2025年國家網(wǎng)絡(luò)安全知識競賽題庫及解析(典優(yōu))一、單項(xiàng)選擇題（每題2分，共20題）1.根據(jù)《數(shù)據(jù)安全法》第二十一條，國家建立數(shù)據(jù)分類分級保護(hù)制度，對數(shù)據(jù)實(shí)行分類分級保護(hù)的依據(jù)不包括以下哪項(xiàng)？A.數(shù)據(jù)來源渠道B.數(shù)據(jù)的重要程度C.數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的作用D.數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響程度答案：A解析：《數(shù)據(jù)安全法》第二十一條明確規(guī)定，分類分級保護(hù)依據(jù)包括數(shù)據(jù)的重要程度、在經(jīng)濟(jì)社會發(fā)展中的作用、對國家安全等的影響程度，未提及“數(shù)據(jù)來源渠道”。2.以下哪種攻擊方式屬于應(yīng)用層DDoS攻擊？A.SYNFloodB.DNS放大攻擊C.HTTP慢速連接攻擊D.ICMPFlood答案：C解析：應(yīng)用層DDoS攻擊針對應(yīng)用層協(xié)議（如HTTP），通過模擬正常請求消耗服務(wù)器資源。HTTP慢速連接攻擊（Slowloris）通過保持大量不完整的HTTP連接耗盡服務(wù)器線程，屬于應(yīng)用層攻擊。SYNFlood（傳輸層）、DNS放大（網(wǎng)絡(luò)層）、ICMPFlood（網(wǎng)絡(luò)層）均屬于網(wǎng)絡(luò)層/傳輸層攻擊。3.某企業(yè)擬將境內(nèi)個人健康數(shù)據(jù)傳輸至境外合作伙伴，根據(jù)《個人信息保護(hù)法》第三十八條，應(yīng)當(dāng)通過的安全評估由哪個部門組織？A.國家網(wǎng)信部門B.省級網(wǎng)信部門C.國務(wù)院衛(wèi)生健康主管部門D.數(shù)據(jù)接收方所在國監(jiān)管機(jī)構(gòu)答案：A解析：《個人信息保護(hù)法》第三十八條規(guī)定，個人信息跨境提供需經(jīng)國家網(wǎng)信部門組織的安全評估（法律、行政法規(guī)另有規(guī)定的除外）。健康數(shù)據(jù)屬于敏感個人信息，無特殊規(guī)定時由國家網(wǎng)信部門評估。4.量子密鑰分發(fā)（QKD）的核心安全原理是？A.基于大整數(shù)分解的計(jì)算復(fù)雜度B.利用量子不可克隆定理C.依賴對稱加密算法的密鑰長度D.通過哈希函數(shù)的碰撞抵抗性答案：B解析：量子密鑰分發(fā)（如BB84協(xié)議）的安全性基于量子力學(xué)基本原理——量子不可克隆定理（任何未知量子態(tài)無法被精確復(fù)制），攻擊者竊聽會改變量子態(tài)，從而被通信雙方檢測到。其他選項(xiàng)為傳統(tǒng)密碼學(xué)原理。5.物聯(lián)網(wǎng)設(shè)備默認(rèn)啟用telnet服務(wù)的主要安全風(fēng)險(xiǎn)是？A.認(rèn)證信息明文傳輸B.占用過多網(wǎng)絡(luò)帶寬C.容易觸發(fā)ARP欺騙D.導(dǎo)致TCP連接耗盡答案：A解析：telnet協(xié)議不加密，用戶名、密碼等認(rèn)證信息以明文傳輸，攻擊者可通過嗅探獲取憑證，直接登錄設(shè)備實(shí)施控制。其他選項(xiàng)非telnet服務(wù)特有風(fēng)險(xiǎn)。6.依據(jù)《網(wǎng)絡(luò)安全審查辦法》，運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國家安全的，應(yīng)當(dāng)向哪個部門申報(bào)網(wǎng)絡(luò)安全審查？A.國家發(fā)展和改革委員會B.國家互聯(lián)網(wǎng)信息辦公室C.工業(yè)和信息化部D.公安部答案：B解析：《網(wǎng)絡(luò)安全審查辦法》第四條規(guī)定，網(wǎng)絡(luò)安全審查工作由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)，運(yùn)營者應(yīng)向國家網(wǎng)信部門申報(bào)審查。7.以下哪種加密算法屬于國密SM系列？A.AES-256B.RSA-2048C.SM4D.SHA-256答案：C解析：SM4是我國自主設(shè)計(jì)的對稱加密算法（分組密碼），屬于國密標(biāo)準(zhǔn)；AES（美國）、RSA（國際）、SHA-256（美國）均為國際通用算法。8.某社交平臺用戶發(fā)現(xiàn)個人頭像被AI深度偽造技術(shù)篡改并傳播，該行為主要侵犯了用戶的？A.肖像權(quán)B.名譽(yù)權(quán)C.隱私權(quán)D.著作權(quán)答案：A解析：《民法典》第一千零一十九條規(guī)定，任何組織或個人不得以丑化、污損，或者利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán)。深度偽造篡改頭像直接侵犯肖像權(quán)。9.以下哪項(xiàng)不是零信任架構(gòu)的核心原則？A.最小權(quán)限訪問B.持續(xù)驗(yàn)證C.網(wǎng)絡(luò)邊界防御D.全流量可視化答案：C解析：零信任架構(gòu)（ZeroTrust）的核心是“永不信任，始終驗(yàn)證”，強(qiáng)調(diào)打破傳統(tǒng)網(wǎng)絡(luò)邊界（如DMZ、防火墻），通過身份、設(shè)備、環(huán)境等多因素持續(xù)驗(yàn)證實(shí)現(xiàn)訪問控制?！熬W(wǎng)絡(luò)邊界防御”是傳統(tǒng)架構(gòu)的特征。10.工業(yè)控制系統(tǒng)（ICS）中，Modbus協(xié)議默認(rèn)使用的端口是？A.21B.502C.161D.3389答案：B解析：Modbus是工業(yè)控制常用的通信協(xié)議，默認(rèn)使用TCP502端口；21（FTP）、161（SNMP）、3389（RDP）為其他協(xié)議端口。11.根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對網(wǎng)絡(luò)安全狀況進(jìn)行檢測評估的周期是？A.每半年一次B.每年至少一次C.每兩年至少一次D.每三年至少一次答案：B解析：《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第二十二條規(guī)定，運(yùn)營者應(yīng)每年至少進(jìn)行一次檢測評估，并將結(jié)果報(bào)送保護(hù)工作部門。12.以下哪種漏洞屬于內(nèi)存安全漏洞？A.SQL注入B.XSS跨站腳本C.緩沖區(qū)溢出D.CSRF跨站請求偽造答案：C解析：內(nèi)存安全漏洞指因程序錯誤導(dǎo)致內(nèi)存訪問越界、溢出等問題（如緩沖區(qū)溢出）；SQL注入（輸入驗(yàn)證）、XSS（輸出編碼）、CSRF（會話管理）屬于應(yīng)用邏輯漏洞。13.某單位使用WPA3協(xié)議部署無線局域網(wǎng)，其相比WPA2的主要安全改進(jìn)是？A.支持WEP兼容模式B.引入SAE（安全認(rèn)證交換）防止離線字典攻擊C.僅使用TKIP加密D.取消PSK（預(yù)共享密鑰）認(rèn)證方式答案：B解析：WPA3針對WPA2的PSK認(rèn)證易受離線字典攻擊的缺陷，引入SAE（SimultaneousAuthenticationofEquals），通過密碼驗(yàn)證的密鑰交換（PAKE）機(jī)制，使攻擊者無法通過捕獲握手包進(jìn)行離線破解。14.依據(jù)《生成式人工智能服務(wù)管理暫行辦法》，生成式人工智能服務(wù)提供者應(yīng)當(dāng)對生成的文本、圖像、聲音等內(nèi)容進(jìn)行？A.哈希存儲B.水印標(biāo)記C.風(fēng)險(xiǎn)評估D.區(qū)塊鏈存證答案：C解析：《生成式人工智能服務(wù)管理暫行辦法》第九條規(guī)定，提供者應(yīng)對生成內(nèi)容進(jìn)行風(fēng)險(xiǎn)評估，發(fā)現(xiàn)違法內(nèi)容應(yīng)采取停止生成、刪除等措施。15.以下哪種日志類型對網(wǎng)絡(luò)入侵檢測最具價值？A.系統(tǒng)啟動日志B.應(yīng)用程序錯誤日志C.防火墻會話日志D.數(shù)據(jù)庫事務(wù)日志答案：C解析：防火墻會話日志記錄了網(wǎng)絡(luò)流量的源/目的IP、端口、協(xié)議、時間等信息，可用于分析異常連接（如大量外部IP嘗試連接內(nèi)網(wǎng)端口），是入侵檢測的關(guān)鍵數(shù)據(jù)源。16.量子計(jì)算對現(xiàn)有密碼體系的主要威脅是？A.破解對稱加密的混淆與擴(kuò)散原則B.利用Shor算法高效分解大整數(shù)C.實(shí)現(xiàn)量子糾纏態(tài)的遠(yuǎn)程操控D.突破香農(nóng)信息論的保密極限答案：B解析：量子計(jì)算機(jī)的Shor算法可在多項(xiàng)式時間內(nèi)分解大整數(shù)（RSA的數(shù)學(xué)基礎(chǔ)）和離散對數(shù)（ECC的數(shù)學(xué)基礎(chǔ)），導(dǎo)致現(xiàn)有公鑰密碼體系失效。對稱加密（如AES）可通過增加密鑰長度應(yīng)對量子攻擊。17.某企業(yè)員工通過個人郵箱發(fā)送含公司機(jī)密的文檔，該行為違反了以下哪項(xiàng)安全原則？A.最小特權(quán)原則B.縱深防御原則C.數(shù)據(jù)分類分級原則D.最小泄露原則答案：D解析：最小泄露原則要求僅在必要時披露必要信息。員工使用個人郵箱傳輸機(jī)密數(shù)據(jù)（非必要渠道），導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)增加，違反最小泄露原則。18.物聯(lián)網(wǎng)設(shè)備固件安全的關(guān)鍵防護(hù)措施是？A.禁用所有遠(yuǎn)程管理接口B.對固件進(jìn)行數(shù)字簽名驗(yàn)證C.定期更新設(shè)備MAC地址D.限制設(shè)備接入的Wi-Fi信號強(qiáng)度答案：B解析：固件數(shù)字簽名驗(yàn)證可確保設(shè)備僅加載經(jīng)過認(rèn)證的合法固件，防止攻擊者植入惡意固件（如通過OTA升級漏洞）。其他選項(xiàng)非核心防護(hù)措施。19.根據(jù)《網(wǎng)絡(luò)安全法》第二十一條，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)履行的安全保護(hù)義務(wù)不包括？A.制定內(nèi)部安全管理制度和操作規(guī)程B.采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施C.為用戶提供免費(fèi)的網(wǎng)絡(luò)安全培訓(xùn)D.采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施答案：C解析：《網(wǎng)絡(luò)安全法》第二十一條規(guī)定的義務(wù)包括制度建設(shè)、數(shù)據(jù)保護(hù)、監(jiān)測記錄等，未強(qiáng)制要求提供免費(fèi)培訓(xùn)（屬于可選的安全意識提升措施）。20.以下哪項(xiàng)是防御釣魚郵件的最有效措施？A.安裝郵件客戶端的廣告過濾插件B.對所有郵件附件進(jìn)行哈希值校驗(yàn)C.實(shí)施基于行為分析的郵件網(wǎng)關(guān)過濾D.要求員工僅使用企業(yè)郵箱發(fā)送郵件答案：C解析：釣魚郵件常通過仿冒域名、誘導(dǎo)點(diǎn)擊鏈接等方式攻擊，基于行為分析的郵件網(wǎng)關(guān)（如檢測發(fā)件人異常、鏈接域名跳轉(zhuǎn)、內(nèi)容語義異常）可有效識別，比單一哈希校驗(yàn)（無法識別新文件）或廣告過濾（無法區(qū)分惡意內(nèi)容）更全面。二、多項(xiàng)選擇題（每題3分，共10題）1.以下屬于《數(shù)據(jù)安全法》規(guī)定的重要數(shù)據(jù)的有？A.人口健康數(shù)據(jù)B.金融機(jī)構(gòu)客戶交易記錄C.電商平臺用戶瀏覽歷史D.國防科技工業(yè)數(shù)據(jù)答案：ABD解析：《數(shù)據(jù)安全法》第二十一條指出，重要數(shù)據(jù)包括關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的數(shù)據(jù)。人口健康（民生）、金融交易（經(jīng)濟(jì)）、國防科技（國家安全）屬于重要數(shù)據(jù)；用戶瀏覽歷史（一般個人信息）不屬于。2.以下哪些措施可有效防御SQL注入攻擊？A.使用預(yù)編譯語句（PreparedStatement）B.對用戶輸入進(jìn)行嚴(yán)格的類型檢查和轉(zhuǎn)義C.限制數(shù)據(jù)庫賬戶的權(quán)限（如只讀）D.在應(yīng)用層禁用所有SQL查詢功能答案：ABC解析：預(yù)編譯語句（參數(shù)化查詢）、輸入過濾、最小權(quán)限原則是防御SQL注入的核心措施；禁用SQL查詢（如使用ORM框架）是開發(fā)方式選擇，非直接防御措施。3.依據(jù)《個人信息保護(hù)法》，處理敏感個人信息應(yīng)當(dāng)取得個人的單獨(dú)同意，并同時滿足以下哪些條件？A.具有特定的目的和充分的必要性B.采取嚴(yán)格的保護(hù)措施C.向個人告知處理的必要性以及對個人權(quán)益的影響D.經(jīng)過第三方機(jī)構(gòu)安全認(rèn)證答案：ABC解析：《個人信息保護(hù)法》第二十九條規(guī)定，處理敏感個人信息需單獨(dú)同意、特定目的和必要性、嚴(yán)格保護(hù)措施、充分告知；第三方認(rèn)證非法定必要條件。4.以下屬于工業(yè)互聯(lián)網(wǎng)安全防護(hù)重點(diǎn)的有？A.控制協(xié)議安全（如Modbus/TCP）B.工業(yè)主機(jī)防病毒C.生產(chǎn)數(shù)據(jù)防泄露D.5G基站信號覆蓋范圍答案：ABC解析：工業(yè)互聯(lián)網(wǎng)安全涉及設(shè)備、控制、網(wǎng)絡(luò)、數(shù)據(jù)等層面，控制協(xié)議（防止指令篡改）、工業(yè)主機(jī)（防止惡意代碼破壞生產(chǎn)）、生產(chǎn)數(shù)據(jù)（如工藝參數(shù)）是防護(hù)重點(diǎn)；5G覆蓋范圍屬于網(wǎng)絡(luò)部署問題，非安全防護(hù)重點(diǎn)。5.以下哪些行為可能構(gòu)成《刑法》第二百八十五條規(guī)定的“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”？A.破解某銀行核心交易系統(tǒng)的訪問權(quán)限并登錄B.掃描某高校教務(wù)系統(tǒng)未公開的端口C.擅自訪問國家事務(wù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)D.通過釣魚軟件獲取某企業(yè)內(nèi)部辦公系統(tǒng)賬號答案：AC解析：該罪針對“國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域”的計(jì)算機(jī)信息系統(tǒng)，未經(jīng)授權(quán)侵入即構(gòu)成犯罪（不論是否破壞）。掃描端口（未侵入）、獲取辦公系統(tǒng)賬號（非特定領(lǐng)域）不構(gòu)成本罪。6.零信任架構(gòu)的關(guān)鍵組件包括？A.身份認(rèn)證中心（IAM）B.軟件定義邊界（SDP）C.網(wǎng)絡(luò)防火墻D.設(shè)備健康狀態(tài)檢測答案：ABD解析：零信任依賴身份（IAM）、訪問控制（SDP）、設(shè)備狀態(tài)（如是否安裝補(bǔ)丁、是否感染病毒）等動態(tài)驗(yàn)證；傳統(tǒng)防火墻基于邊界防御，非零信任核心組件。7.以下哪些屬于數(shù)據(jù)脫敏的常用技術(shù)？A.替換（如將“1381234”替換手機(jī)號）B.加密（如對身份證號進(jìn)行AES加密）C.泛化（如將“25歲”改為“20-30歲”）D.隨機(jī)化（如將真實(shí)姓名隨機(jī)生成虛構(gòu)姓名）答案：ACD解析：數(shù)據(jù)脫敏是對敏感信息進(jìn)行變形處理，使其無法識別特定個體，包括替換、泛化、隨機(jī)化等；加密屬于數(shù)據(jù)保護(hù)技術(shù)（需密鑰還原），不屬于脫敏（脫敏后數(shù)據(jù)不可還原）。8.依據(jù)《網(wǎng)絡(luò)安全審查辦法》，網(wǎng)絡(luò)安全審查重點(diǎn)評估的因素包括？A.產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、干擾或破壞的風(fēng)險(xiǎn)B.產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的影響C.產(chǎn)品和服務(wù)的市場占有率D.產(chǎn)品和服務(wù)收集、存儲、處理數(shù)據(jù)的種類、范圍、數(shù)量和方式答案：ABD解析：《網(wǎng)絡(luò)安全審查辦法》第十條規(guī)定，重點(diǎn)評估因素包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)等；市場占有率非審查重點(diǎn)。9.以下哪些攻擊方式可被入侵檢測系統(tǒng)（IDS）檢測到？A.暴力破解服務(wù)器SSH賬號B.內(nèi)網(wǎng)主機(jī)感染勒索病毒后加密文件C.外部IP嘗試連接內(nèi)網(wǎng)445端口（SMB）D.員工通過USB存儲設(shè)備拷貝機(jī)密文件答案：AC解析：IDS通過分析網(wǎng)絡(luò)流量檢測異常行為（如大量SSH登錄失敗、異常端口連接）；勒索病毒加密文件（主機(jī)層面）需主機(jī)入侵檢測（HIDS）或EDR；USB拷貝（物理渠道）超出網(wǎng)絡(luò)IDS監(jiān)測范圍。10.量子通信的主要應(yīng)用場景包括？A.銀行核心交易系統(tǒng)密鑰傳輸B.軍事指揮系統(tǒng)絕密信息傳遞C.普通網(wǎng)民的社交軟件聊天D.物聯(lián)網(wǎng)設(shè)備的定期狀態(tài)上報(bào)答案：AB解析：量子通信（如量子密鑰分發(fā)）適用于高安全需求場景（金融、軍事），因其成本高、技術(shù)復(fù)雜，暫不適用于普通社交或低安全需求的物聯(lián)網(wǎng)設(shè)備。三、判斷題（每題1分，共10題）1.網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。（）答案：√解析：《網(wǎng)絡(luò)安全法》第二十一條明確要求網(wǎng)絡(luò)運(yùn)營者落實(shí)等級保護(hù)制度，履行相應(yīng)義務(wù)。2.個人信息的處理包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為。（）答案：√解析：《個人信息保護(hù)法》第四條定義“處理”包括收集、存儲、使用等全生命周期行為。3.為提升用戶體驗(yàn)，物聯(lián)網(wǎng)設(shè)備可以默認(rèn)開啟所有功能和服務(wù)端口。（）答案：×解析：默認(rèn)開啟所有端口會增加攻擊面，應(yīng)遵循“最小化原則”，僅開啟必要服務(wù)。4.區(qū)塊鏈技術(shù)的不可篡改性意味著鏈上數(shù)據(jù)絕對安全，無需額外保護(hù)。（）答案：×解析：區(qū)塊鏈僅保證數(shù)據(jù)上鏈后不可篡改，但鏈下數(shù)據(jù)采集、私鑰管理等環(huán)節(jié)仍存在安全風(fēng)險(xiǎn)（如私鑰泄露導(dǎo)致資產(chǎn)轉(zhuǎn)移）。5.員工使用個人手機(jī)接入企業(yè)VPN訪問內(nèi)部系統(tǒng)時，企業(yè)無需對手機(jī)進(jìn)行安全檢測。（）答案：×解析：零信任架構(gòu)要求對所有接入設(shè)備（包括個人設(shè)備）進(jìn)行健康狀態(tài)檢測（如是否安裝殺毒軟件、是否越獄/ROOT），防止設(shè)備漏洞威脅內(nèi)網(wǎng)安全。6.數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告和處理措施記錄應(yīng)當(dāng)至少保存三年。（）答案：×解析：《數(shù)據(jù)安全法》第三十一條規(guī)定，風(fēng)險(xiǎn)評估報(bào)告和處理記錄應(yīng)至少保存二年（非三年）。7.網(wǎng)絡(luò)安全事件發(fā)生的風(fēng)險(xiǎn)增大時，省級以上人民政府有關(guān)部門可以采取在特定區(qū)域內(nèi)暫時關(guān)閉特定網(wǎng)絡(luò)端口等措施。（）答案：√解析：《網(wǎng)絡(luò)安全法》第五十五條規(guī)定，風(fēng)險(xiǎn)增大時，省級以上有關(guān)部門可采取關(guān)閉端口、限制通信等臨時措施。8.電子郵件的“已讀回執(zhí)”功能可以確保接收方實(shí)際閱讀了郵件內(nèi)容。（）答案：×解析：已讀回執(zhí)依賴接收方郵件客戶端支持，且可被手動關(guān)閉或通過技術(shù)手段繞過（如使用不支持回執(zhí)的客戶端），無法保證實(shí)際閱讀。9.工業(yè)控制系統(tǒng)（ICS）的安全優(yōu)先于功能，因此可以犧牲部分生產(chǎn)效率保障安全。（）答案：√解析：工業(yè)安全需平衡功能與安全，但當(dāng)安全風(fēng)險(xiǎn)威脅生產(chǎn)安全（如惡意指令導(dǎo)致設(shè)備失控）時，應(yīng)優(yōu)先保障安全。10.生成式AI模型訓(xùn)練使用的開源數(shù)據(jù)無需進(jìn)行知識產(chǎn)權(quán)審查，因?yàn)殚_源即允許自由使用。（）答案：×解析：開源協(xié)議（如GPL、MIT）對使用方式有明確限制（如署名、二次分發(fā)需開源），訓(xùn)練生成式AI可能涉及違反協(xié)議或侵犯版權(quán)（如未授權(quán)使用受版權(quán)保護(hù)的內(nèi)容）。四、案例分析題（每題10分，共2題）案例1：某醫(yī)療科技公司開發(fā)了一款A(yù)I輔助診斷APP，收集用戶姓名、身份證號、病歷資料（含診斷結(jié)果、影像數(shù)據(jù)）等信息。用戶注冊時，隱私政策僅籠統(tǒng)說明“收集必要個人信息用于診斷服務(wù)”，未具體列明收集的信息類型和用途。部分用戶發(fā)現(xiàn)，APP在后臺自動上傳未授權(quán)的手機(jī)相冊照片（含非醫(yī)療相關(guān)的生活照）。問題：該公司的行為違反了哪些網(wǎng)絡(luò)安全相關(guān)法律法規(guī)？應(yīng)承擔(dān)哪些責(zé)任？解析：（1）違反《個人信息保護(hù)法》：①未履行明確告知義務(wù)（第十七條要求“以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地告知個人信息的種類、用途”）；②超范圍收集個人信息（第二十六條規(guī)定“不得過度收集個人信息”，后臺上傳未授權(quán)的生活照屬于超出“診斷服務(wù)”必要范圍）；③未取得用戶對敏感個人信息（病歷、影像數(shù)據(jù)）的單獨(dú)同意（第二十九條要求處理敏感信息需單獨(dú)同意）。（2）違反《網(wǎng)絡(luò)安全法》：未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)（第二十二條要求“采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全”，后臺自動上傳行為可能因權(quán)限