2025年大数据合规试题及答案

2025年大数据合规试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.根据《个人信息保护法》第四十条，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当（）。A.向省级公安机关备案B.指定个人信息保护负责人并公开联系方式C.每季度开展一次自评估D.将数据存储在境内私有云即可答案：B2.2024年7月，国家网信办发布《数据出境安全评估办法（修订稿）》，将“累计向境外提供10万人个人信息”的评估触发阈值调整为（）。A.1万人B.5万人C.10万人D.50万人答案：A3.某金融App在2025年1月因“强制收集人脸信息用于会员营销”被工信部通报，其直接违反的合规基线是（）。A.最小必要原则B.正当必要原则C.公开透明原则D.质量保障原则答案：A4.根据《网络数据安全管理条例（征求意见稿）》第三十一条，大型平台运营者利用算法推荐向未成年人推送商品，应当同时提供（）。A.关闭选项并显著提示B.家长二次验证通道C.未成年人模式入口D.一键举报按钮答案：C5.2025年3月，某跨境电商平台收到欧盟监管机构GDPR第58条调查问卷，其中国仓库是否适用GDPR的核心判断标准是（）。A.服务器物理位置B.数据控制者注册地C.是否向欧盟境内数据主体提供商品服务D.是否使用欧盟境内支付通道答案：C6.根据《汽车数据安全管理若干规定（试行）》，整车厂对车外视频数据进行匿名化后，仍需履行的义务是（）。A.向省级工信部门备案B.取得被拍摄行人明示同意C.建立数据出境评估台账D.在车载终端显示采集提示答案：D7.2025年5月，某三甲医院将科研脱敏后的基因数据上传至第三方云平台，其合规前提是（）。A.取得伦理批件且基因数据不可复原B.与云平台签署HIPAA业务伙伴协议C.向国家卫健委申请基因数据出境许可D.将数据拆分为小于100KB片段答案：A8.根据《个人信息保护法》第十三条，员工考勤人脸识别最可能适用的合法性基础是（）。A.履行法定职责B.取得个人同意C.人力资源管理必需D.公共利益报道答案：C9.2025年4月，某省通管局对违规App开出200万元罚单，处罚依据直接引用的是（）。A.《网络安全法》第六十四条B.《个人信息保护法》第六十六条C.《数据安全法》第四十五条D.《电信条例》第三十一条答案：B10.在数据分类分级实践中，国家推荐标准GB/T436972024将“个人敏感信息”定为（）级。A.2B.3C.4D.5答案：C11.2025年2月，某AI公司使用境外开源语料训练大模型，被质疑违规处理个人信息，其首要合规动作应是（）。A.立即删除全部语料B.开展个人信息影响评估（PIA）C.向网信部门申请算法备案D.发布公开道歉声明答案：B12.根据《数据安全法》第二十七条，开展重要数据共享时，数据处理者应当采取的合规措施不包括（）。A.明确双方数据安全责任B.约定数据出境场景C.对接收方进行安全认证D.向主管部门事前审批答案：D13.2025年6月，某市发布《公共数据授权运营管理办法》，允许社会资本运营医疗数据，前提条件是（）。A.数据不得包含个人信息B.运营主体必须为国企C.通过“数据产品”形式交易D.经市人大立法授权答案：C14.在个人信息侵权民事纠纷中，法院适用“举证责任倒置”的规则来源于（）。A.《民法典》第一千零三十四条B.《个人信息保护法》第六十九条C.《电子商务法》第二十三条D.《消费者权益保护法》第二十九条答案：B15.2025年3月，某短视频平台上线“AI换脸”特效，用户上传照片后即生成视频，该平台必须履行的义务是（）。A.对照片进行哈希加密B.取得肖像权人单独同意C.将数据留存3年备查D.向文旅部申请网络文化许可答案：B16.根据《个人信息出境标准合同办法》，双方应在合同签署后（）个工作日内向省级网信部门备案。A.5B.7C.10D.15答案：C17.2025年1月，某银行因“算法歧视老年人贷款利率”被央行约谈，其整改首要环节是（）。A.关闭全部算法模型B.开展算法合规审计C.向老年客户赔偿差价D.向银保监会申请新业务备案答案：B18.在数据跨境传输技术管控中，国家推荐使用的数据出境网关应部署在（）。A.企业DMZ区B.运营商骨干节点C.省级政务云D.国家互联网交换中心答案：B19.2025年4月，某IoT厂商默认开启“语音唤醒”功能，被消协提起公益诉讼，其抗辩理由最不可能被法院采信的是（）。A.已在说明书第47页告知B.语音数据仅在本地处理C.用户可一键关闭D.行业标准均默认开启答案：A20.根据《个人信息保护法》第二十五条，处理已公开个人信息时，若对个人权益有（）影响，应取得个人同意。A.轻微B.一般C.重大D.任何答案：C21.2025年5月，某高校将学生成绩数据共享给校企合作单位，未做匿名化，被认定为违规，其根本原因是（）。A.未履行告知义务B.超出授权范围共享C.未进行安全评估D.未获得学生书面同意答案：B22.在数据安全能力成熟度模型（DSMM）中，达到“定义级”的企业必须建立（）。A.数据安全委员会B.数据资产清单C.数据出境白名单D.数据安全考核指标答案：D23.2025年2月，某云服务商通过ISO27701认证，其证书可直接用于证明其（）。A.重要数据保护能力B.个人信息管理体系完备性C.跨境数据合规性D.关键信息基础设施保护水平答案：B24.根据《网络安全审查办法》第十条，掌握超过（）万用户个人信息的平台赴国外上市，必须申报网络安全审查。A.50B.100C.500D.1000答案：B25.2025年6月，某生物公司委托第三方实验室分析人类遗传资源，其必须事先通过（）审批。A.科技部人类遗传资源管理办公室B.国家卫健委科教司C.国家药监局D.教育部科技司答案：A26.在App个人信息保护合规评估中，被判定为“未经同意收集设备MAC地址”属于（）类问题。A.无隐私政策B.超范围收集C.频繁索权D.强制收集答案：B27.2025年4月，某市监局对违法买卖个人信息的中介机构处以营业额5%罚款，其直接依据是（）。A.《个人信息保护法》第七十条B.《数据安全法》第四十七条C.《刑法》第二百五十三条之一D.《反不正当竞争法》答案：A28.根据《个人信息出境标准合同》，境外接收方再转移个人信息时，应确保签署方提供（）水平的保护。A.等同B.更高C.不低于D.严格答案：C29.2025年3月，某车企在德国设立数据中心，用于存储中国用户数据，其仍需遵守中国法律的原因是（）。A.属人管辖B.属地管辖C.保护管辖D.效果管辖答案：D30.在数据合规体系建设中，被称为“第一道防线”的是（）。A.内审部门B.法务部门C.业务部门D.信息安全部门答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些情形属于《个人信息保护法》规定的“敏感个人信息”（）。A.14岁以下未成年人的个人信息B.精准定位轨迹C.支付密码D.健身步数答案：A、B、C32.2025年5月，某App在隐私政策中披露“与关联公司共享”，但仍被通报，可能遗漏的要素包括（）。A.关联公司名称B.共享目的C.共享方式D.用户撤销机制答案：A、B、C、D33.根据《数据安全法》第三十条，国家建立数据分类分级保护制度，重要数据特征包括（）。A.涉及国家安全B.涉及国民经济命脉C.涉及重大公共利益D.涉及企业商业秘密答案：A、B、C34.2025年4月，某AI绘画平台被诉侵权，其抗辩理由可包括（）。A.已删除争议作品B.适用合理使用条款C.训练数据已脱敏D.获得作者集体授权答案：A、B、D35.在个人信息出境场景下，标准合同与认证机制的主要区别有（）。A.适用主体规模B.是否需第三方审计C.是否向监管部门备案D.是否可再转移答案：A、B、C36.2025年6月，某政务App上线“一码通”，需收集用户身份证、人脸、指纹，其合规要点包括（）。A.单独告知生物识别信息用途B.提供替代验证方式C.取得明示同意D.数据不出境答案：A、B、C、D37.根据《网络数据安全管理条例（征求意见稿）》，互联网平台在合并重组时，数据接收方应履行的义务有（）。A.重新取得个人信息主体同意B.向省级以上网信部门报告C.开展数据安全评估D.发布数据承接公告答案：A、B、C38.2025年3月，某医疗AI公司使用联邦学习技术训练模型，其合规优势包括（）。A.原始数据不出域B.降低泄露风险C.无需取得患者同意D.符合最小必要原则答案：A、B、D39.在数据合规审计中，被视为“高风险操作”的有（）。A.批量导出用户个人信息B.运维人员无审批访问数据库C.第三方远程调试未脱敏数据D.日志留存不足6个月答案：A、B、C40.2025年7月，某跨国企业拟在华设立数据中心，需考虑的中国合规要素包括（）。A.数据本地化要求B.网络安全审查C.重要数据识别D.出口管制清单答案：A、B、C三、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.根据《个人信息保护法》，个人信息处理者只要取得个人同意，即可任意向境外提供个人信息。（）答案：×42.2025年1月起，所有App必须通过工信部备案系统提交个人信息保护合规报告，否则下架。（）答案：√43.匿名化信息因无法识别个人，故不受《个人信息保护法》约束。（）答案：√44.数据出境安全评估结果为“不予出境”的，企业可在整改后再次申报。（）答案：√45.2025年6月，国家市场监管总局发布指南，明确“算法推荐”必须提供关闭键，且不得少于两次提示。（）答案：×46.根据《数据安全法》，国家鼓励数据依法自由流动，但不得危害国家安全。（）答案：√47.个人信息处理者委托第三方处理个人信息时，无需对第三方进行监督。（）答案：×48.2025年3月，央行发布《金融数据安全分级指南》，将“交易密码”定为4级核心数据。（）答案：√49.在刑事侦查中，公安机关调取个人信息无需任何审批手续。（）答案：×50.2025年5月，国务院宣布在粤港澳大湾区试点“数据海关”，允许科研数据跨境自由流动。（）答案：√四、简答题（每题10分，共20分）51.简述2025年新版《个人信息出境标准合同》相比2023版的三项主要变化，并说明对企业合规流程的影响。答案：（1）细化再转移场景：2025版要求境外接收方再转移个人信息时，必须提供同等保护水平的书面承诺，并增加再转移记录保存5年义务；企业需在合同中追加再转移审计条款，建立第三方再转移台账。（2）引入技术审计权：监管方有权委托第三方对境外接收方进行技术审计，企业需在合同中预留接口并承担配合义务；合规流程需提前评估境外接收方IT架构的可审计性，必要时引入SOC2报告。（3）增加大额赔偿机制：2025版将违约金上限从100万元提升至“上一会计年度营业利润5%”，并引入集团连带责任；企业需重新评估保险额度，购买不低于5000万元的数据出境责任险，同时建立集团内赔偿资金池。52.2025年4月，某自动驾驶公司计划将在中国路测收集的激光雷达原始点云数据出境至美国研发中心，请列出必须完成的合规步骤，并说明每一步的法律依据。答案：（1）识别重要数据：依据《汽车数据安全管理若干规定》第五条，车外视频、图像、点云数据被纳入“重要数据”，需先向省级工信部门申报识别。（2）开展数据出境风险自评估：依据《数据出境安全评估办法》第八条，评估重点包括出境必要性、接收方保护能力、再转移风险、个人权益影响；自评估报告需保存3年。（3）申请安全评估：因数据含连续空间坐标，属于重要数据，依据《数据安全法》第三十一条，必须通过国家网信办安全评估，评估周期60个工作日。（4）取得个人信息单独同意：若点云含车牌、人脸，依据《个人信息保护法》第二十九条，需取得个人信息主体单独同意，并在隐私政策中提供“撤回同意”通道。（5）签署标准合同并备案：若评估结论为“限制出境”，需依据《个人信息出境标准合同办法》签署合同，并在10个工作日内向省级网信部门备案。（6）技术管控：部署国家认证的数据出境网关，对原始点云进行AES256加密及数字水印，确保可追溯；依据《网络数据安全管理条例（征求意见稿）》第三十八条。（7）持续合规监测：每两年复评一次，若美国接收方被美政府要求强制披露数据，需启动数据跨境事件报告，依据《数据安全法》第四十一条在24小时内向国家网信办报告。五、案例分析题（20分）53.背景：“健康云”是2025年市场占有率第一的互联网医疗App，注册用户1.2亿，日活3200万。2025年6月，媒体曝光其“健康手环”SDK在后台持续读取用户心率、步数、GPS轨迹，并在每日凌晨2点将加密数据上传至新加坡服务器。经检测，SDK未在隐私政策中单独告知生物识别信息收集，且未提供关闭选项。用户李某提起公益诉讼，要求停止侵权、删除数据、赔偿1亿元。国家网信办随后启动调查，发现“健康云”未进行数据出境安全评估，未备案标准合同，且新加坡接收方将数据再转移至美国母公司。问题：（1）请指出“健康云”违反的五项具体法律条款，并说明违法构成要件。（10分）（2）结合2025年监管实践，预测国家网信办、工信部、消协分别可能采取的处罚措施，并估算罚款区间。（6分）（3）为“健康云”设计一份72小时危机应对时间表，列出关键动作、责任部门及输出物。（4分）答案：（1）①《个人信息保护法》第二十九条：处理敏感个人信息未取得单独同意，构成要件：生物识别信息属于敏感个人信息，未履行单独告知+明示同意。②《个人信息保护法》第三十八条：向境外提供个人信息未通过安全评估/认证/标准合同，构成要件：数据出境行为客观存在，且未满足三项法定路径之一。③《数据安全法》第三十一条：重要数据出境未申报安全评估，构成要件：心率、GPS轨迹被《网络数据安全管理条例》界定为重要数据，未评