2026年人工智能合规管理易错试题

2026年人工智能合规管理易错试题一、单项选择题（每题1分，共20分）1.某跨国AI公司在欧盟境内部署人脸识别系统，其训练数据包含30%的欧盟居民面部图像。根据GDPR，以下哪项做法最可能导致合规风险？A.在系统上线前完成数据保护影响评估（DPIA）B.将面部图像加密后存储于欧盟境外云服务器，且加密密钥由欧盟境内数据中心保管C.基于“合法利益”作为处理依据，但未进行利益平衡测试D.向用户提供网页表单行使反对权，承诺15个工作日内答复答案：C解析：GDPR第6条1(f)允许以“合法利益”作为处理依据，但需完成利益平衡测试并确保不凌驾于数据主体基本权利之上。人脸识别对基本权利影响极高，若未做平衡测试即处理，直接构成高等级风险。2.中国《生成式人工智能服务管理暂行办法》要求，服务提供者对违法内容应采取的措施不包括：A.立即停止生成B.在3个工作日内向省级网信部门报告C.将违法内容用于二次训练以提升过滤模型D.删除相关记录并防止再次生成答案：C解析：办法第十三条明确禁止将违法内容再次用于训练，否则构成“使用非法数据”。3.某金融AI模型在训练阶段使用了2015—2023年客户征信数据，2026年上线后，客户要求删除其2015年数据。根据《个人信息保护法》，企业可以主张的豁免理由是：A.数据已脱敏，无法识别特定个人B.数据已用于训练，删除会显著增加算法偏见C.数据保存期限尚未届满，且属于履行合同必需D.数据已迁移至离线冷存储，删除成本过高答案：A解析：若数据已不可逆脱敏，则不再属于“个人信息”，删除义务消灭。B、D均非法定豁免，C需证明“必需”与“期限”且经监管部门认可。4.欧盟AIAct草案将“用于招聘的AI系统”划为：A.禁止类B.高风险类C.有限风险类D.最小风险类答案：B解析：招聘决策对就业权产生重大影响，属于附件三列举的高风险场景。5.美国联邦贸易委员会（FTC）2026年2月发布的AI“虚假陈述”执法指南中，以下哪项被明确列为欺骗性做法？A.宣称模型准确率99.2%，实际测试集准确率98.9%B.宣称“无偏见”，但已知对非裔群体存在8%假阳性差异C.宣称“实时推理”，平均延迟220msD.宣称“100%可解释”，实际仅提供全局特征重要性柱状图答案：B解析：FTC强调，若企业明知存在显著偏见仍宣称“无偏见”，即构成虚假陈述。6.某医疗AI软件在中国申请三类医疗器械注册，其临床试验机构位于三家三甲医院。2026年新版《医疗器械注册与备案管理办法》要求，临床试验数据保存期限为：A.5年B.10年C.15年D.永久答案：C解析：办法第六十二条明确临床试验数据保存不少于15年。7.当AI系统处理儿童个人信息时，中国《个人信息保护法》要求的“监护人同意”属于：A.明示同意B.书面同意C.单独同意D.择一同意答案：C解析：第31条规定处理未满14周岁儿童信息应取得监护人“单独同意”。8.某自动驾驶公司在新加坡开展路测，需向陆路交通管理局（LTA）提交“算法变更日志”。以下哪项变更无需重新申请测试许可？A.将感知模型backbone从ResNet-50替换为ConvNeXt-BB.将后处理阈值从0.5调整为0.3C.增加夜间模式，引入红外摄像头D.将安全员从双冗余改为单安全员答案：B解析：LTA2025年通告将“阈值微调”列为低风险变更，只需备案；其余均影响安全冗余或传感器配置，需重新审批。9.根据ISO/IEC42001:2025《人工智能管理体系》，管理评审的输入不包括：A.相关方反馈B.风险评估结果C.财务预算达成率D.纠正措施状态答案：C解析：财务预算达成率属于财务指标，非AI管理体系评审必需输入。10.某AI客服系统使用第三方语音识别SDK，合同约定“由SDK提供方承担全部合规责任”。若因语音识别错误导致用户财产损失，最终责任主体为：A.SDK提供方B.系统集成方C.终端用户D.云服务商答案：B解析：中国《个人信息保护法》第59条明确“委托处理不免除委托方义务”，系统集成方作为个人信息处理者仍对外承担连带责任。11.欧盟AIAct要求高风险AI系统必须配备“自动记录日志”功能，日志保存期限至少：A.6个月B.1年C.3年D.5年答案：B解析：法案第12条明确日志保存不少于1年，以备监管审计。12.某企业使用生成式AI撰写营销邮件，因内容侵犯第三方著作权被索赔。以下哪项抗辩理由最无效？A.已设置关键词过滤，尽到了合理注意义务B.生成内容系AI独立创作，非企业意志表达C.收到权利人通知后已立即删除D.训练数据来源于公开爬取，无版权声明答案：B解析：AI输出属于企业产品，企业作为受益方与控制方需承担侵权责任，“非人类意志”并非法定抗辩。13.根据2026年生效的《中国人工智能安全评估指南》，以下哪项属于“模型逆向攻击”风险？A.通过Prompt注入获取训练数据隐私B.在图像分类模型中插入触发器，使特定图案被误分类C.利用模型输出置信度重构原始人脸D.在训练集投毒，使模型权重偏移答案：C解析：逆向攻击指由输出推断输入或训练数据，C符合定义；A为Prompt泄露，B为后门，D为投毒。14.某跨国公司在印度部署AI招聘系统，需遵守《数字个人数据保护法》2025年修正案。以下哪项处理依据在印度法下不可使用？A.用户同意B.国家主权与安全C.合法利益D.公共利益答案：C解析：印度法未引入GDPR式“合法利益”作为一般处理依据，仅列举同意、法律义务、主权与安全、公共利益等。15.某AI信贷模型在A/B测试中发现，女性群体平均授信额度比男性低7%，但违约率相同。根据美联储2025年《AI信贷公平指引》，银行应：A.继续上线，因差异低于10%B.下线模型，重新校准C.增加女性样本权重，重新训练D.向监管提交差异影响评估报告，并制定补偿措施答案：D解析：指引要求对“差异影响”大于5%的情形提交报告并制定缓解措施，而非简单下线。16.某企业计划将训练数据上传至韩国云，根据韩国《个人信息保护法》跨境传输规则，无需额外前置程序的情形是：A.已获数据主体单独同意B.已通过韩国信息保护标志（K-ISMS）认证C.接收方位于欧盟且已获adequacy决定D.签署韩国监管备案的标准合同（SCC）答案：C解析：欧盟已获韩国adequacy，可自由传输；A需单独同意，B、D仍需备案。17.根据《生成式人工智能服务管理暂行办法》，服务提供者应当建立投诉举报入口，受理时限为：A.24小时B.3个工作日C.5个工作日D.7个工作日答案：B解析：办法第十八条明确3个工作日内处理并反馈。18.某AI翻译软件在欧盟市场投放，其用户协议约定“适用美国加州法律”。根据AIAct草案，该条款：A.完全有效B.对消费者无效，对B2B有效C.对高风险系统无效D.完全无效，必须适用欧盟法律答案：D解析：AIAct第3条明确，凡在欧盟市场投放的高风险AI系统，必须无条件遵守欧盟强制性法律，法律选择条款无效。19.某医疗AI公司使用联邦学习技术，各医院数据不出域。根据《个人信息保护法》，以下哪项表述正确？A.联邦学习无需取得患者同意B.联邦学习仍属于“对外提供”C.联邦学习可豁免数据出境评估D.联邦学习模型参数传输需加密答案：D解析：参数可能泄露隐私，需加密；A仍需同意，B、C需结合场景评估。20.2026年，中国网信办对某AIApp实施“下架”行政处罚，企业欲提起行政诉讼，起诉期限自收到处罚决定书之日起：A.15日B.30日C.60日D.6个月答案：D解析：《行政诉讼法》第46条，直接起诉期限为6个月。二、多项选择题（每题2分，共20分）21.以下哪些情形属于《个人信息保护法》第38条规定的“数据出境安全评估”触发条件？A.处理100万人以上个人信息B.累计向境外提供10万人敏感个人信息C.数据处理者上一年度营收超10亿元D.向境外提供1万人敏感个人信息答案：A、B、D解析：C并非触发条件。22.根据AIAct草案，高风险AI系统应满足的技术文件要求包括：A.模型架构图B.训练数据来源说明C.预期性能指标D.碳排放评估报告答案：A、B、C解析：碳排放未纳入强制技术文件。23.以下哪些行为可能构成欧盟《数字服务法》（DSA）下的“系统性风险”？A.推荐算法放大选举虚假信息B.生成式AI批量创建虚假账户C.AI客服诱导未成年人过度消费D.AI翻译软件误译导致合同损失答案：A、B、C解析：D属民事纠纷，非系统性风险。24.某AI招聘系统在美国运行，以下哪些指标可用于公平性测试？A.统计奇偶性（StatisticalParity）B.机会均等（EqualOpportunity）C.校准度（Calibration）D.精确率差异（PrecisionDifference）答案：A、B、C、D解析：四项均为经典公平指标。25.根据ISO/IEC23894:2025《AI风险管理》，风险评估步骤包括：A.风险识别B.风险分析C.风险评价D.风险融资答案：A、B、C解析：风险融资属财务手段，非标准步骤。26.中国《生成式人工智能服务管理暂行办法》要求，提供者应在训练数据清洗环节采取的措施有：A.去除违法不良信息B.去除个人信息C.去除著作权争议内容D.去除低质量广告答案：A、B、C解析：D非强制要求。27.以下哪些属于AI系统“供应链安全”风险？A.预训练模型被植入后门B.开源库存在CVE漏洞C.训练数据被投毒D.模型API被DDoS攻击答案：A、B、C解析：D属可用性风险，非供应链。28.根据GDPR，数据保护官（DPO）的设立条件包括：A.公共机构处理B.大规模处理敏感数据C.大规模系统性监控D.员工人数超250人答案：A、B、C解析：D非直接条件。29.某AI医疗软件在中国申请注册，需提交临床评价资料，可接受的路径有：A.同品种比对B.临床试验C.真实世界数据D.专家共识答案：A、B、C解析：专家共识不能单独作为注册路径。30.以下哪些属于AI伦理审查委员会（AIEthicsBoard）的合理构成？A.外部律师B.社区代表C.数据科学家D.投资人代表答案：A、B、C解析：投资人存在利益冲突，不宜参与。三、判断题（每题1分，共10分）31.中国《个人信息保护法》规定，处理个人信息达到国家网信部门规定数量的，必须设立境内数据保护官。答案：错误解析：需设立“个人信息保护负责人”，非DPO制度。32.欧盟AIAct草案允许成员国对禁止类AI系统申请豁免。答案：错误解析：禁止类无条件禁止，无豁免。33.根据韩国《信用信息法》，AI信用评分模型必须向用户公开全部特征权重。答案：错误解析：仅需提供主要影响因素，无需公开全部权重。34.美国联邦层面尚未出台统一的AI综合立法，但NISTAIRiskManagementFramework已具备强制效力。答案：错误解析：NIST框架为自愿性。35.中国《生成式人工智能服务管理暂行办法》适用于所有面向“境内公众”的服务，无论服务器部署地。答案：正确解析：办法第二条采用属地+属人混合管辖。36.ISO/IEC42001:2025要求认证企业必须每年进行一次外部审计。答案：正确解析：管理体系认证通用要求。37.根据印度《数字个人数据保护法》，数据主体享有“被遗忘权”，但政府处理除外。答案：正确解析：政府豁免条款明确。38.新加坡PDPA2025年修订案引入“数据可携带权”，适用于所有企业。答案：错误解析：仅适用于年营收超100万新元的企业。39.AI模型在训练阶段使用开源数据集，无需关注著作权，因为开源即等于免费商用。答案：错误解析：开源许可证可能限制商用。40.中国《科技伦理审查办法》要求，涉及“高敏感领域”的AI项目必须在立项前完成伦理审查。答案：正确解析：办法第五条明确。四、简答题（每题10分，共30分）41.简述“差异影响”（DisparateImpact）在美国AI信贷合规中的测试步骤，并给出临界阈值计算公式。答案：步骤：1)确定受保护群体（如种族、性别）。2)计算各群体通过率：通3)计算差异影响比率：D4)若DI比率<0.8，则判定存在差异影响，需业务必要性辩护。5)进行替代方案测试，确认无更少差异且同效用的模型。42.说明欧盟AIAct中“高风险AI系统”上市后的持续合规义务。答案：1)建立质量管理体系，符合ISO9001与AIAct附件四。2)自动记录日志，保存≥1年，确保可追溯。3)定期更新风险评估，至少每年一次。4)发现严重事件24小时内向成员国主管机构报告。5)接受市场监管机构飞行检查，提供技术文件。6)在系统显著位置标注高风险标识及用户告知。7)对分销商/用户进行培训，确保正确使用。43.中国《个人信息保护法》下，AI企业如何合法进行“数据出境”？列举三条路径并对比优劣。答案：路径1：通过国家网信部门安全评估优：一次评估，全国通用；劣：周期长（3-6个月），材料繁重。路径2：认证机构个人信息保护认证（如PIPL认证）优：流程相对简化，可复用ISO27701；劣：认证费用高，需年度监督。路径3：标准合同（SCC）备案优：无需等待评估，快速落地；劣：仅适用于非敏感且<10万人，需逐案备案。五、计算题（每题10分，共20分）44.某AI信贷模型对10000名申请人进行评分，阈值设为0.5。其中男性6000人，女性4000人。男性获批4500人，女性获批2400人。(1)计算男女各自通过率；(2)计算差异影响比率，并判断是否触发美国EEOC80%规则；(3)若将阈值降至0.45，女性获批增至2800人，男性增至5000人，重新计算并给出合规建议。答案：(1)男性通过率：=女性通过率：=(2)差异影响比率：D刚好等于80%，未低于阈值，不触发违规，但处于临界，需监控。(3)新男性通过率：=新女性通过率：=新DI：0.7合规建议：降低阈值可改善差异，但需验证违约率是否显著上升，确保业务必要性。45.某AI模型训练需处理含个人信息的图像数据，计划在本地差分隐私训练，隐私预算ε=1。已知单次迭代需查询训练集1000次，总迭代100次。若采用MomentsAccountant组合，求最终累积ε，并判断是否满足欧盟EDPB指南提出的“严格隐私保护”要求（ε<0.5）。若超出，给出调整方案。答案：MomentsAccountant累积公式：设q=1000/N=0.01，T=不满足。调整方案：1)增大噪声尺度σ至8，ε降至0.45；2)减少迭代至50次，ε降至0.7，再增大σ至10，ε降至0.48；3)采用梯度压缩与Poisson采样，降低q至0.005，ε降至0.4。推荐组合：σ=六、案例分析题（共20分）46.A公司开发一款生成式AI对话