大数据合规使用考试题及答案

大数据合规使用考试题及答案一、单项选择题（每题2分，共20题，满分40分）1.根据我国《个人信息保护法》规定，处理个人信息开展大数据活动应当遵循的核心首要原则是下列哪一项？A.效率优先原则B.合法、正当、诚信原则C.用户概括授权原则D.商业利益最大化原则2.根据《个人信息保护法》对敏感个人信息的定义，下列选项中不属于敏感个人信息范畴的是？A.用于身份核验的人脸生物识别信息B.通过定位采集得到的用户实时行踪轨迹信息C.自然人自行在公开社交平台发布的非实名通用昵称D.自然人的过往疾病诊疗记录3.某互联网企业计划基于大数据技术为不满14周岁的未成年人构建个性化用户画像并推送定制内容，依据合规要求，该企业应当取得以下哪一项同意？A.无需取得同意，因为未成年人使用产品即视为授权B.仅需要取得未成年人本人的同意即可C.未成年人监护人的单独同意D.仅需要在用户协议中概括提示即可4.根据我国《数据出境安全评估办法》，处理下列哪一种规模个人信息的个人信息处理者，向境外提供个人信息前，应当申报数据出境安全评估？A.处理个人信息达到50万人B.处理个人信息达到100万人C.处理个人信息达到150万人D.处理个人信息达到200万人5.大数据处理活动中，下列哪种情形处理个人信息，不需要重新取得个人信息主体的单独同意？A.处理目的发生实质性变更B.处理敏感个人信息的方式发生重大变化C.接收第三方转让的个人信息，约定的处理范围未超出原授权范围D.新增敏感个人信息的处理场景6.隐私计算是当前保障大数据流通合规性的核心技术之一，下列选项中不属于隐私计算技术范畴的是？A.联邦学习B.差分隐私C.数据明文共享D.安全多方计算7.大数据企业开展用户个人信息留存时，应当遵循存储限制原则，下列做法符合合规要求的是？A.为了未来可能的业务需求，永久留存所有用户的个人信息B.留存期限为实现处理目的所必要的最短期限C.留存期限不少于企业的经营期限D.只要用户不要求删除就可以一直留存8.根据《个人信息保护法》规定，个人信息处理者应当在多长时间内对个人信息主体行使查阅、复制个人信息权利的请求作出答复？A.一般情形下十五个工作日内B.一般情形下三十个工作日内C.一般情形下六十个工作日内D.一般情形下三个月内9.下列关于大数据场景下“去标识化”个人信息的合规要求，表述正确的是？A.去标识化后的个人信息不属于个人信息，处理者可以任意使用B.去标识化处理者应当采取安全措施，确保个人信息无法被重新识别C.去标识化后的个人信息可以直接向境外提供，不需要合规程序D.去标识化后的个人信息共享不需要留存任何记录10.某商场为了统计客流信息，在出入口安装了人脸识别设备采集过往人员人脸信息，下列合规要求表述正确的是？A.商场属于公共区域，可以不需要同意直接采集B.只要张贴提示标识就可以采集C.人脸信息属于敏感个人信息，需要取得自然人的单独同意，且为实现客流统计可以采用其他非识别方式的不得采集人脸信息D.只要不泄露就不违规11.下列哪一项不属于大数据处理活动中的刑事合规风险类型？A.侵犯公民个人信息罪B.帮助信息网络犯罪活动罪C.拒不履行信息网络安全管理义务罪D.虚假广告罪12.根据《数据安全法》规定，下列哪一类数据是国家数据分级分类保护中的最高级别保护对象？A.一般数据B.重要数据C.核心数据D.公开数据13.大数据企业开展合规审计的频率要求中，处理核心数据和重要数据的处理者应当至少多久开展一次全面合规审计？A.每半年B.每年C.每两年D.每三年14.个人信息主体要求大数据处理者删除其个人信息，下列哪一种情形下处理者不需要履行删除义务？A.处理目的已经实现，无法实现或者处理活动停止B.个人信息主体撤回同意C.处理者为了实现自身合法利益，需要继续留存D.违反法律行政法规约定处理个人信息15.大数据杀熟行为主要违反了《个人信息保护法》规定的哪一项基本原则？A.公开透明原则B.公平原则C.准确性原则D.权责一致原则16.下列关于个人信息可携带权的表述，符合合规要求的是？A.个人有权要求处理者转移符合要求的个人信息，处理者不得无故拒绝B.个人信息可携带权只适用于金融行业C.处理者可以任意设置门槛拒绝用户行使可携带权D.所有个人信息都必须支持携带17.大数据企业委托第三方处理个人信息时，下列合规要求表述错误的是？A.应当和受托人签订委托协议，约定委托处理的目的、期限、方式等B.受托人不需要承担合规责任，所有责任都由委托人承担C.受托人应当按照约定和法律规定处理个人信息，采取安全保护措施D.委托结束后，受托人应当按照约定删除或者返还个人信息18.根据《个人信息保护法》规定，处理个人信息取得个人同意的要求，下列表述正确的是？A.同意应当是自愿、明确、具体的B.只要用户不反对就是同意C.用户协议的概括授权就等同于所有场景的同意D.同意一旦作出就不能撤回19.下列哪一种情形下，大数据处理者处理个人信息不需要取得个人同意？A.为订立、履行个人作为一方当事人的合同所必需B.为推送商业广告构建用户画像C.共享个人信息给第三方D.处理敏感个人信息20.针对大数据合规风险，下列哪一项是企业应当建立的核心合规管理制度？A.只有数据泄露应急预案就够了B.建立全生命周期的数据安全管理制度、个人信息保护影响评估制度、合规审计制度C.不需要专门制度，发生问题再处理D.只需要满足工商登记要求就可以二、多项选择题（每题3分，共10题，满分30分）1.根据《数据安全法》《个人信息保护法》的规定，大数据处理活动应当遵循的基本原则包括下列哪些选项？A.合法、正当、诚信原则B.目的限制原则C.最小必要原则D.权责一致原则2.依据《个人信息保护法》要求，处理敏感个人信息需要同时满足下列哪些条件？A.具有特定的目的B.具有充分的必要性C.取得个人的单独同意D.法律、行政法规规定的其他条件3.下列选项中，属于当前大数据领域常见的合规风险场景的有哪些？A.APP超范围强制索取非必要个人权限B.未经同意向第三方共享用户个人信息C.违规向境外提供重要数据和大规模个人信息D.利用大数据算法实施差异化定价的大数据杀熟行为4.根据《个人信息保护法》规定，个人信息主体对其个人信息依法享有下列哪些权利？A.知情权、决定权B.查阅、复制权C.更正、补充权D.删除权、可携带权5.依据我国数据分级分类保护要求，核心数据和重要数据的处理者，应当履行下列哪些额外合规义务？A.定期开展数据合规审计B.每年对数据处理活动开展风险评估，并向有关部门报送风险评估报告C.指定专门的数据安全负责人和管理机构D.落实更加严格的安全保护措施6.隐私计算技术在大数据流通交易中的合规价值主要体现在下列哪些方面？A.实现数据“可用不可见”，降低个人信息泄露风险B.在不共享原始数据明文的前提下实现数据价值挖掘C.满足个人信息保护和数据安全的合规要求，降低合规风险D.促进合规的数据要素流通，释放数据价值7.下列哪些情形下，大数据处理者向境外提供个人信息需要申报数据出境安全评估？A.处理100万人以上个人信息的处理者向境外提供个人信息B.向境外提供重要数据的C.出境处理的敏感个人信息数量达到10万人以上的D.国家网信部门规定的其他需要申报评估的情形8.开展个人信息保护影响评估（PIA）的场景包括下列哪些大数据处理活动？A.处理敏感个人信息B.利用大数据开展自动化决策，对个人权益有重大影响C.委托第三方处理个人信息、向境外提供个人信息D.其他对个人权益有重大影响的个人信息处理活动9.下列关于处理自然人自行公开的个人信息的合规要求，表述错误的有哪些？A.自然人自行公开的个人信息，处理者可以任意处理，不需要遵守任何规则B.处理已经公开的个人信息，应当在合理的范围内处理，不得侵害自然人的重大利益C.即使自然人明确拒绝，处理者仍然可以处理其已经公开的个人信息D.处理已经公开的个人信息不需要取得同意，也不需要承担任何责任10.大数据处理者发生个人信息泄露安全事件后，应当履行下列哪些合规义务？A.立即采取补救措施，防止泄露范围扩大B.按照规定及时通知履行个人信息保护职责的部门C.及时通知受到影响的个人信息主体D.对泄露事件进行调查复盘，完善安全管理制度三、判断题（每题1分，共10题，满分10分）1.只要取得个人信息主体的概括性同意，就可以处理任意类型的敏感个人信息。（）2.大数据企业处理自然人自行公开的个人信息，可以不经过自然人同意，也不需要承担任何合规责任。（）3.所有个人信息出境都必须申报数据出境安全评估，这是前置必经程序。（）4.利用大数据对用户实施杀熟的差异化定价行为，违反《个人信息保护法》的公平原则，属于违法行为。（）5.最小必要原则要求大数据处理者只能采集实现处理目的最小范围的个人信息，不得过度采集非必要信息。（）6.去标识化后的个人信息不再属于个人信息，可以自由流通和使用。（）7.个人信息处理者应当对个人信息处理活动进行记录，留存相关处理日志以备审计和监管检查。（）8.未成年人的个人信息都属于敏感个人信息，处理必须取得监护人的单独同意。（）9.大数据企业的合规责任只需要企业自身承担，和企业高管、负责人无关。（）10.个人有权随时撤回对个人信息处理的同意，处理者不得设置不合理的门槛拒绝撤回，也不得因为撤回同意损害个人的合法权益。（）四、案例分析题（每题10分，共2题，满分20分）1.案例一：国内某头部网约车平台A公司为拓展商业化业务，上线两项新业务，具体操作如下：一是优化拼车匹配系统，为提升匹配精度，A公司在APP启动时强制申请获取用户的手机通讯录读取权限、手机相册读写权限，明确告知用户若不授权则无法使用拼车核心服务；二是新增商业化广告业务，A公司收集了平台所有用户近12个月的出行起点终点记录、行程频率数据，用于构建用户消费能力画像，并将加工后的用户偏好数据批量共享给合作的第三方广告公司，用于推送定向广告。上述共享信息和商业化用途仅在A公司长达50页的用户协议中以五号小字标注在知识产权条款之后，未对用户进行单独的弹窗提示或明确告知。2023年，A公司与境外某高校研究机构开展城市交通研究合作，将经过“去标识化”处理的120万平台注册用户的出行数据提供给该研究机构，未履行任何出境合规申报程序。请结合大数据合规相关规则回答下列问题：（1）请逐一指出A公司上述行为中存在哪些不合规之处？（6分）（2）若A公司要合规开展上述业务，应当采取哪些整改措施？（4分）2.案例二：B公司是国内头部综合性电商平台，拥有超过5亿注册用户，B平台依托用户的浏览记录、消费记录、收货地址、支付金额等个人数据构建用户画像，开展差异化定价服务：对于近一年平均客单价明显高于行业均值、很少搜索优惠券、对价格敏感度低的老用户，同一品牌同款商品的展示价格比新注册用户、经常搜索低价商品的用户高10%-18%。B平台对外宣称该定价模式属于正常的市场化个性化定价，不违反任何合规要求。请结合大数据合规规则回答下列问题：（1）B平台的上述差异化定价行为违反了哪些核心合规原则与法律规定？（5分）（2）B平台若要合规开展个性化定价与个性化推荐业务，应当满足哪些合规要求？（5分）参考答案及解析一、单项选择题参考答案及解析1.答案：B解析：《个人信息保护法》第五条明确规定，处理个人信息应当遵循合法、正当、必要和诚信原则，该原则是所有大数据个人信息处理活动的首要核心原则，直接决定了处理活动的合规基础。A选项效率优先是企业运营目标，不是合规首要原则；C选项概括授权仅适用于非敏感个人信息的特定场景，不能作为核心原则；D选项商业利益最大化不能凌驾于用户权益和合规要求之上，因此B正确。2.答案：C解析：《个人信息保护法》第二十八条规定，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。非实名通用昵称不具备敏感个人信息的风险特征，也不属于法定列举范畴，因此不属于敏感个人信息，C正确。3.答案：C解析：不满十四周岁未成年人的个人信息属于法定敏感个人信息，处理敏感个人信息必须取得个人的单独同意，未成年人不具备完全民事行为能力，无法作出有效的同意意思表示，因此必须取得其监护人的单独同意，C正确。4.答案：B解析：《数据出境安全评估办法》第四条明确规定，处理个人信息达到100万人的个人信息处理者向境外提供个人信息，应当申报数据出境安全评估，因此B正确。5.答案：C解析：根据《个人信息保护法》规定，处理目的、方式发生实质性重大变化、新增敏感个人信息处理都需要重新取得个人单独同意，若第三方转让的个人信息处理范围未超出原授权范围，不需要重新取得同意，因此C正确。6.答案：C解析：隐私计算的核心特征是不泄露原始数据明文，实现数据可用不可见，联邦学习、差分隐私、安全多方计算都是主流隐私计算技术，数据明文共享不属于隐私计算范畴，因此C正确。7.答案：B解析：存储限制原则要求个人信息的留存期限为实现处理目的所必要的最短期限，不得超期留存，因此B正确，其余选项都违反存储限制要求。8.答案：A解析：《个人信息保护法》规定，个人信息处理者应当在十五个工作日内答复个人信息主体行使权利的请求，情况复杂的最多延长十五个工作日，因此一般情形下十五个工作日内答复，A正确。9.答案：B解析：去标识化后的个人信息仍然属于个人信息范畴，处理者必须采取技术和管理措施防止个人信息被重新识别，因此B正确，其余选项表述错误。10.答案：C解析：人脸信息属于敏感个人信息，采集必须遵循最小必要原则，实现客流统计可以采用统计客流量不识别自然人身份的技术，不需要采集人脸信息，采集人脸信息必须取得自然人的单独同意，因此C正确。11.答案：D解析：大数据处理活动中常见的刑事风险包括侵犯公民个人信息罪、帮信罪、拒不履行信息网络安全管理义务罪等，虚假广告罪不属于大数据合规特有的刑事风险类型，因此D正确。12.答案：C解析：《数据安全法》明确将数据分为核心数据、重要数据、一般数据三个层级，其中核心数据是最高级别的保护对象，因此C正确。13.答案：B解析：根据《数据安全管理条例》相关要求，处理核心数据和重要数据的处理者应当至少每年开展一次全面合规审计，因此B正确。14.答案：C解析：根据《个人信息保护法》规定，只有法定情形下处理者可以不删除个人信息，处理者自身的合法利益不能对抗个人的删除权，因此C符合题意。15.答案：B解析：大数据杀熟利用用户的个人信息实施不公平定价，损害了用户的公平交易权，违反了《个人信息保护法》的公平原则，因此B正确。16.答案：A解析：《个人信息保护法》明确规定了个人的个人信息可携带权，个人有权要求符合条件的处理者转移其个人信息，处理者不得无故拒绝，因此A正确，其余选项表述错误。17.答案：B解析：委托处理个人信息时，受托人应当按照法律规定和委托约定履行合规义务，承担相应的责任，并非所有责任都由委托人承担，因此B表述错误，符合题意。18.答案：A解析：《个人信息保护法》规定，同意必须是自愿、明确、具体的，概括同意、默认同意都不属于有效同意，个人有权随时撤回同意，因此A正确。19.答案：A解析：《个人信息保护法》第十三条规定，为订立、履行个人作为一方当事人的合同所必需处理个人信息，不需要取得个人同意，其余选项都需要取得同意，因此A正确。20.答案：B解析：大数据合规需要建立覆盖数据全生命周期的完整管理制度，包括个人信息保护影响评估、合规审计、应急预案等，因此B正确。二、多项选择题参考答案及解析1.答案：ABCD解析：合法正当诚信、目的限制、最小必要、权责一致都是《个人信息保护法》明确规定的个人信息处理基本原则，全部符合要求，因此全选。2.答案：ABCD解析：《个人信息保护法》第二十八条、第二十九条明确规定，处理敏感个人信息必须具有特定目的、充分必要性，取得个人的单独同意，符合法律行政法规的其他要求，因此四个选项全部正确，全选。3.答案：ABCD解析：超范围采集权限、违规共享、违规出境、大数据杀熟都是当前大数据领域最常见的合规风险场景，全部符合要求，因此全选。4.答案：ABCD解析：《个人信息保护法》明确赋予个人信息主体知情权决定权、查阅复制权、更正补充权、删除权、可携带权等一系列权利，因此四个选项全部正确，全选。5.答案：ABCD解析：核心数据和重要数据处理者需要履行比一般数据处理者更严格的合规义务，包括定期审计、年度风险评估、指定专门负责人、落实更严格的安全措施，全部符合要求，因此全选。6.答案：ABCD解析：隐私计算解决了数据流通和数据安全的矛盾，实现了可用不可见，降低泄露风险，满足合规要求，促进数据要素流通，全部都是隐私计算的合规价值，因此全选。7.答案：ABCD解析：《数据出境安全评估办法》第四条明确规定了需要申报安全评估的情形，包括提供重要数据、处理100万人以上个人信息出境、出境敏感个人信息达到10万人以上，以及国家网信部门规定的其他情形，因此四个选项全部正确，全选。8.答案：ABCD解析：处理敏感个人信息、对个人权益有重大影响的自动化决策、委托处理、向境外提供个人信息都属于需要开展个人信息保护影响评估的场景，因此四个选项全部正确，全选。9.答案：ACD解析：处理自然人自行公开的个人信息，也应当在合理范围内处理，不得侵害自然人的重大利益，自然人明确拒绝的应当停止处理，因此ACD表述错误，符合题意。10.答案：ABCD解析：发生个人信息安全事件后，处理者应当立即采取补救措施、通知监管部门、通知受影响用户、复盘完善制度，四个都是法定义务，因此全选。三、判断题参考答案及解析1.答案：×解析：处理敏感个人信息必须取得个人的单独同意，概括性同意无法满足合规要求，因此表述错误。2.答案：×解析：处理自然人自行公开的个人信息也应当遵循合法合规要求，不得侵害自然人的重大合法权益，因此表述错误。3.答案：×解析：只有符合法定条件的个人信息出境才需要申报安全评估，小规模个人信息出境可以走标准合同或者认证路径，因此表述错误。4.答案：√解析：大数据杀熟属于利用个人信息实施不公平交易，违反《个人信息保护法》的公平原则，明确属于违法行为，因此表述正确。5.答案：√解析：最小必要原则是大数据合规的核心原则之一，要求不得过度采集非必要信息，因此表述正确。6.答案：×解析：去标识化后的个人信息仍然属于个人信息范畴，只有完全无法识别到特定自然人的匿名化信息才不属于个人信息，因此表述错误。7.答案：√解析：个人信息处理活动记录是合规审计和监管检查的核心要求，处理者应当留存完整日志，因此表述正确。8.答案：√解析：《个人信息保护法》明确规定不满十四周岁未成年人的个人信息属于敏感个人信息，处理必须取得监护人单独同意，因此表述正确。9.答案：×解析：大数据合规发生重大违规的，企业法定代表人和直接负责人需要承担相应的行政甚至刑事责任，因此表述错误。10.答案：√解析：《个人信息保护法》明确规定个人有权随时撤回同意，处理者不得设置障碍，因此表述正确。四、案例分析题参考答案及解析1.（1）A公司存在的不合规之处如下：①超范围强制采集非必要个人信息，违反最小必要原则：拼车核心服务仅需要用户的位置信息、行程信息即可实现，完全不需要获取用户的通讯录和相册权限，A公司以不授权就无法使用核心服务为由强制申请非必要权限，违反了《个人信息保护法》第六条关于最小必要原则的要求，也违反了工信部《移动互联网应用程序信息服务管理规定》关于APP权限管理的要求。（2分）②未履行充分明确的告知义务，未取得合法有效的同意：A公司将个人信息用于广告营销、第三方共享的条款埋藏在冗长用户协议的不起眼位置，未对用户进行单独提示和明确告知，该同意属于概括性的默示同意，不符合《个人信息保护法》关于同意应当明确具体的要求，没有取得合法有效的授权。（2分）③违规出境个人信息，未履行法定申报程序：A公司向境外提供120万用户的出行个人信息，符合《数据出境安全评估办法》规定的“处理100万人以上个人信息出境需要申报安全评估”的要求，A公司未履行任何申报程序，直接向境外提供，属于违规出境行为。（1分）④未经同意违规向第三方共享个人信息：A公司将用户的个人信息加工后共享给第三方广告公司，未取得用户的