2026年跨境物联网合规题库含答案

2026年跨境物联网合规题库含答案一、单选题（共10题，每题2分）1.根据欧盟《通用数据保护条例》（GDPR），跨境传输个人数据至英国（脱欧后）时，企业应优先采用哪种机制？A.具有约束力的公司规则（BCR）B.联合委员会决定（BindingCorporateRules）C.等同性评估（AdequacyDecision）D.标准合同条款（SCCs）答案：C解析：英国虽脱欧，但GDPR仍适用。欧盟委员会对英国的数据保护水平作出“同等性评估”，允许直接跨境传输。BCR和BCRs仅限跨国集团内部，SCCs需补充额外保障措施。2.美国加州《加州消费者隐私法案》（CCPA）要求企业告知消费者其物联网设备收集的数据类型，数据保留期限最长为多久？A.1年B.2年C.3年D.5年答案：D解析：CCPA规定企业需明确数据保留政策，一般最长不超过5年，除非法律要求更长时间或为完成合同义务必要。3.中国《个人信息保护法》（PIPL）要求物联网设备收集个人信息时，必须获得用户的“单独同意”，以下哪种场景可能豁免该要求？A.提供核心功能服务（如智能家居温控）B.通过第三方SDK收集地理位置数据C.设备故障诊断所需的后台日志D.上述均不适用答案：C解析：PIPL允许为维护设备安全或履行合同必要措施（如故障诊断）收集数据，但需明确告知而非默认同意。4.日本《个人信息保护法》（PIPA）对物联网设备的跨境数据传输有何特殊要求？A.必须获得用户“双重同意”B.限制传输至欧盟国家C.需通过日本政府认证的认证机构（如PAN）D.仅适用于商业用途数据答案：C解析：日本PIPA要求跨境传输前通过认证机构（如PAN）评估数据安全性，并非双重同意或区域限制。5.韩国《个人信息保护法》（PIPL）规定，物联网设备若收集敏感个人信息（如健康数据），需满足什么条件？A.用户必须为未成年人B.必须获得“明确同意”且提供替代方案C.企业需具备ISO27001认证D.仅适用于医疗行业设备答案：B解析：韩国PIPL对敏感数据要求更严格的同意机制（明确同意+无合理替代方案），非年龄或认证挂钩。6.新加坡《个人数据保护法案》（PDPA）对物联网设备的“目的限制”原则有何规定？A.数据收集目的必须与实际使用完全一致B.允许为市场营销目的扩大使用范围C.仅适用于企业级设备D.需定期重新获取用户同意答案：A解析：PDPA严格限制数据用途，禁止“目的漂移”，非可随意扩大或定期重获同意。7.印度《个人数据保护法案》（DPDPAct）草案中，对物联网设备的数据本地化要求是什么？A.所有数据必须存储在印度境内B.仅敏感数据需本地化C.企业需建立数据主权架构D.仅适用于金融科技设备答案：B解析：印度DPDPAct草案规定，除非公开数据或匿名化数据外，敏感数据（如生物识别）需本地存储，非全部数据。8.澳大利亚《隐私法》对物联网设备的“透明度”要求体现在哪里？A.必须提供二维码扫码查看隐私政策B.设备启动时弹出同意窗口C.在产品包装上标注数据收集类型D.上述均正确答案：D解析：澳大利亚隐私法要求企业以“显著方式”告知用户数据收集情况，包括包装标注、启动提示或扫码查看。9.巴西《通用数据保护法》（LGPD）对物联网设备的“数据最小化”原则如何解释？A.仅收集设备运行绝对必要的数据B.允许收集更多数据以备未来用途C.必须同时收集用户行为和生物特征数据D.仅适用于消费级设备答案：A解析：LGPD要求企业仅收集实现功能所需的最少数据，非可囤积备未来用途。10.香港《个人资料（私隐）条例》下，物联网设备若用于执法目的（如监控），需遵守什么规定？A.必须获得警方许可B.仅在公共区域可收集C.收集前需向个人资料委员会申请D.可匿名化处理无需额外许可答案：C解析：香港条例对执法类数据收集有特殊审批要求，非简单许可或匿名化豁免。二、多选题（共8题，每题3分）1.以下哪些属于欧盟GDPR对物联网设备的数据安全要求？A.必须实施加密传输B.定期进行漏洞扫描C.设备必须具备物理防拆功能D.数据访问需多因素认证答案：A、B、D解析：GDPR要求数据传输加密（A）、定期风险评估（B）、访问控制（D），物理防拆非强制但建议。2.美国加州CCPA和GDPR在用户权利方面有何差异？A.CCPA允许用户删除数据B.GDPR要求企业“数据保护官”（DPO）C.CCPA赋予用户“知情权”而非“被遗忘权”D.GDPR允许用户“数据可携权”答案：B、C、D解析：GDPR强制DPO（B）、赋予被遗忘权（非CCPA）、数据可携权（D），CCPA仅要求删除权。3.中国PIPL和韩国PIPL在敏感个人信息定义上有哪些共同点？A.健康数据B.生物识别信息C.金融账户数据D.行为特征数据答案：A、B、C解析：三国均将健康、生物识别、金融数据列为敏感信息，行为特征非普遍敏感类别。4.新加坡PDPA和澳大利亚《隐私法》在同意机制上有何相似之处？A.必须以“清晰易懂”语言说明B.可通过“沉默同意”收集非必要数据C.区分“单独同意”和“一般同意”D.必须记录同意时间答案：A、C、D解析：两法均要求同意清晰明确（A）、区分同意类型（C）、记录时间（D），非默认沉默同意。5.印度DPDPAct草案与美国加州CCPA在数据可携权方面有何区别？A.DPDP要求提供机器可读格式B.DPDP仅限于敏感数据可携C.CCAP要求企业15日内响应D.DPDP需额外提交数据用途证明答案：A、B、C解析：DPDP要求可携数据格式（A）、范围窄（B）、响应时限（C），非仅美国规定。6.香港《私隐条例》与欧盟GDPR在跨境传输规则上有何异同？A.均需额外保障措施B.香港要求认证机构审批C.GDPR有“同等性评估”豁免D.香港无数据本地化要求答案：A、C解析：两法均需传输保障（A），GDPR有同等性评估（C），香港无强制本地化。7.物联网设备若涉及多国法律（如欧盟+美国），企业需遵守哪些原则？A.适用最严格标准B.跨境传输需双重合规C.数据本地化优先于用户权利D.需建立全球隐私框架答案：A、B、D解析：合规需适用最高标准（A）、跨境传输双重验证（B）、建立全球机制（D），数据本地化非优先。8.日本PIPA与韩国PIPL在第三方SDK合规上有何要求？A.均需审查SDK隐私政策B.日本要求提供替代方案C.韩国需签订数据委托协议D.均需定期审计SDK合规性答案：A、C解析：两法均要求审查第三方SDK（A）、签订委托协议（C），日本无替代方案要求。三、判断题（共10题，每题1分）1.根据GDPR，物联网设备若用于自动化决策，必须提供人工干预选项。答案：对解析：GDPR禁止仅依赖自动化决策（如信用评分），需提供人类介入。2.美国CCPA允许企业将用户数据传输给关联公司用于市场营销。答案：错解析：CCPA禁止“目的漂移”，关联公司营销需重新获取同意。3.中国PIPL规定，物联网设备若未标注数据收集类型，即构成违法。答案：对解析：PIPL强制要求在显著位置标注收集类型、目的等。4.日本PIPA允许企业将非公开数据跨境传输至澳大利亚。答案：对解析：日本PIPA对非公开数据跨境无特殊限制。5.新加坡PDPA规定，物联网设备必须每6个月更新隐私政策。答案：错解析：PDPA未强制固定更新周期，但需及时更新。6.韩国PIPL要求物联网设备收集敏感数据时，必须提供无合理替代方案。答案：对解析：韩国PIPL对敏感数据同意要求更严格。7.印度DPDPAct草案禁止企业出售用户数据，但允许匿名化后使用。答案：对解析：印度草案禁止直接数据交易，但允许匿名化数据商业使用。8.香港《私隐条例》要求执法类物联网设备必须双重加密。答案：错解析：香港无强制双重加密要求，但建议加强。9.澳大利亚《隐私法》规定，物联网设备必须安装物理防拆报警器。答案：错解析：该法仅要求数据透明，无物理防拆强制。10.欧盟GDPR允许企业因“公共利益”而强制收集非必要数据。答案：对解析：GDPR允许基于公共利益强制收集，但需严格必要性审查。四、简答题（共5题，每题6分）1.简述欧盟GDPR对物联网设备的数据安全认证要求。答案：-企业需实施“适当技术和管理措施”（如加密、访问控制）-定期进行风险评估和漏洞扫描-对第三方SDK进行隐私影响评估-建立数据泄露通知机制（72小时内）-部分高风险设备需通过欧盟认证（如SCC认证）2.美国加州CCPA和GDPR在数据主体权利上有何主要区别？答案：-CCPA：赋予删除权、知情权、数据可携权（仅非公开数据），无被遗忘权-GDPR：赋予删除权、被遗忘权、数据可携权、限制处理权，需DPO监督-范围差异：CCPA仅针对加州居民，GDPR全球适用3.中国PIPL对物联网设备的“告知同意”有何特殊要求？答案：-必须以“显著方式”明确告知收集目的、类型、存储期限-删除/撤回同意需无障碍操作（如一键撤销）-敏感数据需“单独同意”而非勾选框捆绑-企业需记录同意日志（含时间、IP、设备ID）4.新加坡PDPA如何界定物联网设备的“自动化决策”？答案：-指仅依赖算法或模型作出决定（如信用评估、用户画像）-若可能对个人产生重大影响，必须提供人工申诉或干预选项-企业需证明决策的合理性和透明度（如解释算法逻辑）5.印度DPDPAct草案对物联网设备的数据本地化有何影响？答案：-敏感数据（如健康、生物识别）必须存储在印度境内-企业需建立数据主权架构（如境内备份、加密传输）-跨境传输需额外认证，非自动豁免-违规企业将面临巨额罚款（最高2000万卢比）五、论述题（共2题，每题10分）1.论述欧盟GDPR对物联网供应链合规的影响。答案：-SDK/第三方组件：企业需审查组件隐私政策，确保符合GDPR（如数据最小化、透明度）-云服务提供商：需签订数据处理协议（DPA），明确责任边界（如AWS、Azure需符合AdequacyDecision）-硬件制造商：需确保设备固件更新符合GDPR（如远程更新需同意通知）-跨境传输：供应链各环节需通过SCCs或BCR确保合规，避免“责任链断裂”-合规成本：迫使企业投入更多资源进行供应链审计和技术改造2.论述中国PIPL与美国加州CCPA在跨境数据传输规则上的差异与调和路径。答案：-差异点：-传输机制：PIPL强制“标准合同条款+额外保障”，CCPA允许SCCs但需补充认证-敏感数据