2026年数据安全合规审计培训试题及答案

2026年数据安全合规审计培训试题及答案一、单项选择题（每题2分，共20分）1.根据《数据安全法》及相关规定，数据处理者开展数据安全影响评估的频率应为？A.每季度一次B.每年一次C.发生数据处理活动重大变化时D.仅在数据出境时答案：C解析：《数据安全法》第二十二条规定，数据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告；当数据处理活动的目的、方式、范围、类型等发生重大变化时，应重新进行安全影响评估。2.某金融机构拟向境外提供客户个人金融信息，根据《个人信息保护法》，以下哪项不是必须满足的条件？A.通过国家网信部门组织的安全评估B.与境外接收方订立书面合同，约定双方权利义务C.取得个人单独同意D.确保境外接收方具备相应的数据安全保护能力答案：A解析：《个人信息保护法》第三十八条规定，向境外提供个人信息可通过安全评估、认证或标准合同等方式；安全评估仅为可选路径之一，非唯一条件。3.关键信息基础设施运营者（CIIO）在数据安全管理中，以下哪项义务表述错误？A.应自行对数据处理活动进行安全评估，无需第三方参与B.应制定数据安全事件应急预案并定期演练C.采购网络产品和服务时需进行安全审查D.重要数据出境需经国家网信部门安全评估答案：A解析：《关键信息基础设施安全保护条例》第十七条规定，CIIO应自行或委托第三方开展网络安全检测评估，并非“无需第三方参与”。4.某电商平台收集用户收货地址信息，根据“最小必要”原则，以下哪项行为合规？A.收集用户近3年所有历史收货地址B.仅收集当前订单所需的1个收货地址C.要求用户提供身份证号以验证地址真实性D.将地址信息共享给关联方用于精准营销答案：B解析：《个人信息保护法》第六条规定，个人信息的收集应限于实现处理目的的最小范围，当前订单仅需1个地址符合“最小必要”。5.数据分类分级的核心依据是？A.数据存储介质的安全性B.数据泄露或滥用可能造成的影响程度C.数据产生的业务部门D.数据的存储时长答案：B解析：《数据安全法》第二十一条明确，数据分类分级应根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度。二、多项选择题（每题3分，共15分，少选、错选不得分）1.以下属于“重要数据”的有？A.某省人口普查中的户籍人口总数B.某新能源企业研发的未公开电池核心技术参数C.某医院的患者诊疗记录（不涉及个人身份）D.某物流企业全国物流节点分布数据答案：ABD解析：根据《重要数据识别指南》，重要数据包括影响国家安全、经济运行、公共利益的人口数据（A）、关键技术数据（B）、重要基础设施相关数据（D）；匿名化的诊疗记录（C）不直接关联个人或公共利益，通常不认定为重要数据。2.数据安全审计的核心内容包括？A.数据处理活动的合法性（是否符合“告知-同意”）B.数据访问控制策略的有效性（如最小权限原则）C.数据存储加密措施的落实情况D.数据安全事件的记录与处置流程答案：ABCD解析：数据安全审计需覆盖数据全生命周期（采集、存储、使用、共享、销毁）的合规性，包括法律依据、技术控制、事件管理等。3.个人信息主体的“删除权”在以下哪些情形下可被限制？A.为履行法定职责或法定义务所必需B.为应对突发公共卫生事件C.个人信息已进行匿名化处理D.数据处理活动涉及国家安全答案：ABCD解析：《个人信息保护法》第四十七条规定，删除权受限于法定职责、公共利益、匿名化或国家安全等情形。4.数据安全合规审计中，对“数据跨境流动”的重点检查项包括？A.跨境数据的类型和规模是否与申报一致B.境外接收方的数据安全保护能力证明C.个人信息主体的同意文件是否完整D.数据出境后的再转移控制措施答案：ABCD解析：依据《数据出境安全评估办法》，审计需核查数据出境的必要性、接收方能力、用户同意、再转移限制等。5.某企业发生数据泄露事件，以下哪些行为符合《数据安全法》要求？A.立即组织技术力量阻断泄露源B.48小时内向行业主管部门报告C.评估泄露影响后，72小时内告知受影响个人（无法联系的除外）D.隐瞒事件以避免声誉损失答案：ABC解析：《数据安全法》第四十五条规定，发生数据安全事件应立即采取处置措施，72小时内向有关部门报告（部分行业要求更短，如金融行业4小时），并及时告知用户（无法联系或可能造成二次伤害的除外）。三、判断题（每题2分，共10分，正确打√，错误打×）1.数据处理者可将“同意收集个人信息”作为提供服务的必要条件，即使该信息非服务必需。（）答案：×解析：《个人信息保护法》第十六条规定，不得将非必要个人信息的收集作为提供服务的前提。2.重要数据的处理无需向行业主管部门备案，只需内部记录。（）答案：×解析：《数据安全法》第二十七条要求，重要数据处理者应按照规定向有关部门备案。3.数据安全负责人必须由企业法定代表人担任。（）答案：×解析：《数据安全法》第二十五条规定，数据安全负责人由数据处理者指定，通常为高层管理人员，但非法定代表人本人。4.匿名化数据不属于个人信息，因此无需遵守《个人信息保护法》。（）答案：√解析：《个人信息保护法》第四条明确，匿名化处理后无法识别特定自然人的信息不属于个人信息。5.数据安全审计报告只需由企业内部保存，无需向监管部门提交。（）答案：×解析：根据《数据安全法》第三十四条，监管部门可要求数据处理者提供审计报告等材料。四、案例分析题（共55分）案例背景：某医疗科技公司（以下简称“甲公司”）主要运营互联网医院平台，收集患者姓名、身份证号、病历资料、诊疗记录等数据。2025年12月，甲公司与境外AI公司（乙公司）合作，将10万份患者诊疗数据（包含部分身份证号）传输至境外用于算法训练，未向患者告知数据出境事项，也未向监管部门申报。2026年3月，平台日志显示有员工通过默认弱口令登录数据库，下载5000份患者病历数据并出售，导致患者信息泄露。问题1：甲公司与乙公司的数据跨境传输行为存在哪些合规问题？（15分）答案：（1）未履行个人信息出境告知义务：根据《个人信息保护法》第三十条，向境外提供个人信息需向个人告知接收方、目的、方式等，甲公司未告知患者，违反“告知-同意”原则。（2）未通过数据出境安全评估/认证/标准合同：《数据安全法》第三十一条规定，重要数据（医疗健康数据可能被认定为重要数据）出境需经安全评估；甲公司未申报，涉嫌违法。（3）传输数据超出必要范围：将身份证号等敏感信息与诊疗数据一同传输，违反“最小必要”原则（《个人信息保护法》第六条）。问题2：员工泄露患者病历数据事件中，甲公司存在哪些管理漏洞？（20分）答案：（1）访问控制缺陷：员工使用默认弱口令登录数据库，未实施强口令策略或多因素认证，违反《网络安全法》第二十一条关于“访问控制”的要求。（2）日志与监控缺失：未及时发现员工异常下载行为，未对数据库访问进行审计日志记录（《数据安全法》第二十九条要求数据处理者加强风险监测）。（3）数据安全培训不足：员工法律意识薄弱，未意识到出售患者数据的违法性，甲公司未履行《数据安全法》第二十四条规定的“数据安全培训”义务。（4）敏感数据保护措施不到位：患者病历属于敏感个人信息（《个人信息保护法》第二十八条），应采取加密存储、权限最小化等措施，甲公司未充分保护。问题3：针对上述事件，甲公司应采取哪些应急处置措施？（20分）答案：（1）立即阻断泄露源：关闭涉事员工账号，修复数据库弱口令漏洞，启用多因素认证。（2）评估事件影响：统计泄露数据类型（身份证号、病历）、涉及患者数量，分析可能造成的损害（如身份盗用、隐私泄露）。（3）报告监管部门：根据《数据安全法》第四十五条，在72小时内向卫生健康主管