2026年人工智能隐私保护高频题库

2026年人工智能隐私保护高频题库一、单项选择题（每题2分，共20分）1.2025年生效的《欧盟人工智能法案》将“实时远程生物识别系统”在公共场所的使用默认归类为A.最小风险B.有限风险C.高风险D.不可接受风险2.在联邦学习框架下，参与方上传的参数最可能泄露以下哪类信息？A.模型结构B.训练数据标签分布C.单条样本的原始像素值D.学习率调度策略3.差分隐私中，若查询函数全局敏感度为Δ，添加噪声尺度为b，则(ε,0)-差分隐私的ε与b满足A.ε=Δ/bB.ε=b/ΔC.ε=Δ²/bD.ε=b²/Δ4.2026年1月起，我国《生成式人工智能服务管理办法（试行）》要求服务提供者对用户输入进行“最小留存”，其最长期限不得超过A.3个月B.6个月C.12个月D.24个月5.在模型逆向攻击中，攻击者最常用下列哪种损失函数来重建私有数据？A.交叉熵损失B.感知损失C.梯度匹配损失D.合页损失6.同态加密在推理阶段的主要性能瓶颈是A.密钥生成耗时B.密文膨胀导致的内存占用C.噪声增长引发的BootstrappingD.明文编码误差7.根据NISTSP800-53Rev.5，AI系统的“可解释性”控制项属于哪个控制族？A.AC（访问控制）B.AU（审计）C.SR（系统服务）D.PM（项目管理）8.在横向联邦学习中，SecureAggregation协议主要抵御的威胁模型是A.半诚实服务器B.恶意客户端C.外部窃听者D.模型投毒者9.2026年ISO/IEC42001标准对AI管理体系提出的“PDCA”循环中，“C”阶段要求组织必须完成A.隐私影响评估B.模型性能验证C.残余风险评估D.数据主体权利响应10.若一个图像分类模型在FaceScrub数据集上达到99.5%准确率，但未做任何去标识化，则最可能违反A.GDPR第5条1(b)目的限制原则B.GDPR第9条特殊类别数据处理禁令C.CCPA第1798.120条选择退出权D.PIPL第26条敏感个人信息单独同意二、多项选择题（每题3分，共15分；每题至少两个正确答案，多选少选均不得分）11.以下哪些技术组合可在“数据不出域”前提下完成多机构医疗影像联合建模？A.差分隐私+联邦学习B.同态加密+SecureAggregationC.可信执行环境+模型分片D.模型蒸馏+公开数据12.在AI模型发布阶段，能够有效降低成员推理攻击成功率的措施包括A.对输出logits添加温度缩放B.在损失函数中加入梯度惩罚C.使用Dropout率=0.9的极高随机失活D.发布模型时只提供Top-1标签13.关于“合成数据”的隐私保障，下列说法正确的有A.若合成数据满足ε-差分隐私，则其可无限公开B.合成数据生成器本身需要接受隐私审计C.合成数据与原始数据分布越接近，隐私风险越高D.采用GAN生成的合成数据天然满足GDPR匿名化标准14.在AI服务采购合同中，数据保护附加条款（DPA）通常要求供应商A.对子处理者承担连带责任B.在合同终止后30日内删除或返还数据C.对算法可解释性提供源代码级审计D.在发生个人数据泄露后72小时内通知采购方15.以下关于“模型水印”的描述，符合鲁棒性要求的有A.水印在模型剪枝后仍能被验证B.水印嵌入过程需保证不影响原始任务精度C.水印验证密钥可公开获取D.水印对微调攻击具有检测能力三、判断题（每题1分，共10分；正确打“√”，错误打“×”）16.在联邦学习中，增加参与方数量一定会降低单点隐私预算消耗。17.根据2026年新版ISO/IEC27559，AI系统生命周期中“退役”阶段无需再做隐私影响评估。18.使用Laplace机制实现差分隐私时，噪声方差为2b²。19.若模型输出仅为二值决策（0/1），则无法实施成员推理攻击。20.可信执行环境（TEE）能够完全抵御侧信道攻击。21.在AI训练场景下，PIPL规定的“敏感个人信息”包括“个人行踪轨迹”。22.模型压缩中的知识蒸馏过程不会引入额外隐私风险。23.对于开源模型，若训练数据已删除，则模型权重不再包含任何个人信息。24.零知识证明可用于验证联邦学习聚合结果的正确性而不泄露梯度。25.GDPR第35条3(a)要求，当AI系统对自然人进行系统性监控时，必须开展数据保护影响评估（DPIA）。四、填空题（每空2分，共20分）26.在(ε,δ)-差分隐私中，当δ≠0时，称为________差分隐私。27.若一次线性查询函数q(D)=∑x_i，x_i∈[0,1]，则其全局敏感度Δ=________。28.成员推理攻击中，攻击者通常利用目标模型输出的________向量计算损失。29.在联邦学习场景下，SecureAggregation的核心密码学原语是________。30.根据我国《个人信息保护法》，处理个人信息需遵循“最小必要”原则，对应GDPR的________原则。31.同态加密中，CKKS方案主要支持________类型数据的加密计算。32.在模型逆向防御中，________正则化可增加梯度模糊性，从而降低重建质量。33.2026年ISO/IEC23894对AI风险管理中，将“不可接受风险”定义为会导致________或严重社会动荡的风险。34.对于生成式AI，Red-team测试的核心指标之一是________率，用于衡量模型输出有害内容的频次。35.在隐私预算分配中，若总ε=1.0，进行100次复合查询，采用高级组合定理，则每次查询平均预算约为________（保留两位小数）。五、简答题（每题8分，共24分）36.简述联邦学习中“梯度泄露”攻击的基本原理，并给出两种防御思路。37.说明差分隐私在深度学习训练阶段的应用流程，并指出其带来的三大代价。38.结合GDPR第22条，阐述数据主体对“完全基于自动化处理”的AI决策享有哪些权利，以及企业应如何响应。六、计算与推导题（共11分）39.某医院拥有1000例CT影像，欲发布一个满足(ε=0.5,δ=10⁻⁵)-差分隐私的“平均肿瘤直径”统计。已知直径x_i∈[0,80]mm，采用Gaussian机制。(1)写出全局敏感度Δ的计算过程与数值；（3分）(2)根据Gaussian机制，噪声标准差σ需满足σ≥Δ·√(2ln(2/δ))/ε，请给出σ的最小值（保留两位小数）；（4分）(3)若实际添加噪声后发布值为43.7mm，求真实值区间估计（置信水平95%，z=1.96）。（4分）七、案例分析题（共20分）40.背景：2026年3月，A市交管局与B公司联合部署“行人闯红灯实时抓拍系统”，使用人脸识别API对接公安数据库。系统每日处理约50万条抓拍记录，保存原始图像7天，特征向量3年。B公司同时将这些数据用于优化其商业人脸识别模型，并在境外设立研发中心。问题：(1)指出该场景下涉及的个人数据类别及对应的法律适用（含GDPR、PIPL、CCPA）；（6分）(2)从“目的限制”与“数据最小化”角度，评估交管局与B公司的合规风险；（6分）(3)设计一套技术+治理的整改方案，确保跨境传输与二次利用合法合规，并给出时间表与里程碑。（8分）———答案与解析———一、单项选择题1.D2.C3.A4.B5.C6.C7.C8.A9.A10.B二、多项选择题11.ABC12.AB13.ABC14.ABD15.ABD三、判断题16.×（增加参与方可能引入更多噪声，但单点预算由本地决定，未必降低）17.×（退役阶段仍需评估残余风险）18.√（Laplace方差2b²）19.×（可通过置信度差异实施）20.×（TEE对侧信道需额外加固）21.√22.×（教师模型输出可能泄露）23.×（权重可记忆信息）24.√25.√四、填空题26.松弛（或近似）27.128.置信度/概率29.秘密共享（Shamir’sSecretSharing）30.目的限制31.浮点（或实数）32.梯度惩罚/噪声梯度33.个人生命安危34.有害内容生成35.0.10五、简答题36.原理：攻击者通过观察本地梯度，建立优化目标min_W’‖∇W’L−∇W‖²，迭代重建输入数据。防御：①梯度压缩+Top-k稀疏化；②添加DP噪声；③使用安全聚合隐藏单点梯度。37.流程：①计算每批梯度；②裁剪梯度至C；③按Gaussian/Laplace机制加噪声；④更新参数。代价：①精度下降；②收敛速度降低；③超参数调优复杂度增加。38.权利：①获得人工干预；②表达意见；③质疑决策。企业响应：①提供申诉通道；②在30日内人工复核；③记录复核过程备查。六、计算与推导题39.(1)Δ=(max−min)/n=80/1000=0.08(2)σ≥0.08×√(2ln(2×10⁵))/0.5=0.08×√(2×12.43)/0.5≈0.08×4.99/0.5≈0.80(3)区间=43.7±1.96×0.80=[42.13,45.47]mm七、案例分析题(1)数据类别：面部图像、生物特征向量、行为轨迹。法律：PIPL第28条敏感个人信息；GDPR第9条生物识别数据；CCPA第1798.140条生物信息。(2)目的限制：交管局目的为交通管理，B公司用于商业模型超出原始目的；数据最小化：保存7天图像无必要，