2026年数据隐私与安全JD国际版跨境数据传输合规性考试

2026年数据隐私与安全JD国际版跨境数据传输合规性考试一、单选题（共10题，每题2分）1.根据欧盟《通用数据保护条例》（GDPR），以下哪种情况不属于跨境数据传输的合法基础？A.经数据主体明确同意B.依据具有约束力的公司规则（BCR）C.为履行欧盟公共利益或法律义务而传输D.未经数据主体同意，仅因企业自身商业利益传输2.中国《个人信息保护法》规定，境外处理个人信息需满足哪些条件？A.仅需获得数据主体同意B.确保符合中国法律法规，并经专业机构安全评估C.境外接收方必须为欧盟成员国D.无需任何限制，只要企业规模足够大3.美国《加州消费者隐私法案》（CCPA）对跨境数据传输的特殊要求是什么？A.禁止向欧盟传输任何个人数据B.要求在传输前提供透明的隐私政策说明C.仅允许经数据主体书面同意的传输D.必须与欧盟达成数据保护协议4.日本《个人信息保护法》（PIPA）对跨境传输的特殊要求是什么？A.接收方必须为经日本认证的境外机构B.无需额外合规措施，只要传输符合日本本地要求C.必须通过日本政府批准的数据传输协议D.仅适用于政府机构之间的数据交换5.新加坡《个人数据保护法》（PDPA）对跨境数据传输的合规路径是什么？A.必须获得新加坡个人明确同意B.仅需新加坡内政部批准即可传输C.接收方必须符合APEC《隐私框架》标准D.无需任何限制，只要数据传输不涉及敏感信息6.印度《个人数据保护法案》（DPDPAct）对跨国数据传输的主要限制是什么？A.禁止向任何非印度实体传输个人数据B.仅允许经数据主体同意且接收方承诺遵守GDPR的传输C.必须通过印度电子政务部批准的机制传输D.无需额外合规，只要企业符合印度本地标准7.巴西《一般数据保护法》（LGPD）对跨境数据传输的特定要求是什么？A.接收方必须为经巴西外交部认证的机构B.必须通过具有约束力的公司规则（BCR）或国际组织协议C.禁止向任何欧盟国家传输数据D.仅适用于政府机构间的数据交换8.澳大利亚《隐私法》（PrivacyAct）对跨境数据传输的监管重点是什么？A.强制要求获得数据主体书面同意B.仅适用于联邦政府机构的数据传输C.要求接收方承诺遵守澳大利亚《隐私原则》D.无需任何限制，只要数据传输不涉及健康信息9.韩国《个人信息保护法》（PIPA）对跨境数据传输的特殊要求是什么？A.必须通过韩国隐私委员会批准的协议B.接收方必须为经韩国认证的境外机构C.禁止向欧盟传输任何个人数据D.无需额外合规，只要数据传输符合韩国本地要求10.英国《2020年数据保护法》（DPA2020）对跨境数据传输的合规要求是什么？A.必须获得数据主体明确同意且接收方符合GDPR标准B.仅适用于政府机构间的数据传输C.无需任何限制，只要数据传输不涉及敏感信息D.必须通过英国信息专员办公室（ICO）批准的机制二、多选题（共8题，每题3分）1.根据GDPR，以下哪些属于跨境数据传输的合法基础？A.经数据主体明确同意B.基于具有约束力的公司规则（BCR）C.为履行欧盟公共利益或法律义务而传输D.接收方承诺遵守GDPR的补充保护条款2.中国《个人信息保护法》规定，境外处理个人信息需满足哪些条件？A.接收方承诺提供与国内同等水平的个人权利保障B.必须通过国家网信部门的安全评估C.数据传输仅用于非敏感业务场景D.数据主体有权撤回同意3.美国CCPA对跨境数据传输的例外情况有哪些？A.为履行合同或履行法律义务而传输B.数据传输仅用于内部运营且不涉及个人身份信息C.接收方为经CCPA认证的境外机构D.数据主体明确同意且不违反CCPA核心条款4.日本PIPA对跨境数据传输的特殊要求包括哪些？A.接收方必须为经日本认证的境外机构B.必须通过具有约束力的公司规则（BCR）C.数据传输仅用于学术研究且不涉及个人身份信息D.接收方承诺遵守日本PIPA的补充保护条款5.新加坡PDPA对跨境数据传输的合规路径包括哪些？A.接收方承诺遵守APEC《隐私框架》标准B.必须通过新加坡内政部批准的协议C.数据传输仅用于内部运营且不涉及个人身份信息D.数据主体有权撤回同意6.印度DPDPAct对跨境数据传输的主要限制包括哪些？A.禁止向任何非印度实体传输个人数据B.仅允许经数据主体同意且接收方承诺遵守GDPR的传输C.必须通过印度电子政务部批准的机制传输D.接收方为经印度认证的境外机构7.巴西LGPD对跨境数据传输的特定要求包括哪些？A.接收方必须为经巴西外交部认证的机构B.必须通过具有约束力的公司规则（BCR）或国际组织协议C.禁止向任何欧盟国家传输数据D.数据传输仅用于学术研究且不涉及个人身份信息8.澳大利亚《隐私法》对跨境数据传输的监管重点包括哪些？A.要求接收方承诺遵守澳大利亚《隐私原则》B.仅适用于联邦政府机构的数据传输C.数据传输仅用于内部运营且不涉及个人身份信息D.接收方为经澳大利亚认证的境外机构三、判断题（共12题，每题1分）1.根据GDPR，数据控制者可以通过默认同意的方式跨境传输个人数据。（正确/错误）2.中国《个人信息保护法》规定，境外处理个人信息必须通过国家网信部门的安全评估。（正确/错误）3.美国CCPA允许企业未经数据主体同意，仅因商业利益跨境传输个人数据。（正确/错误）4.日本PIPA对跨境数据传输无特殊要求，只要符合日本本地标准即可。（正确/错误）5.新加坡PDPA规定，跨境数据传输必须获得新加坡个人明确同意。（正确/错误）6.印度DPDPAct禁止向任何非印度实体传输个人数据。（正确/错误）7.巴西LGPD要求跨境数据传输必须通过巴西外交部认证。（正确/错误）8.澳大利亚《隐私法》对跨境数据传输无特殊要求，只要数据传输不涉及敏感信息即可。（正确/错误）9.韩国PIPA规定，跨境数据传输必须通过韩国隐私委员会批准的协议。（正确/错误）10.英国《2020年数据保护法》规定，跨境数据传输必须获得数据主体明确同意且接收方符合GDPR标准。（正确/错误）11.GDPR允许企业通过具有约束力的公司规则（BCR）跨境传输个人数据，但无需额外合规措施。（正确/错误）12.中国《个人信息保护法》规定，境外处理个人信息必须获得数据主体书面同意。（正确/错误）四、简答题（共5题，每题5分）1.简述GDPR对跨境数据传输的合法基础有哪些？并说明每种基础的适用场景。2.中国《个人信息保护法》对境外处理个人信息的主要合规要求有哪些？请列举至少三种。3.美国CCPA对跨境数据传输的例外情况有哪些？请列举至少三种。4.日本PIPA对跨境数据传输的特殊要求是什么？请说明其与GDPR的主要区别。5.新加坡PDPA对跨境数据传输的合规路径有哪些？请说明每种路径的适用场景。五、论述题（共2题，每题10分）1.分析GDPR与中国的《个人信息保护法》在跨境数据传输合规性方面的主要差异，并探讨企业如何应对这些差异。2.结合美国CCPA和印度的DPDPAct，论述企业在跨境数据传输中的合规挑战，并提出相应的应对策略。答案与解析一、单选题1.D解析：GDPR禁止未经数据主体同意，仅因企业自身商业利益传输个人数据，属于非法传输。2.B解析：中国《个人信息保护法》要求境外处理个人信息需符合中国法律法规，并经专业机构安全评估。3.B解析：CCPA要求在传输前提供透明的隐私政策说明，确保数据主体知情。4.A解析：日本PIPA要求接收方必须为经日本认证的境外机构，以保障数据安全。5.C解析：新加坡PDPA要求接收方承诺遵守APEC《隐私框架》标准，以实现区域合规。6.A解析：印度DPDPAct禁止向任何非印度实体传输个人数据，除非符合特定例外情况。7.B解析：巴西LGPD要求通过具有约束力的公司规则（BCR）或国际组织协议进行跨境传输。8.C解析：澳大利亚《隐私法》要求接收方承诺遵守澳大利亚《隐私原则》，以保障数据安全。9.B解析：韩国PIPA要求接收方必须为经韩国认证的境外机构，以实现本地合规。10.A解析：英国《2020年数据保护法》要求跨境数据传输必须获得数据主体明确同意且接收方符合GDPR标准。二、多选题1.A,B,C,D解析：GDPR允许通过经数据主体同意、具有约束力的公司规则（BCR）、履行公共利益或法律义务、以及补充保护条款等方式进行跨境数据传输。2.A,B,D解析：中国《个人信息保护法》要求接收方承诺提供同等水平的个人权利保障，通过国家网信部门的安全评估，并保障数据主体的撤回同意权。3.A,B,D解析：CCPA允许为履行合同、法律义务，以及经数据主体同意且不违反核心条款的传输。4.A,B,D解析：日本PIPA要求接收方为经认证的境外机构，通过BCR，并承诺遵守补充保护条款。5.A,C,D解析：新加坡PDPA允许通过APEC《隐私框架》标准、仅用于内部运营且不涉及个人身份信息，并保障数据主体的撤回同意权。6.A,C,D解析：印度DPDPAct禁止向非印度实体传输，允许经数据主体同意且接收方承诺遵守GDPR的传输，并要求通过政府批准的机制传输。7.A,B,D解析：巴西LGPD要求接收方为经外交部认证的机构，通过BCR或国际组织协议，并允许仅用于学术研究的传输。8.A,C,D解析：澳大利亚《隐私法》要求接收方承诺遵守《隐私原则》，仅用于内部运营且不涉及个人身份信息，并要求接收方为经认证的境外机构。三、判断题1.错误解析：GDPR禁止默认同意的方式跨境传输个人数据，必须基于明确同意或合法基础。2.正确解析：中国《个人信息保护法》要求境外处理个人信息必须通过国家网信部门的安全评估。3.错误解析：CCPA禁止未经数据主体同意，仅因商业利益跨境传输个人数据。4.错误解析：日本PIPA对跨境数据传输有特殊要求，必须通过认证或BCR等机制。5.错误解析：新加坡PDPA允许通过APEC《隐私框架》标准等方式进行跨境传输，无需获得个人明确同意。6.正确解析：印度DPDPAct禁止向任何非印度实体传输个人数据，除非符合特定例外情况。7.错误解析：巴西LGPD要求通过BCR或国际组织协议，而非外交部认证。8.错误解析：澳大利亚《隐私法》对跨境数据传输有特殊要求，必须通过接收方承诺遵守《隐私原则》等方式。9.正确解析：韩国PIPA要求跨境数据传输必须通过隐私委员会批准的协议。10.正确解析：英国《2020年数据保护法》要求跨境数据传输必须获得数据主体明确同意且接收方符合GDPR标准。11.错误解析：GDPR允许通过BCR跨境传输，但必须满足额外合规措施，如数据保护影响评估。12.错误解析：中国《个人信息保护法》允许通过合法基础（如BCR、履行合同等）跨境传输，无需仅获得书面同意。四、简答题1.GDPR对跨境数据传输的合法基础-经数据主体明确同意：数据主体自愿且明确同意数据跨境传输。-具有约束力的公司规则（BCR）：企业内部制定的规则，确保境外接收方提供与欧盟同等的数据保护水平。-履行欧盟公共利益或法律义务：为履行欧盟公共利益或法律义务而传输。-补充保护条款：与欧盟达成协议的境外接收方承诺遵守GDPR标准。-合同履行：为履行与数据主体的合同或前期准备而传输。2.中国《个人信息保护法》对境外处理个人信息的主要合规要求-通过国家网信部门的安全评估：境外接收方需通过安全评估，确保数据安全。-接收方承诺提供同等水平的个人权利保障：接收方需承诺保障数据主体的删除、更正等权利。-通过具有约束力的公司规则（BCR）：企业可制定BCR，确保境外处理符合国内标准。3.美国CCPA对跨境数据传输的例外情况-为履行合同或履行法律义务而传输：为履行与数据主体的合同或法律义务而传输。-数据传输仅用于内部运营且不涉及个人身份信息：企业内部使用且不涉及敏感信息。-经数据主体同意且不违反CCPA核心条款：经数据主体同意且不违反CCPA的禁止性规定。4.日本PIPA与GDPR的主要区别-认证要求：PIPA要求接收方必须为经日本认证的境外机构，而GDPR无类似要求。-BCR适用性：PIPA要求通过BCR，但GDPR更强调数据主体的同意或补充保护条款。5.新加坡PDPA对跨境数据传输的合规路径-通过APEC《隐私框架》标准：接收方需承诺遵守APEC标准。-仅用于内部运营且不涉及个人身份信息：企业内部使用且不涉及敏感信息。-数据主体有权撤回同意：数据主体有权撤回同意且企业需停止传输。五、论述题1.GDPR与中国的《个人信息保护法》在跨境数据传输合规性方面的主要差异及应对策略-差异：-合法基础：GDPR强调数据主体的明确同意或补充保护条款，而中国《个人信息保护法》更侧重安全评估和BCR。-监管机构：GDPR由欧盟委员会监管，中国由网信办和工信部监管。-跨境传输限制：GDPR对非欧盟国家有更严格的限制，中国则允许通过安全评