2025年跨境数据流动合规性试题及答案

2025年跨境数据流动合规性试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项填入括号内）1.2025年3月生效的《欧盟—美国数据隐私框架》ExecutiveOrder14086中，美国情报机构对欧盟个人数据的访问必须满足的“必要性测试”不包括下列哪一项？（）A.数据访问须与合法国家安全目标直接相关B.数据访问须与数据主体涉嫌恐怖活动直接相关C.数据访问须与数据量成比例D.数据访问须接受独立、双层的救济机制监督答案：B2.中国《促进和规范数据跨境流动规定》2025年修订版将“出境数据规模”阈值从原来的“累计10万人”上调至“累计（）人”，从而豁免标准合同备案义务。A.50万B.100万C.150万D.200万答案：B3.新加坡PDPA2025年修正案新增“数据出境白名单”制度，下列哪类接收方可直接列入白名单？（）A.通过APECCBPRs认证的处理器B.通过ISO27001认证的处理器C.通过GDPR充分性决定认定的第三国公共机构D.通过中国网信办安全评估的处理器答案：A4.印度《2025年数字个人数据保护规则（草案）》要求“跨境数据流动集中网关”对敏感数据实施“强制镜像存储”，镜像期最短不少于（）。A.30天B.90天C.180天D.365天答案：C5.巴西LGPD2025年监管指引将“跨境数据传输合法性基础”扩展至第（）条，首次把“数据主体单方同意”与“合同必要履行”并列。A.7B.9C.11D.13答案：C6.韩国PIPA2025年引入“假名化数据跨境流动快速通道”，要求假名化后重识别风险低于（）方可适用简化评估。A.1/256B.1/512C.1/1024D.1/2048答案：D7.2025年1月，香港私隐公署发布《跨境数据流动指南2.0》，首次明确“大湾区个人信息跨境流动标准合同”中数据接收方须于违约后（）小时内向香港公署报告。A.12B.24C.48D.72答案：B8.根据OECD2025年《跨境数据流动与隐私保护建议书》修订版，成员国建立“数据本地化例外清单”须遵循的最核心原则是（）。A.相称性B.透明性C.非歧视D.可审计性答案：A9.2025年4月，中国网信办对某网约车平台开出首张“数据出境安全评估”罚单，罚款金额占其上一年度营业额（）。A.0.5%B.1%C.2%D.5%答案：C10.在GDPR2025年执法趋势报告中，因“数据出境后无法有效响应数据主体权利请求”而被处罚的案例，占比最高的行业是（）。A.金融B.医疗C.零售D.人工智能训练数据答案：D11.2025年，越南《网络安全法》实施细则要求“跨境传输个人数据”必须在本地留存日志至少（）年。A.1B.2C.3D.5答案：B12.澳大利亚《2025年隐私法改革（跨境数据）》草案取消了原有“APP8简化程序”，取而代之的是（）。A.充分性评估B.风险评估C.影响评估D.认证机制答案：B13.2025年，美国CLOUDAct与英国《犯罪（海外数据）令》实现互操作，执法请求响应时限缩短至（）日。A.7B.14C.21D.28答案：B14.2025年，俄罗斯Roskomnadzor首次依据《联邦个人数据法》第18条，因“重复违法跨境传输”对跨国云服务商实施（）处罚。A.屏蔽IPB.吊销牌照C.局部限速D.罚款+强制本地化答案：D15.2025年，泰国PDPA委员会发布“跨境传输影响评估”模板，其中对“高风险活动”定义的核心阈值是“涉及数据主体超过（）人”。A.1万B.5万C.10万D.50万答案：B16.2025年，加拿大《数字宪章实施法》引入“算法影响评估+跨境数据”双重义务，要求评估报告在跨境传输前提交给（）。A.加拿大隐私专员办公室B.创新科学与经济发展部C.财政部D.公共安全部答案：A17.2025年，智利《个人数据保护法》修正案首次允许“跨境数据集团内部规则（BCRs）”作为合法依据，但要求必须在（）备案。A.经济部B.财政部C.央行D.检察院答案：A18.2025年，菲律宾NPC发布“数据出境标准合同”2.0版，新增“数据主体代表诉讼”条款，其诉讼时效为（）年。A.1B.2C.3D.5答案：C19.2025年，土耳其KVKK对“数据本地化”要求作出例外解释，允许使用（）加密级别的云存储，可视为“境内等效控制”。A.FIPS1402Level2B.FIPS1402Level3C.FIPS1403Level3D.FIPS1403Level4答案：C20.2025年，南非POPIA跨境流动指南将“儿童数据”定义为未满（）岁，其出境须获得监护人可验证同意。A.13B.16C.18D.21答案：C二、多项选择题（每题2分，共20分。每题有两个或以上正确答案，多选、少选、错选均不得分）21.以下哪些情形触发中国2025年《数据出境安全评估办法》强制申报？（）A.关键信息基础设施运营者向境外提供个人信息B.处理100万人以上个人信息的数据处理者向境外提供个人信息C.累计向境外提供10万人个人信息或1万人敏感个人信息D.出境数据涉及国家核心数据答案：ABD22.根据GDPR2025年最新执法指引，数据控制者依赖“标准合同条款（SCC）”向第三国传输数据时，须额外完成哪些补充措施？（）A.映射接收方所在国法律对数据主体的救济路径B.对数据加密并确保密钥仅在EEA境内控制C.在合同中约定数据主体享有第三方受益权D.每两年进行一次政府访问请求透明度报告答案：ABCD23.2025年，新加坡PDPA“数据出境白名单”制度中，下列哪些国家或地区已获准入？（）A.英国B.韩国C.加拿大D.越南答案：ABC24.印度2025年草案提出“敏感数据”出境须满足哪些条件？（）A.获得数据主体明确同意B.在境内留存镜像副本C.经中央政府白名单批准D.接受印度数据保护委员会事后审计答案：ABCD25.巴西LGPD2025年监管指引允许“集团内部规则（BCRs）”作为跨境依据，其审批要素包括（）A.证明在巴西境内设有数据保护官B.证明规则对所有集团成员具有法律约束力C.证明数据主体享有直接向巴西ANPD投诉的渠道D.证明规则已被第三国监管机构认可答案：ABC26.2025年，韩国PIPA“假名化快速通道”评估指标包括（）A.重识别概率B.重识别成本C.重识别时间D.数据字段关联度答案：ABCD27.2025年，澳大利亚《隐私法改革（跨境数据）》草案中，风险评估报告必须披露（）A.接收方所在国执法机构访问概率B.数据主体可能遭受损害程度C.数据加密算法与密钥管理方案D.数据本地化替代方案可行性答案：ABCD28.2025年，美国—欧盟数据隐私框架下，欧盟数据主体可在美国设立的“数据保护审查法院（DPRC）”主张哪些权利？（）A.查阅权B.更正权C.删除权D.获得赔偿权答案：ABCD29.2025年，中国“个人信息出境标准合同”备案材料包括（）A.合同中文正本B.个人信息保护影响评估报告C.接收方所在国法律环境分析D.数据出境日志样例答案：ABC30.2025年，OECD建议书要求成员国建立“数据本地化措施”审查清单，其审查维度包括（）A.措施必要性B.措施合比例性C.措施对数字贸易影响D.措施对中小企业影响答案：ABCD三、判断题（每题1分，共10分。正确请填“√”，错误填“×”）31.2025年，中国《数据出境安全评估办法》规定，评估结果有效期为3年，期满自动失效。（）答案：×（2年）32.根据GDPR2025年执法指引，若第三国接收方所在国通过新的国家安全法，允许无差别访问数据，则原有SCC自动失效，须暂停传输。（）答案：√33.2025年，新加坡PDPA允许数据控制者以“合法利益”作为出境依据，无需任何额外评估。（）答案：×（须进行“合法利益测试”并记录）34.印度2025年草案允许“非敏感个人数据”自由出境，无需任何备案。（）答案：√35.巴西LGPD2025年修正案将“刑事犯罪记录”列为敏感数据，其出境必须获得ANPD特别许可。（）答案：√36.韩国PIPA2025年规定，假名化数据出境后发生重识别事件，数据控制者须在24小时内向KISA报告。（）答案：√37.2025年，澳大利亚取消“APP8简化程序”意味着所有跨境传输都必须获得数据主体明确同意。（）答案：×（可采用风险评估+补充措施）38.美国—欧盟数据隐私框架下，美国情报机构可在“大规模监控”场景下无需任何个案审查访问欧盟数据。（）答案：×（须满足“必要性+比例性”测试）39.2025年，中国“标准合同”备案可通过“数据出境申报系统”全程线上完成，无需纸质材料。（）答案：√40.2025年，OECD建议书允许成员国以“税收征管”为由实施数据本地化，无需任何国际协商。（）答案：×（须符合相称性原则并接受贸易伙伴审议）四、填空题（每空1分，共10分）41.2025年，中国《数据出境安全评估办法》将“出境数据规模”计算周期明确为自起累计。答案：数据处理者首次向境外提供个人信息之日42.GDPR2025年新版SCC将模块化结构分为“控制者—控制者”“控制者—处理者”“处理者—处理者”“”四种。答案：处理者—控制者43.2025年，新加坡PDPA“数据出境白名单”制度由机构负责动态更新。答案：个人数据保护委员会（PDPC）44.印度2025年草案提出“”概念，指政府可实时阻断流向特定国家的数据流。答案：数据出境黑屏（DataBlackout）45.巴西LGPD2025年新增“”条款，要求境外接收方在发生数据泄露后72小时内向ANPD报告。答案：跨境数据泄露通知46.韩国PIPA2025年将“”定义为“可合理投入的时间、费用、技术条件下无法还原的身份信息”。答案：假名化47.2025年，澳大利亚《隐私法改革（跨境数据）》草案将“”作为风险评估核心指标，要求量化数据主体可能遭受的“严重损害”概率。答案：严重损害概率（SAP）48.美国—欧盟数据隐私框架下，欧盟数据主体可向美国法院申请救济。答案：数据保护审查法院（DPRC）49.2025年，中国“标准合同”要求接收方承诺在合同终止后日内删除或返还个人信息。答案：3050.2025年，OECD建议书提出“”原则，要求成员国在采取数据本地化措施前，优先采用隐私增强技术。答案：最小必要例外五、简答题（每题10分，共30分）51.结合2025年最新执法案例，简述中国《数据出境安全评估办法》中“风险自评估”与“安全评估”之间的衔接机制，并说明企业如何在20个工作日内完成材料准备。答案：（1）风险自评估是安全评估的前置条件，企业须依据《评估指南》对数据出境场景、数据类型、规模、接收方所在国法律环境、数据主体权益保障措施进行量化打分，形成《数据出境风险自评估报告》。（2）自评估报告须与《申报书》《数据出境协议》《数据分类分级表》《境外接收方承诺书》《数据保护影响评估（DPIA）》一并上传至“数据出境申报系统”。（3）网信办在收到完整材料后5个工作日内进行形式审查，若材料不齐，一次性告知补正，补正时间不计入20个工作日。（4）企业可通过“预沟通”机制，在正式提交前与省级网信办进行两轮非正式咨询，缩短补正周期。（5）2025年4月某头部车企案例中，企业通过引入第三方律所出具《境外法律环境白皮书》，将评估时间从平均30日压缩至18日，获得快速通道。52.2025年，欧盟数据保护委员会（EDPB）发布《第三国政府访问请求补充措施2.0》，请列举技术、合同、组织三类补充措施各两项，并说明其适用边界。答案：技术类：①端到端加密，密钥由EEA境内独立托管人持有，适用边界：数据明文不出境，接收方仅处理密文；②安全多方计算（SMPC），确保计算结果不可回溯到个人，适用边界：聚合统计场景，禁止输出微数据。合同类：①引入“政府访问通知条款”，接收方在收到政府请求后48小时内通