2026年两法衔接信息共享测试题

2026年两法衔接信息共享测试题一、单选题（共10题，每题2分）考查方向：数据跨境传输、关键信息基础设施、个人信息处理规则1.甲公司为处理欧盟公民的个人信息，拟将其传输至美国服务器。根据《数据安全法》和《个人信息保护法》，甲公司需满足以下哪项要求才能合法传输？（）A.仅获得数据主体同意即可传输B.与美国缔结或共同参加的数据保护协定中有相应保障措施C.美国被列入我国禁止传输的“白名单”国家D.经国家网信部门会同国务院有关部门进行安全评估答案：B解析：《个人信息保护法》第39条要求个人信息出境需满足“有境外接收方所在国家或地区与我国签订标准合同”或“境外接收方所在国家或地区提供充分保护的承诺”等条件，而《数据安全法》第38条对关键信息基础设施运营者的数据出境有更严格的安全评估要求。选项B符合《个人信息保护法》的约定，而A选项仅凭同意不充分，C选项白名单需结合具体规定判断，D选项适用于关键信息基础设施运营者，但非出境的普适条件。2.乙银行开发了一款“智能信贷”APP，收集用户面部识别信息用于风控。根据两法衔接要求，该APP需向用户提供哪些说明？（）A.仅告知用途和存储期限B.明确告知“敏感个人信息处理规则”，并提供可撤销的同意选项C.提供第三方共享条款，但无需说明具体算法D.仅需标注“可能影响信用评分”，无需详细解释技术原理答案：B解析：《个人信息保护法》第70条将“生物识别、宗教信仰、特定身份”等列为敏感个人信息，要求“处理敏感个人信息应取得单独同意并采取严格的保护措施”。选项B符合单独同意和规则说明的要求，而A、C、D均未满足敏感信息处理标准。3.丙企业为优化供应链管理，拟将员工健康数据（如血压）与第三方物流平台共享。根据两法衔接，丙企业需履行以下哪项义务？（）A.经员工书面同意，无需脱敏处理B.告知物流平台“仅用于物流安全”，无需明确数据内容C.对健康数据进行去标识化处理，并签订数据共享协议D.仅需内部审批，无需外部监管机构备案答案：C解析：《个人信息保护法》第27条要求“共享个人信息前应取得个人同意，并确保共享目的与处理目的一致”。健康数据属于敏感信息，需“去标识化”或“假名化”处理，并签订协议明确使用范围。A选项未脱敏，B选项未说明具体内容，D选项缺乏外部监管要求。4.丁政府机关建设“城市交通大数据平台”，需整合交警、网约车等多源数据。根据两法衔接，以下哪项做法合规？（）A.直接调用企业实时GPS数据用于交通分析，无需告知B.仅获取交警部门脱敏后的数据，不涉及第三方平台C.与网约车平台签订协议，明确数据用途为“交通规划”，但保留原始数据D.要求所有企业数据“一签了之”，无需区分个人信息与非个人信息答案：B解析：《数据安全法》第7条要求“关键信息基础设施运营者处理个人信息应遵循合法、正当、必要原则”，而《个人信息保护法》第5条禁止过度收集。选项B仅使用已脱敏的政府数据，避免直接调用企业实时敏感数据，符合合法必要原则。A选项未告知，C选项保留原始数据风险高，D选项“一签了之”违反最小化原则。5.戊电商平台收集用户购物行为数据用于“个性化推荐”，用户可随时关闭。根据两法衔接，以下哪项说法错误？（）A.推荐算法需“以用户同意为前提”B.推荐结果可能包含个人信息，需确保“最小化使用”C.平台可自动续约推荐服务，无需再次确认D.若用户拒绝，平台应停止基于其行为数据的分析答案：C解析：《个人信息保护法》第18条要求“处理个人信息应取得单独同意，并允许撤回”。C选项自动续约违反可撤回原则，而A、B、D均符合法律要求。6.己企业开发“AI教育机器人”，需收集儿童语音数据用于模型训练。根据两法衔接，以下哪项做法合规？（）A.仅告知家长“用于研发”，无需单独同意B.获取家长同意后，将语音数据上传至境外服务器C.对语音数据进行加密存储，并标注“仅用于算法优化”D.要求家长签署“终身授权”协议答案：C解析：《个人信息保护法》第70条对儿童个人信息处理有特殊要求，需“取得监护人单独同意”。选项A未单独同意，B境外传输需额外评估，D终身授权不合规。C选项虽未完全脱敏，但加密存储和明确用途有一定合规性（需结合具体技术方案判断）。7.庚医院使用“电子病历系统”共享患者过敏史，需连接多家药店。根据两法衔接，以下哪项做法合规？（）A.仅在系统协议中标注“用于药品推荐”，无需单独告知B.获取患者同意后，将过敏史全文传输至药店C.仅共享“脱敏后的分类过敏史”，并签订数据使用清单D.要求药店“不得用于商业推广”，但保留原始病历访问权限答案：C解析：《数据安全法》第28条要求“共享个人信息应明确目的、范围，签订协议”。C选项脱敏处理和清单约定符合最小化原则。A选项未单独告知，B选项全文共享风险高，D选项保留访问权限不安全。8.辛科技公司为分析“工业设备运行数据”，拟采集工厂工人的操作习惯。根据两法衔接，以下哪项做法合规？（）A.在门禁系统中暗采集操作数据，不告知工人B.获取工人工会授权，用于“安全改进”C.仅采集“非敏感”的操作记录，如设备开关时长D.将采集数据用于“改进生产线”，但未说明具体方式答案：C解析：工人操作习惯可能涉及个人信息，需“明确告知并取得同意”。C选项仅采集非敏感记录，符合最小化原则。A选项暗采集违法，B选项工会授权不直接等同于个人同意，D选项未说明具体方式违反透明原则。9.壬企业开发“智能门禁系统”，需通过人脸识别验证员工身份。根据两法衔接，以下哪项做法合规？（）A.仅在“门禁协议”中提及人脸数据，无需单独同意B.获取员工同意后，将人脸数据存储在“私有云”C.对人脸数据进行“哈希加密”，仅用于验证D.要求员工签署“终身使用”协议答案：C解析：人脸识别属于敏感个人信息，需“单独同意+严格保护”。C选项哈希加密仅用于验证，降低泄露风险，相对合规。A选项未单独同意，B选项存储仍需符合安全标准，D选项终身协议不合规。10.癸政府机关建设“智慧养老平台”，需整合社区老人健康数据。根据两法衔接，以下哪项做法合规？（）A.直接调用老人电子病历用于风险评估，不告知B.获取子女“代同意”，用于“养老补贴申请”C.仅采集“非敏感”健康指标，如年龄、居住地D.将数据共享给商业保险公司，用于“精准定价”答案：C解析：老人健康数据敏感，需“明确告知并单独同意”。C选项非敏感指标采集符合最小化原则。A选项未告知，B选项代同意需谨慎，D选项商业共享需额外评估。二、多选题（共5题，每题3分）考查方向：数据跨境安全评估、敏感信息处理、算法透明度1.丑科技公司为推广海外业务，拟将用户浏览记录传输至新加坡。根据两法衔接，以下哪些措施是必要的？（）A.获得用户“逐项同意”，并说明数据用途B.新加坡被列入我国“数据出境安全评估白名单”C.与新加坡数据接收方签订“保护协议”，约定数据使用范围D.提供用户数据“可访问、可更正”的选项答案：A、C、D解析：《个人信息保护法》第39条要求出境需“逐项同意+境外保障措施”。B选项白名单非强制，需结合具体评估。A、C、D均符合要求。2.费企业开发“智能客服机器人”，需收集用户方言语音用于模型训练。根据两法衔接，以下哪些做法合规？（）A.对方言数据进行“声纹脱敏”，仅用于算法优化B.获取用户同意后，将数据存储在“境内服务器”C.仅在“隐私政策”中标注“可能影响方言识别”，无需单独同意D.允许用户“随时删除”已收集的方言数据答案：A、B、D解析：方言语音可能涉及敏感信息，需“单独同意+技术脱敏”。A选项脱敏处理合规，B选项境内存储降低风险，D选项删除权符合要求。C选项仅政策标注不充分。3.己公司为分析“用户消费偏好”，拟将电商数据与第三方市场调研机构共享。根据两法衔接，以下哪些措施是必要的？（）A.获得用户“明确同意”，并说明共享目的B.对消费数据进行“聚合化处理”，隐藏个人身份C.与市场调研机构签订“数据使用清单”，禁止用于“广告投放”D.要求市场调研机构“保密协议”，不得泄露原始数据答案：A、B、C解析：数据共享需“明确同意+去标识化+目的限制”。A选项同意必要，B选项聚合化降低风险，C选项清单限制合规。D选项保密协议是常规要求，但非法律强制。4.寅政府机关开发“公共安全预警系统”，需整合交通、气象等多源数据。根据两法衔接，以下哪些做法合规？（）A.仅使用“脱敏后的宏观数据”，如车流量趋势B.获取市民“年同意”，用于“常态化运行”C.对数据访问设置“多级权限”，防止滥用D.要求数据提供方“定期审计”，确保安全答案：A、C、D解析：公共安全数据共享需“目的必要+安全保护”。A选项脱敏合规，C选项权限控制是安全措施，D选项审计要求合理。B选项年同意过于宽泛，不符合最小化原则。5.辰企业开发“自动驾驶地图”，需采集车辆轨迹数据。根据两法衔接，以下哪些做法合规？（）A.对轨迹数据进行“动态加密”，仅用于地图更新B.获取车主“单独同意”，并说明用途C.仅采集“非敏感”轨迹，如行驶路线趋势D.要求数据接收方“匿名化处理”，不得关联车主身份答案：A、B、D解析：车辆轨迹属于敏感信息，需“单独同意+技术保护”。A选项动态加密合规，B选项同意必要，D选项匿名化降低风险。C选项“非敏感”需界定清晰，但若仅采集趋势可合规。三、判断题（共5题，每题2分）考查方向：数据本地化、敏感信息处理例外、跨境传输豁免1.（✓）根据《数据安全法》，关键信息基础设施运营者处理个人信息必须进行“安全评估”，而《个人信息保护法》对此无强制要求。解析：《数据安全法》第38条强制要求关键信息基础设施运营者出境前进行安全评估，而《个人信息保护法》第39条仅要求出境需“评估+保障措施”，非强制。2.（×）根据两法衔接，政府机关在处理“扶贫救助数据”时，可完全豁免个人信息保护义务。解析：《数据安全法》第22条和《个人信息保护法》第7条均规定“处理个人信息应遵循合法正当必要原则”，政府行为亦需符合，不能完全豁免。3.（✓）根据《个人信息保护法》，处理“已匿名化数据”不再需要个人信息保护，但《数据安全法》对此有不同规定。解析：《个人信息保护法》第26条明确“匿名化处理的数据除外”，而《数据安全法》关注数据“去标识化”的安全标准，两者有衔接但侧重点不同。4.（×）根据两法衔接，企业若获得用户“书面同意”，即可无条件将个人信息共享给任何第三方。解析：《个人信息保护法》第27条要求“共享需明确目的、范围，并签订协议”，书面同意非万能条款。5.（✓）根据两法衔接，若数据接收方所在国家“法律禁止个人信息出境”，则企业必须停止相关业务。解析：《数据安全法》第40条明确“接收方所在国家或地区法律禁止出境的，不得出境”，属于强制豁免情形。四、简答题（共3题，每题4分）考查方向：跨境传输合规路径、敏感信息处理例外、算法偏见治理1.甲公司开发“跨境电商平台”，需将用户订单数据传输至美国。根据两法衔接，请简述其合规路径。答案：①获得用户单独同意：明确告知数据出境目的（如物流、支付）、接收方、数据使用范围，并提供可撤回选项；②评估境外接收方保障措施：美国需符合《个人信息保护法》要求（如通过“标准合同”或“认证机制”），或提供“充分保护承诺”；③履行安全评估：若甲公司为关键信息基础设施运营者，需向国家网信部门会同有关部门提交出境安全评估报告；④签订数据协议：约定数据使用、删除、安全保障等条款，禁止用于“非法目的”。2.乙医院开发“AI辅助诊断系统”，需收集患者影像数据用于模型训练。根据两法衔接，请简述其合规要点。答案：①敏感信息处理：影像数据属于生物识别信息，需“单独同意”（而非仅告知），并采取“去标识化”（如加密、脱敏）等技术措施；②目的限制：明确告知“仅用于AI训练”，不得用于“商业用途”；③安全保障：签订数据使用清单，禁止第三方共享，设置访问权限；④算法透明度：向患者说明“AI原理及局限性”，并提供人工复核选项。3.丙教育机构开发“在线学习平台”，需收集学生答题数据用于“自适应推荐”。根据两法衔接，请简述其合规要点。答案：①区分个人信息与非个人信息：若答题数据“无法识别到特定个人”，可视为“统计类数据”，减少保护义务；②若涉及个人信息：需“单独同意”，并明确“用于个性化推荐”，不得过度收集（如避免收集家庭信息）；③算法公平性：避免“算法偏见”（如因学生性别、地区差异导致资源分配不公），需定期“算法审计”；④数据删除权：允许学生“随时删除”答题记录，并停止个性化推荐。五、论述题（1题，10分）考查方向：数据跨境传输的争议场景处理、敏感信息处理的行业创新某金融机构开发“跨境理财推荐系统”，需整合客户资产数据与境外投资标的信息。客户对此提出异议，认为“数据出境安全性不足”。请结合《数据安全法》和《个人信息保护法》，分析金融机构应如何应对，并提出合规建议。答案：1.回应客户关切：-透明化沟通：解释数据出境的必要性（如“境外投资标的需实时更新”），并说明已采取的安全措施（如“数据传输加密”“境外接收方合规认证”）；-法律依据：引用《数据安全法》第38条（出境安全评估）和《个人信息保护法》第39条（保障措施），证明合规性。2.合规建议：-出境路径选择：优先选择“已签署数据