2026年健康醫(yī)療數(shù)據(jù)保護與風(fēng)險管理試題一、單選題（共10題，每題2分，合計20分）1.根據(jù)中國《個人信息保護法》，以下哪項不屬于敏感個人信息的范疇？A.精神疾病診斷記錄B.身份證號碼C.職業(yè)信息D.財務(wù)賬戶信息2.在美國HIPAA框架下，以下哪個角色主要負責(zé)確保醫(yī)療機構(gòu)遵守數(shù)據(jù)隱私規(guī)定？A.CISO（首席信息安全官）B.CIO（首席信息官）C.CPO（首席隱私官）D.CHRO（首席人力資源官）3.歐盟GDPR對健康醫(yī)療數(shù)據(jù)的跨境傳輸提出了哪些要求？A.僅需獲得數(shù)據(jù)主體同意B.必須通過標(biāo)準合同條款（SCCs）C.僅限在歐盟境內(nèi)處理D.由數(shù)據(jù)出口國政府批準4.以下哪種加密技術(shù)最適合用于保護存儲在數(shù)據(jù)庫中的電子病歷（EHR）？A.對稱加密B.非對稱加密C.哈希加密D.軟件加密5.中國《網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者發(fā)生重大數(shù)據(jù)泄露時，應(yīng)在多少小時內(nèi)向網(wǎng)信部門報告？A.2小時B.4小時C.6小時D.8小時6.在健康醫(yī)療數(shù)據(jù)風(fēng)險評估中，以下哪個屬于“風(fēng)險敞口”的衡量指標(biāo)？A.數(shù)據(jù)訪問權(quán)限數(shù)量B.數(shù)據(jù)丟失概率C.單位數(shù)據(jù)價值D.員工培訓(xùn)次數(shù)7.根據(jù)HIPAA，醫(yī)療機構(gòu)若未能采取合理措施保護患者數(shù)據(jù)，將面臨何種處罰？A.警告函B.財政罰款C.監(jiān)管停業(yè)D.以上所有8.在中國，醫(yī)療機構(gòu)對外提供健康醫(yī)療數(shù)據(jù)時，必須獲得哪方授權(quán)？A.患者本人B.醫(yī)療機構(gòu)負責(zé)人C.衛(wèi)生行政部門D.數(shù)據(jù)接收方9.以下哪項不屬于《健康醫(yī)療數(shù)據(jù)安全管理規(guī)范》（GB/T35273）的合規(guī)要求？A.數(shù)據(jù)分類分級B.數(shù)據(jù)脫敏處理C.數(shù)據(jù)跨境傳輸審批D.數(shù)據(jù)銷毀流程10.根據(jù)ISO27001標(biāo)準，健康醫(yī)療組織應(yīng)建立哪項機制以持續(xù)監(jiān)控數(shù)據(jù)安全狀態(tài)？A.風(fēng)險評估流程B.安全審計制度C.數(shù)據(jù)備份計劃D.員工行為規(guī)范二、多選題（共5題，每題3分，合計15分）1.中國《個人信息保護法》規(guī)定的健康醫(yī)療數(shù)據(jù)處理原則包括哪些？A.最小必要原則B.公開透明原則C.存量處理原則D.安全處置原則2.美國HIPAA對健康醫(yī)療數(shù)據(jù)安全的要求涉及哪些方面？A.訪問控制B.數(shù)據(jù)加密C.漏洞修復(fù)D.患者權(quán)利保障3.歐盟GDPR中與數(shù)據(jù)保護官（DPO）相關(guān)的職責(zé)包括哪些？A.監(jiān)督合規(guī)性B.提供建議C.調(diào)查違規(guī)D.負責(zé)數(shù)據(jù)主體請求4.健康醫(yī)療數(shù)據(jù)風(fēng)險管理應(yīng)考慮哪些要素？A.數(shù)據(jù)分類B.漏洞評估C.業(yè)務(wù)連續(xù)性D.法律合規(guī)5.在中國，醫(yī)療機構(gòu)若需向境外提供健康醫(yī)療數(shù)據(jù)，必須滿足哪些條件？A.獲得患者書面同意B.簽訂標(biāo)準合同條款C.通過安全評估D.報告衛(wèi)生健康部門三、判斷題（共10題，每題1分，合計10分）1.中國《網(wǎng)絡(luò)安全法》規(guī)定，任何單位和個人不得非法收集、存儲健康醫(yī)療數(shù)據(jù)。（√）2.美國HIPAA允許醫(yī)療機構(gòu)在未獲得患者同意的情況下，將數(shù)據(jù)用于科研目的。（×）3.歐盟GDPR要求企業(yè)必須指定數(shù)據(jù)保護官（DPO），除非其處理量較小。（√）4.中國《個人信息保護法》規(guī)定，敏感個人信息的處理需獲得“單獨同意”。（√）5.健康醫(yī)療數(shù)據(jù)加密僅適用于傳輸過程，不適用于存儲環(huán)節(jié)。（×）6.美國HIPAA要求醫(yī)療機構(gòu)對非授權(quán)訪問進行審計，但無需通知患者。（×）7.歐盟GDPR規(guī)定，數(shù)據(jù)跨境傳輸需獲得數(shù)據(jù)主體明確同意，無需其他條件。（×）8.中國《網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者必須采用“零信任”架構(gòu)。（×）9.健康醫(yī)療數(shù)據(jù)風(fēng)險評估只需每年進行一次即可。（×）10.ISO27001要求組織必須建立數(shù)據(jù)分類分級制度。（√）四、簡答題（共5題，每題5分，合計25分）1.簡述中國《個人信息保護法》中“告知-同意”原則在健康醫(yī)療數(shù)據(jù)處理中的具體要求。2.比較美國HIPAA和歐盟GDPR在數(shù)據(jù)跨境傳輸方面的主要差異。3.解釋健康醫(yī)療數(shù)據(jù)“匿名化”的概念及其法律意義。4.列舉三種常見的健康醫(yī)療數(shù)據(jù)安全漏洞類型，并說明其危害。5.說明醫(yī)療機構(gòu)如何通過“數(shù)據(jù)脫敏”技術(shù)降低健康醫(yī)療數(shù)據(jù)泄露風(fēng)險。五、論述題（共2題，每題10分，合計20分）1.結(jié)合中國和歐盟的法律法規(guī)，論述健康醫(yī)療數(shù)據(jù)跨境傳輸?shù)姆珊弦?guī)路徑。2.分析健康醫(yī)療組織如何通過“零信任”安全架構(gòu)提升數(shù)據(jù)保護能力，并舉例說明。答案與解析一、單選題1.C職業(yè)信息不屬于敏感個人信息，而精神疾病診斷記錄、身份證號碼和財務(wù)賬戶信息均屬于敏感范疇。2.CHIPAA要求醫(yī)療機構(gòu)指定CPO（首席隱私官）負責(zé)數(shù)據(jù)隱私合規(guī)，而CISO、CIO和CHRO職責(zé)不同。3.BGDPR要求跨境傳輸需通過標(biāo)準合同條款（SCCs）或獲得數(shù)據(jù)主體明確同意，但優(yōu)先采用SCCs。4.A對稱加密適用于數(shù)據(jù)庫加密，因其效率高且適合大量數(shù)據(jù)存儲。5.B中國《網(wǎng)絡(luò)安全法》要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者在4小時內(nèi)報告重大數(shù)據(jù)泄露。6.C數(shù)據(jù)價值是衡量風(fēng)險敞口的關(guān)鍵指標(biāo)，如高價值數(shù)據(jù)泄露將導(dǎo)致更大損失。7.DHIPAA允許警告、罰款或停業(yè)等處罰，視違規(guī)嚴重程度而定。8.A中國法律要求對外提供健康醫(yī)療數(shù)據(jù)必須獲得患者本人授權(quán)。9.C數(shù)據(jù)跨境傳輸審批屬于GDPR要求，而非中國GB/T35273標(biāo)準。10.BISO27001要求建立安全審計制度以持續(xù)監(jiān)控合規(guī)性。二、多選題1.A、B、D最小必要、公開透明和安全處置是核心原則，存量處理非法律要求。2.A、B、CHIPAA要求訪問控制、加密和漏洞修復(fù)，患者權(quán)利保障屬于隱私范疇。3.A、B、CDPO職責(zé)包括監(jiān)督合規(guī)、提供建議和調(diào)查違規(guī)，處理請求屬于數(shù)據(jù)保護員（DP）職責(zé)。4.A、B、D數(shù)據(jù)分類、漏洞評估和法律合規(guī)是風(fēng)險管理核心要素，業(yè)務(wù)連續(xù)性屬于應(yīng)急范疇。5.A、B、C跨境傳輸需滿足患者同意、標(biāo)準合同和安全評估，無需報告衛(wèi)生健康部門（僅境內(nèi)監(jiān)管）。三、判斷題1.√中國法律禁止非法收集健康醫(yī)療數(shù)據(jù)。2.×HIPAA要求科研使用需患者同意或脫敏處理。3.√GDPR對大型組織強制要求指定DPO。4.√敏感信息處理需單獨同意。5.×加密適用于傳輸和存儲環(huán)節(jié)。6.×HIPAA要求及時通知患者非授權(quán)訪問。7.×跨境傳輸需SCCs或明確同意，非單一條件。8.×法律未強制要求零信任架構(gòu)。9.×風(fēng)險評估需定期進行。10.√ISO27001要求數(shù)據(jù)分類分級。四、簡答題1.告知-同意原則要求：醫(yī)療機構(gòu)需以清晰方式告知數(shù)據(jù)用途、存儲期限和主體權(quán)利；敏感信息需單獨同意；同意可撤回。2.主要差異：HIPAA通過SCCs或州級法案簡化跨境傳輸，GDPR需更嚴格評估（如SCCs）；HIPAA僅約束醫(yī)療機構(gòu)，GDPR覆蓋更廣。3.匿名化概念：通過技術(shù)處理使數(shù)據(jù)無法反向識別個人，法律上可脫敏處理豁免隱私保護。4.漏洞類型及危害：-未授權(quán)訪問：員工濫用權(quán)限導(dǎo)致數(shù)據(jù)泄露。-系統(tǒng)漏洞：黑客利用軟件缺陷竊取數(shù)據(jù)。-物理安全疏漏：設(shè)備丟失導(dǎo)致數(shù)據(jù)外泄。5.數(shù)據(jù)脫敏技術(shù)：如哈希加密、泛化處理（如年齡改為“＜20歲”），降低泄露風(fēng)險。五、論述題1.跨境傳輸合規(guī)路徑：-中國：需通過《網(wǎng)絡(luò)安全法》審批（若涉及關(guān)鍵信息基礎(chǔ)設(shè)施），簽訂標(biāo)準合同（若符合GDPRSCCs）。-歐盟：通過SCCs、BCR協(xié)議或獲得數(shù)據(jù)主體