2026年数据合规师考试题库及答案解析

2026年数据合规师考试题库及答案解析一、单选题（共10题，每题2分，合计20分）1.根据《个人信息保护法》，以下哪种行为属于“过度收集个人信息”？A.因提供核心服务而收集必要的个人信息B.为用户推送个性化广告而收集其浏览习惯C.未明确告知用途即收集用户生物识别信息D.因用户同意而收集其公开渠道可获取的资料2.欧盟GDPR规定，企业处理敏感个人信息时，必须满足哪个条件才能合法化？A.仅在用户主动同意时处理B.有明确的法律依据且符合最小必要原则C.仅在获得监管机构批准时处理D.仅在为公共利益处理时3.中国《数据安全法》规定，关键信息基础设施运营者应在哪个时间范围内完成数据安全风险评估？A.每年1月前B.每季度1日前C.每半年1日前D.每年3月前4.以下哪种加密方式属于“对称加密”？A.RSAB.AESC.ECCD.SHA-2565.根据《网络安全法》，个人信息处理者若因安全事件泄露个人信息，应在多少小时内通知用户？A.12小时B.24小时C.48小时D.72小时6.以下哪种情形不属于“正当使用”个人信息？A.为用户画像提供精准营销服务B.因反欺诈需求验证用户身份C.在用户注销账户后继续使用其数据D.为完成交易而验证支付信息7.《个人信息保护法》规定，个人信息处理者应指定“个人信息保护负责人”，其主要职责不包括：A.监督个人信息处理活动B.制定数据安全应急预案C.直接执行数据删除操作D.接收监管机构检查8.企业将用户数据存储在境外服务器，若该服务器所在地为“第三国”，企业需满足什么条件？A.该国法律允许数据跨境传输B.该国加入《隐私保护协议》C.该国与我国签署数据保护协议D.该国政府承诺保护数据安全9.以下哪种技术属于“差分隐私”？A.数据脱敏B.安全多方计算C.隐私计算D.加密存储10.根据《数据安全法》，企业因业务需要处理重要数据时，应采取的措施不包括：A.建立数据分类分级制度B.实施数据跨境传输安全评估C.直接公开数据来源D.制定数据应急响应机制二、多选题（共5题，每题3分，合计15分）1.《个人信息保护法》规定的个人信息处理原则包括：A.合法、正当、必要B.公开透明C.最小必要D.存储限制E.责任明确2.企业处理个人信息时，需满足哪些条件才能合法化？A.有明确的法律依据B.用户主动同意C.具有合法性目的D.符合最小必要原则E.保护个人信息安全3.《数据安全法》规定的数据安全保护义务包括：A.建立数据分类分级制度B.定期进行安全风险评估C.直接公开数据存储地址D.制定应急预案E.确保数据完整性4.以下哪些情形属于“自动化决策”？A.信用评分系统B.个性化推荐算法C.用户自助查询服务D.自动审批贷款申请E.手动审核用户投诉5.企业因安全事件泄露个人信息时，需采取的措施包括：A.立即停止泄露行为B.通知用户并采取补救措施C.向监管机构报告D.直接公开泄露详情E.评估事件影响三、判断题（共10题，每题1分，合计10分）1.敏感个人信息仅能在获得用户明确同意后处理。（×）2.企业处理个人信息时，可以不经用户同意直接用于商业化目的。（×）3.《网络安全法》规定，关键信息基础设施运营者必须使用国产密码技术。（×）4.数据脱敏可以完全消除个人信息的识别风险。（×）5.企业在用户注销账户后，可以继续使用其数据用于内部分析。（×）6.《个人信息保护法》适用于所有处理个人信息的组织和个人。（√）7.企业将用户数据存储在境外服务器，无需进行跨境传输安全评估。（×）8.隐私增强技术（PET）可以提高数据处理的安全性。（√）9.《数据安全法》规定，重要数据的处理必须经过国家网信部门批准。（×）10.企业因业务需要处理个人信息时，可以不经用户同意直接用于关联营销。（×）四、简答题（共3题，每题5分，合计15分）1.简述《个人信息保护法》中“告知-同意”原则的核心内容。答案要点：-处理个人信息前必须明确告知用户目的、方式、存储期限等；-用户有权自主决定是否同意；-不得因拒绝提供而拒绝核心服务。2.解释什么是“数据跨境传输”，并列举两种合法的传输方式。答案要点：-数据跨境传输指将个人信息或重要数据传输至境外；-合法方式：-获得用户明确同意；-与境外接收方签订标准合同。3.简述企业建立数据安全管理制度应包含哪些内容。答案要点：-数据分类分级；-访问控制；-安全监测与审计；-应急响应预案；-员工安全培训。五、案例分析题（共2题，每题10分，合计20分）1.案例：某电商平台在用户注册时要求其提供身份证号、银行卡号，并声称“仅用于实名认证，不会用于其他用途”。但用户发现其浏览记录被用于精准广告推送。问：该平台的行为是否合规？为何？答案要点：-不合规；-收集个人信息时应明确告知用途，不得超出范围使用；-违反了“告知-同意”原则和最小必要原则。2.案例：某金融机构因反欺诈需求，将用户交易数据传输至境外合作方。该境外合作方未与金融机构签订数据保护协议，但声称其国家法律允许数据跨境传输。问：该行为是否合法？企业应如何改进？答案要点：-不合法；-跨境传输需满足法律依据，仅凭境外法律不足；-改进措施：-与境外方签订标准合同；-获得用户明确同意；-进行安全评估。答案解析一、单选题答案1.C-解析：过度收集指收集非必要信息或超出用户预期范围，生物识别信息属于敏感信息，需严格必要性评估。2.B-解析：GDPR要求处理敏感信息必须有明确法律依据（如同意、法定义务），并符合最小必要原则。3.D-解析：《数据安全法》要求关键信息基础设施运营者每年3月前完成风险评估。4.B-解析：对称加密使用相同密钥加密解密（如AES），非对称加密（RSA）需公私钥配合。5.B-解析：《网络安全法》规定，个人信息泄露应在24小时内通知用户。6.C-解析：用户注销后，其数据应被删除或匿名化，继续使用属于违规。7.C-解析：个人信息保护负责人负责监督和管理，但不直接执行数据操作。8.C-解析：跨境传输需满足我国法律要求，如与第三方国签订协议或采用安全传输机制。9.D-解析：差分隐私通过添加噪声保护隐私，加密存储仅保护数据机密性。10.C-解析：企业处理重要数据时必须保护数据安全，直接公开可能泄露风险。二、多选题答案1.A,B,C,D,E-解析：均为《个人信息保护法》规定的处理原则。2.A,B,C,D-解析：合法性依据包括法律、同意、必要目的等，E选项错误。3.A,B,D,E-解析：C选项错误，数据存储地址无需公开。4.A,B,D-解析：C选项为手动操作，非自动化决策。5.A,B,C-解析：D选项错误，应谨慎公开；E选项非强制性措施。三、判断题答案1.×-解析：敏感信息需额外满足特定条件（如医疗健康）。2.×-解析：处理个人信息必须符合合法目的，不得滥用。3.×-解析：法律允许使用非国产密码，但优先推荐。4.×-解析：脱敏技术仍存在风险，不能完全消除。5.×-解析：用户注销后数据应删除或匿名化。6.√-解析：法律适用于所有处理个人信息的主体。7.×-解析：跨境传输需满足我国法律要求，不能仅凭境外法律。8.√-解析：隐私增强技术（如联邦学习）可保护数据安全。9.×-解析：重要数据处理需进行安全评估，非必须批准。10.×-解析：关联营销需用户明确同意。四、简答题答案1.告知-同意原则：-处理个人信息前必须告知用户目的、方式、存储期限等；-用户有权自主决定是否同意；-不得因拒绝提供而拒绝核心服务。2.数据跨境传输：将个人信息或重要数据传输至境外。-合法方式：-获得用户明确同意；-与境外接收方签订标准合同（如欧盟adequacydecision）。3.数据安全管理制度：-数据分类分级；-访问控制；-安全监测与审计；-应急响应预案；-员工安全培训。五