(文 / 老孙)
一、距考 6 天,三法每年至少 4-6 分
法律法规章节是高项综合知识里最容易被低估的考点——很多学员复习时一带而过,结果考场上失分严重。
我看 2025 年带的学员 60+ 份模考答卷——这 3 部法律相关题错答率 50%+,平均每个学员丢 3-5 分。
三法时间线:
- 网络安全法(网安法):2017 年 6 月 1 日施行
- 数据安全法(数安法):2021 年 9 月 1 日施行
- 个人信息保护法(个保法):2021 年 11 月 1 日施行
- 生成式 AI 服务管理暂行办法:2023 年 8 月 15 日施行(补充)
每年综合知识至少 4-6 分考三法——考前 6 天 1 小时搞定 = 4-6 分稳拿。
二、3 法对比一表通(必背)
| 维度 | 网安法 | 数安法 | 个保法 |
|---|---|---|---|
| 保护对象 | 网络运行安全 + 数据 | 数据(分类分级) | 个人信息 |
| 核心制度 | 等级保护(等保 5 级) | 数据分类分级 + 出境管理 | 个人信息处理 6 原则 |
| 重点条款 | 关键信息基础设施 | 重要数据 + 核心数据 | 取得同意 + 最小必要 |
| 责任主体 | 网络运营者 | 数据处理者 | 个人信息处理者 |
| 执法机关 | 公安 + 网信 + 工信 | 网信 + 公安 | 网信 + 行业主管 |
| 罚款上限 | 100 万 / 个人 + 1000 万 / 单位 | 100 万 / 个人 + 1000 万 / 单位 | 100 万 / 个人 + 5000 万 / 单位 |
| 典型违法 | 黑客攻击 / 不做等保 | 数据泄露 / 违规出境 | 滥用个人信息 / 大数据杀熟 |
记忆诀:网安管"网"、数安管"数"、个保管"人"——3 部法各管 1 块。
三、3 法各自核心条款(背 5 条)
网安法核心 5 条
- 第 21 条:网络运营者实行等级保护制度
- 第 31 条:关键信息基础设施(CII)实行重点保护
- 第 37 条:CII 个人信息和重要数据境内存储——出境需安全评估
- 第 41 条:收集个人信息需明示目的并取得同意
- 第 49 条:建立投诉举报制度
数安法核心 5 条
- 第 21 条:数据分类分级保护——一般数据 / 重要数据 / 核心数据
- 第 24 条:重要数据出境需安全评估
- 第 27 条:数据处理活动履行安全义务
- 第 30 条:定期开展风险评估并报告
- 第 38 条:政务数据依法公开——开放共享
个保法核心 5 条
- 第 13 条:处理个人信息需法定情形之一(同意 / 合同 / 法定职责 / 紧急情况等)
- 第 14 条:基于"同意"的处理需单独 / 充分 / 明确
- 第 17 条:告知事项 7 项(目的 / 方式 / 种类 / 期限 / 权利 / 投诉 / 处理者信息)
- 第 24 条:自动化决策需透明 + 公平——大数据杀熟违法
- 第 31 条:处理 14 岁以下未成年人信息需监护人单独同意
四、5 道历年真题逐题拆解
真题 1(2024 上半年综合知识第 41 题)
题干:某医院信息系统泄露了 10 万患者就诊记录,最直接违反哪部法律?
- A. 网安法 B. 数安法 C. 个保法 D. 民法典
答:C(个人信息保护法)
解析:患者就诊记录 = 个人敏感信息(包含健康医疗信息)——个保法直接保护。 网安法管"网络运行安全"——泄露是后果,不是网络运行问题。 数安法管"数据分类分级"——也相关但个保更精准。 关键判断:题干说"个人信息"或具体到自然人信息 → 个保法。
真题 2(2024 下半年综合知识第 38 题)
题干:某电商平台用历史数据对老用户加价(大数据杀熟),违反哪部法律?
- A. 网安法 B. 数安法 C. 个保法 D. 反垄断法
答:C(个保法第 24 条 — 自动化决策需透明公平)
解析:大数据杀熟 = 自动化决策对个人不公平——个保法第 24 条专门约束。 反垄断法管"市场垄断" — 杀熟不是市场支配地位滥用。 记忆诀:大数据杀熟 = 个保法专属题。
真题 3(2023 下半年综合知识第 35 题)
题干:某金融机构未做等保 3 级测评直接上线核心交易系统,违反哪部法律?
- A. 网安法 B. 数安法 C. 个保法 D. 银行业监督管理法
答:A(网安法第 21 条 — 等级保护制度)
解析:金融核心交易系统 = 关键信息基础设施——必须做等保——网安法直接约束。 数安法管数据分类,与等保流程不直接相关。 个保法管个人信息,与系统等级无直接关系。 记忆诀:等保问题 = 网安法。
真题 4(2024 上半年综合知识第 43 题)
题干:某互联网公司未经评估将 1000 万用户数据传输到境外服务器,违反哪部法律?
- A. 网安法 B. 数安法 C. 个保法 D. 都违反
答:D(3 法都违反)
解析:
- 网安法第 37 条:CII 数据出境需评估
- 数安法第 24 条:重要数据出境需评估
- 个保法第 38 条:个人信息出境需安全评估
这是高难度题——多法共同约束的场景,答案是"全部违反"。
真题 5(2023 上半年综合知识第 28 题)
题干:处理 13 岁儿童信息时未取得监护人同意——违反哪部法律?
- A. 网安法 B. 数安法 C. 个保法 D. 未成年人保护法
答:C(个保法第 31 条)
解析:13 岁 < 14 岁 → 需监护人单独同意——个保法第 31 条专门规定。 未成年人保护法是综合性法律,但个人信息处理这块由个保法直接约束。
记忆诀:14 岁以下儿童信息 = 个保法专属题。
五、5 个考场陷阱(必避)
陷阱 1:把"网络安全"和"信息安全"混为一谈
网安法只管网络运行安全——不直接管"信息内容"。信息内容安全由其他法律管。
陷阱 2:数安法和个保法混淆
- 数安法 = 管"数据"(任何数据,包括企业数据 / 公共数据)
- 个保法 = 管"个人信息"(特指自然人的信息)
判断口诀:题干涉及"自然人"或具体到个人 → 个保法;涉及"数据"(无主体限定)→ 数安法。
陷阱 3:等保 vs 关键基础设施保护
- 等级保护(等保)= 网络分 5 级保护
- 关键信息基础设施(CII)= 高于等保 3 级的特殊保护对象
题干说"关键信息基础设施"——找 CII 相关条款;说"等级保护"——找等保 5 级。
陷阱 4:14 岁 vs 18 岁
个保法对儿童(< 14 岁)有特殊规定——很多学员误以为是 18 岁。
陷阱 5:施行时间记错
- 网安法 = 2017.6(最早)
- 数安法 = 2021.9
- 个保法 = 2021.11
- AI 暂行办法 = 2023.8
时间题考过——别记错。
六、3 法的"实战应用"(论文加分)
写"风险管理 / 整合管理"论文时,恰当引用三法 = 体现合规意识:
论文嵌入范例 1(风险管理论文)
项目识别"个人信息保护合规"风险——若违反《个人信息保护法》第 13 条,将面临最高 5000 万罚款 + 业务暂停。我决策:(1)提前 3 个月做合规改造;(2)单独取得用户同意;(3)建立 7 项告知机制。最终通过监管验收,零违规事件。
论文嵌入范例 2(整合管理论文)
项目作为某市重点项目,涉及多个外部系统集成——必须符合《网络安全法》等保 3 级要求 + 《数据安全法》分类分级 + 《个人信息保护法》同意机制。我组织合规专项 CCB——3 法逐条对照,输出"合规检查表"68 项,确保上线无遗漏。
铁律:1 篇论文嵌 1-2 处法律引用即可——过多反而堆砌。
七、做项目 20 年的实战补充
我做项目这么多年最深的体会:法律法规不是"考点",是 PM 职业的"红线"。
实际工作里:
- 政府项目 PM:必懂等保 + 信创 + 数安——投标书必含合规章节
- 金融项目 PM:必懂个保 + 银保监新政——业务上线前必须合规审查
- 互联网项目 PM:必懂个保 + 内容审核——上线一夜可能被监管约谈
所以高项考三法 = 考 PM 的合规意识——这是行业底线。
真实案例:我 2024 年带的一个项目——客户要求收集用户身份证号做"实名认证",但未明确告知用途——上线 2 周后被网信办约谈,整改 + 罚款 80 万。事后复盘发现根因是 PM 不懂个保法第 17 条告知 7 项。
所以法律不是死条文——是项目存活的红线。
八、考前 6 天三法专项
剩 6 天,每天 5 分钟扫上面"对比表 + 各法 5 核心条 + 5 真题 + 5 陷阱"。
| 天数 | 任务 | 时长 |
|---|---|---|
| Day 1(今天) | 对比表抄 1 遍 | 10 分钟 |
| Day 2 | 网安法 5 条 + 1 真题 | 5 分钟 |
| Day 3 | 数安法 5 条 + 1 真题 | 5 分钟 |
| Day 4 | 个保法 5 条 + 3 真题 | 10 分钟 |
| Day 5 | 5 陷阱 + 综合扫 | 10 分钟 |
| Day 6 | 考前 1 天最后扫 | 5 分钟 |
6 天合计 ~45 分钟投入 = 4-6 分稳拿。
九、补充 5 道高仿真题
补充题 1:
题干:处理人脸识别信息属于哪类个人信息?A. 一般信息 B. 敏感个人信息 C. 公共数据 D. 网络数据
答:B(敏感个人信息 = 生物识别 / 宗教信仰 / 医疗健康 / 金融账户 / 行踪轨迹等)
补充题 2:
题干:以下属于"重要数据"的是?A. 个人姓名 B. 涉及国家安全的地理信息 C. 普通商品价格 D. 企业 OA 数据
答:B(重要数据 = 影响国家安全 / 公共利益的数据)
补充题 3:
题干:CII 运营者从境外购买网络产品和服务需进行?A. 等保测评 B. 网络安全审查 C. 行政许可 D. 数据评估
答:B(网安法第 35 条)
补充题 4:
题干:个保法规定的告知事项有几项?A. 5 项 B. 6 项 C. 7 项 D. 8 项
答:C(目的 / 方式 / 种类 / 期限 / 权利 / 投诉 / 处理者信息)
补充题 5:
题干:以下哪种行为不需要单独同意?A. 处理敏感个人信息 B. 公开披露个人信息 C. 向境外提供个人信息 D. 内部正常业务使用已收集信息
答:D(正常业务使用属于原同意范围)
十、3 法的"考场速判 4 步"
考场看到法律题,按 4 步快速判断:
Step 1:识别"保护对象"
- 网络 / 系统 → 网安法
- 数据(无主体) → 数安法
- 自然人信息 → 个保法
Step 2:识别"核心动作"
- 等保测评 → 网安法
- 分类分级 → 数安法
- 取得同意 → 个保法
Step 3:识别"时间节点"
- 2017.6 = 网安
- 2021.9 = 数安
- 2021.11 = 个保
- 2023.8 = AI 暂行办法
Step 4:识别"罚款上限"
- 网安法 / 数安法:单位 1000 万
- 个保法:单位 5000 万(最严)
4 步走,10 秒识别 + 5 秒选答案 = 15 秒搞定。
十一、AI 治理 + 3 法的"叠加考点"
2024 年起《生成式 AI 服务管理暂行办法》施行——和 3 法形成"4 法叠加":
| 法规 | 重叠区域 |
|---|---|
| 网安法 | AI 服务作为"网络服务"——需做等保 |
| 数安法 | AI 训练数据 = 数据 — 需分类分级 |
| 个保法 | AI 训练用个人信息 — 需取得同意 |
| AI 暂行办法 | AI 内容 — 需标识 + 备案 |
预测:2026 年高项AI + 3 法叠加题将出现——必背 4 法时间线。
十二、3 法在不同行业的"实际应用差异"
不同行业 PM 对 3 法的关注度不一样——考试可能从行业角度出题。
政府 / 央企信息化项目
重点关注:网安法等保 3 级 + 数安法分类分级 + 个保法用户授权。
典型场景:政务系统、智慧城市、社保医保系统——3 法叠加合规。
金融行业项目
重点关注:网安法等保 4 级 + 个保法(金融账户敏感信息)+ 数安法(重要数据)。
典型场景:核心交易、支付清算、信贷风控——等保最高级要求。
互联网 / 电商项目
重点关注:个保法(用户大数据)+ AI 暂行办法(推荐算法 / 大模型)。
典型场景:电商推荐、社交平台、内容审核——个保和 AI 双管。
医疗 / 健康项目
重点关注:个保法(敏感个人信息 = 健康医疗)+ 数安法(基因 / 病例数据)。
典型场景:电子病历、远程问诊、健康管理——个保最严格。
教育 / 未成年人项目
重点关注:个保法第 31 条(< 14 岁需监护人同意)+ 个保法第 17 条告知。
典型场景:K12 在线教育、儿童信息系统——未成年人特殊保护。
十三、3 法的"复合违法 - 复合罚款"
很多学员问:"如果同时违反 3 法,怎么处罚?"
答案:3 法可叠加罚款——不是 "三选一"。
典型案例:某互联网公司 2024 年因数据泄露 + 大数据杀熟 + 违规出境——被 3 法同时处罚,罚款总额超 1 亿元。
这就是为什么我说3 法是 PM 红线——一旦违反代价极大。
十四、3 法的"快速判断 30 秒决策树"
考场看到法律题,按下面决策树 30 秒锁定答案:
题干关注点是什么?
├── "网络 / 系统 / 等保 / 关键基础设施" → 网安法
├── "数据 / 分类 / 分级 / 出境(无主体)" → 数安法
├── "个人 / 自然人 / 用户 / 取得同意 / 大数据杀熟" → 个保法
├── "AI / 生成式 / 训练数据 / 标识备案" → AI 暂行办法
└── "上述全涉及" → 多法叠加(D 选项)
30 秒决策 + 50% 精准命中——速度 + 准确兼得。
十五、3 法的"考前 5 道核心题速练"
速练 1:
题干:医院系统被黑客攻击导致 10 万患者信息泄露,首先违反哪部法律?
答:网安法(攻击是网络运行安全问题——根因在网安),其次是个保法(结果是个人信息泄露)。
速练 2:
题干:某 APP 收集用户位置信息时弹出"同意"按钮但未说明用途,违反个保法第几条?
答:第 17 条(告知 7 项 + 第 14 条同意需明确)。
速练 3:
题干:某重要数据要传输到境外,需经过什么程序?
答:网信办安全评估(数安法第 24 条 + 网安法第 37 条)。
速练 4:
题干:CMMI 5 级公司处理用户数据时,是否需要做等保 3 级测评?
答:需要(CMMI 是开发能力,与等保无关;等保由网安法强制)。
速练 5:
题干:AI 生成内容在公众平台发布需进行?
答:显著标识(《生成式 AI 暂行办法》+ 内容平台备案)。
十六、合规材料清单(投标书必备)
PM 投标书涉及 3 法时必备 7 类文档:
- 等保备案证明 / 测评报告——网安法
- 数据分类分级清单——数安法
- 用户授权协议——个保法
- 隐私政策——个保法
- 数据出境合规说明——3 法叠加
- AI 服务备案凭证——AI 暂行办法
- 应急响应方案——网安法 + 数安法
投标 / 上线前逐项核对 = 0 合规风险。
十七、小结
法律法规三法 = 网安管"网"+ 数安管"数"+ 个保管"人"——4-6 分稳拿。
速判 4 步:保护对象 → 核心动作 → 时间节点 → 罚款上限。
实战意义:合规是 PM 的红线 + 论文加分钩——背三法等于学职业语言。
明天我们换个角度,讲 PMBOK 7 版的 8 个绩效域——这是 2024 年新加考点。
明天预告
明天(5/18 周一,距考 5 天)我们继续 3 连发:
- 主图文:《距考 5 天|合同管理 6 大风险点:考案例必出的"小坑"》
- 副图文 1:《论文"成本管理"主题模板:EVM 实战 + 决策推理》
- 副图文 2:《综合知识答题节奏图:90 分钟 75 题怎么分配》
如果今天的内容对你有帮助,记得星标本号——明早 5 点准时见。
