2025年合规工作考试题目及答案

2025年合规工作考试题目及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2025年3月1日起施行的《银行保险机构数据安全管理办法》要求，对跨主体提供的敏感个人信息，应当取得信息主体的（）。A.明示同意B.默示同意C.口头同意D.事后追认答案：A2.根据《个人信息出境标准合同办法》，境内数据处理者应当在标准合同生效之日起（）个工作日内向省级以上网信部门备案。A.5B.7C.10D.15答案：C3.某证券公司拟上线生成式人工智能客服，按照《证券期货业网络和信息安全管理办法》，应提前向（）进行合规性评估报告。A.证监会科技监管局B.交易所C.行业协会D.属地证监局答案：D4.2025版《反洗钱执法检查手册》新增对“自洗钱”行为的认定标准，其核心要素是（）。A.上游犯罪所得已转换形态B.行为人主观明知C.资金回流至本人账户D.使用虚拟货币混币答案：B5.按照《中央企业合规管理办法》，对重大合规风险事件，企业主要负责人应在事件发生后（）小时内向国资委书面报告。A.12B.24C.36D.48答案：B6.某跨国公司在华子公司因商业贿赂被行政处罚，母公司在美国触发《反海外腐败法》调查，该公司应优先启动的合规机制是（）。A.境内整改B.全球同步自查C.隔离高管D.暂停在华业务答案：B7.《数据出境安全评估办法》规定，处理100万人以上个人信息的数据处理者向境外提供数据，应当通过（）途径出境。A.标准合同B.安全认证C.安全评估D.行业自律答案：C8.2025年生效的《欧盟电池与废电池法规》要求，出口欧盟的动力电池必须履行供应链尽职调查义务，该义务属于（）合规范畴。A.反垄断B.ESGC.税务D.出口管制答案：B9.某支付机构因违规被人民银行处以“暂停新开户”的审慎监管措施，该措施的法律性质属于（）。A.行政处罚B.行政强制C.行政监管措施D.市场禁入答案：C10.按照《个人信息保护法》，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行（）。A.合规审计B.风险评估C.影响评估D.合规审计+风险评估答案：D11.2025年《公司法》修订草案引入“合规董事”制度，合规董事对董事会决议享有的特殊权利是（）。A.否决权B.暂缓表决权C.二次表决权D.独立聘请中介权答案：B12.某互联网平台采用“暗模式”诱导用户勾选个性化推荐，被监管部门认定为侵害消费者自主决定权，其违反的核心条款是《个人信息保护法》第（）条。A.十三B.十四C.十五D.十六答案：A13.根据《证券基金经营机构信息技术管理办法》，核心机构发生信息安全事件后，应在（）分钟内电话报告证监会。A.10B.30C.60D.120答案：B14.2025年《关税法》将“最低税率”调整为“基准税率+合规折扣”，企业享受折扣的前提是通过（）认证。A.AEO高级B.ISO27001C.C-TPATD.反贿赂合规答案：A15.某银行对公客户经理为完成业绩，协助客户伪造贸易背景办理票据贴现，该行为在刑法修正案（十二）中构成（）。A.违规出具金融票证罪B.骗取票据承兑罪C.洗钱罪D.非国家工作人员受贿罪答案：B16.《未成年人网络保护条例》要求，网络服务提供者应当为未成年人设置“时间管理”功能，默认每日使用时长不超过（）小时。A.1B.2C.3D.4答案：B17.2025年《反垄断法》配套规章明确，“轴辐协议”中“轴心”主体承担的举证责任是（）。A.证明无纵向限制B.证明无横向通谋C.证明无帮助行为D.证明无市场影响答案：C18.某车企在车辆收集的座舱数据上传云端前，未对数据进行匿名化处理，被认定为违反《汽车数据安全管理若干规定》，可处以最高（）万元罚款。A.50B.100C.500D.1000答案：D19.按照《碳排放权交易管理暂行条例》，虚报碳排放报告且情节特别严重的，可处以（）倍碳市场均价罚款。A.2B.3C.5D.10答案：C20.2025年《外汇管理条例》修订后，境内个人年度购汇额度维持5万美元不变，但新增“合规积分”制度，积分低于（）分的将被暂停网银购汇。A.60B.70C.80D.90答案：C21.某上市公司独立董事在合规审查中发现对外担保未披露，其应向（）直接报告。A.董事长B.董事会秘书C.交易所D.证监会派出机构答案：C22.《网络暴力信息治理规定》要求，平台对明显侮辱、诽谤信息的处置时限为（）小时。A.6B.12C.24D.36答案：A23.2025年《政府采购法》修订，将“合规承诺”列为供应商资格条件，承诺造假将被列入不良行为记录名单（）年。A.1B.2C.3D.5答案：C24.按照《保险销售行为管理办法》，保险公司向老年人销售保险产品应当进行（）小时以上的“双录”。A.1B.2C.3D.4答案：B25.某境外上市中概股因审计底稿问题被SEC暂停交易，其触发的中美监管合作文件是（）。A.PCAOB协议B.双边监管备忘录C.执法合作条约D.多边税收征管公约答案：A26.2025年《商业秘密保护规定》明确，员工离职后（）年内仍负有约定保密义务。A.1B.2C.3D.5答案：C27.某城商行因“贷款三查”严重失职被银保监分局处以“限制业务准入”措施，该措施属于（）。A.行政处罚B.行政处分C.行政监管措施D.市场禁入答案：C28.《工业互联网安全分类分级管理办法》要求，三级企业应当（）开展一次应急演练。A.每季度B.每半年C.每年D.每两年答案：B29.2025年《反不正当竞争法》修订，将“恶意不兼容”行为最高罚款提高至（）万元。A.100B.300C.500D.1000答案：C30.某基金公司合规部对销售文件进行合规审查，发现收益预测使用“保本保收益”表述，该行为直接违反（）。A.基金法B.广告法C.反不正当竞争法D.消费者权益保护法答案：A二、多项选择题（每题2分，共30分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些情形触发《数据出境安全评估办法》中的“应当申报评估”条件（）。A.处理50万人个人信息B.数据量超过1TBC.涉及国家核心数据D.涉及重要数据答案：A、C、D32.2025年《上市公司自律监管指引——合规管理》要求，合规管理报告应当包括（）。A.合规风险识别B.合规考核结果C.重大诉讼进展D.合规培训情况答案：A、B、D33.按照《银行保险机构操作风险管理办法》，操作风险事件分级标准包括（）。A.特别重大B.重大C.较大D.一般答案：A、B、C、D34.以下哪些属于《个人信息保护法》规定的“敏感个人信息”（）。A.征信信息B.医疗健康C.14岁以下未成年人信息D.精确地理位置答案：B、C、D35.2025年《外汇行政处罚裁量基准》将“虚假申报”行为细化为（）。A.虚构用途B.分拆购汇C.重复购汇D.借用额度答案：A、B、C、D36.某券商开展跨境业务，需同时遵守的我国监管文件包括（）。A.证券法B.外汇管理条例C.数据出境安全评估办法D.反洗钱法答案：A、B、C、D37.以下哪些属于《中央企业合规管理办法》明确的“三张清单”（）。A.岗位职责清单B.合规风险清单C.审查流程清单D.合规义务清单答案：B、C、D38.2025年《网络暴力信息治理规定》要求平台建立的制度包括（）。A.一键防护B.私信规则C.评论审核D.信用评价答案：A、B、C、D39.按照《碳排放权交易管理暂行条例》，重点排放单位应履行的义务有（）。A.报告碳排放数据B.清缴配额C.接受核查D.公开碳排放信息答案：A、B、C、D40.以下哪些行为被《反垄断法》认定为“滥用市场支配地位”（）。A.限定交易B.搭售C.差别待遇D.低于成本销售答案：A、B、C、D41.2025年《保险资产风险五级分类指引》中，属于“次级类”的特征包括（）。A.本息逾期90天B.偿债能力下降C.抵质押物贬值30%D.重组后仍逾期答案：A、B、C42.某银行开展开放银行接口业务，按照《商业银行应用程序接口安全管理规范》，应实施的安全措施有（）。A.接口鉴权B.流量控制C.日志留存6个月D.渗透测试答案：A、B、D43.以下哪些属于《证券期货业网络和信息安全管理办法》中的“核心机构”（）。A.交易所B.结算公司C.行业协会D.基金公司答案：A、B、C44.2025年《反间谍安全防范条例》要求，关键信息基础设施运营者应建立的制度有（）。A.背景审查B.技术防范C.信息报告D.应急演练答案：A、B、C、D45.按照《工业互联网安全分类分级管理办法》，二级企业应具备的能力包括（）。A.漏洞管理B.事件处置C.数据备份D.攻防演练答案：A、B、C三、判断题（每题1分，共10分。正确打“√”，错误打“×”）46.2025年起，所有数据出境场景都必须通过省级以上网信部门安全评估。（）答案：×47.按照《个人信息保护法》，个人信息处理者可以基于“合法利益”事由处理已公开的个人信息。（）答案：√48.我国《反垄断法》明确，经营者集中达到申报标准但未申报的，一律处以50万元罚款。（）答案：×49.2025年《关税法》引入“合规折扣”制度，企业只需提交自我声明即可享受折扣税率。（）答案：×50.根据《碳排放权交易管理暂行条例》，碳排放配额可以无偿取得，也可以有偿取得。（）答案：√51.《未成年人网络保护条例》规定，平台不得在每日22时至次日6时向未成年人提供游戏服务。（）答案：√52.2025年《公司法》修订草案允许“合规董事”由外部律师兼任，但不得领取薪酬。（）答案：×53.按照《数据安全法》，国家建立数据分类分级保护制度，重要数据由各行业主管部门制定具体目录。（）答案：√54.2025年《反洗钱法》修订后，将“自洗钱”行为纳入洗钱罪主体范围，最高可判处10年有期徒刑。（）答案：√55.《网络暴力信息治理规定》要求，平台对涉及未成年人网络暴力信息应在3小时内处置完毕。（）答案：×四、简答题（每题10分，共30分）56.简述2025年《银行保险机构数据安全管理办法》对“跨主体数据共享”提出的三项合规要求，并说明企业如何落地。答案：（1）最小必要原则：共享数据范围不得超过业务办理所必需，企业应建立数据目录与共享清单双审批机制，技术侧采用字段级脱敏与Token化方案，确保原始数据不出域。（2）明示同意原则：共享敏感个人信息须获得信息主体的单独同意，企业应在交互界面设置“分步骤告知+二次确认”流程，留存日志不少于5年，日志包括用户点击时间、IP、设备指纹。（3）同等保护原则：接收方须具备不低于出让方的数据安全能力，企业应将数据保护能力（加密算法、密钥管理、访问控制、审计粒度）写入SLA，并引入第三方穿透测试，每半年复测一次，不合格即暂停共享接口。57.某央企境外子公司因违反FCPA被美国SEC处以2亿美元罚款，请结合《中央企业合规管理办法》说明母公司应如何建立“境外合规风险回溯”机制。答案：第一步：事件触发。母公司收到境外监管函后24小时内启动“重大合规风险回溯”程序，由合规管理委员会牵头，抽调审计、法律、财务、人力组成跨部门工作组，直接向董事长汇报。第二步：全域扫描。工作组在30日内完成“三维回溯”：①时间维，回溯5年内所有同类业务；②空间维，覆盖全部境外分支机构；③流程维，覆盖销售、采购、财务、礼品招待、捐赠、第三方中介六大高风险环节。第三步：证据固化。使用eDiscovery工具对邮件、即时通讯、财务凭证进行关键字抓取，生成MD5哈希值存证；对当地员工进行背靠背访谈，签署宣誓书；聘请境外律所出具privilegelog，确保取证符合当地证据法。第四步：差距整改。对照ISO37301与FCPAResourceGuide，输出《境外合规差距报告》，列示制度缺陷、人员缺陷、系统缺陷，制定“人、财、物”三清单：人——调岗、辞退、黑名单；财——退赃、罚款、保险追偿；物——关闭账户、终止代理、系统下线。第五步：长效机制。将回溯结果嵌入年度合规计划，建立“红黄蓝”预警模型，对境外高管实行“合规积分”与长期激励挂钩，积分低于80分的自动冻结50%股权激励；每三年开展一次境外合规复审，复审报告报国资委备案。58.2025年某大型互联网平台上线生成式人工智能广告推荐功能，请从数据合规、算法合规、内容合规三个维度说明其应履行的义务，并给出可操作的落地方案。答案：数据合规：①训练数据应取得合法来源，平台需建立“数据血缘图谱”，对爬取、采购、用户贡献三类数据分别标注授权链路；对涉及知识产权的数据，采用“先授权后训练”模式，授权链写入区块链存证。②对输入输出数据实行分级加密，训练侧采用同态加密，推理侧采用TLS1.3+国密SM4，密钥托管在硬件加密机，实行双人双控。③设置“机器遗忘权”接口，用户可在隐私设置中一键请求删除个人相关训练样本，平台在15日内完成模型fine-tune，输出删除报告。算法合规：①完成算法备案。按照《互联网信息服务算法推荐管理规定》，在上线前填写《算法备案表》，提交算法基本原理、主要参数、数据来源、应用场景、风险防控措施，获得备案编号后方可上线。②开展算法安全评估。引入第三方机构进行对抗样本测试，确保误导率低于0.1%；对输出结果进行偏见检测，建立性别、地域、年龄三维偏见矩阵，任一维度超过5%阈值即触发重训。③建立人工复核机制。对医疗、金融、教育等高风险场景的广告，实行“机器初审+人工复审”双签制度，人工复核比例不低于10%，复核记录保存3年。内容合规：①建立AIGC内容标识。对生成式广告在右下角添加“AI生成”水印，水印包含备案编号、生成时间、平台名称，采用可溯源数字水印技术，篡改后即刻失效。②设置违法内容过滤库。对接公安“全国互联网违法信息样本库”，实时更新关键词与哈希库，对政治、暴力、色情、谣言四大类违法信息实现秒级拦截。③建立用户投诉绿色通道。在广告位显著位置设置“一键投诉”按钮，投诉信息同步至省级网信部门，平台在6小时内完成初步核实，24小时内反馈处理结果，投诉处理率纳入年度考核，低于98%即暂停该算法场景新业务。五、案例分析题（共30分）59.背景：2025年5月，A股上市公司“光华科技”披露公告称，其全资子公司“光华数据”在2024年2月至2025年4月期间，未经用户明示同意，将含有用户精准地理位置、设备标识符的SDK嵌入200款合作App，累计收集个人信息18亿条，并将其中3亿条数据传输至境外云服务器。事件曝光后，公司股价连续跌停，市值蒸发120亿元。国家网信办立即立案调查，并责令光华数据暂停新用户注册；同时，美国FTC宣布对光华科技在美业务开展调查。问题：（1）请依据我国现行法律，列出光华数据可能面临的行政处罚及其金额上限。（8分）（2）若光华科技在美收入占比30%，请分析其可能触发的美国监管风险及应对策略。（7分）（3）作为光华科技新任首席合规官，请设计一份72小时危机应对路线图，需包含内部调查、监管沟通、投资者关系、媒体公关四大模块，并给出时间轴与责任人。（15分）答案：（1）行政处罚及金额上限：①违反《个人信息保护法》第38条，未经安全评估向境外提供重要数据，依据第66条，可处以5000万元以下或者上一年度营业额5%以下罚款，按2024年营收80亿元计算，最高罚款4亿元。②违反《数据出境安全评估办法》第4条，未申报评估即出境数据，依据第17条，可责令暂停相关业务、停业整顿、吊销业务许可。③违反《网络安全法》第42条，未明示收集使用规则，依据第64条，可处以100万元罚款，对直接负责的主管人员处1万元以上10万元以下罚款。④违反《行政许可法》第80条，隐瞒有关情况取得行政许可，可撤销许可。综上，金额上限约为4.1亿元，并可能面临暂停新用户注册、吊销相关增值电信业务经营许可证。（2）美国监管风险及应对：①FTCAct第5条“不公平或欺骗性行为”调查，可能面临高额罚款及和解金，参考TikTok案例，和解金可达数十亿美元。②CFAA（计算机欺诈与滥用法）刑事风险，若美方认定其通过欺骗手段获取用户数据，可能追究刑事责任。③州级隐私法（CCPA/CPRA）集体诉讼，加州居民可主张每次违规最高7500美元法定赔偿，潜在赔偿额巨大。应对策略：a.立即在美聘请具有FTC辩护经验的律所，启动attorney-clientprivilege内部调查，避免证据泄露。b.主动向FTC提交initialremedialmeasures报告，承诺下架SDK、切断境外传输、开放第三方审计，以换取和解而非诉讼。c.启动用户通知程序，在App弹窗披露事件并提供免费信用监控，降低集体诉讼风险。d.利用“attorneyworkproduct”原则，在中美两地建立隔离墙，防止中国境内调查材料被美国原告集团取证。（3）72小时危机路线图：T+0小时（事件曝光当日9:00）：内部调查模块：合规总监牵头成立“闪电小组”，冻结光华数据全部出境接口，镜像保存日志、合同、代码、邮件；通知审计委员会启动独立调查。责任人：首席合规官（CCO）。监管沟通模块：CCO于10:00、14:00分别向国家网信办、证监会电话报告，提交《初步事实报告》模板，承诺24小时内提交详细材料。责任人：董事会秘书。投资者关系模块：9:30开盘前发布临时公告，披露“公司已注意到媒体报道，正在核实，股票不停牌”，