2026合规知识考试题及答案

2026合规知识考试题及答案第一部分：单项选择题（共20题，每题1.5分，共30分）1.在合规管理体系建设中，通常引用的“三道防线”模型中，第二道防线是指：A.业务部门及管理层B.合规、风控及法务部门C.内部审计部门D.外部审计机构2.根据《中华人民共和国反垄断法》（2022年修正版），对于经营者违反本法规定，达成并实施垄断协议的，由反垄断执法机构责令停止违法行为，没收违法所得，并处上一年度销售额：A.百分之一以上百分之五以下的罚款B.百分之五以上百分之十以下的罚款C.百分之十以上百分之二十以下的罚款D.固定金额罚款五百万元3.在数据合规领域，根据《个人信息保护法》，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。这被称为：A.目的限制原则B.最小必要原则C.知情同意原则D.公开透明原则4.关于反洗钱（AML）客户身份识别（KYC），当客户涉及洗钱或恐怖融资高风险等级时，金融机构应当采取的措施是：A.简化尽职调查B.强化尽职调查C.中止交易D.仅上报可疑交易报告5.某跨国公司在中国通过经销商进行销售，为了增加销量，公司指示经销商在未发生实际推广服务的情况下，向医院相关人员支付“会议费”。这种行为主要违反了：A.《反不正当竞争法》中的商业贿赂条款B.《广告法》中的虚假宣传条款C.《合同法》中的违约条款D.《劳动法》中的薪酬条款6.根据ISO37301《合规管理体系要求及使用指南》，合规管理体系的核心要素不包括以下哪项：A.组织环境B.领导作用C.利润最大化目标D.策划和支持7.在出口管制合规中，美国的“实体清单”（EntityList）主要限制的是：A.从美国进口特定商品的关税B.向名单上的实体出口特定受控物项或技术C.名单上实体的入境签证D.名单上实体的融资渠道8.关于合规举报机制的建立，以下哪项做法是最不推荐的，因为它可能阻碍举报人行使权利：A.建立匿名举报渠道B.建立举报人信息严格保密制度C.要求举报人在举报前必须先向直属领导汇报D.建立反报复保护机制9.根据《网络安全法》，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当进行：A.简单的备案B.安全评估C.口头报告D.无需处理，直接传输10.某公司合规部门在审查一份合同时，发现对方当事人被列入了本公司的“黑名单”（禁止合作方）。合规官的正确做法是：A.考虑到合同金额小，予以放行B.拒绝签署合同，并启动黑名单审查程序C.修改合同条款以规避风险D.请示总经理后特批11.在计算反垄断罚款时，若上一年度销售额不足十亿元的，反垄断执法机构可以确定罚款数额，但最低罚款金额为：A.十万元B.五十万元C.一百万元D.五百万元12.关于算法推荐服务的合规要求，根据《互联网信息服务算法推荐管理规定》，算法推荐服务提供者不得利用算法推荐服务从事以下哪种活动：A.生成合成内容B.传播非国家机关发布的负面信息C.根据用户兴趣爱好推荐新闻D.优化算法模型提高效率13.FCPA（美国反海外腐败法）的管辖范围非常广泛，以下哪种情况可能受到FCPA的管辖：A.一家纯中国国内企业，从未在美国有业务，仅在中国国内行贿B.一家在美国上市的中国企业，为了获得印尼政府项目而向印尼官员行贿C.一家美国公民在加拿大合法的政治捐款D.中国公民在欧洲发生的商业贿赂行为14.在劳动合规领域，关于加班工资的计算，以下公式正确的是（设日工资为S，法定节假日加班系数为300%A.加班费=SB.加班费=SC.加班费=SD.加班费=S15.合规风险评估的频率通常建议是：A.仅在公司成立时进行一次B.每年至少进行一次，或在发生重大变更时进行C.每五年进行一次D.仅在监管机构检查前进行16.根据《数据出境安全评估办法》，数据处理者向境外提供数据，符合下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：A.累计向境外提供1万人以上个人信息B.累计向境外提供10万人以上个人信息C.处理10万人以上个人信息的数据处理者向境外提供个人信息D.任何向境外提供个人信息的情形17.环境合规（EHS）中，关于突发环境事件的报告，以下说法正确的是：A.企业可以自行处理后，再视情况决定是否报告B.立即采取应急措施，并立即向当地生态环境部门报告C.仅向企业总部报告即可D.等待事故原因查明后再报告18.在公司治理中，董事会对于合规管理的最终责任是：A.制定具体的合规操作流程B.监督合规管理体系的有效性，并对合规文化建设负责C.处理日常的合规咨询D.负责具体的合规调查19.关于商业秘密的保护，以下哪项不属于“保密措施”的合理范畴：A.签订保密协议B.对涉密区域进行门禁管理C.对涉密文件加密D.将商业秘密公开在公网上以便员工随时查阅20.在金融合规中，“了解你的客户”（KYC）不仅包括识别客户身份，还包括：A.了解客户的家庭住址装修情况B.了解客户的职业、收入、资金来源及交易目的C.了解客户的个人爱好D.了解客户的社交媒体好友第二部分：多项选择题（共15题，每题3分，共45分。多选、少选、错选均不得分）1.建立有效的合规管理体系，通常需要遵循的原则包括：A.独立性原则B.适用性原则C.全面性原则D.动态性原则2.根据《个人信息保护法》，处理个人信息应当取得个人同意的情形包括：A.处理敏感个人信息B.向其他个人信息处理者提供其处理的个人信息C.公开处理个人信息D.基于个人同意处理个人信息的撤回同意3.反垄断法禁止的垄断协议类型包括：A.横向垄断协议（如固定价格、限制产量）B.纵向垄断协议（如限定转售价格）C.轴辐协议D.为改进技术、研究开发新产品的协议（符合特定条件）4.企业在进行第三方合规尽职调查时，应重点关注的风险点包括：A.第三方是否具有合法的营业执照B.第三方是否与政府官员有密切关系C.第三方的收费结构是否合理（如高额佣金）D.第三方是否曾被列入制裁名单5.关于数据泄露的应急响应，正确的处置步骤包括：A.立即启动应急预案B.采取补救措施，防止危害扩大C.通知受影响个人（如法律要求）D.向监管机构报告（如法律要求）6.FCPA中规定的会计条款主要要求企业：A.制作并保存账簿和记录，详细且准确反映交易B.建立内部会计控制系统C.必须聘请美国注册会计师D.每一笔支出都需要CEO亲自签字7.以下哪些情形属于“滥用市场支配地位”的行为：A.以不公平的高价销售商品B.没有正当理由，以低于成本的价格销售商品C.没有正当理由，拒绝与交易相对人进行交易D.强制搭售商品或者在交易时附加不合理的交易条件8.合规培训的有效性评估可以通过以下哪些方式进行：A.培训后的测试成绩B.培训签到率C.员工违规行为的减少率D.培训费用的投入金额9.根据《网络安全法》，网络运营者应当履行以下安全保护义务：A.制定内部安全管理制度和操作规程B.采取防范计算机病毒和网络攻击的技术措施C.采取监测、记录网络运行状态的技术措施D.采取数据分类、重要数据备份和加密措施10.企业在进行跨境投资并购时，目标公司的合规风险可能存在于：A.财务税务方面B.劳动用工方面C.环境保护方面D.知识产权归属方面11.关于“吹哨人”（举报人）保护，企业应当：A.确保举报人的身份信息不被披露B.禁止对举报人进行解雇、降职或歧视C.允许匿名举报D.对查实的举报给予物质奖励12.以下哪些行为可能构成侵犯商业秘密：A.以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密B.披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密C.违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密D.通过反向工程独立研发出相同技术13.在广告合规中，广告不得含有以下哪些内容：A.中华人民共和国国旗、国徽B.国家机关、国家机关工作人员的名义C.虚假或者引人误解的内容D.涉及淫秽、色情的内容14.合规管理部门与内部审计部门的区别，以下描述正确的有：A.合规侧重于事前预防和事中控制，审计侧重于事后独立评价B.合规关注法律法规和内部规章的遵循，审计关注财务和运营信息的真实准确C.合规通常向高级管理层或董事会报告，审计通常向董事会审计委员会报告D.合规部门负责制定业务规则，审计部门负责执行业务15.2026年合规趋势中，ESG（环境、社会和治理）合规重点关注的领域包括：A.碳排放数据核算与披露B.供应链中的劳工权益保护C.董事会多元化D.短期股东利益最大化第三部分：判断题（共15题，每题1分，共15分。正确的打“√”，错误的打“×”）1.合规管理仅仅是法律部门的职责，与其他业务部门无关。()2.只要是为了公司的商业利益，支付小额的“加速费”给政府官员以加快常规行政处理，在任何法律体系下都是完全合法的。()3.根据中国《数据安全法》，核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。()4.企业制定了详细的《员工手册》并发放给员工，就等同于建立了完善的合规管理体系。()5.在反垄断执法中，经营者主动向反垄断执法机构报告达成垄断协议的有关情况，并提供重要证据的，可以申请宽大处理。()6.个人信息处理者可以在其业务终止后，立即删除所有收集的个人信息，无需保留。()7.如果一家企业的子公司实施了违规行为，母公司只要没有直接下达指令，就完全不需要承担任何合规责任。()8.关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议。()9.合规风险评估的结果应当是保密的，不能向员工透露，以免引起恐慌。()10.只有上市公司才需要进行内部控制和合规管理，非上市公司不需要。()11.算法推荐服务提供者向消费者提供不针对其个人特征的选项，应当提供便捷的关闭选项。()12.在国际贸易中，美国EAR（出口管理条例）不仅管制物项的出口，也管制软件的转售和技术转让。()13.企业合规官在发现重大违规风险时，有权直接向董事会或审计委员会报告，这是其独立性的重要保障。()14.所有的商业合同都必须经过合规部门的审查才能签署，无论合同金额大小。()15.隐私保护设计是指在产品或服务设计的初始阶段，就将隐私保护纳入其中，而非事后补救。()第四部分：填空题（共10题，每空1分，共10分）1.COSO框架中，内部控制的五要素分别是：控制环境、风险评估、控制活动、信息与沟通、__________。2.根据中国《反不正当竞争法》，经营者采用财物或者其他手段贿赂下列单位或者个人，以谋取交易机会或者竞争优势，属于商业贿赂行为：（一）交易相对方的工作人员；（二）受交易相对方委托办理相关事务的单位或者个人；（三）利用职权或者影响力影响交易的单位或者个人。其中，第（三）项中的单位或者个人不包括__________。3.《个人信息保护法》规定，处理个人信息应当遵循合法、正当、__________和必要原则。4.在数据合规中，PIPL是指《中华人民共和国个人信息保护法》，DSL是指《中华人民共和国数据安全法》，CSL是指《中华人民共和国__________》。5.反洗钱（AML）的“三反”机制是指：反洗钱、反恐怖融资、__________。6.某企业去年的销售额为10亿元人民币，若因违反反垄断法被处以上一年度销售额4%的罚款，罚款金额为__________万元人民币。7.合规管理体系中的PDCA循环是指：Plan（计划）、Do（执行）、Check（检查）、__________（改进）。8.根据欧盟GDPR，数据主体有权要求数据控制者擦除其个人数据，这项权利被称为__________。9.在劳动用工合规中，若用人单位违反本法规定解除或者终止劳动合同，应当依照本法第四十七条规定的经济补偿标准的__________向劳动者支付赔偿金。10.网络安全等级保护制度将网络保护等级分为五级，对于一般的信息系统，通常建议定为__________级。第五部分：简答题（共5题，每题6分，共30分）1.请简述“合规”的定义，并说明企业建立合规管理体系的主要意义。2.在反海外腐败合规（如FCPA或中国刑法相关条款）背景下，什么是“第三方风险”？企业应如何管理第三方风险？3.根据《个人信息保护法》，企业在处理敏感个人信息（如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等）时，应当履行哪些特定义务？4.请简述“尽职调查”在企业并购交易中的合规作用，以及如果尽职调查不到位可能带来的后果。5.什么是“利益冲突”？请列举三种常见的利益冲突情形，并说明公司通常如何处理。第六部分：案例分析题（共3题，每题40分，共120分）案例一：A公司是一家跨国制药企业，其在中国的子公司B公司主要负责药品生产和销售。2025年，B公司为了提升某款处方药的销量，制定了一项“市场推广计划”。该计划通过一家第三方咨询公司C（与B公司无股权关联）组织了一系列学术会议。然而，经内部合规调查发现：1.C公司实际上是由B公司某销售总监的亲属控制的空壳公司，未实际提供任何咨询服务。2.B公司向C公司支付了高达500万元的“会议费”，资金流向最终转入了某公立医院主任医师D的个人账户。3.D医生作为科室主任，在收到款项后，大幅增加了该处方药在科室的开方量。4.B公司与C公司签订了正式的咨询合同，且发票名目为“咨询服务费”，形式上看似合规。问题：1.请分析B公司及其员工、C公司、D医生在本案中的行为性质，可能触犯哪些法律法规？（10分）2.作为B公司的合规官，在发现上述情况后，应立即采取哪些应急措施？（15分）3.为了防止此类事件再次发生，B公司应从哪些方面完善其第三方管理及反商业贿赂合规体系？（15分）案例二：T科技集团是一家主营人工智能和大数据服务的科技公司，旗下拥有两款热门APP，拥有超过1亿活跃用户。2026年初，T集团发生了一起严重的数据泄露事件。具体情况如下：1.由于运维人员操作失误，未对包含1000万用户信息的数据库（包含姓名、身份证号、手机号、家庭住址）设置访问密码，导致该数据库在公网暴露长达48小时。2.黑客利用该漏洞下载了其中200万条用户数据，并在暗网公开售卖。3.事件发生24小时后，T集团安全监测部门才发现异常。4.T集团担心声誉受损，决定内部处理，不主动向监管机构报告，也不通知受影响用户，仅修补了漏洞。问题：1.请结合《网络安全法》、《数据安全法》及《个人信息保护法》，分析T集团在此次事件中存在的违规点。（15分）2.假设监管机构介入调查，T集团可能面临什么样的法律责任？（包括行政处罚和刑事责任可能性）（10分）3.请依据相关法规，设计一套符合中国法律要求的数据泄露应急响应流程图（文字描述步骤），并计算理论上T集团应当在发现后多少小时内完成监管报告？（15分）案例三：M能源公司是一家大型国有企业，主营电力生产。2026年，M公司计划收购一家位于境外的N新能源公司（位于R国）。N公司拥有先进的光伏技术，但R国环保法规极其严格，且近期对海外投资审查趋严。在并购前的尽职调查中，M公司发现：1.N公司过去三年中有两次因废水排放超标被R国环保部门处罚的记录。2.N公司的一项核心专利技术涉嫌侵犯了第三方K公司的知识产权，K公司已在当地法院提起诉讼，索赔金额巨大。3.N公司的高管中包含一名R国前政府高级官员，这可能违反R国的“旋转门”限制或涉及利益输送。问题：1.请分析上述三个发现点对M公司并购交易分别构成什么类型的合规风险？（10分）2.针对N公司的环保违规记录和知识产权诉讼，M公司在并购协议中应设置哪些特殊的保护性条款（Representations&Warranties,Indemnification等）来降低风险？（15分）3.针对“前政府官员”担任高管的情形，M公司应进行哪些合规审查以防范FCPA（如适用）或当地反腐败法及反利益冲突风险？（15分）参考答案及解析第一部分：单项选择题1.B2.A3.B4.B5.A6.C7.B8.C9.B10.B11.D12.B13.B14.C15.B16.C17.B18.B19.D20.B第二部分：多项选择题1.ABCD2.ABC3.ABC4.ABCD5.ABCD6.AB7.ABCD8.ABC9.ABCD10.ABCD11.ABCD12.ABC13.ABCD14.ABC15.ABC第三部分：判断题1.×（合规是全员责任）2.×（FCPA允许加速费，但中国法律及很多其他国家法律严格禁止任何形式的权钱交易，且公司政策通常也禁止）3.√4.×（体系需包含运行、监督、改进等动态过程）5.√6.×（需满足法律法规规定的保存期限，如会计法、交易记录要求等）7.×（母公司可能承担管理责任或连带责任）8.√9.×（应向员工提示相关风险以起到警示作用）10.×11.√12.√13.√14.×（通常根据分级分类管理，低风险合同可简化）15.√第四部分：填空题1.监督活动2.交易相对方3.诚信4.网络安全法5.反扩散融资（或反逃税，视具体教材，标准AML三反通常指反洗钱、反恐怖融资、反逃税/反扩散融资，此处填反逃税或反扩散融资均可，通常反逃税更常见）6.40007.Act8.被遗忘权（或删除权）9.二倍10.二第五部分：简答题1.答：定义：合规是指企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、外法域法律法规等要求。意义：(1)防范法律风险：预防违法违规行为，避免遭受行政处罚、刑事责任或巨额民事赔偿。(2)提升声誉：良好的合规记录是企业诚信经营的标志，有助于提升品牌形象和公众信任度。(3)促进可持续发展：规范内部管理，提升运营效率，保障企业长期稳定发展。(4)满足监管要求：适应日益严格的国内外监管环境，降低被调查和制裁的风险。(5)获得商业机会：在国际商业合作中，合规资质往往是进入门槛或加分项。2.答：第三方风险：指企业在通过代理商、分销商、供应商、顾问等第三方合作伙伴进行业务活动时，第三方可能代表企业实施贿赂、洗钱、违反制裁等违法违规行为，从而导致企业承担连带法律责任的风险。管理措施：(1)尽职调查：在合作前对第三方进行背景调查，评估其合规风险。(2)合同约束：在合作协议中明确约定合规义务，要求第三方遵守反腐败、反洗钱等法律，并赋予企业审计权和单方解除权。(3)持续监控：在合作期间定期复核第三方的合规表现，关注异常交易或负面新闻。(4)培训与沟通：定期向第三方提供合规培训，传达企业的合规标准。(5)风险评估与分级：根据风险等级对第三方进行分类管理，对高风险第三方实施强化尽职调查。3.答：根据《个人信息保护法》，处理敏感个人信息除满足一般处理要求外，还应履行以下特定义务：(1)特定目的：应当具有特定的目的和充分的必要性。(2)严格单独同意：应当取得个人的单独同意。(3)影响告知：应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。(4)必要保护措施：应当采取严格的保护措施。(5)特定限制：在处理目的、处理方式、处理种类发生变更时，应重新取得个人同意。4.答：作用：(1)识别风险：全面了解目标公司的法律地位、财务状况、合规隐患（如环保、税务、劳动、知识产权）。(2)估值调整：基于发现的风险量化对交易价格的影响。(3)交易决策：帮助收购方决定是否继续交易、修改交易结构或放弃交易。(4)责任分配：通过赔偿条款等协议安排，将已知风险转移给出售方。后果：若尽职调查不到位，收购方可能继承目标公司的巨额债务、行政处罚、未决诉讼甚至刑事责任，导致“买到手就亏损”，甚至面临品牌崩塌。5.答：定义：利益冲突是指公司员工的个人利益与其对公司应承担的忠实义务发生冲突，可能导致员工利用职务之便损害公司利益以谋取私利的情形。常见情形：(1)外部兼职：员工在与公司有竞争关系的单位兼职。(2)关联交易：员工近亲属控制的公司与本公司进行交易，且未公允定价。(3)利用内幕信息：员工利用公司未公开信息进行股票交易获利。处理方式：建立利益冲突申报制度，要求员工主动申报；对于已申报的冲突，采取回避决策、公开披露、终止相关利益关系或调整岗位等措施。第六部分：案例分析题案例一参考答案：1.行为性质分析：B公司：作为行贿方，通过虚开发票、虚构服务套取资金用于贿赂医生，构成商业贿赂行为。触犯《中华人民共和国反不正当竞争法》关于商业贿赂的规定；若涉及公立医院医生（国家工作人员），可能触犯《中华人民共和国刑法》中的行贿罪或单位行贿罪。同时，虚开发票行为违反《会计法》及《刑法》关于虚开发票罪的规定。C公司：作为空壳公司，协助B公司洗钱、转移资金，构成商业贿赂的共犯。触犯《反不正当竞争法》，可能构成洗钱罪或虚开发票罪的共犯。D医生：作为公立医院主任医师（通常属于国家工作人员或事业单位从事公务的人员），利用职务之便开方谋利，构成受贿罪。若非国家工作人员身份，则构成非国家工作人员受贿罪。B公司销售总监：利用亲属关联交易，涉嫌职务侵占或非国家工作人员受贿，是单位行贿的直接责任人员。2.应急措施：立即制止：立即停止与C公司的所有合作，暂停相关付款。保全证据：封存相关合同、发票、付款凭证、会议记录（如有）、邮件往来等，防止数据被篡改或销毁。内部调查：组建独立调查组（可引入外部律师），查清事实全貌，确定涉案人员范围和资金流向。报告与披露：根据公司上市地法规及内部政策，评估是否需要向董事会、审计委员会及监管机构（如证监会、药监局）报告。人员处理：对涉事员工（销售总监等）采取停职、停薪等措施，待调查结束后依据公司制度进行解除劳动合同等处分。整改补救：追回违规支付的款项（如可能），调整相关学术推广政策。3.合规体系完善建议：第三方准入机制：建立严格的第三方尽职调查流程，不仅审查资质，还需审查股权结构、实际控制人，识别关联关系风险。费用真实性审核：强化对学术会议、咨询费用的实质性审核，要求提供会议签到、现场照片、会议纪要、服务成果证明等“实质证据”，而非仅依赖发票。反商业贿赂政策：明确禁止通过第三方进行不当利益输送，禁止虚假报销。持续监控：对高风险第三方（如佣金比例高、单一来源）进行定期审计和现场走访。培训与文化：加强对销售人员和市场人员的反腐败培训，明确红线，建立举报机制。案例二参考答案：1.违规点分析：网络安全：数据库公网暴露且无密码，严重违反网络安全技术防护要求，未履行网络安全保护义务。数据安全：未对重要数据（身份证号、住址等）采取分类、备份、加密等措施；发生数据泄露事件后未采取有效补救措施防止危害扩大。个人信息保护：未履行个人信息安全保护义务。未履行个人信息安全保护义务。发生泄露后，未“立即”采取补救措施。发生泄露后，未“立即”采取补救措施。未“及时”通知监管机构和受影响个人信息主体（隐瞒不报）。未“及时”通知监管机构和受影响个人信息主体（隐瞒不报）。收集存储大量敏感信息，可能未获得充分的单独同意或未进行必要的影响评估。收集存储大量敏感信息，可能未获得充分的单独同意或未进行必要的影响评估。2.法律责任分析：行政处罚：依据《网络安全法》第59条，网络运营者不履行义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。情节严重的，可处更高额罚款并责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。依据《网络安全法》第59条，网络运营者不履行义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。情节严重的，可处更高额罚款并责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。依据《个人信息保护法》第66条，处理个人信息未履行安全保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款；对直接主管人员处十万元以上一百万元以下罚款。依据《个人信息保护法》第66条，处理个人信息未履行安全保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款；对直接主管人员处十万元以上一百万元以下罚款。刑事责任：若泄露数量巨大或造成严重后果（如受害人被骗、自杀等），可能触犯《刑法》第285条之一（非法获取计算机信息系统数据罪）或第286条（破坏计算机信息系统罪），相关责任人可能面临有期徒刑。若泄露数量巨大或造成严重后果（如受害人被骗、自杀等），可能触犯《刑法》第285条之一（非法获取计算机信息系统数据罪）或第286条（破坏计算机信息系统罪），相关责