(2025年)《數(shù)據(jù)安全法》《個人信息保護法》應(yīng)知應(yīng)會知識學(xué)習(xí)測試題及答案一、單項選擇題（每題2分，共30分）1.根據(jù)《數(shù)據(jù)安全法》，以下哪項不屬于數(shù)據(jù)處理活動的范疇？A.數(shù)據(jù)的收集、存儲B.數(shù)據(jù)的使用、加工C.數(shù)據(jù)的傳輸、提供D.數(shù)據(jù)的銷毀、歸檔答案：D（注：《數(shù)據(jù)安全法》第三條規(guī)定，數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等，銷毀、歸檔未明確列為處理活動。）2.《個人信息保護法》規(guī)定，個人信息處理者向其他個人信息處理者提供個人信息的，應(yīng)當向個人告知的內(nèi)容不包括？A.接收方的名稱或姓名B.接收方處理個人信息的目的C.接收方的企業(yè)規(guī)模D.接收方處理個人信息的方式答案：C（依據(jù)《個人信息保護法》第二十三條，需告知接收方的名稱或姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類。）3.某金融機構(gòu)擬將境內(nèi)收集的客戶交易數(shù)據(jù)（屬于重要數(shù)據(jù)）傳輸至境外母公司用于風險建模，根據(jù)《數(shù)據(jù)安全法》，其應(yīng)當？A.直接傳輸，無需額外程序B.自行進行數(shù)據(jù)安全影響評估并留存記錄C.通過國家網(wǎng)信部門組織的安全評估D.向省級數(shù)據(jù)安全監(jiān)管部門備案答案：C（《數(shù)據(jù)安全法》第三十一條規(guī)定，重要數(shù)據(jù)出境應(yīng)按照國家規(guī)定進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。金融領(lǐng)域重要數(shù)據(jù)通常需通過國家層面安全評估。）4.《個人信息保護法》中“最小必要”原則是指？A.處理個人信息的數(shù)量應(yīng)盡可能少，范圍應(yīng)盡可能窄B.僅處理與實現(xiàn)處理目的直接相關(guān)的個人信息，且數(shù)量為實現(xiàn)目的所必需C.個人信息處理者應(yīng)采用技術(shù)手段確保信息最小化D.個人信息處理者需定期刪除冗余信息答案：B（《個人信息保護法》第六條明確，處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式；收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍。）5.某電商平臺因用戶投訴發(fā)現(xiàn)其APP在用戶未授權(quán)時自動讀取通訊錄，根據(jù)《個人信息保護法》，該行為違反了哪項原則？A.公開透明原則B.最小必要原則C.知情同意原則D.目的明確原則答案：C（《個人信息保護法》第十四條規(guī)定，基于個人同意處理個人信息的，該同意應(yīng)當由個人在充分知情的前提下自愿、明確作出；未授權(quán)即讀取通訊錄屬于未取得明確同意。）6.根據(jù)《數(shù)據(jù)安全法》，國家建立數(shù)據(jù)分類分級保護制度，分類分級的依據(jù)是？A.數(shù)據(jù)的敏感程度B.數(shù)據(jù)對國家安全、公共利益或個人、組織合法權(quán)益的影響程度C.數(shù)據(jù)的存儲介質(zhì)D.數(shù)據(jù)的產(chǎn)生主體性質(zhì)答案：B（《數(shù)據(jù)安全法》第二十一條規(guī)定，國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。）7.《個人信息保護法》規(guī)定，個人信息處理者利用個人信息進行自動化決策，以下哪項要求不合法？A.保證決策的透明度和結(jié)果公平、公正B.不得對個人在交易價格等交易條件上實行不合理的差別待遇C.無需向個人告知自動化決策的基本原理D.個人有權(quán)要求個人信息處理者予以說明答案：C（《個人信息保護法》第二十四條規(guī)定，利用個人信息進行自動化決策，應(yīng)當保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇；通過自動化決策方式向個人進行信息推送、商業(yè)營銷的，應(yīng)當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式；個人有權(quán)要求個人信息處理者對自動化決策予以說明。）8.某醫(yī)療科技公司收集患者診療數(shù)據(jù)用于AI輔助診斷研究，根據(jù)《數(shù)據(jù)安全法》，其應(yīng)當優(yōu)先遵守的特殊規(guī)定是？A.行業(yè)主管部門制定的本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)目錄B.省級數(shù)據(jù)安全監(jiān)管部門的通用要求C.國家網(wǎng)信部門的統(tǒng)一標準D.國際數(shù)據(jù)安全通行規(guī)則答案：A（《數(shù)據(jù)安全法》第二十一條第三款規(guī)定，各地區(qū)、各部門應(yīng)當按照國家數(shù)據(jù)分類分級要求，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護。醫(yī)療領(lǐng)域重要數(shù)據(jù)目錄通常由衛(wèi)生健康主管部門制定。）9.《個人信息保護法》規(guī)定，個人信息的保存期限應(yīng)當？A.永久保存B.至個人信息處理目的實現(xiàn)時為止C.由個人信息處理者自行決定D.不超過實現(xiàn)處理目的所需的必要期限答案：D（《個人信息保護法》第十六條規(guī)定，個人信息處理者不得過度收集個人信息，不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式；收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍，保存期限應(yīng)當為實現(xiàn)處理目的所必要的最短時間。）10.某互聯(lián)網(wǎng)公司發(fā)生大規(guī)模用戶數(shù)據(jù)泄露事件，根據(jù)《數(shù)據(jù)安全法》，其應(yīng)當立即采取的措施不包括？A.通知可能受到影響的用戶B.自行評估泄露風險并隱瞞未造成實際損失的情況C.向有關(guān)主管部門報告D.采取技術(shù)措施和其他必要措施，防止數(shù)據(jù)泄露擴大答案：B（《數(shù)據(jù)安全法》第四十五條規(guī)定，發(fā)生數(shù)據(jù)安全事件，數(shù)據(jù)處理者應(yīng)當立即采取措施予以處置，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告；不得隱瞞、謊報、緩報。）11.《個人信息保護法》規(guī)定，不滿十四周歲未成年人的個人信息屬于？A.一般個人信息B.敏感個人信息C.特殊個人信息D.重要個人信息答案：B（《個人信息保護法》第二十八條規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。）12.根據(jù)《數(shù)據(jù)安全法》，國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究，鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的？A.國際合作B.壟斷經(jīng)營C.封閉研發(fā)D.區(qū)域壁壘答案：A（《數(shù)據(jù)安全法》第九條規(guī)定，國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究，鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)應(yīng)用，培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產(chǎn)品、服務(wù)市場；第十條規(guī)定，國家支持開展數(shù)據(jù)安全知識宣傳普及，提高全社會數(shù)據(jù)安全意識和水平，推動有關(guān)部門、行業(yè)組織、科研機構(gòu)、企業(yè)、個人等共同參與數(shù)據(jù)安全保護工作；第十一條規(guī)定，國家積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領(lǐng)域的國際交流與合作，參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標準的制定，促進數(shù)據(jù)跨境安全、自由流動。）13.某教育機構(gòu)擬將學(xué)生學(xué)籍信息（屬于重要數(shù)據(jù)）提供給境外學(xué)術(shù)機構(gòu)用于聯(lián)合研究，根據(jù)《個人信息保護法》和《數(shù)據(jù)安全法》，其應(yīng)當？A.僅需取得學(xué)生家長同意B.完成數(shù)據(jù)安全評估并取得個人單獨同意C.向省級教育部門備案即可D.無需額外程序，因?qū)W術(shù)研究具有公益性答案：B（《個人信息保護法》第三十八條規(guī)定，個人信息處理者因業(yè)務(wù)需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當具備下列條件之一：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。同時，《數(shù)據(jù)安全法》第三十一條要求重要數(shù)據(jù)出境需進行安全評估，且涉及個人信息的還需取得個人單獨同意。）14.《數(shù)據(jù)安全法》規(guī)定，數(shù)據(jù)處理者未履行數(shù)據(jù)安全保護義務(wù)，導(dǎo)致數(shù)據(jù)泄露、毀損、丟失的，由有關(guān)主管部門責令改正，給予警告，可以并處？A.五萬元以上五十萬元以下罰款B.十萬元以上一百萬元以下罰款C.五十萬元以上五百萬元以下罰款D.一百萬元以上一千萬元以下罰款答案：B（《數(shù)據(jù)安全法》第四十五條第二款規(guī)定，違反本法規(guī)定，給他人造成損害的，依法承擔民事責任；構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責任。第四十六條規(guī)定，違反本法第三十一條規(guī)定，向境外提供重要數(shù)據(jù)的，由有關(guān)主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款；情節(jié)嚴重的，處一百萬元以上一千萬元以下罰款，并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。）15.《個人信息保護法》規(guī)定，個人信息處理者應(yīng)當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行？A.自我檢查B.外部審計C.合規(guī)審計D.風險評估答案：C（《個人信息保護法》第五十一條規(guī)定，個人信息處理者應(yīng)當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失：（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對個人信息實行分類管理；（三）采取相應(yīng)的加密、去標識化等安全技術(shù)措施；（四）合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓(xùn)；（五）制定并組織實施個人信息安全事件應(yīng)急預(yù)案；（六）法律、行政法規(guī)規(guī)定的其他措施。第五十四條規(guī)定，個人信息處理者應(yīng)當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。）二、多項選擇題（每題3分，共30分）1.根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于以下哪些狀態(tài)？A.有效保護B.合法利用C.持續(xù)可控D.絕對保密答案：ABC（《數(shù)據(jù)安全法》第三條規(guī)定，數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。）2.《個人信息保護法》規(guī)定，個人信息處理者可以在以下哪些情形下無需取得個人同意處理個人信息？A.為履行法定職責或者法定義務(wù)所必需B.為應(yīng)對突發(fā)公共衛(wèi)生事件所必需C.為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理范圍內(nèi)處理個人信息D.個人信息已經(jīng)合法公開，且處理活動符合該公開用途答案：ABCD（《個人信息保護法》第十三條規(guī)定，符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務(wù)所必需；（四）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；（五）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理范圍內(nèi)處理個人信息；（六）依照本法規(guī)定在合理范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；（七）法律、行政法規(guī)規(guī)定的其他情形。）3.根據(jù)《數(shù)據(jù)安全法》，重要數(shù)據(jù)的處理者應(yīng)當履行的義務(wù)包括？A.建立健全全流程安全管理制度B.組織開展數(shù)據(jù)安全教育培訓(xùn)C.定期進行數(shù)據(jù)安全風險評估并向有關(guān)主管部門報送評估報告D.制定數(shù)據(jù)安全事件應(yīng)急預(yù)案答案：ABCD（《數(shù)據(jù)安全法》第二十七條規(guī)定，重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu)，落實數(shù)據(jù)安全保護責任；第二十九條規(guī)定，開展數(shù)據(jù)處理活動應(yīng)當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應(yīng)當立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應(yīng)當立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告；第三十條規(guī)定，重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告。）4.《個人信息保護法》規(guī)定，個人信息處理者向境外提供個人信息時，應(yīng)當向個人告知的內(nèi)容包括？A.境外接收方的名稱、聯(lián)系方式B.境外接收方處理個人信息的目的、方式C.個人信息的種類、保存期限D(zhuǎn).個人信息出境的風險答案：ABCD（《個人信息保護法》第三十九條規(guī)定，個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。）5.根據(jù)《數(shù)據(jù)安全法》，國家建立數(shù)據(jù)安全應(yīng)急處置機制，發(fā)生數(shù)據(jù)安全事件時，有關(guān)主管部門可以采取的措施包括？A.組織技術(shù)力量進行監(jiān)測、處置B.要求相關(guān)單位暫停相關(guān)數(shù)據(jù)處理活動C.向社會發(fā)布警示信息D.對責任單位進行行政處罰答案：ABC（《數(shù)據(jù)安全法》第四十四條規(guī)定，國家建立數(shù)據(jù)安全應(yīng)急處置機制。發(fā)生數(shù)據(jù)安全事件，有關(guān)主管部門應(yīng)當依法啟動應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，防止危害擴大，消除安全隱患，并及時向社會發(fā)布與公眾有關(guān)的警示信息。）6.《個人信息保護法》規(guī)定，個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息，以下哪些情形個人信息處理者可以拒絕？A.查閱、復(fù)制請求超出合理范圍B.個人信息已經(jīng)滅失C.處理個人信息屬于履行法定職責D.涉及商業(yè)秘密答案：AB（《個人信息保護法》第四十五條規(guī)定，個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息；有下列情形之一的，個人信息處理者可以拒絕提供查閱、復(fù)制：（一）查閱、復(fù)制請求超出合理范圍；（二）個人信息已經(jīng)滅失；（三）法律、行政法規(guī)規(guī)定的其他情形。涉及商業(yè)秘密不構(gòu)成拒絕理由，因個人信息與商業(yè)秘密可能存在重疊，但個人信息權(quán)益優(yōu)先于商業(yè)秘密。）7.根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)安全監(jiān)管機構(gòu)包括？A.國家網(wǎng)信部門B.工業(yè)和信息化部門C.公安機關(guān)D.各行業(yè)主管部門答案：ABCD（《數(shù)據(jù)安全法》第五條規(guī)定，中央國家安全領(lǐng)導(dǎo)機構(gòu)負責數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制；第六條規(guī)定，各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責；工業(yè)和信息化、公安、國家安全、司法行政、財政、商務(wù)、科技、教育、人力資源和社會保障、自然資源、生態(tài)環(huán)境、住房和城鄉(xiāng)建設(shè)、交通運輸、水利、農(nóng)業(yè)農(nóng)村、文化和旅游、衛(wèi)生健康、退役軍人事務(wù)、應(yīng)急管理、審計、稅務(wù)、市場監(jiān)督管理、廣播電視、統(tǒng)計、體育、金融監(jiān)督管理、外匯管理等主管部門在各自職責范圍內(nèi)負責數(shù)據(jù)安全監(jiān)管工作；國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。）8.《個人信息保護法》規(guī)定，個人信息處理者應(yīng)當主動公開的信息包括？A.個人信息處理規(guī)則B.投訴、舉報方式C.個人信息安全影響評估報告D.數(shù)據(jù)安全負責人聯(lián)系方式答案：ABD（《個人信息保護法》第十七條規(guī)定，個人信息處理者在處理個人信息前，應(yīng)當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯(lián)系方式；（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（三）個人行使本法規(guī)定權(quán)利的方式和程序；（四）法律、行政法規(guī)規(guī)定應(yīng)當告知的其他事項。前款規(guī)定事項發(fā)生變更的，應(yīng)當將變更部分告知個人。個人信息處理者通過制定個人信息處理規(guī)則的方式告知第一款規(guī)定事項的，處理規(guī)則應(yīng)當公開，并且便于查閱和保存。第五十一條規(guī)定，個人信息處理者應(yīng)當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失：（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對個人信息實行分類管理；（三）采取相應(yīng)的加密、去標識化等安全技術(shù)措施；（四）合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓(xùn)；（五）制定并組織實施個人信息安全事件應(yīng)急預(yù)案；（六）法律、行政法規(guī)規(guī)定的其他措施。第五十二條規(guī)定，處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督；個人信息處理者應(yīng)當公開個人信息保護負責人的聯(lián)系方式，并將個人信息保護負責人的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。）9.根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)交易中介服務(wù)機構(gòu)應(yīng)當履行的義務(wù)包括？A.要求數(shù)據(jù)提供方說明數(shù)據(jù)來源B.審核數(shù)據(jù)的合法性C.留存交易記錄D.對交易數(shù)據(jù)進行加密存儲答案：ABC（《數(shù)據(jù)安全法》第三十三條規(guī)定，從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提供服務(wù)，應(yīng)當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。）10.《個人信息保護法》規(guī)定，敏感個人信息的處理規(guī)則包括？A.取得個人的單獨同意B.向個人告知處理敏感個人信息的必要性和對個人權(quán)益的影響C.制定專門的個人信息處理規(guī)則D.進行個人信息安全影響評估答案：ABCD（《個人信息保護法》第二十九條規(guī)定，處理敏感個人信息應(yīng)當取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當取得書面同意的，從其規(guī)定；第三十條規(guī)定，個人信息處理者處理敏感個人信息的，除本法第十七條第一款規(guī)定的事項外，還應(yīng)當向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響；第三十五條規(guī)定，國家機關(guān)為履行法定職責處理個人信息，應(yīng)當依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責所必需的范圍和限度；第三十八條規(guī)定，個人信息處理者因業(yè)務(wù)需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當具備下列條件之一：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件；第四十條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)；確需向境外提供的，應(yīng)當通過國家網(wǎng)信部門組織的安全評估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以出境的除外；第五十五條規(guī)定，有下列情形之一的，個人信息處理者應(yīng)當事前進行個人信息安全影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權(quán)益有重大影響的個人信息處理活動。）三、判斷題（每題1分，共10分）1.《數(shù)據(jù)安全法》僅適用于中華人民共和國境內(nèi)的數(shù)據(jù)處理活動。（）答案：×（《數(shù)據(jù)安全法》第二條規(guī)定，在中華人民共和國境內(nèi)開展數(shù)據(jù)處理活動及其安全監(jiān)管，適用本法；在中華人民共和國境外開展數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責任。）2.個人信息處理者可以將同一處理目的的個人信息多次向個人征求同意。（）答案：×（《個人信息保護法》第十四條規(guī)定，基于個人同意處理個人信息的，該同意應(yīng)當由個人在充分知情的前提下自愿、明確作出；個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當重新取得個人同意。）3.重要數(shù)據(jù)的具體目錄由國家網(wǎng)信部門統(tǒng)一制定，各行業(yè)不得自行調(diào)整。（）答案：×（《數(shù)據(jù)安全法》第二十一條第三款規(guī)定，各地區(qū)、各部門應(yīng)當按照國家數(shù)據(jù)分類分級要求，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護。）4.個人信息處理者可以將已匿名化處理的信息視為非個人信息。（）答案：√（《個人信息保護法》第四條規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。）5.數(shù)據(jù)安全事件發(fā)生后，數(shù)據(jù)處理者只需向行業(yè)主管部門報告，無需告知用戶。（）答案：×（《數(shù)據(jù)安全法》第四十五條規(guī)定，發(fā)生數(shù)據(jù)安全事件，數(shù)據(jù)處理者應(yīng)當立即采取措施予以處置，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。）6.《個人信息保護法》規(guī)定，個人信息處理者不得過度收集個人信息，但可以以個人不同意處理其個人信息為由拒絕提供產(chǎn)品或服務(wù)。（）答案：×（《個人信息保護法》第十六條規(guī)定，個人信息處理者不得過度收集個人信息，不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。）7.數(shù)據(jù)處理者應(yīng)當對其數(shù)據(jù)處理活動負全部責任，第三方服務(wù)提供商無需承擔數(shù)據(jù)安全義務(wù)。（）答案：×（《數(shù)據(jù)安全法》第二十二條規(guī)定，數(shù)據(jù)處理者委托處理數(shù)據(jù)的，應(yīng)當與受托人約定數(shù)據(jù)安全保護責任，受托人應(yīng)當依照法律、行政法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù)；數(shù)據(jù)處理者應(yīng)當對受托人的數(shù)據(jù)處理活動進行監(jiān)督。）8.個人信息處理者可以將兒童個人信息與成人個人信息合并處理，無需特殊保護。（）答案：×（《個人信息保護法》第三十一條規(guī)定，個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當制定專門的個人信息處理規(guī)則，并取得未成年人的父母或者其他監(jiān)護人的同意。）9.數(shù)據(jù)安全風險評估報告只需內(nèi)部留存，無需向監(jiān)管部門報送。（）答案：×（《數(shù)據(jù)安全法》第三十條規(guī)定，重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告。）10.《個人信息保護法》規(guī)定，個人信息處理者應(yīng)當為個人提供便捷的撤回同意的方式。（）答案：√（《個人信息保護法》第十五條規(guī)定，基于個人同意處理個人信息的，個人有權(quán)撤回其同意；個人信息處理者應(yīng)當提供便捷的撤回同意的方式。）四、簡答題（每題6分，共30分）1.簡述《數(shù)據(jù)安全法》中“數(shù)據(jù)分類分級保護制度”的核心要求。答案：《數(shù)據(jù)安全法》第二十一條規(guī)定，國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。核心要求包括：（1）明確分類分級依據(jù)（重要程度和危害程度）；（2）各地區(qū)、各部門制定本行業(yè)、本領(lǐng)域重要數(shù)據(jù)目錄；（3）對列入目錄的重要數(shù)據(jù)實施重點保護，包括建立全流程安全管理制度、定期風險評估、制定應(yīng)急預(yù)案等。2.《個人信息保護法》對“告知-同意”原則的具體要求有哪些？答案：（1）告知需以顯著方式、清晰易懂的語言真實、準確、完整，包括處理者信息、處理目的、方式、種類、保存期限、權(quán)利行使方式等；（2）同意需由個人在充分知情前提下自愿、明確作出；（3）處理目的、方式、種類變更時需重新取得同意；（4）撤回同意需提供便捷方式；（5）處理敏感個人信息、向境外提供個人信息等需取得單獨同意；（6）法律、行政法規(guī)規(guī)定需書面同意的，從其規(guī)定。3.數(shù)據(jù)處理者在數(shù)據(jù)安全事件中的義務(wù)有哪些？答案：（1）立即采取處置措施（如暫停處理、加密數(shù)據(jù)、隔離系統(tǒng)等）；（2）及時告知可能受到影響的用戶（說明事件內(nèi)容、影響、補救措施等）；（3）向有關(guān)主管部門報告（包括事件性質(zhì)、影響范圍、已采取措施等）；（4）配合監(jiān)管部門調(diào)查；（5）事后進行整改，防止類似事件再次發(fā)生；（6）保存事件記錄至少六個月（或法律規(guī)定的期限）。4.《個人信息保護法》中“個人信息安全影響評估”的適用情形及內(nèi)容是什么？答案：適用情形包括：（1）處理敏感個人信息；（2）利用個人信息進行自動化決策；（3）委托處理、提供、公開個人信息；（4）向境外提供個人信息；（5）其他對個人權(quán)益有重大影響的處理活動。評估內(nèi)容包括：（1）個人信息的處理目的、方式是否合法、正當、必要；（2）對個人權(quán)益的影響及安全風險；（3）所采取的安全保護措施是否合法、有效并與風險程度相適應(yīng)；（4）其他需要評估的內(nèi)容。評估報告和處理記錄需留存至少三年。5.簡述《數(shù)據(jù)安全法》與《個人信息保護法》的關(guān)系。答案：兩部法律均屬于數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，側(cè)重點不同但相互補充：（1）《數(shù)據(jù)安全法》以“數(shù)據(jù)”為核心，覆蓋所有類型數(shù)據(jù)的安全保護，強調(diào)分類分級、重要數(shù)據(jù)保護、跨境安全評估等；（2）《個人信息保護法》以“個人信息”為特定對象，聚焦自然人信息的權(quán)益保護，強調(diào)知情同意、最小必要、敏感信息特殊保護等；（3）個人信息屬于數(shù)據(jù)的子集，《個人信息保護法》是《數(shù)據(jù)安全法》在個人信息領(lǐng)域的特別規(guī)定，優(yōu)先適用；（4）兩部法律共同構(gòu)建了我國數(shù)據(jù)治理的“雙支柱”體系，分別規(guī)范數(shù)據(jù)安全與個人信息權(quán)益，協(xié)同保障