数据合规岗面试题及答案

2026年数据合规岗面试题及答案一、单选题（共5题，每题2分，总分10分）1.根据《欧盟通用数据保护条例》（GDPR），个人数据的处理活动必须符合合法性、公平性和透明性原则。以下哪项不属于GDPR明确规定的合法处理基础？A.简单同意B.合同履行C.法律义务D.自动化决策（无明确同意）答案：D解析：GDPR规定了六种合法处理基础，包括简单同意、合同履行、法律义务、保护重要利益、公共利益和合法利益。自动化决策若无明确同意，不属于合法基础，需额外满足特定条件。2.在中国《个人信息保护法》（PIPL）中，敏感个人信息的处理需要取得个人的“单独同意”。以下哪项不属于PIPL定义的敏感个人信息？A.生物识别信息B.行踪信息C.财务账户信息D.姓名（非敏感场景）答案：D解析：PIPL将生物识别、行踪、财务账户等列为敏感信息，需单独同意处理。姓名在非敏感场景（如公开身份认证）不属于敏感信息。3.某企业因未履行数据安全风险评估，导致用户数据泄露。根据《网络安全法》，该企业可能面临以下哪种处罚？A.罚款不超过50万元B.暂停相关业务C.责令改正并罚款不超过100万元D.吊销营业执照答案：C解析：《网络安全法》规定，未履行数据安全风险评估的，可责令改正并罚款不超过100万元，情节严重的可吊销相关业务许可。4.在美国加州《加州消费者隐私法案》（CCPA）中，消费者享有“删除权”的权利。以下哪项描述不准确？A.企业需在收到请求后45天内删除数据B.删除权适用于所有个人数据C.企业可因“合法业务需求”拒绝删除D.消费者有权要求删除其公开分享的信息答案：B解析：CCPA的删除权有例外，如法律允许公开分享的数据、为履行合同所必需的数据等，并非绝对适用。5.某跨国公司在欧洲处理欧盟公民数据，但未设立数据保护官（DPO）。根据GDPR，以下哪种情况可以豁免其设立DPO义务？A.年度处理量超过4000万条个人数据B.处理仅用于员工内部管理C.自动化决策仅基于合法利益D.处理敏感个人信息且无简单同意答案：B解析：GDPR规定，核心业务仅处理员工数据且规模较小的企业可豁免DPO义务，但处理敏感信息或自动化决策需满足特定条件。二、多选题（共5题，每题3分，总分15分）1.在中国《个人信息保护法》中，个人有权撤回同意处理其个人信息的情形包括哪些？A.明确表示拒绝B.合同解除时C.处理目的发生重大变化D.法律规定无需同意的情形答案：A、B、C解析：PIPL规定，个人可撤回同意，但撤回不影响处理前已采取的措施。撤回情形包括明确拒绝、合同解除或目的变更。2.根据《网络安全法》，关键信息基础设施运营者需满足哪些数据安全义务？A.定期进行安全评估B.对核心数据采取加密存储C.建立数据备份机制D.实时监控数据访问日志答案：A、B、C解析：关键信息基础设施运营者需履行风险评估、核心数据保护、备份等义务，实时监控属于技术措施之一但非强制要求。3.在GDPR框架下，以下哪些属于“数据主体”（DataSubject）享有的权利？A.访问权B.纠正权C.删除权（被遗忘权）D.可携带权答案：A、B、C、D解析：GDPR赋予数据主体的七项权利包括访问、纠正、删除、可携带、限制处理、反对自动化决策和解释权。4.某公司因用户数据泄露被监管机构调查，以下哪些证据可能有助于减轻处罚？A.具备完善的数据安全制度B.及时通知用户并采取补救措施C.无主观故意D.首次发生同类事件答案：A、B、C解析：监管机构会考察企业合规性、响应速度和主观过错。完善制度、及时补救和无主观故意可减轻处罚。5.在美国CCPA/CPRA中，企业处理“受保护隐私信息”（ProtectedHealthInformation,PHI）时需遵守哪些特殊规则？A.限制营销用途B.不得公开披露除非获得明确同意C.必须匿名化处理D.医疗保险公司可例外处理答案：A、B解析：CCPA/CPRA对PHI有限制，禁止用于营销除非同意，公开披露需明确同意。匿名化处理和保险例外属于HIPAA范畴而非CCPA。三、判断题（共5题，每题2分，总分10分）1.在中国，若企业仅匿名化处理个人信息，则无需遵守《个人信息保护法》的规定。答案：错解析：匿名化数据仍需符合数据安全要求，且企业需确保处理过程不可重新识别个人。2.GDPR允许企业基于“合法性重要利益”处理个人数据，但需证明其利益高于个人权益。答案：对解析：GDPR第7(3)条允许基于合法利益处理，但需进行必要性评估。3.美国CCPA要求企业明确告知消费者其使用“第三方Cookie”的行为。答案：对解析：CCPA/CPRA扩展了隐私披露范围，包括第三方Cookie等跟踪技术。4.若欧盟公民在美国工作，其数据仍受GDPR保护。答案：对解析：GDPR的适用地域不限于欧盟，只要处理活动涉及欧盟公民数据。5.在中国，企业可通过用户协议免除所有数据合规责任。答案：错解析：用户协议不能规避法律义务，企业仍需确保合规。四、简答题（共3题，每题5分，总分15分）1.简述《个人信息保护法》中的“最小必要原则”及其适用场景。答案：最小必要原则要求处理个人信息时，不得过度收集，仅限于实现处理目的的最小范围。适用场景包括：-用户注册时仅收集必要身份信息；-广告推送时避免过度追踪用户行为；-医疗机构仅采集诊疗所需的健康数据。2.解释GDPR中的“数据保护影响评估”（DPIA）及其触发条件。答案：DPIA是评估处理活动对个人权益风险的机制，需在处理可能带来高风险时开展。触发条件包括：-处理大量敏感数据；-引入自动化决策系统；-对儿童数据进行处理。3.比较CCPA/CPRA与GDPR在“删除权”要求上的主要差异。答案：-范围：CCPA/CPRA仅适用于加州居民，GDPR适用于全球欧盟公民；-时限：CCPA要求45天内响应，GDPR无固定时限但需及时处理；-例外：CCPA允许因合法业务需求拒绝删除，GDPR无类似例外。五、论述题（共1题，10分）某电商平台因未充分告知用户数据用途，导致用户投诉。结合《个人信息保护法》和GDPR，分析企业应如何改进合规措施？答案：1.完善隐私政策：-依据PIPL和GDPR要求，明确告知数据收集目的、处理方式、存储期限，并使用易懂语言；-区分敏感信息与非敏感信息，单独说明敏感信息处理规则。2.强化用户同意管理：-采用“选择性加入”机制，避免捆绑同意；-提供便捷的同意撤回渠道，并记录撤回操作。3.建立数据分类分级：-对用户数据进行分类（如交易数据、行为数据），不同级别采取差异化保护措施；-敏感信息需额外加密存储，访问需多因素认证。4.加强内部培训与监督：-定期培训员