要點(diǎn)：

-建立數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)；

-對(duì)不同級(jí)別數(shù)據(jù)采取不同防護(hù)措施；

-定期評(píng)估分級(jí)結(jié)果并動(dòng)態(tài)調(diào)整。

52.案例說(shuō)明：

-平臺(tái)收集用戶信息時(shí)需明確“身份驗(yàn)證”和“商品推薦”兩個(gè)目的；

-商品推薦功能需嚴(yán)格限制為“基于用戶購(gòu)物行為”的推薦，不得超出注冊(cè)時(shí)聲明的目的；

-若需將商品推薦目的擴(kuò)展至“精準(zhǔn)營(yíng)銷”，需重新收集用戶同意并明確告知。

53.需建立的管理制度：

①數(shù)據(jù)分類分級(jí)管理制度；

②數(shù)據(jù)安全事件應(yīng)急預(yù)案；

③數(shù)據(jù)處理人員安全培訓(xùn)制度；

④數(shù)據(jù)跨境傳輸安全評(píng)估制度；

⑤數(shù)據(jù)安全責(zé)任追究制度。

54.履行步驟：

-提交出境申請(qǐng)及安全評(píng)估材料；

-接收國(guó)家網(wǎng)信部門或?qū)I(yè)機(jī)構(gòu)的評(píng)估意見(jiàn)；

-根據(jù)評(píng)估意見(jiàn)修改出境方案；

-與數(shù)據(jù)接收方簽訂協(xié)議并落實(shí)防護(hù)措施；

-實(shí)施出境后持續(xù)監(jiān)測(cè)安全風(fēng)險(xiǎn)。

六、案例分析題

（1）平臺(tái)存在的問(wèn)題：

-未對(duì)技術(shù)供應(yīng)商進(jìn)行盡職調(diào)查，存在第三方風(fēng)險(xiǎn)；

-數(shù)據(jù)泄露后未及時(shí)采取技術(shù)措施阻止擴(kuò)散；

-通知