2026年银行客户信息保护试卷及答案

2026年银行客户信息保护试卷及答案一、单项选择题（共20题，每题1分，共20分。每题只有一个正确答案，多选、错选、不选均不得分）1.根据2025年实施的《银行业保险业消费者个人信息保护管理办法》，下列不属于银行业金融敏感个人信息的是（）A.客户的人脸、指纹等生物识别信息B.客户的银行卡号、支付密码、信用卡CVV码C.客户的普通邮寄地址D.客户近3年的账户交易流水2.商业银行使用公域生成式AI工具处理业务时，涉及客户信息的操作符合规定的是（）A.将未脱敏的客户交易记录输入公域AI工具生成营销话术B.输入完全匿名化的客户行为数据训练内部AI模型C.用客户的身份信息委托公域AI生成个性化授信方案D.用公域AI直接批量读取客户留存的身份证影像件完成身份核验3.客户向商业银行申请查询本人名下全部个人信息处理记录，银行应当自收到申请之日起（）个工作日内完成核查并答复客户，法律另有规定的除外。A.3B.7C.10D.154.下列客户信息销毁方式不符合监管要求的是（）A.对存储核心客户信息的固态盘进行物理粉碎B.对纸质客户信息档案用碎纸机碎成毫米级碎片C.对存储普通客户信息的硬盘执行快速格式化操作D.对云存储的客户敏感信息执行多次覆盖删除后注销存储空间5.商业银行处理核心客户信息的服务器原则上应当存放在（），确需出境的应当经过国家网信部门安全评估。A.商业银行总行机房B.中国境内C.获得等保三级认证的机房D.商业银行自建机房6.商业银行内部员工查询客户敏感个人信息的操作日志，最少留存期限为（）年，法律另有规定的从其规定。A.1B.3C.5D.107.发生重大客户信息泄露事件后，商业银行应当在事件确认后（）小时内上报属地监管部门、网信部门和公安部门。A.12B.24C.48D.728.按照商业银行客户信息分级标准，下列属于核心级客户信息的是（）A.客户的职业信息B.客户的银行卡交易密码C.客户的信用卡账单地址D.客户的开户日期9.商业银行与第三方机构合作处理客户个人信息的，该第三方机构最少应当取得（）级网络安全等级保护认证。A.2B.3C.4D.510.客户向商业银行提出撤回同意处理其个人信息的申请，银行应当在（）个工作日内完成相关业务逻辑调整，停止处理该客户的个人信息，法律法规另有规定的除外。A.5B.7C.15D.3011.商业银行向客户发送营销类短信的，应当在短信内容中提供（）选项，且不得向明确拒绝营销的客户发送此类信息。A.客服联系方式B.优惠活动说明C.一键退订D.业务办理链接12.商业银行处理已满14周岁未满16周岁的未成年人个人银行账户信息的，应当取得（）的同意。A.未成年人本人B.未成年人所在学校C.未成年人的监护人D.属地社区居委会13.下列经过处理的客户信息中，不属于《个人信息保护法》管辖范围的是（）A.去标识化的客户交易记录B.掩码处理后的客户手机号（保留前3后4位）C.匿名化处理后无法复原的客户行为数据D.哈希加密后的客户身份证号14.下列不属于商业银行客户信息保护“三同步”原则的是（）A.同步规划B.同步建设C.同步验收D.同步使用15.商业银行客户信息保护的第一责任人是（）A.总行信息科技部门负责人B.总行消费者权益保护部门负责人C.商业银行法定代表人或主要负责人D.各分支机构负责人16.客户发现其留存于银行的个人信息存在错误，向银行申请更正，银行核查确认信息有误的，应当在（）个工作日内完成更正并告知客户。A.3B.5C.10D.1517.某商业银行2025年度总营业额为120亿元，因违规处理客户敏感个人信息且情节特别严重，被监管部门按照《个人信息保护法》规定的最高幅度处以罚款，该罚款金额为（）A.5000万元B.1.2亿元C.6亿元D.12亿元18.下列人员中可以接触商业银行核心级客户信息的是（）A.总行分管零售业务的副行长B.经岗位授权的总行数据中心运维人员C.分行个人金融部总经理D.支行资深客户经理19.客户申请删除其留存于银行的个人信息，银行可以拒绝该申请的情形是（）A.客户的账户已销户满1年B.该信息是银行履行反洗钱法定义务必须留存的C.客户3年前曾经授权银行使用该信息D.该信息已被银行用于生成匿名化统计数据20.商业银行内部客户信息访问权限实行最小必要原则，下列权限配置符合要求的是（）A.支行柜员配置全量客户信息查询权限B.信用卡催收人员配置客户全部联系人信息查询权限C.理财经理仅配置其名下维护客户的基础信息查询权限D.科技开发人员配置生产环境客户敏感信息查询权限二、多项选择题（共15题，每题2分，共30分。每题有2个及以上正确答案，多选、少选、错选、不选均不得分）1.商业银行客户信息生命周期管理覆盖的环节包括（）A.收集与采集B.存储与加工C.传输与提供D.公开与销毁2.商业银行处理客户敏感个人信息时，应当满足的要求有（）A.取得客户的单独同意，不得与其他授权捆绑B.向客户明确告知处理信息的必要性以及对个人权益的影响C.采取比普通个人信息更严格的加密、访问管控措施D.每半年向客户公示一次敏感信息处理情况3.发生客户信息泄露事件后，商业银行应当采取的处置措施有（）A.第一时间启动信息安全事件应急预案B.采取技术措施封堵漏洞，防止泄露范围扩大C.72小时内告知所有受影响的客户，说明风险及应对建议D.配合监管部门、公安部门开展事件调查4.商业银行与第三方科技公司合作处理客户个人信息的，应当在合作协议中明确约定的内容有（）A.客户信息的处理范围、用途、期限B.双方的信息安全保护责任C.合作终止后客户信息的销毁要求D.第三方不得转委托处理客户信息的约束条款5.商业银行对内部客户信息查询操作的管控措施包括（）A.最小权限配置，仅开放岗位必要的查询范围B.查询敏感信息实行双人复核审批C.所有查询操作全程留痕，日志不可篡改D.每季度对查询日志进行审计，排查违规操作6.下列属于客户信息泄露情形的有（）A.内部员工违规将1000条客户手机号拷贝到个人手机B.银行官方公众号推送活动信息时误公示了200名中奖客户的完整银行卡号C.合作的快递公司在寄送客户信用卡对账单时丢失了300份邮件D.银行系统遭黑客攻击，5万条客户身份信息被窃取7.商业银行使用生成式AI工具处理客户信息的禁止性规定包括（）A.不得将未脱敏的客户信息输入公域生成式AI工具B.不得利用AI分析客户的宗教信仰、医疗健康等敏感隐私用于差异化定价C.不得用AI自动处理客户提出的个人信息查询、更正、删除申请D.不得使用AI生成虚假客户信息用于虚假营销、业绩造假8.客户依法可以向商业银行行使的个人信息权利包括（）A.查询、复制本人的个人信息处理记录B.更正、补充错误或不完整的个人信息C.要求删除本人的个人信息D.要求银行对其个人信息处理规则作出解释说明9.对商业银行客户信息保护工作负有监管职责的部门包括（）A.中国人民银行B.国家金融监督管理总局及其派出机构C.国家网信部门及其派出机构D.公安机关10.下列情形中，商业银行可以不经客户同意处理个人信息的有（）A.为履行反洗钱、反电信诈骗等法定义务B.为应对突发公共卫生事件，保障客户的生命健康安全C.为订立、履行客户与银行签订的金融服务合同所必需D.处理客户已自行公开的合法公开的个人信息11.商业银行对核心级客户信息的特殊管控要求包括（）A.采用国密算法加密存储，密钥与数据分开存放B.访问核心信息实行双人授权、全程录像C.核心信息原则上不得出境、不得对外提供D.核心信息的操作日志永久留存12.商业银行客户信息脱敏的常用技术手段包括（）A.掩码处理B.替换、置换C.哈希加密D.匿名化、去标识化13.商业银行应当将下列人员纳入客户信息保护培训范围的有（）A.总行高管及各部门负责人B.一线柜员、客户经理、催收人员C.科技开发、运维、数据处理人员D.驻场的外包服务人员14.商业银行客户信息保护内部审计的要求包括（）A.每年至少开展一次客户信息保护专项审计B.可以委托具备资质的第三方机构开展审计C.审计报告应当报送属地监管部门D.审计发现的问题应当明确整改时限、责任到人15.商业银行违反客户信息保护相关规定可能承担的法律责任包括（）A.对受损害的客户承担民事赔偿责任B.监管部门作出的罚款、停业整顿、吊销经营许可证等行政处罚C.情节严重构成犯罪的，相关责任人承担刑事责任D.内部对责任人作出的纪律处分、绩效扣减等责任追究三、判断题（共10题，每题1分，共10分。请在题后括号内打√或×，判断错误、不判断均不得分）1.商业银行为配合税务部门依法开展的税务核查工作，可以不经客户同意向税务部门提供客户的账户交易记录。（）2.客户撤回同意银行处理其个人信息后，银行应当删除所有留存的该客户的信息，不得留存任何记录。（）3.去标识化处理后的客户信息仍然属于个人信息，应当按照《个人信息保护法》的要求进行管理。（）4.一线柜员因临时离岗，可将自己的业务系统账号借给同事使用，方便为客户办理业务。（）5.客户信息泄露事件造成1000人以上敏感个人信息泄露的，属于重大信息安全事件，应当在24小时内上报监管。（）6.商业银行只要在营销短信中添加退订选项，就可以无需客户同意向其发送营销类信息。（）7.处理已满16周岁未满18周岁，且以自己的劳动收入为主要生活来源的未成年人的银行账户信息，无需征得其监护人同意。（）8.商业银行存储客户敏感个人信息的加密密钥应当由多人分开保管，不得由单人掌握完整密钥。（）9.商业银行与境外母公司共享客户核心信息的，只要签订保密协议即可，无需经过监管审批。（）10.客户信息的访问操作日志最少应当留存3年，法律法规另有规定的从其规定。（）四、案例分析题（共2题，每题15分，共30分）1.案例背景：2026年3月，某地银保监分局接到多名客户投诉，称其未在A城商行办理过任何业务，却频繁收到该行的信用卡营销电话。监管部门现场检查发现：A城商行零售业务部为提升信用卡发卡量，与本地3家汽车4S店签订合作协议，从4S店获取了近2.3万名近期购车客户的姓名、手机号、家庭住址、收入证明、购车记录等信息，未征得客户同意就安排客户经理逐一致电营销信用卡；合作协议中未约定任何客户信息保护相关条款，A城商行获取的2.3万条客户信息全部存储在零售业务部一名客户经理的个人U盘中，未采取加密措施，该客户经理曾多次将该U盘带回家接入个人电脑使用；同时A城商行未建立外部来源客户信息的核验机制，无法确认该批信息的获取是否经过客户同意。请回答以下问题：（1）请列出A城商行在客户信息保护方面存在的违法违规行为，至少列出5项。（8分）（2）监管部门可以对A城商行及相关责任人采取哪些处罚措施？（4分）（3）针对上述问题，A城商行应当采取哪些整改措施？（3分）2.案例背景：2026年5月，B国有大行科技部门为提升智能客服的应答准确率，上线了一款基于生成式AI的智能客服系统。为训练AI模型，科技部门两名运维人员在未履行审批程序、未对数据进行脱敏的情况下，将近500万条客户与客服的历史聊天记录、身份信息、交易记录导入公域AI训练平台。2026年5月12日，网络安全部门监测发现有120万条客户的身份证号、银行卡号、交易记录等敏感信息在暗网售卖，溯源确认是B行泄露的数据。事件发生后，B行担心影响声誉，延迟了48小时才向监管部门上报，且未及时告知受影响的客户，导致多名客户遭遇电信诈骗，损失金额累计达230万元。请回答以下问题：（1）请分析B行在客户信息保护全流程中存在的漏洞，至少列出6项。（9分）（2）该事件属于什么等级的信息安全事件？请简述该类事件的处置流程。（6分）五、论述题（共1题，10分）结合2025年国家金融监督管理总局发布的《银行业保险业消费者个人信息保护管理办法》，论述商业银行如何构建覆盖全生命周期的客户信息保护体系。参考答案及解析一、单项选择题1.答案：C解析：普通邮寄地址属于一般个人信息，不属于金融敏感个人信息，其余选项均属于监管明确的金融敏感个人信息范围。2.答案：B解析：匿名化处理后的信息不属于个人信息，可用于内部AI训练，其余选项均属于违规操作，可能导致客户信息泄露。3.答案：C解析：《银行业保险业消费者个人信息保护管理办法》明确规定，客户申请查询个人信息处理记录的，银行应当在10个工作日内答复。4.答案：C解析：快速格式化操作仅删除文件索引，数据可通过技术手段恢复，不符合客户信息销毁要求。5.答案：B解析：《个人信息保护法》及金融数据安全相关规定明确，关键信息基础设施运营者收集的核心个人信息原则上应当存储在境内。6.答案：C解析：客户信息操作日志最少留存期限为5年。7.答案：B解析：重大客户信息泄露事件应当在24小时内上报监管部门。8.答案：B解析：支付密码属于核心级客户信息，一旦泄露会直接导致客户资金损失，其余选项属于敏感或一般个人信息。9.答案：B解析：处理金融个人信息的第三方机构应当取得等保三级认证。10.答案：B解析：客户撤回同意的，银行应当在7个工作日内停止处理其个人信息。11.答案：C解析：营销短信必须提供一键退订选项，且需事先取得客户同意。12.答案：C解析：处理不满16周岁未成年人的个人信息，应当取得监护人的同意。13.答案：C解析：匿名化处理后无法复原的信息不属于个人信息，不受《个人信息保护法》管辖，其余选项的信息仍可通过额外技术手段复原，属于个人信息。14.答案：C解析：客户信息保护三同步原则为同步规划、同步建设、同步使用，不包含同步验收。15.答案：C解析：商业银行法定代表人或主要负责人是客户信息保护的第一责任人。16.答案：B解析：客户申请更正错误信息的，银行应当在5个工作日内完成更正。17.答案：C解析：《个人信息保护法》规定情节特别严重的，可处以上一年度营业额5%的罚款，计算公式为：罚18.答案：B解析：只有经岗位授权的相关人员才能接触核心客户信息，高管、部门负责人未经授权也不得接触。19.答案：B解析：银行履行反洗钱等法定义务必须留存的信息，可以拒绝客户的删除申请。20.答案：C解析：理财经理仅可查询其名下维护客户的基础信息，符合最小必要原则，其余选项均属于权限过度配置。二、多项选择题1.答案：ABCD解析：客户信息生命周期管理覆盖收集、存储、使用、加工、传输、提供、公开、销毁全环节。2.答案：ABC解析：不需要每半年向客户公示敏感信息处理情况，其余选项均为处理敏感个人信息的法定要求。3.答案：ABD解析：应当在事件确认后72小时内告知受影响客户，不是所有客户，C选项错误。4.答案：ABCD解析：四个选项均为合作协议中必须明确的客户信息保护条款。5.答案：ABCD解析：四个选项均为内部查询操作的常规管控措施。6.答案：ABCD解析：四个选项均属于客户信息泄露的情形。7.答案：ABD解析：可以用AI处理客户的个人信息权利申请，但需人工复核，C选项错误。8.答案：ABCD解析：四个选项均为客户依法享有的个人信息权利。9.答案：ABCD解析：四个部门均对商业银行客户信息保护负有监管职责。10.答案：ABCD解析：四个选项均为法定的可以不经客户同意处理个人信息的情形。11.答案：ABCD解析：四个选项均为核心客户信息的特殊管控要求。12.答案：ABCD解析：四个选项均为常用的信息脱敏技术手段。13.答案：ABCD解析：所有接触客户信息的人员均应当纳入培训范围。14.答案：ABCD解析：四个选项均为内部审计的法定要求。15.答案：ABCD解析：四个选项均为可能承担的法律责任。三、判断题1.答案：√解析：配合国家机关依法履行职责属于可以不经客户同意处理个人信息的法定情形。2.答案：×解析：客户撤回同意后，银行为履行法定义务所需留存的信息可以继续留存，无需删除。3.答案：√解析：去标识化的信息仍可借助额外信息复原，属于个人信息。4.答案：×解析：业务系统账号不得转借他人使用，防止违规查询客户信息。5.答案：√解析：1000人以上敏感信息泄露属于重大事件，需24小时内上报。6.答案：×解析：发送营销短信必须事先取得客户同意，仅提供退订选项不符合要求。7.答案：√解析：已满16周岁未满18周岁且以自己劳动收入为主要生活来源的，视为完全民事行为能力人，可自行同意个人信息处理。8.答案：√解析：加密密钥应当实行多人分管，防止密钥泄露导致数据失控。9.答案：×解析：核心客户信息出境必须经过网信部门安全评估，仅签订保密协议不符合要求。10.答案：×解析：操作日志最少留存5年，不是3年。四、案例分析题1.参考答案：（1）违法违规行为包括：①未征得客户同意收集、使用客户个人信息用于营销，违反个人信息处理的合法、正当、必要原则；②从外部渠道获取客户信息未核验信息来源的合法性，未确认客户已同意信息被用于银行营销；③与第三方合作未签订信息保护条款，未明确合作方的信息安全责任；④客户敏感信息存储在未加密的个人U盘中，未采取必要的安全保护措施；⑤允许员工将存储客户信息的存储介质带出办公场所，接入不安全的个人设备；⑥未建立外部信息接入的审批、管控机制，业务部门可随意获取外部客户信息。（每列出1项得1.6分，最多8分）（2）处罚措施包括：①对A城商行责令改正，给予警告，没收违法所得，并处以五十万元以上五百万元以下罚款，情节严重的可处五百万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿；②对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款，情节严重的处十万元以上一百万元以下罚款，并可以禁止其在一定期限内担任银行业金融机构的董事、监事、高级管理人员。（每答对1项得2分，共4分）（3）整改措施包括：①立即停止使用该批外部获取的客户信息，全部销毁存储的信息，停止相关营销行为；②完善外部信息获取、第三方合作的信息保护机制，明确信息来源核验要求、合作协议信息保护条款；③完善客户信息存储、使用的管控措施，禁止员工用个人存储介质存储客户信息，所有客户信息统一存储在行内加密服务器。（每答对1项得1分，共3分）2.参考答案：（1）存在的漏洞包括：①生成式AI应用的客户信息处理未建立审批机制，员工可随意将客户数据导出用于AI训练；②数据导出、使用未落实脱敏要求，未脱敏的敏感信息直接导出到外部平台；③未对生成式AI应用的数据源进行安全评估，公域AI平台未达到金融数据处理的安全要求；④事件上报机制不健全，发生重大泄露事件后迟报，未履行事件上报义务；⑤未履行客户告知义务，导致客户未及时采取防范措施遭受损失；⑥员工信息安全培训不到位，运维人员未意识到违规导出数据的风险；⑦客户信息导出操作未建立审批、审计机制，未对数据导出操作进行监控。（每列出1项得1.5分，最多9分）（2）该事件属于重大信息安全事件：造成1000人以上敏感个人信息泄露，且出现客户财产损失，属于重大等级。（2分）处置流程：①立即启动应急预案，采取技术措施封堵漏洞，防止泄露范围进一步扩大；②24小时内上报属地监管、网信、公安