2026年合规知识考试试题及答案

2026年合规知识考试试题及答案第一部分：单项选择题（共20题，每题1.5分，共30分）1.在企业合规管理体系中，通常被称为“三道防线”模型中，负责制定合规政策、管理合规风险并进行独立监督的第二道防线是：A.业务部门及一线员工B.合规管理部门及法律部门C.内部审计部门D.外部审计机构2.根据《中华人民共和国个人信息保护法》（PIPL），处理个人信息应当遵循合法、正当、诚信和必要原则。其中，“必要原则”要求：A.收集的个人信息的类型应当与处理目的直接相关，且限于实现处理目的的最小范围B.必须获得用户的明示同意才能处理任何信息C.必须在处理前进行个人信息保护影响评估D.必须将所有收集的信息存储在本地服务器3.美国反海外腐败法（FCPA）禁止美国公司和个人为获得或保留业务而向外国政府官员行贿。该法同时也规定了会计条款，要求企业：A.仅需保留与贿赂相关的财务记录B.必须建立并维护内部会计控制系统，并制作和保存准确、公正的账簿和记录C.允许设立“小金库”用于处理发展中国家的加速费D.只要不涉及美国本土的银行转账，无需遵循SEC的会计准则4.在反洗钱（AML）合规工作中，了解你的客户（KYC）是核心环节。对于高风险客户，金融机构应当采取的措施是：A.简化尽职调查（SDD）B.标准尽职调查（CDD）C.强化尽职调查（EDD）D.终止业务关系5.欧盟《通用数据保护条例》（GDPR）规定了数据主体享有的权利，其中要求企业在处理个人数据前，必须以清晰、平实易懂的方式向数据主体告知特定信息的权利被称为：A.数据可携带权B.被遗忘权C.知情权D.更正权6.中国《反垄断法》禁止具有市场支配地位的经营者从事滥用市场支配地位的行为。下列哪种行为属于滥用市场支配地位中的“以不公平的高价销售商品”？A.因原材料成本上涨而相应提高产品价格B.价格低于竞争对手的平均成本C.在成本基本未变的情况下，价格大幅度上涨，且提价幅度明显高于竞争者D.对新老客户实行不同的折扣价格7.合规风险评估是合规管理体系建设的基础。在风险评估公式R=P×A.风险发生的频率B.风险发生的概率C.风险造成的影响程度D.风险的可控性8.关于出口管制与经济制裁合规，下列说法错误的是：A.企业应建立筛查机制，对交易对手、最终用户和最终用途进行筛查B.仅涉及物项的物理跨境转移需要遵守出口管制法规，技术资料的跨境传输不受限制C.美国的实体清单限制美国企业向名单上的特定实体出口特定技术D.违反出口管制法规可能导致巨额罚款甚至刑事责任9.根据中国《数据安全法》，国家建立数据分类分级保护制度。以下关于数据分级的描述，正确的是：A.仅将数据分为一般数据和重要数据两级B.核心数据关系到国家安全、国民经济命脉等重要程度，一旦遭到破坏可能造成严重危害C.企业可以自行定义核心数据的范围，无需报备D.个人信息不属于数据分类分级保护的对象10.在合规举报调查中，为了确保证据的有效性和调查程序的公正性，调查人员应当：A.在调查开始前向被举报人透露举报人身份B.仅收集被举报人的书面陈述，忽略电子证据C.确保调查人员与被调查事项或被调查人不存在利益冲突D.为尽快结案，允许被调查人自行销毁部分非核心文件11.职业健康安全管理体系（ISO45001）强调“以人为本”。在合规视角下，企业对员工的安全责任不包括：A.提供符合安全标准的工作环境B.定期进行安全培训C.允许员工自愿放弃工伤保险以换取现金补贴D.建立事故报告和调查机制12.关于商业秘密保护，下列哪项措施不被认为是采取了“合理保密措施”？A.签署保密协议（NDA）B.对涉密文件设置密码或访问权限C.将含有核心配方的文件随意堆放在公共打印区D.对离职员工进行离职审计和权限回收13.在合规管理体系认证（如ISO37301）中，PDCA循环是核心方法论。其中，“A”代表：A.Plan（策划）B.Do（实施）C.Check（检查）D.Act（改进）14.某跨国公司在中国设立子公司，中国子公司的合规管理应当优先遵循：A.仅遵循母公司所在国的法律B.仅遵循中国法律法规C.遵循中国法律法规，同时兼顾母公司全球合规政策及国际商业惯例D.遵循法律标准较低的一方，以降低运营成本15.税务合规要求企业依法纳税。下列行为中，属于典型的逃税行为而非合理避税的是：A.利用国家给予高新技术企业的税收优惠政策B.虚构业务交易，虚增成本以减少应纳税所得额C.在不同税负地区之间通过合理的转让定价安排D.申请研发费用加计扣除16.根据《网络安全法》，网络运营者应当制定网络安全事件应急预案。在发生网络安全事件时，其首要义务是：A.立即向公安机关报案B.立即删除所有相关数据以止损C.立即启动应急预案，对网络安全事件进行处置，并按照规定向有关主管部门报告D.隐瞒事件，避免影响企业声誉17.广告合规中，使用“国家级”、“最高级”、“最佳”等用语通常被禁止，这违反了：A.《反不正当竞争法》B.《消费者权益保护法》C.《广告法》D.《产品质量法》18.第三方合规管理是企业合规的难点。当企业通过经销商、代理商等第三方进行业务时，企业自身的合规责任：A.完全转移给第三方，企业无需承担责任B.企业仍需承担监管责任，必须对第三方进行尽职调查和监督C.仅在第三方涉嫌欺诈时承担责任D.只要合同中约定了免责条款，企业即可免责19.环境保护合规（EHS）中，关于“污染者付费”原则，下列描述正确的是：A.企业只需缴纳排污费，无需进行污染治理B.企业排放污染物未超过排放总量的，无需缴纳环境保护税C.直接向环境排放污染物的企业事业单位和其他生产经营者，应当缴纳环境保护税D.环境保护税完全由地方政府征收，国家不进行干预20.在合规文化建设中，高层承诺（TonefromtheTop）至关重要。下列哪项行为最能体现高层的有效承诺？A.仅在年度会议上口头强调合规重要性B.在绩效考核中，将合规指标与财务指标置于同等重要地位，并对违规行为“零容忍”C.设立合规部门但给予极低的预算和权限D.当业务部门因合规原因失去订单时，严厉批评合规部门第二部分：多项选择题（共10题，每题3分，共30分。多选、少选、错选均不得分）1.有效的合规管理体系通常包含以下哪些核心要素？（根据ISO37301及监管指引）A.合规方针与组织环境B.领导作用、策划与支持C.运行、绩效评价与改进D.盈利最大化目标导向2.中国《个人信息保护法》规定，处理个人信息应当取得个人同意。下列情形中，属于“取得个人同意”的例外情形（即无需取得同意即可处理）的有：A.为订立、履行个人作为一方当事人的合同所必需B.为履行法定职责或者法定义务所必需C.为应对突发公共卫生事件所必需D.为制作并销售个性化推荐算法产品所必需3.反垄断合规中，禁止具有竞争关系的经营者达成的垄断协议。下列哪些行为属于横向垄断协议？A.固定或者变更商品价格B.限制商品的生产数量或者销售数量C.分割销售市场或者原材料采购市场D.联合抵制交易4.关于反洗钱（AML）中的可疑交易报告（STR），下列说法正确的有：A.金融机构发现交易金额为单笔1万美元等值以上的现金收支，必须报送可疑交易报告B.只要怀疑交易涉嫌洗钱等违法犯罪活动，无论金额大小，都应当提交可疑交易报告C.可疑交易报告应当遵循“风险为本”的原则D.报告可疑交易后，金融机构应当立即通知客户账户已被冻结5.企业在进行跨境数据传输时，若未通过国家网信部门的安全评估，可能面临的法律后果包括：A.由省级以上网信部门责令改正，给予警告B.没收违法所得C.处一百万元以上一千万元以下罚款D.对直接负责的主管人员处一万元以上十万元以下罚款6.构成商业贿赂行为的要件通常包括：A.行为主体是为了谋取交易机会或者竞争优势B.行为对象包括交易相对方的工作人员、受交易相对方委托办理相关事务的单位或者个人等C.给予的财物形式仅限于现金，不包括实物、旅游、考察等D.在账外暗中给予或者收受回扣7.合规培训是提升员工合规意识的重要手段。为确保培训效果，合规培训计划应当包含：A.针对不同岗位和风险等级的差异化培训内容B.定期的持续性培训，而非一次性培训C.培训效果的考核与评估机制D.保留培训记录以备监管机构检查8.网络安全等级保护制度（等保2.0）要求网络运营者履行以下安全保护义务：A.制定内部安全管理制度和操作规程B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施C.采取监测、记录网络运行状态、网络安全事件的技术措施D.采取数据分类、重要数据备份和加密等措施9.关于劳动用工合规，下列哪些行为可能违反《劳动合同法》？A.强制员工加班且不支付加班费B.以“末位淘汰”为由单方面解除劳动合同，且无证据证明员工不胜任工作C.试用期工资低于劳动合同约定工资的80%D.在劳动合同中约定“工伤概不负责”的条款10.供应链合规管理中，企业对供应商的尽职调查应重点关注：A.供应商的资质证照是否齐全有效B.供应商是否涉及环境违规记录C.供应商是否存在使用童工或强迫劳动的情况D.供应商的实际控制人是否在制裁名单上第三部分：判断题（共15题，每题1分，共15分。对的选“A”，错的选“B”）1.合规管理的目的不仅是为了避免法律处罚，更是为了培育良好的企业文化，实现可持续发展。（）2.只要企业的行为没有造成实际的损害后果，就不会受到监管机构的行政处罚。（）3.在GDPR框架下，数据控制者可以将数据处理的所有义务通过合同完全外包给数据处理者，从而免除自身的责任。（）4.中国《反不正当竞争法》禁止经营者利用商业贿赂手段销售或者购买商品，但为了感谢客户长期支持，在账外暗中给予其小额回扣是允许的。（）5.企业合规部门在发现重大合规风险时，有权直接向董事会或下设的合规委员会报告，而不受管理层的干预。（）6.所有的合同都必须经过企业法务部门的审核才能签署，这是绝对的法律规定。（）7.行政处罚的追责时效一般为2年，但涉及公民生命健康安全、金融安全且有危害后果的，上述期限延长至5年。（）8.“长臂管辖”是指一国法院对与其不存在任何联系的人和事主张管辖权，主要依据是该行为对本国市场产生了实质性影响。（）9.在知识产权合规中，企业购买正版软件安装在公司电脑上供员工使用，即使员工数量超过了授权许可数量，只要不用于商业盈利就不构成侵权。（）10.银行业金融机构进行客户身份识别时，不仅需要核对客户的有效身份证件，还需了解客户的控制关系以及交易的实际受益人。（）11.企业在境内外公开发行证券时，只需披露财务信息，无需披露环境、社会及治理（ESG）相关的非财务信息。（）12.合规免责机制是指，如果企业建立了有效的合规计划，且员工在合规范围内行事，即使企业发生了违规事件，企业也可以完全免除刑事责任。（）13.根据《数据出境安全评估办法》，数据处理者向境外提供数据，达到一定数量门槛的，应当申报数据出境安全评估。（）14.竞业限制协议不仅可以适用于高级管理人员、高级技术人员，也可以适用于其他负有保密义务的人员，但期限不得超过两年。（）15.在合规审计中，审计人员发现业务部门存在违规操作，业务部门解释这是“行业惯例”，审计人员应接受该解释。（）第四部分：填空题（共10题，每题1.5分，共15分）1.ISO37301:2021《合规管理体系要求及使用指南》取代了之前的ISO19600标准，该标准采用了PDCA循环，其中“P”代表______。2.根据中国《刑法》规定，为谋取不正当利益，给予国家工作人员以财物的，是______罪。3.在计算风险优先级时，通常使用公式R=P×I，其中R代表风险值，4.《中华人民共和国民法典》规定，数据、网络虚拟财产保护等法律规定，依照其规定；没有规定的，适用______的有关规定。5.欧盟GDPR规定，对于严重的违规行为，监管机构可处以最高2000万欧元或企业全球年营业额______的罚款，两者取其高。6.反洗钱合规中的“受益所有人”是指最终拥有或实际控制客户的自然人，以及判定交易的实际______人。7.企业在开展合规影响评估时，应重点关注新业务流程、新产品、新市场准入以及重大______的变更。8.中国《广告法》规定，除医疗、药品、医疗器械广告外，禁止其他广告涉及疾病治疗功能，并不得使用医疗用语或者易使推销的商品与______相混淆的用语。9.根据《关键信息基础设施安全保护条例》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订______协议。10.合规管理的独立性原则要求合规部门及合规人员在履行职责时，不受______、其他职能部门或个人的不当干预。第五部分：简答题（共4题，每题5分，共20分）1.简述企业建立有效的举报与调查机制对于合规管理的重要性，并列举该机制应包含的关键环节。2.根据《中华人民共和国反垄断法》，经营者申报经营者集中（并购）应当向国务院反垄断执法机构提交哪些必要的文件和资料？请列举至少四项。3.简述“利益冲突”在合规管理中的定义，并举例说明两种常见的利益冲突类型。4.在数据合规领域，什么是“个人信息保护影响评估”（PIA或DPIA）？在哪些情形下，企业应当主动开展个人信息保护影响评估？第六部分：案例分析题（共2题，每题15分，共30分）1.案例背景：某知名跨国医药公司A公司（总部位于美国）在中国设立全资子公司B公司。B公司为了提升某款处方药在中国的销量，通过一家旅行社C（第三方代理商）组织了一系列针对医院科室主任和医生的“学术研讨会”。经调查发现，这些所谓的研讨会行程紧凑，大部分时间安排在旅游景点观光，且会议内容仅为简单的产品介绍，缺乏实质性的学术研讨。C旅行社的费用由B公司全额报销，且B公司并未对C旅行社的资质及实际费用使用情况进行有效审核。此外，B公司财务账目中，将这些费用记录为“市场营销费”和“会议费”，未明确列支具体的受益人。问题：(1)B公司的行为可能触犯中国法律中的哪些具体合规风险点？请结合《反不正当竞争法》等相关法律进行分析。(2)根据美国FCPA（反海外腐败法），A公司作为母公司是否可能承担责任？请说明理由。(3)针对此案例，B公司应如何改进其第三方合规管理流程以防范类似风险？2.案例背景：某大型互联网科技公司D运营着一款社交软件E。2026年初，E软件发生大规模用户数据泄露事件，涉及超过5000万用户的昵称、手机号码及部分实名认证信息。经初步调查，泄露原因是E软件的一个旧版API接口存在未修复的高危漏洞，被黑客利用进行批量爬取。事件发生后，D公司试图内部低调处理，未在第一时间通知监管机构。直到一周后，大量用户在社交媒体投诉，媒体开始报道，D公司才发布公告承认数据泄露，并声称正在修复。问题：(1)根据中国《网络安全法》和《个人信息保护法》，D公司在此次数据泄露事件中的应对流程存在哪些违规之处？(2)假设D公司需要计算此次事件可能面临的行政罚款，请依据《个人信息保护法》的相关规定，分析罚款的裁量幅度和依据。(3)为避免此类事件再次发生，D公司应从技术和管理两个层面分别采取哪些具体的合规整改措施？第七部分：参考答案与解析第一部分：单项选择题1.【答案】B【解析】在三道防线模型中，第一道防线是业务部门，负责识别并管理前端风险；第二道防线是合规、风控、法务等职能部门，负责制定规则、监督执行；第三道防线是内审部门，负责独立评估。2.【答案】A【解析】必要原则即最小够用原则，收集的信息类型应与目的直接相关，且范围最小化。3.【答案】B【解析】FCPA包含反贿赂条款和会计条款。会计条款要求企业建立内控并准确记账，禁止设立账外账。4.【答案】C【解析】对于高风险客户（如政治公众人物PEP、来自高风险国家），必须进行强化尽职调查（EDD），获取更多信息以验证身份。5.【答案】C【解析】知情权是数据主体享有的基础权利，要求处理者透明地告知处理情况。6.【答案】C【解析】不公平高价通常指价格显著偏离市场正常水平，缺乏正当理由，且成本并未显著增加。7.【答案】C【解析】在风险公式R=P×I中，R为Risk（风险），8.【答案】B【解析】出口管制不仅限于实物，还包括技术、软件等无形物的跨境传输，且无论通过何种方式（如口头、电子传输）均受管制。9.【答案】B【解析】《数据安全法》建立了核心数据、重要数据、一般数据的分级制度。核心数据涉及国家安全，危害程度最高。10.【答案】C【解析】调查人员必须保持独立性和公正性，避免利益冲突，且需保护举报人，不得向被调查人泄露举报人信息。11.【答案】C【解析】工伤是法定保险，企业不得通过协议让员工自愿放弃，此类协议无效。12.【答案】C【解析】将涉密文件随意堆放在公共区域明显不符合保密措施的要求，无法体现保密意图。13.【答案】D【解析】PDCA分别代表Plan（策划）、Do（实施）、Check（检查）、Act（改进）。14.【答案】C【解析】跨国子公司必须优先遵守所在国（中国）法律，同时需遵循母公司政策及国际惯例，以应对长臂管辖等风险。15.【答案】B【解析】虚构业务、虚增成本属于伪造变造记账凭证，是典型的逃税行为，而非税务筹划。16.【答案】C【解析】《网络安全法》要求企业制定应急预案，并在发生事件时立即启动并按规定报告，而非隐瞒或擅自删除数据。17.【答案】C【解析】《广告法》第九条明确禁止使用“国家级”、“最高级”、“最佳”等绝对化用语。18.【答案】B【解析】企业对第三方有尽职调查和管控义务，第三方违规往往导致企业承担连带责任或监管处罚。19.【答案】C【解析】根据《环境保护税法》，直接向环境排放污染物的主体需纳税。排放未超过总量标准仍需纳税，但可能享受减免。20.【答案】B【解析】高层承诺不仅靠口头，更需通过资源投入、绩效考核、奖惩机制等实际行动体现，“零容忍”是关键。第二部分：多项选择题1.【答案】ABC【解析】ISO37301的核心要素包括环境、领导作用、策划、支持、运行、绩效评价、改进。盈利最大化不是合规管理的直接要素。2.【答案】ABC【解析】根据《个保法》第十三条，为订立合同、履行法定职责、应对突发公共卫生事件等情形处理个人信息无需取得个人同意。D项通常需要同意。3.【答案】ABCD【解析】横向垄断协议（卡特尔）包括固定价格、限制产量、分割市场、联合抵制等。4.【答案】BC【解析】可疑交易报告遵循“合理怀疑”原则，无论金额大小，只要怀疑就应报告。发现大额交易（超过1万美元）应报送大额交易报告，而非一定是可疑交易报告。报告前不应通知客户。5.【答案】ABCD【解析】根据《数据安全法》及《个人信息保护法》，违规跨境传输可能面临警告、没收违法所得、高额罚款及直接责任人员处罚。6.【答案】ABD【解析】商业贿赂的财物包括现金、实物、代币券、旅游服务等，C项错误。7.【答案】ABCD【解析】有效的培训计划应针对不同对象、持续进行、包含考核并保留记录。8.【答案】ABCD【解析】网络安全等级保护制度要求网络运营者履行上述所有安全保护义务。9.【答案】ABD【解析】A项违反工时规定；B项末位淘汰若无不胜任证据属违法解除；D项免责条款无效。C项试用期工资不低于80%是合法的。10.【答案】ABCD【解析】供应链尽职调查应覆盖资质、环境、劳工、制裁等多维度风险。第三部分：判断题1.【答案】A【解析】合规管理不仅是防守，也是文化建设，有助于可持续发展。2.【答案】B【解析】许多行政违法行为（如非法排放、无证经营）属于“行为犯”，只要实施了违法行为即构成违规，无论是否造成实际损害。3.【答案】B【解析】控制者不能通过外包免除数据保护责任，仍需承担监管责任。4.【答案】B【解析】《反不正当竞争法》严禁账外暗中给予回扣，无论金额大小。5.【答案】A【解析】合规部门的独立报告权是有效合规体系的关键特征。6.【答案】B【解析】并非所有合同都必须法务审核，通常根据金额、性质分级管理。7.【答案】A【解析】《行政处罚法》规定，涉及生命健康安全、金融安全且有危害后果的，追诉时效延长至5年。8.【答案】A【解析】长臂管辖通常基于效果原则，即行为虽在境外但对本国产生直接影响。9.【答案】B【解析】超授权使用软件构成著作权侵权，是否盈利不影响侵权认定。10.【答案】A【解析】KYC要求识别受益所有人，了解实际控制关系。11.【答案】B【解析】目前境内外上市规则均越来越强调ESG信息的披露。12.【答案】B【解析】合规计划可以作为减轻处罚的情节，但在大多数司法管辖区（包括中国），不能完全免除刑事责任，除非极少数特定情况下的不起诉决定。13.【答案】A【解析】《数据出境安全评估办法》规定了处理达到一定数量个人信息等情形需申报安全评估。14.【答案】A【解析】《劳动合同法》规定竞业限制适用于知悉秘密的人员，期限不得超过两年。15.【答案】B【解析】“行业惯例”不能作为违法的正当理由，审计人员应坚持合规标准。第四部分：填空题1.【答案】Plan（或策划）2.【答案】行贿3.【答案】Impact（或影响）4.【答案】总则（或法律）5.【答案】4%6.【答案】受益（或受益所有）7.【答案】法律法规（或监管要求）8.【答案】药品（或医疗器械）9.【答案】网络安全10.【答案】管理层（或超级管理层）第五部分：简答题1.【答案】重要性：举报机制是合规管理体系发挥“雷达”作用的关键，能及时发现管理层难以察觉的深层违规风险；调查机制则是查清事实、追究责任、修补漏洞的保障。二者结合能有效震慑违规行为，体现企业合规决心。关键环节：(1)多元化举报渠道（电话、邮箱、信箱、在线平台）；(2)严格的保密与反报复政策，保护举报人；(3)规范的调查流程（立案、取证、访谈、报告）；(4)独立的调查团队或第三方调查机构；(5)明确的处理结果反馈与整改措施；(6)案件记录的归档与统计分析。2.【答案】根据《反垄断法》及经营者集中申报规定，申报文件应包括：(1)申报书；(2)集中对相关市场竞争状况影响的说明；(3)集中协议（或草案）；(4)参与集中的经营者经会计师事务所审计的上一会计年度财务会计报告；(5)反垄断执法机构要求提交的其他文件、资料。3.【答案】定义：利益冲突是指员工的个人利益与其对公司应尽的忠实义务发生冲突，可能导致员工利用职务之便谋取私利，损害公司利益。常见类型：(1)外部兼职：员工在与公司有竞争关系的其他企业兼职或持有股份；(2)关联交易：员工利用职权将公司业务交给其亲属或朋友开办的企业（关联方）；(3)礼物与贿赂：收受客户、供应商的贵重礼物或回扣，影响商业决策。4.【答案】定义：个人信息保护影响评估（PIA）是指在处理个人信息前，对处理目的、处理方式等对个人权益的影响，以及安全保护措施的有效性进行分析评估的过程。应当开展PIA的情形（依据《个保法》）：(1)处理敏感个人信息；(2)利用个人信息进行自动化决策；(3)委托处理个人信息、向第三方提供个人信息、公开个人信息；(4)向境外提供个人信息；