2025年大數據合規(guī)試題及答案一、單項選擇題（每題1分，共30分。每題只有一個正確答案，請將正確選項字母填入括號內）1.根據《個人信息保護法》第四十條，處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者，應當（）。A.向省級公安機關備案B.指定個人信息保護負責人并公開聯(lián)系方式C.每季度開展一次自評估D.將數據存儲在境內私有云即可答案：B2.2024年7月，國家網信辦發(fā)布《數據出境安全評估辦法（修訂稿）》，將“累計向境外提供10萬人個人信息”的評估觸發(fā)閾值調整為（）。A.1萬人B.5萬人C.10萬人D.50萬人答案：A3.某金融App在2025年1月因“強制收集人臉信息用于會員營銷”被工信部通報，其直接違反的合規(guī)基線是（）。A.最小必要原則B.正當必要原則C.公開透明原則D.質量保障原則答案：A4.根據《網絡數據安全管理條例（征求意見稿）》第三十一條，大型平臺運營者利用算法推薦向未成年人推送商品，應當同時提供（）。A.關閉選項并顯著提示B.家長二次驗證通道C.未成年人模式入口D.一鍵舉報按鈕答案：C5.2025年3月，某跨境電商平臺收到歐盟監(jiān)管機構GDPR第58條調查問卷，其中國倉庫是否適用GDPR的核心判斷標準是（）。A.服務器物理位置B.數據控制者注冊地C.是否向歐盟境內數據主體提供商品服務D.是否使用歐盟境內支付通道答案：C6.根據《汽車數據安全管理若干規(guī)定（試行）》，整車廠對車外視頻數據進行匿名化后，仍需履行的義務是（）。A.向省級工信部門備案B.取得被拍攝行人明示同意C.建立數據出境評估臺賬D.在車載終端顯示采集提示答案：D7.2025年5月，某三甲醫(yī)院將科研脫敏后的基因數據上傳至第三方云平臺，其合規(guī)前提是（）。A.取得倫理批件且基因數據不可復原B.與云平臺簽署HIPAA業(yè)務伙伴協(xié)議C.向國家衛(wèi)健委申請基因數據出境許可D.將數據拆分為小于100KB片段答案：A8.根據《個人信息保護法》第十三條，員工考勤人臉識別最可能適用的合法性基礎是（）。A.履行法定職責B.取得個人同意C.人力資源管理必需D.公共利益報道答案：C9.2025年4月，某省通管局對違規(guī)App開出200萬元罰單，處罰依據直接引用的是（）。A.《網絡安全法》第六十四條B.《個人信息保護法》第六十六條C.《數據安全法》第四十五條D.《電信條例》第三十一條答案：B10.在數據分類分級實踐中，國家推薦標準GB/T436972024將“個人敏感信息”定為（）級。A.2B.3C.4D.5答案：C11.2025年2月，某AI公司使用境外開源語料訓練大模型，被質疑違規(guī)處理個人信息，其首要合規(guī)動作應是（）。A.立即刪除全部語料B.開展個人信息影響評估（PIA）C.向網信部門申請算法備案D.發(fā)布公開道歉聲明答案：B12.根據《數據安全法》第二十七條，開展重要數據共享時，數據處理者應當采取的合規(guī)措施不包括（）。A.明確雙方數據安全責任B.約定數據出境場景C.對接收方進行安全認證D.向主管部門事前審批答案：D13.2025年6月，某市發(fā)布《公共數據授權運營管理辦法》，允許社會資本運營醫(yī)療數據，前提條件是（）。A.數據不得包含個人信息B.運營主體必須為國企C.通過“數據產品”形式交易D.經市人大立法授權答案：C14.在個人信息侵權民事糾紛中，法院適用“舉證責任倒置”的規(guī)則來源于（）。A.《民法典》第一千零三十四條B.《個人信息保護法》第六十九條C.《電子商務法》第二十三條D.《消費者權益保護法》第二十九條答案：B15.2025年3月，某短視頻平臺上線“AI換臉”特效，用戶上傳照片后即生成視頻，該平臺必須履行的義務是（）。A.對照片進行哈希加密B.取得肖像權人單獨同意C.將數據留存3年備查D.向文旅部申請網絡文化許可答案：B16.根據《個人信息出境標準合同辦法》，雙方應在合同簽署后（）個工作日內向省級網信部門備案。A.5B.7C.10D.15答案：C17.2025年1月，某銀行因“算法歧視老年人貸款利率”被央行約談，其整改首要環(huán)節(jié)是（）。A.關閉全部算法模型B.開展算法合規(guī)審計C.向老年客戶賠償差價D.向銀保監(jiān)會申請新業(yè)務備案答案：B18.在數據跨境傳輸技術管控中，國家推薦使用的數據出境網關應部署在（）。A.企業(yè)DMZ區(qū)B.運營商骨干節(jié)點C.省級政務云D.國家互聯(lián)網交換中心答案：B19.2025年4月，某IoT廠商默認開啟“語音喚醒”功能，被消協(xié)提起公益訴訟，其抗辯理由最不可能被法院采信的是（）。A.已在說明書第47頁告知B.語音數據僅在本地處理C.用戶可一鍵關閉D.行業(yè)標準均默認開啟答案：A20.根據《個人信息保護法》第二十五條，處理已公開個人信息時，若對個人權益有（）影響，應取得個人同意。A.輕微B.一般C.重大D.任何答案：C21.2025年5月，某高校將學生成績數據共享給校企合作單位，未做匿名化，被認定為違規(guī)，其根本原因是（）。A.未履行告知義務B.超出授權范圍共享C.未進行安全評估D.未獲得學生書面同意答案：B22.在數據安全能力成熟度模型（DSMM）中，達到“定義級”的企業(yè)必須建立（）。A.數據安全委員會B.數據資產清單C.數據出境白名單D.數據安全考核指標答案：D23.2025年2月，某云服務商通過ISO27701認證，其證書可直接用于證明其（）。A.重要數據保護能力B.個人信息管理體系完備性C.跨境數據合規(guī)性D.關鍵信息基礎設施保護水平答案：B24.根據《網絡安全審查辦法》第十條，掌握超過（）萬用戶個人信息的平臺赴國外上市，必須申報網絡安全審查。A.50B.100C.500D.1000答案：B25.2025年6月，某生物公司委托第三方實驗室分析人類遺傳資源，其必須事先通過（）審批。A.科技部人類遺傳資源管理辦公室B.國家衛(wèi)健委科教司C.國家藥監(jiān)局D.教育部科技司答案：A26.在App個人信息保護合規(guī)評估中，被判定為“未經同意收集設備MAC地址”屬于（）類問題。A.無隱私政策B.超范圍收集C.頻繁索權D.強制收集答案：B27.2025年4月，某市監(jiān)局對違法買賣個人信息的中介機構處以營業(yè)額5%罰款，其直接依據是（）。A.《個人信息保護法》第七十條B.《數據安全法》第四十七條C.《刑法》第二百五十三條之一D.《反不正當競爭法》答案：A28.根據《個人信息出境標準合同》，境外接收方再轉移個人信息時，應確保簽署方提供（）水平的保護。A.等同B.更高C.不低于D.嚴格答案：C29.2025年3月，某車企在德國設立數據中心，用于存儲中國用戶數據，其仍需遵守中國法律的原因是（）。A.屬人管轄B.屬地管轄C.保護管轄D.效果管轄答案：D30.在數據合規(guī)體系建設中，被稱為“第一道防線”的是（）。A.內審部門B.法務部門C.業(yè)務部門D.信息安全部門答案：C二、多項選擇題（每題2分，共20分。每題有兩個或兩個以上正確答案，多選、少選、錯選均不得分）31.以下哪些情形屬于《個人信息保護法》規(guī)定的“敏感個人信息”（）。A.14歲以下未成年人的個人信息B.精準定位軌跡C.支付密碼D.健身步數答案：A、B、C32.2025年5月，某App在隱私政策中披露“與關聯(lián)公司共享”，但仍被通報，可能遺漏的要素包括（）。A.關聯(lián)公司名稱B.共享目的C.共享方式D.用戶撤銷機制答案：A、B、C、D33.根據《數據安全法》第三十條，國家建立數據分類分級保護制度，重要數據特征包括（）。A.涉及國家安全B.涉及國民經濟命脈C.涉及重大公共利益D.涉及企業(yè)商業(yè)秘密答案：A、B、C34.2025年4月，某AI繪畫平臺被訴侵權，其抗辯理由可包括（）。A.已刪除爭議作品B.適用合理使用條款C.訓練數據已脫敏D.獲得作者集體授權答案：A、B、D35.在個人信息出境場景下，標準合同與認證機制的主要區(qū)別有（）。A.適用主體規(guī)模B.是否需第三方審計C.是否向監(jiān)管部門備案D.是否可再轉移答案：A、B、C36.2025年6月，某政務App上線“一碼通”，需收集用戶身份證、人臉、指紋，其合規(guī)要點包括（）。A.單獨告知生物識別信息用途B.提供替代驗證方式C.取得明示同意D.數據不出境答案：A、B、C、D37.根據《網絡數據安全管理條例（征求意見稿）》，互聯(lián)網平臺在合并重組時，數據接收方應履行的義務有（）。A.重新取得個人信息主體同意B.向省級以上網信部門報告C.開展數據安全評估D.發(fā)布數據承接公告答案：A、B、C38.2025年3月，某醫(yī)療AI公司使用聯(lián)邦學習技術訓練模型，其合規(guī)優(yōu)勢包括（）。A.原始數據不出域B.降低泄露風險C.無需取得患者同意D.符合最小必要原則答案：A、B、D39.在數據合規(guī)審計中，被視為“高風險操作”的有（）。A.批量導出用戶個人信息B.運維人員無審批訪問數據庫C.第三方遠程調試未脫敏數據D.日志留存不足6個月答案：A、B、C40.2025年7月，某跨國企業(yè)擬在華設立數據中心，需考慮的中國合規(guī)要素包括（）。A.數據本地化要求B.網絡安全審查C.重要數據識別D.出口管制清單答案：A、B、C三、判斷題（每題1分，共10分。正確打“√”，錯誤打“×”）41.根據《個人信息保護法》，個人信息處理者只要取得個人同意，即可任意向境外提供個人信息。（）答案：×42.2025年1月起，所有App必須通過工信部備案系統(tǒng)提交個人信息保護合規(guī)報告，否則下架。（）答案：√43.匿名化信息因無法識別個人，故不受《個人信息保護法》約束。（）答案：√44.數據出境安全評估結果為“不予出境”的，企業(yè)可在整改后再次申報。（）答案：√45.2025年6月，國家市場監(jiān)管總局發(fā)布指南，明確“算法推薦”必須提供關閉鍵，且不得少于兩次提示。（）答案：×46.根據《數據安全法》，國家鼓勵數據依法自由流動，但不得危害國家安全。（）答案：√47.個人信息處理者委托第三方處理個人信息時，無需對第三方進行監(jiān)督。（）答案：×48.2025年3月，央行發(fā)布《金融數據安全分級指南》，將“交易密碼”定為4級核心數據。（）答案：√49.在刑事偵查中，公安機關調取個人信息無需任何審批手續(xù)。（）答案：×50.2025年5月，國務院宣布在粵港澳大灣區(qū)試點“數據海關”，允許科研數據跨境自由流動。（）答案：√四、簡答題（每題10分，共20分）51.簡述2025年新版《個人信息出境標準合同》相比2023版的三項主要變化，并說明對企業(yè)合規(guī)流程的影響。答案：（1）細化再轉移場景：2025版要求境外接收方再轉移個人信息時，必須提供同等保護水平的書面承諾，并增加再轉移記錄保存5年義務；企業(yè)需在合同中追加再轉移審計條款，建立第三方再轉移臺賬。（2）引入技術審計權：監(jiān)管方有權委托第三方對境外接收方進行技術審計，企業(yè)需在合同中預留接口并承擔配合義務；合規(guī)流程需提前評估境外接收方IT架構的可審計性，必要時引入SOC2報告。（3）增加大額賠償機制：2025版將違約金上限從100萬元提升至“上一會計年度營業(yè)利潤5%”，并引入集團連帶責任；企業(yè)需重新評估保險額度，購買不低于5000萬元的數據出境責任險，同時建立集團內賠償資金池。52.2025年4月，某自動駕駛公司計劃將在中國路測收集的激光雷達原始點云數據出境至美國研發(fā)中心，請列出必須完成的合規(guī)步驟，并說明每一步的法律依據。答案：（1）識別重要數據：依據《汽車數據安全管理若干規(guī)定》第五條，車外視頻、圖像、點云數據被納入“重要數據”，需先向省級工信部門申報識別。（2）開展數據出境風險自評估：依據《數據出境安全評估辦法》第八條，評估重點包括出境必要性、接收方保護能力、再轉移風險、個人權益影響；自評估報告需保存3年。（3）申請安全評估：因數據含連續(xù)空間坐標，屬于重要數據，依據《數據安全法》第三十一條，必須通過國家網信辦安全評估，評估周期60個工作日。（4）取得個人信息單獨同意：若點云含車牌、人臉，依據《個人信息保護法》第二十九條，需取得個人信息主體單獨同意，并在隱私政策中提供“撤回同意”通道。（5）簽署標準合同并備案：若評估結論為“限制出境”，需依據《個人信息出境標準合同辦法》簽署合同，并在10個工作日內向省級網信部門備案。（6）技術管控：部署國家認證的數據出境網關，對原始點云進行AES256加密及數字水印，確保可追溯；依據《網絡數據安全管理條例（征求意見稿）》第三十八條。（7）持續(xù)合規(guī)監(jiān)測：每兩年復評一次，若美國接收方被美政府要求強制披露數據，需啟動數據跨境事件報告，依據《數據安全法》第四十一條在24小時內向國家網信辦報告。五、案例分析題（20分）53.背景：“健康云”是2025年市場占有率第一的互聯(lián)網醫(yī)療App，注冊用戶1.2億，日活3200萬。2025年6月，媒體曝光其“健康手環(huán)”SDK在后臺持續(xù)讀取用戶心率、步數、GPS軌跡，并在每日凌晨2點將加密數據上傳至新加坡服務器。經檢測，SDK未在隱私政策中單獨告知生物識別信息收集，且未提供關閉選項。用戶李某提起公益訴訟，要求停止侵權、刪除數據、賠償1億元。國家網信辦隨后啟動調查，發(fā)現(xiàn)“健康云”未進行數據出境安全評估，未備案標準合同，且新加坡接收方將數據再轉移至美國母公司。問題：（1）請指出“健康云”違反的五項具體法律條款，并說明違法構成要件。（10分）（2）結合2025年監(jiān)管實踐，預測國家網信辦、工信部、消協(xié)分別可能采取的處罰措施，并估算罰款區(qū)間。（6分）（3）為“健康云”設計一份72小時危機應對時間表，列出關鍵動作、責任部門及輸出物。（4分）答案：（1）①《個人信息保護法》第二十九條：處理敏感個人信息未取得單獨同意，構成要件：生物識別信息屬于敏感個人信息，未履行單獨告知+明示同意。②《個人信息保護法》第三十八條：向境外提供個人信息未通過安全評估/認證/標準合同，構成要件：數據出境行為客觀存在，且未滿足三項法定路徑之一。③《數據安全法》第三十一條：重要數據出境未申報安全評估，構成要件：心率、GPS軌跡被《網絡數據安全管理條例》界定為重要數據，未評