2026年建行合规知识竞赛数据安全与个人信息保护合规专项题

2026年建行合规知识竞赛数据安全与个人信息保护合规专项题一、单选题（共10题，每题2分）1.根据《个人信息保护法》，以下哪项行为属于处理个人信息的前提条件？A.个人同意B.法律规定C.公益目的D.企业需求2.中国银保监会发布的《银行业金融机构数据治理指引》中，明确要求金融机构建立数据分类分级管理制度，其中哪一级别的数据需要最高级别的保护？A.一般级B.重要级C.核心级D.公开级3.建行在处理客户敏感个人信息时，若需进行自动化决策，应遵循以下哪项原则？A.结果导向B.透明可解释C.效率优先D.客户自主4.某客户投诉建行泄露其银行卡交易信息，根据《个人信息保护法》，建行应在收到投诉后多少日内响应并处理？A.7日B.15日C.30日D.60日5.建行若需将客户个人信息用于境外传输，应满足以下哪项要求？A.仅需获得客户同意B.境外接收方需具备同等数据保护水平C.无需任何限制条件D.由监管部门统一审批6.《网络安全法》规定，关键信息基础设施运营者需定期进行安全评估，其中哪项内容不属于评估范围？A.数据泄露风险B.系统漏洞C.员工行为管理D.客户满意度7.建行在收集客户生物识别信息（如指纹、人脸）时，应遵循以下哪项要求？A.仅在客户主动申请时收集B.无需明确告知用途C.仅用于身份验证D.由第三方机构代为收集8.某客户要求建行删除其已存储的个人信息，根据《个人信息保护法》，建行应在多少日内完成删除？A.5日B.10日C.15日D.30日9.建行内部员工离职时，若其掌握客户敏感信息，需采取以下哪项措施防止数据泄露？A.仅口头警告B.签订保密协议C.无需特殊处理D.允许其自行带走数据10.《数据安全法》规定，国家建立数据分类分级保护制度，以下哪类数据属于最高级别保护？A.一般数据B.重要数据C.核心数据D.公开数据二、多选题（共5题，每题3分）1.建行在处理客户个人信息时，应遵循哪些基本原则？A.合法、正当、必要B.公开透明C.最小化处理D.存储期限合理2.《个人信息保护法》规定，以下哪些情形下，建行可以无需取得客户同意处理其个人信息？A.为订立、履行合同所必需B.为保护个人或他人重大利益C.为履行法定义务D.为公共利益实施新闻报道3.建行若需委托第三方处理客户个人信息，应满足以下哪些要求？A.签订书面协议B.明确第三方责任C.定期监督第三方行为D.无需事先告知客户4.《网络安全法》规定，以下哪些属于关键信息基础设施？A.银行业信息系统B.供水供电系统C.交通运输系统D.社交媒体平台5.建行在发生个人信息泄露事件时，应采取哪些应急措施？A.立即停止泄露行为B.评估泄露范围和影响C.通知客户并采取补救措施D.向监管部门报告三、判断题（共10题，每题1分）1.建行在收集客户个人信息时，若未明确告知用途，属于合法行为。（×）2.客户有权撤回其同意处理个人信息的决定。（√）3.建行可以将客户个人信息用于内部员工培训，无需获得客户同意。（×）4.《数据安全法》规定，数据处理活动必须进行风险评估。（√）5.若客户拒绝提供其个人信息，建行可以拒绝提供服务。（×）6.建行在境外开展业务时，无需遵守中国《个人信息保护法》的规定。（×）7.客户有权查阅其个人信息，但建行可以拒绝其请求。（×）8.建行内部员工因工作需要，可以随意访问客户敏感信息。（×）9.《网络安全法》规定，关键信息基础设施运营者需建立数据备份机制。（√）10.若客户信息泄露，建行只需向监管部门报告，无需通知客户。（×）四、简答题（共4题，每题5分）1.简述建行在处理客户个人信息时应履行的主要义务。-合法、正当、必要、诚信原则；-明确告知处理目的、方式、种类等；-采取技术措施保障数据安全；-保障客户查阅、更正、删除等权利；-建立数据泄露应急预案。2.建行在收集客户生物识别信息时，应遵循哪些特殊要求？-仅在特定目的下收集（如身份验证）；-明确告知用途并取得单独同意；-采取严格安全措施防止泄露；-限制存储期限并定期删除。3.简述建行在数据跨境传输时需满足的主要条件。-境外接收方需具备同等数据保护水平；-签订数据传输协议明确双方责任；-获得客户单独同意或法律授权；-接受国家网信部门的监管。4.若建行发生个人信息泄露事件，应如何处置？-立即采取补救措施防止扩大影响；-评估泄露范围并通知受影响的客户；-向监管部门和公安机关报告；-事后进行整改并持续改进。五、案例分析题（共2题，每题10分）1.案例：某客户投诉建行将其个人信息用于精准营销，但未获得其明确同意。问题：建行在此情况下应如何处理？-立即停止违规使用客户信息；-向客户说明情况并取得其同意；-调整营销策略并加强内部管理；-若客户拒绝，需保障其正常使用服务。2.案例：建行某系统因漏洞导致部分客户交易信息泄露。问题：建行应采取哪些措施应对此次事件？-立即修复系统漏洞并加强安全防护；-评估泄露数据的影响并通知受影响客户；-向监管部门报告并配合调查；-赔偿客户损失并改进数据治理流程。答案与解析一、单选题答案与解析1.A-解析：《个人信息保护法》第5条规定，处理个人信息应基于个人同意、法律规定或履行合同等前提，其中个人同意是常见的前提条件。2.C-解析：《银行业金融机构数据治理指引》要求数据分类分级，核心级数据涉及客户隐私、金融安全等，需最高级别保护。3.B-解析：《个人信息保护法》第24条规定，自动化决策应保证透明可解释，不得对个人在交易价格等交易条件上产生不利的差别待遇。4.A-解析：《个人信息保护法》第41条规定，处理个人信息争议应在收到投诉后7日内响应。5.B-解析：《个人信息保护法》第37条规定，数据跨境传输需确保境外接收方具备同等保护水平。6.D-解析：《网络安全法》第35条规定，关键信息基础设施运营者需定期进行安全评估，包括数据安全、系统漏洞等，但客户满意度不属于评估范围。7.A-解析：《个人信息保护法》第28条规定，生物识别信息属于敏感个人信息，需在客户主动同意时收集。8.C-解析：《个人信息保护法》第16条规定，客户有权删除个人信息，建行应在15日内完成删除。9.B-解析：《个人信息保护法》第46条规定，离职员工需遵守保密协议，不得泄露客户信息。10.C-解析：《数据安全法》第20条规定，核心数据属于最高级别保护，需采取严格保护措施。二、多选题答案与解析1.A、B、C、D-解析：《个人信息保护法》第5条规定，处理个人信息应遵循合法、正当、必要、诚信原则，并确保公开透明、最小化处理、存储期限合理。2.A、B、C、D-解析：《个人信息保护法》第13条规定，以下情形可无需同意：为订立、履行合同所必需；保护个人或他人重大利益；履行法定义务；公共利益实施新闻报道等。3.A、B、C-解析：《个人信息保护法》第28条规定，委托处理需签订协议、明确责任、定期监督，但无需告知客户（除非法律要求）。4.A、B、C-解析：《网络安全法》第33条规定，关键信息基础设施包括能源、交通、金融等领域，社交媒体平台不属于关键信息基础设施。5.A、B、C、D-解析：《个人信息保护法》第41条规定，发生泄露事件应立即处置、评估影响、通知客户、报告监管。三、判断题答案与解析1.×-解析：未明确告知用途属于违规行为，需承担法律责任。2.√-解析：《个人信息保护法》第14条规定，客户有权撤回同意。3.×-解析：内部使用需符合最小化原则，若客户不同意，不得强制收集。4.√-解析：《数据安全法》第30条规定，数据处理需进行风险评估。5.×-解析：若客户拒绝提供信息，建行应提供替代方案或拒绝提供服务。6.×-解析：境外业务需遵守中国《个人信息保护法》及当地法律。7.×-解析：客户有权查阅信息，建行不得无理拒绝。8.×-解析：内部员工需严格遵守权限管理，不得随意访问敏感信息。9.√-解析：《网络安全法》第33条规定，关键信息基础设施运营者需建立数据备份机制。10.×-解析：泄露事件需同时通知客户和报告监管。四、简答题答案与解析1.建行在处理客户个人信息时应履行的主要义务：-合法、正当、必要、诚信原则；-明确告知处理目的、方式、种类等；-采取技术措施保障数据安全；-保障客户查阅、更正、删除等权利；-建立数据泄露应急预案。2.建行在收集客户生物识别信息时应遵循的特殊要求：-仅在特定目的下收集（如身份验证）；-明确告知用途并取得单独同意；-采取严格安全措施防止泄露；-限制存储期限并定期删除。3.建行在数据跨境传输时需满足的主要条件：-境外接收方需具备同等数据保护水平；-签订数据传输协议明确双方责任；-获得客户单独同意或法律授权；-接受国家网信部门的监管。4.若建行发生个人信息泄露事件，应如何处置：-立即采取补救措施防止扩大影响；-评估泄露范围并通知受影响的客户；-向监管部门和公安机关报告；-事后进行整改并持续改进。五、案例分析题答案与解