2025年網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)知識考試試題及答案一、單項選擇題（每題2分，共30分）1.根據(jù)《數(shù)據(jù)安全法》及相關(guān)司法解釋，以下哪類數(shù)據(jù)不屬于“重要數(shù)據(jù)”范疇？A.某省人口健康統(tǒng)計數(shù)據(jù)庫（覆蓋全省90%人口）B.某新能源車企研發(fā)的電池?zé)峁芾砗诵乃惴ǎㄎ瓷暾垖＠〤.某電商平臺記錄的用戶搜索關(guān)鍵詞（去標(biāo)識化處理后）D.某科研機(jī)構(gòu)采集的長江流域稀有魚類分布數(shù)據(jù)（含具體經(jīng)緯度）答案：C解析：重要數(shù)據(jù)的判定需滿足“一旦泄露、破壞、篡改或非法獲取，可能危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全”等條件。去標(biāo)識化處理后無法復(fù)原的用戶搜索關(guān)鍵詞，通常不直接關(guān)聯(lián)主體權(quán)益或公共利益，因此不屬于重要數(shù)據(jù)（依據(jù)《數(shù)據(jù)安全法》第二十一條及《重要數(shù)據(jù)識別指南（試行）》）。2.某金融機(jī)構(gòu)擬采用隱私計算技術(shù)處理客戶信貸數(shù)據(jù)，以下哪項操作違反“最小必要原則”？A.僅提取客戶近24個月的還款記錄參與計算B.要求合作方同步提供其系統(tǒng)中存儲的客戶全部歷史通信記錄C.通過聯(lián)邦學(xué)習(xí)模型在本地完成特征計算，不傳輸原始數(shù)據(jù)D.限制參與計算的節(jié)點(diǎn)僅訪問與其任務(wù)相關(guān)的字段答案：B解析：“最小必要原則”要求處理數(shù)據(jù)的范圍、精度、時長應(yīng)限于實(shí)現(xiàn)目的所必需的最小范圍。要求合作方提供全部歷史通信記錄超出了信貸評估的必要范圍，違反該原則（依據(jù)《個人信息保護(hù)法》第六條）。3.2024年修訂的《網(wǎng)絡(luò)安全審查辦法》新增對“數(shù)據(jù)處理者赴國外上市”的審查要求，其核心目的是：A.限制企業(yè)境外融資渠道B.防范關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全風(fēng)險C.規(guī)范數(shù)據(jù)跨境流動中的算法透明度D.確保上市企業(yè)財務(wù)數(shù)據(jù)真實(shí)性答案：B解析：網(wǎng)絡(luò)安全審查的核心是防范關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（CIIO）、數(shù)據(jù)處理者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，以及數(shù)據(jù)處理者赴國外上市可能帶來的國家安全風(fēng)險，重點(diǎn)關(guān)注數(shù)據(jù)泄露、供應(yīng)鏈攻擊等威脅（依據(jù)《網(wǎng)絡(luò)安全審查辦法》第二條、第三條）。4.某醫(yī)療APP用戶注冊時，要求填寫“婚姻狀況”“宗教信仰”等信息，用戶拒絕提供后被限制使用基礎(chǔ)問診功能。該行為違反了：A.《網(wǎng)絡(luò)安全法》的“網(wǎng)絡(luò)運(yùn)行安全”要求B.《個人信息保護(hù)法》的“強(qiáng)制同意禁止”規(guī)則C.《數(shù)據(jù)安全法》的“數(shù)據(jù)分類分級”規(guī)定D.《電子商務(wù)法》的“用戶權(quán)益保護(hù)”條款答案：B解析：《個人信息保護(hù)法》第十六條明確規(guī)定，個人信息處理者不得以個人不同意處理其個人信息為由，拒絕提供產(chǎn)品或服務(wù)的基本功能?；A(chǔ)問診屬于APP核心功能，強(qiáng)制要求非必要信息違反“強(qiáng)制同意禁止”規(guī)則。5.以下哪種場景中，數(shù)據(jù)控制者無需進(jìn)行數(shù)據(jù)安全影響評估（DSIA）？A.某政務(wù)云平臺遷移用戶健康檔案至新存儲系統(tǒng)B.某社交平臺擬將用戶地理位置信息用于精準(zhǔn)廣告推送C.某高校實(shí)驗室向境外合作機(jī)構(gòu)共享自主研發(fā)的基因編輯實(shí)驗數(shù)據(jù)D.某物流企業(yè)因系統(tǒng)升級導(dǎo)致10萬條運(yùn)單信息存儲時長延長至5年答案：D解析：根據(jù)《數(shù)據(jù)安全法》第三十條，數(shù)據(jù)安全影響評估的適用場景包括“處理重要數(shù)據(jù)”“跨境數(shù)據(jù)提供”“數(shù)據(jù)處理活動風(fēng)險發(fā)生較大變化”等。運(yùn)單信息存儲時長延長若未超出原處理目的且未增加風(fēng)險（如未擴(kuò)大共享范圍），通常無需額外評估。6.某企業(yè)發(fā)現(xiàn)員工通過私人云盤外傳公司客戶名單（含姓名、電話、交易金額），經(jīng)核查該員工未獲得數(shù)據(jù)訪問權(quán)限。該事件中，企業(yè)最可能面臨的行政處罰是：A.對直接責(zé)任人員處上一年度收入50%的罰款B.處500萬元罰款并暫停相關(guān)業(yè)務(wù)C.責(zé)令改正，給予警告D.吊銷營業(yè)執(zhí)照答案：C解析：根據(jù)《個人信息保護(hù)法》第六十六條，初次違法且未造成嚴(yán)重后果的，通常責(zé)令改正、給予警告；情節(jié)嚴(yán)重的才會處5000萬元以下或上一年度營業(yè)額5%以下罰款，暫停業(yè)務(wù)或吊銷執(zhí)照。本題中未提及造成重大損失，故最可能為“責(zé)令改正，給予警告”。7.關(guān)于“去標(biāo)識化”與“匿名化”的區(qū)別，正確的表述是：A.去標(biāo)識化后的數(shù)據(jù)仍需采取技術(shù)措施防止復(fù)原，匿名化后無需B.去標(biāo)識化屬于個人信息處理，匿名化不屬于C.去標(biāo)識化可通過單一技術(shù)實(shí)現(xiàn)，匿名化需多技術(shù)組合D.去標(biāo)識化后的數(shù)據(jù)可關(guān)聯(lián)特定自然人，匿名化后不可答案：B解析：《個人信息保護(hù)法》第四條規(guī)定，個人信息是指以電子或其他方式記錄的與已識別或可識別的自然人有關(guān)的各種信息。去標(biāo)識化后的數(shù)據(jù)仍可能通過其他信息復(fù)原，因此仍屬于個人信息；匿名化后無法復(fù)原，不屬于個人信息（《個人信息匿名化處理指南》定義）。8.某智能手表廠商在用戶協(xié)議中聲明：“為優(yōu)化健康監(jiān)測功能，我們可能收集您的心率、血壓、睡眠時長等數(shù)據(jù)，并與關(guān)聯(lián)公司共享用于算法訓(xùn)練?！痹撀暶魅笔У年P(guān)鍵信息是：A.數(shù)據(jù)存儲的物理位置B.數(shù)據(jù)共享的具體關(guān)聯(lián)公司名稱C.數(shù)據(jù)處理的技術(shù)方案D.數(shù)據(jù)保留的具體期限答案：B解析：《個人信息保護(hù)法》第十七條要求個人信息處理規(guī)則需明確“處理的個人信息種類、期限、方式”“接收方的名稱或姓名、聯(lián)系方式”等。僅模糊提及“關(guān)聯(lián)公司”未具體列明，違反“明確性”要求。9.2025年某地區(qū)發(fā)生大規(guī)模勒索軟件攻擊，某電力公司（關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者）因未及時更新漏洞補(bǔ)丁導(dǎo)致系統(tǒng)癱瘓。根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，監(jiān)管部門可對其采取的措施不包括：A.約談主要負(fù)責(zé)人B.處100萬元罰款C.暫停供電業(yè)務(wù)1個月D.要求委托專業(yè)機(jī)構(gòu)進(jìn)行安全檢測答案：C解析：《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第二十九條規(guī)定，運(yùn)營者未履行保護(hù)義務(wù)的，由保護(hù)工作部門責(zé)令改正，給予警告；拒不改正或?qū)е挛：Φ?，?0-100萬元罰款，對直接責(zé)任人員處1-10萬元罰款；情節(jié)嚴(yán)重的，可建議有關(guān)部門依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓等。但“暫停供電業(yè)務(wù)”可能影響公共利益，通常需更嚴(yán)格的法律程序，不屬于直接處罰措施。10.某短視頻平臺擬推出“AI換臉”功能，用戶上傳照片后可生成與明星的合影視頻。平臺需重點(diǎn)評估的風(fēng)險不包括：A.用戶肖像權(quán)被濫用的風(fēng)險B.生成內(nèi)容被用于虛假信息傳播的風(fēng)險C.用戶照片在傳輸過程中被截獲的風(fēng)險D.平臺服務(wù)器因算力需求激增導(dǎo)致宕機(jī)的風(fēng)險答案：D解析：“AI換臉”功能的核心風(fēng)險是個人信息（肖像）權(quán)益侵害、深度偽造內(nèi)容的真實(shí)性風(fēng)險（如虛假新聞）、數(shù)據(jù)傳輸存儲安全等。服務(wù)器宕機(jī)屬于系統(tǒng)可用性風(fēng)險，雖需關(guān)注，但非“重點(diǎn)評估”的用戶權(quán)益或社會安全風(fēng)險。11.根據(jù)《數(shù)據(jù)出境安全評估辦法》，以下數(shù)據(jù)出境場景無需申報評估的是：A.某汽車企業(yè)向境外母公司傳輸國內(nèi)用戶的車輛位置軌跡數(shù)據(jù)（月活躍用戶50萬）B.某跨國電商將中國區(qū)用戶的支付記錄（月處理量80萬條）傳輸至新加坡總部C.某科研機(jī)構(gòu)向境外高校共享自主收集的大氣污染監(jiān)測數(shù)據(jù)（不涉及敏感區(qū)域）D.某銀行將客戶信用報告（涉及10萬用戶）傳輸至境外合作保險公司答案：C解析：《數(shù)據(jù)出境安全評估辦法》第三條規(guī)定，需申報評估的情形包括：關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)出境；處理100萬人以上個人信息的數(shù)據(jù)出境；自上年1月1日起累計向境外提供10萬人以上個人信息或1萬人以上敏感個人信息的數(shù)據(jù)出境。C選項未提及涉及人數(shù)或重要數(shù)據(jù)，因此無需評估。12.某企業(yè)采用區(qū)塊鏈技術(shù)存儲客戶訂單數(shù)據(jù)，以下哪項操作最能體現(xiàn)“數(shù)據(jù)可追溯性”要求？A.對每個區(qū)塊添加時間戳和前一區(qū)塊哈希值B.限制僅管理員可修改歷史區(qū)塊數(shù)據(jù)C.使用非對稱加密對區(qū)塊內(nèi)容進(jìn)行加密存儲D.定期將區(qū)塊鏈數(shù)據(jù)備份至離線存儲設(shè)備答案：A解析：可追溯性要求數(shù)據(jù)處理過程（如創(chuàng)建、修改、刪除）可被記錄和查詢。區(qū)塊鏈通過時間戳和哈希鏈接（前一區(qū)塊哈希值）實(shí)現(xiàn)數(shù)據(jù)操作的鏈?zhǔn)接涗?，確保每個操作可回溯，符合可追溯性要求。13.某教育類APP在用戶卸載后，仍通過系統(tǒng)殘留文件繼續(xù)收集設(shè)備信息。該行為違反了：A.《網(wǎng)絡(luò)安全法》的“網(wǎng)絡(luò)信息安全”條款B.《個人信息保護(hù)法》的“最小必要原則”C.《數(shù)據(jù)安全法》的“數(shù)據(jù)安全責(zé)任”制度D.《消費(fèi)者權(quán)益保護(hù)法》的“公平交易權(quán)”答案：A解析：《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，且不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用信息。用戶卸載APP后，運(yùn)營者失去繼續(xù)收集信息的合法依據(jù)，違反該條款。14.某醫(yī)療機(jī)構(gòu)為提升診療效率，計劃將患者電子病歷數(shù)據(jù)與AI診斷模型共享。以下哪項措施不能降低數(shù)據(jù)泄露風(fēng)險？A.對病歷中的姓名、身份證號進(jìn)行脫敏處理B.限制模型僅能讀取與診斷相關(guān)的癥狀描述字段C.在模型訓(xùn)練完成后立即刪除原始病歷數(shù)據(jù)D.使用同態(tài)加密技術(shù)在加密狀態(tài)下進(jìn)行模型訓(xùn)練答案：B解析：限制模型讀取字段屬于“最小必要”原則的應(yīng)用，可減少數(shù)據(jù)暴露范圍，但無法直接降低泄露風(fēng)險（若字段本身包含敏感信息）。脫敏處理（A）、及時刪除原始數(shù)據(jù)（C）、加密訓(xùn)練（D）均為直接降低泄露風(fēng)險的技術(shù)措施。15.某企業(yè)因數(shù)據(jù)泄露事件被用戶起訴，法院在認(rèn)定企業(yè)是否盡到“合理注意義務(wù)”時，不會考慮以下哪項因素？A.企業(yè)是否制定了數(shù)據(jù)安全管理制度B.企業(yè)是否對員工進(jìn)行了定期安全培訓(xùn)C.企業(yè)數(shù)據(jù)存儲設(shè)備的采購成本D.企業(yè)是否在泄露事件發(fā)生后48小時內(nèi)通知用戶答案：C解析：“合理注意義務(wù)”的判定主要依據(jù)企業(yè)是否采取了與數(shù)據(jù)類型、業(yè)務(wù)規(guī)模相適應(yīng)的安全措施（如制度、培訓(xùn)、應(yīng)急響應(yīng)），而非設(shè)備采購成本（成本高低不直接反映安全措施有效性）。二、多項選擇題（每題3分，共30分，少選、錯選均不得分）1.某電商平臺擬開展“雙11”大促活動，需重點(diǎn)評估的網(wǎng)絡(luò)安全風(fēng)險包括：A.因流量激增導(dǎo)致服務(wù)器過載宕機(jī)B.用戶支付信息被釣魚網(wǎng)站竊取C.促銷規(guī)則被機(jī)器人刷單濫用D.商家后臺賬號因弱口令被破解答案：ABCD解析：大促期間需關(guān)注可用性（A）、數(shù)據(jù)泄露（B）、業(yè)務(wù)安全（C）、身份認(rèn)證（D）等多維度風(fēng)險。2.根據(jù)《個人信息保護(hù)法》，個人信息處理者在以下哪些情形中需取得個人單獨(dú)同意？A.向境外提供個人信息B.處理敏感個人信息C.將個人信息用于算法推薦D.與第三方共享個人信息答案：AB解析：《個人信息保護(hù)法》第二十三條（跨境提供）、第二十九條（敏感個人信息）明確要求單獨(dú)同意；算法推薦（第二十四條）和共享（第二十三條）一般需同意，但未強(qiáng)制“單獨(dú)同意”（除非法律另有規(guī)定）。3.某銀行擬部署零信任架構(gòu)（ZeroTrustArchitecture），其核心設(shè)計原則包括：A.永不信任，持續(xù)驗證B.最小化權(quán)限分配C.基于身份的動態(tài)訪問控制D.物理網(wǎng)絡(luò)邊界強(qiáng)化答案：ABC解析：零信任的核心是“從不信任，始終驗證”，強(qiáng)調(diào)身份、設(shè)備、環(huán)境等多因素動態(tài)驗證，最小化權(quán)限（最小特權(quán)原則），而非依賴傳統(tǒng)物理邊界（D屬于傳統(tǒng)網(wǎng)絡(luò)安全思路）。4.以下哪些行為可能構(gòu)成《刑法》中的“侵犯公民個人信息罪”？A.醫(yī)院護(hù)士將工作中獲得的患者信息以每條5元的價格出售給醫(yī)藥代表B.電商平臺員工為完成KPI，將用戶收貨地址導(dǎo)出用于內(nèi)部數(shù)據(jù)分析C.黑客攻擊某社交平臺數(shù)據(jù)庫，竊取10萬條用戶賬號密碼并在暗網(wǎng)出售D.教師將班級學(xué)生家長聯(lián)系電話提供給課外輔導(dǎo)機(jī)構(gòu)用于招生答案：ACD解析：侵犯公民個人信息罪的構(gòu)成要件包括“違反國家有關(guān)規(guī)定”“非法獲取、出售或提供”“情節(jié)嚴(yán)重”。B選項中員工導(dǎo)出信息用于內(nèi)部合法用途（數(shù)據(jù)分析），未非法提供或出售，不構(gòu)成犯罪。5.某企業(yè)進(jìn)行數(shù)據(jù)分類分級時，應(yīng)考慮的因素包括：A.數(shù)據(jù)的敏感程度（如是否涉及個人隱私、商業(yè)秘密）B.數(shù)據(jù)的使用頻率（如高頻使用或低頻歸檔）C.數(shù)據(jù)泄露可能造成的影響（如經(jīng)濟(jì)損失、聲譽(yù)損害）D.數(shù)據(jù)的存儲介質(zhì)（如云存儲、本地硬盤）答案：AC解析：數(shù)據(jù)分類分級的核心依據(jù)是數(shù)據(jù)本身的屬性（敏感程度）和泄露后的影響程度（《數(shù)據(jù)安全法》第二十一條）。使用頻率和存儲介質(zhì)屬于數(shù)據(jù)管理的技術(shù)細(xì)節(jié)，不影響分類分級結(jié)果。6.某新能源汽車廠商收集用戶的“車輛行駛軌跡”數(shù)據(jù)，需遵守的合規(guī)要求包括：A.向用戶明確告知收集目的、方式和范圍B.采取加密措施保障數(shù)據(jù)傳輸安全C.僅保留實(shí)現(xiàn)導(dǎo)航功能必要的最短時間D.未經(jīng)用戶同意不得用于自動駕駛算法訓(xùn)練答案：ABCD解析：根據(jù)《個人信息保護(hù)法》和《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，汽車數(shù)據(jù)處理需遵循告知同意、安全保障、最小必要、目的限制等原則，因此ABCD均需遵守。7.以下屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”的有：A.某省高速公路收費(fèi)系統(tǒng)B.某三線城市的連鎖超市收銀系統(tǒng)C.國家級氣象預(yù)警預(yù)報系統(tǒng)D.某互聯(lián)網(wǎng)公司運(yùn)營的云存儲服務(wù)（服務(wù)500家中小企業(yè)）答案：AC解析：關(guān)鍵信息基礎(chǔ)設(shè)施（CII）的判定依據(jù)是“一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益”（《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第二條）。高速公路收費(fèi)系統(tǒng)（公共服務(wù)）和國家級氣象系統(tǒng)（國家安全）屬于CII；超市收銀系統(tǒng)（局部商業(yè)）和中小企業(yè)云存儲（非關(guān)鍵領(lǐng)域）通常不屬于。8.某企業(yè)發(fā)生數(shù)據(jù)泄露事件后，正確的應(yīng)急響應(yīng)步驟包括：A.立即斷開受感染設(shè)備的網(wǎng)絡(luò)連接B.對泄露數(shù)據(jù)的類型、數(shù)量、影響范圍進(jìn)行評估C.向社會公眾隱瞞事件細(xì)節(jié)以避免恐慌D.通知監(jiān)管部門并按要求提交事件報告答案：ABD解析：應(yīng)急響應(yīng)需遵循“控制擴(kuò)散-評估影響-通知相關(guān)方”的流程。隱瞞事件（C）違反《個人信息保護(hù)法》第五十七條“及時通知”的要求。9.關(guān)于“隱私計算”技術(shù)的應(yīng)用場景，正確的有：A.銀行與電商合作進(jìn)行聯(lián)合風(fēng)控時，在不共享原始數(shù)據(jù)的情況下計算用戶信用分B.醫(yī)院與藥企合作研究疾病治療方案時，通過加密數(shù)據(jù)協(xié)同訓(xùn)練模型C.政府部門整合多部門數(shù)據(jù)時，確保單個部門無法獲取其他部門的完整數(shù)據(jù)D.社交平臺為用戶生成個性化推薦時，直接分析用戶聊天記錄內(nèi)容答案：ABC解析：隱私計算的核心是“數(shù)據(jù)可用不可見”，D選項直接分析原始數(shù)據(jù)（未通過隱私計算技術(shù)），不屬于其應(yīng)用場景。10.根據(jù)《生成式人工智能服務(wù)管理暫行辦法》，AI服務(wù)提供者需履行的義務(wù)包括：A.對生成內(nèi)容進(jìn)行標(biāo)識，避免公眾混淆B.建立算法備案和安全評估制度C.禁止生成涉及民族、宗教歧視的內(nèi)容D.存儲用戶輸入數(shù)據(jù)至少3年答案：ABC解析：暫行辦法要求標(biāo)識生成內(nèi)容（第九條）、算法備案（第七條）、禁止違法內(nèi)容（第十條）；存儲期限需符合個人信息保護(hù)要求，但未強(qiáng)制“至少3年”（D錯誤）。三、判斷題（每題1分，共10分，正確填“√”，錯誤填“×”）1.個人信息處理者可以將“同意隱私政策”作為注冊賬號的必要條件。（）答案：√解析：《個人信息保護(hù)法》第十六條規(guī)定，基本功能的實(shí)現(xiàn)需要處理個人信息的，可將同意作為必要條件（如注冊賬號需提供基礎(chǔ)信息）。2.去標(biāo)識化后的數(shù)據(jù)可以隨意共享，無需遵守個人信息保護(hù)相關(guān)規(guī)定。（）答案：×解析：去標(biāo)識化數(shù)據(jù)仍可能通過其他信息復(fù)原，因此共享時需采取技術(shù)措施防止復(fù)原，并遵守《個人信息保護(hù)法》中關(guān)于去標(biāo)識化處理的要求（如第二十四條）。3.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)當(dāng)自行開展網(wǎng)絡(luò)安全檢測評估，不得委托第三方機(jī)構(gòu)。（）答案：×解析：《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十七條規(guī)定，運(yùn)營者可自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展檢測評估。4.數(shù)據(jù)安全影響評估報告只需由企業(yè)內(nèi)部保存，無需向監(jiān)管部門提交。（）答案：×解析：《數(shù)據(jù)安全法》第三十條規(guī)定，數(shù)據(jù)安全影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年；若涉及重要數(shù)據(jù)處理或跨境提供，可能需按要求向監(jiān)管部門報備。5.企業(yè)員工因個人疏忽導(dǎo)致數(shù)據(jù)泄露，企業(yè)無需承擔(dān)責(zé)任。（）答案：×解析：《個人信息保護(hù)法》第六十九條規(guī)定，處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任（過錯推定原則），員工疏忽屬于企業(yè)管理責(zé)任。6.加密后的數(shù)據(jù)不屬于個人信息，因此無需遵守個人信息保護(hù)規(guī)定。（）答案：×解析：加密數(shù)據(jù)仍可通過解密復(fù)原，因此屬于個人信息，處理時需遵守告知同意、安全保障等要求（《個人信息保護(hù)法》第四條）。7.數(shù)據(jù)跨境流動中，“標(biāo)準(zhǔn)合同”和“安全評估”是并列的合規(guī)路徑，企業(yè)可任選其一。（）答案：×解析：根據(jù)《數(shù)據(jù)出境安全評估辦法》和《個人信息跨境處理活動安全認(rèn)證規(guī)范》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、處理100萬人以上個人信息的數(shù)據(jù)處理者等必須申報安全評估，不能僅采用標(biāo)準(zhǔn)合同。8.企業(yè)可以將用戶的“不同意”作為降低服務(wù)質(zhì)量的理由（如限制部分功能）。（）答案：×解析：《個人信息保護(hù)法》第十六條明確禁止以不同意處理個人信息為由拒絕提供基本功能或降低服務(wù)質(zhì)量。9.區(qū)塊鏈技術(shù)具有“不可篡改”特性，因此存儲個人信息時無需額外安全措施。（）答案：×解析：區(qū)塊鏈的不可篡改性僅指區(qū)塊數(shù)據(jù)的鏈?zhǔn)接涗涬y以篡改，但私鑰泄露、智能合約漏洞等仍可能導(dǎo)致數(shù)據(jù)泄露，需結(jié)合加密、訪問控制等措施。10.未成年人的個人信息屬于敏感個人信息，處理時需取得其父母或其他監(jiān)護(hù)人的同意。（）答案：√解析：《個人信息保護(hù)法》第二十八條將“不滿十四周歲未成年人的個人信息”列為敏感個人信息，第三十一條要求處理時需取得監(jiān)護(hù)人同意。四、簡答題（每題6分，共30分）1.簡述數(shù)據(jù)分類分級的主要步驟及核心目的。答案：主要步驟：（1）數(shù)據(jù)資產(chǎn)梳理：識別企業(yè)內(nèi)所有數(shù)據(jù)資產(chǎn)，包括類型、存儲位置、關(guān)聯(lián)業(yè)務(wù)等；（2）確定分類維度：如按業(yè)務(wù)領(lǐng)域（客戶數(shù)據(jù)、運(yùn)營數(shù)據(jù)）、敏感程度（公開、內(nèi)部、敏感、絕密）等分類；（3）制定分級標(biāo)準(zhǔn)：基于數(shù)據(jù)泄露后的影響（如國家安全、企業(yè)利益、個人權(quán)益）劃分等級（如一級/核心、二級/重要、三級/一般）；（4）實(shí)施分類分級：通過自動化工具或人工審核標(biāo)注數(shù)據(jù)等級；（5）動態(tài)調(diào)整：根據(jù)業(yè)務(wù)變化、法規(guī)更新等定期Review。核心目的：實(shí)現(xiàn)數(shù)據(jù)的差異化保護(hù)，將有限的安全資源優(yōu)先投入高等級數(shù)據(jù)，降低整體安全風(fēng)險；同時為數(shù)據(jù)共享、跨境傳輸?shù)葓鼍疤峁┖弦?guī)依據(jù)。2.列舉個人信息處理者的五項法定義務(wù)（需結(jié)合具體法律條文）。答案：（1）告知義務(wù)：處理個人信息前需向個人告知處理目的、方式、范圍等（《個人信息保護(hù)法》第十七條）；（2）安全保障義務(wù)：采取技術(shù)和管理措施確保個人信息安全（《個人信息保護(hù)法》第五十一條）；（3）響應(yīng)義務(wù)：對個人的查詢、復(fù)制、刪除等請求及時處理（《個人信息保護(hù)法》第四十五條）；（4）風(fēng)險評估義務(wù)：對高風(fēng)險處理活動進(jìn)行個人信息保護(hù)影響評估（《個人信息保護(hù)法》第五十五條）；（5）禁止強(qiáng)制同意義務(wù)：不得以不同意處理個人信息為由拒絕提供基本功能（《個人信息保護(hù)法》第十六條）。3.說明勒索軟件攻擊的常見防范措施（至少5項）。答案：（1）定期備份數(shù)據(jù)并離線存儲，避免被勒索軟件加密；（2）及時更新系統(tǒng)和軟件補(bǔ)丁，修復(fù)已知漏洞；（3）部署終端防護(hù)工具（如EDR），檢測異常文件寫入和加密行為；（4）加強(qiáng)員工安全培訓(xùn)，識別釣魚郵件、惡意鏈接；（5）啟用多因素認(rèn)證（MFA），防止賬號被破解后遠(yuǎn)程控制；（6）限制特權(quán)賬戶權(quán)限，避免攻擊者通過管理員賬號擴(kuò)大破壞；（7）制定勒索軟件應(yīng)急響應(yīng)預(yù)案，明確事件發(fā)現(xiàn)、隔離、上報流程。4.對比“數(shù)據(jù)控制者”與“數(shù)據(jù)處理者”的區(qū)別（需結(jié)合《個人信息保護(hù)法》定義）。答案：根據(jù)《個人信息保護(hù)法》第七十三條：（1）數(shù)據(jù)控制者：決定個人信息處理目的、方式的組織或個人（如企業(yè)自行決定收集用戶信息用于營銷）；（2）數(shù)據(jù)處理者：受控制者委托處理個人信息的組織或個人（如第三方云服務(wù)商根據(jù)企業(yè)要求存儲用戶數(shù)據(jù)）。核心區(qū)別：控制者擁有處理的“決策權(quán)”，需承擔(dān)主要合規(guī)責(zé)任；處理者僅執(zhí)行具體處理行為，需按照控制者的指示和法律要求操作，并對處理過程中的安全負(fù)責(zé)。5.簡述個人信息跨境提供的合規(guī)路徑（至少3種）。答案：（1）安全評估：向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估，通過后可跨境提供（《數(shù)據(jù)出境安全評估辦法》第三條）；（2）標(biāo)準(zhǔn)合同：與境外接收方簽訂國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同，并向省級網(wǎng)信部門備案（《個人信息跨境處理活動安全認(rèn)證規(guī)范》）；（3）安全認(rèn)證：通過國家認(rèn)可的專業(yè)機(jī)構(gòu)進(jìn)行個人信息跨境處理活動安全認(rèn)證（《個人信息保護(hù)法》第三十八條）；（4）其他合規(guī)路徑：如符合中國締結(jié)或參加的國際條約、協(xié)定要求的情形（《個人信息保護(hù)法》第三十八條第四項）。五、案例分析題（每題10分，共20分）案例1：2025年3月，某生鮮電商平臺（注冊用戶超2000萬）因員工操作失誤，導(dǎo)致50萬條用戶信息（含姓名、電話、收貨地址）泄露至互聯(lián)網(wǎng)。事件發(fā)生后，平臺未立即通知用戶，而是在72小時后才通過APP公告說明情況，并聲稱“泄露信息已被技術(shù)手段追回，不會造成影響”。經(jīng)調(diào)查，泄露信息已被黑灰產(chǎn)用于精準(zhǔn)詐騙，導(dǎo)致部分用戶損失共計80萬元。問題：分析該平臺在事件處置中的違規(guī)行為及可能面臨的法律責(zé)任。答案：違規(guī)行為：（1）未及時通知用戶：《個人信息保護(hù)法》第五十七條要求，發(fā)生泄露事件后，處理者應(yīng)“立即”采取補(bǔ)救措施，并通知個人；平臺延遲72小時通知，違反“及時通知”義務(wù)。（2）虛假陳述：聲稱“信息已追回”與實(shí)際被用于詐騙的事實(shí)不符，可能構(gòu)成《消費(fèi)者權(quán)益