2026年数据合规管理专项题库

2026年数据合规管理专项题库1.根据《个人信息保护法》规定，处理敏感个人信息应当取得个人的（），法律、行政法规另有规定的从其规定。A.口头同意B.单独同意C.概括同意D.默认同意答案：B解析：《个人信息保护法》第二十九条明确规定，处理敏感个人信息应当取得个人的单独同意，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，单独同意要求个人信息处理者必须针对该次敏感个人信息处理活动单独取得同意，不能捆绑在用户协议等概括性格式条款中。2.某生成式人工智能服务提供者训练大模型时，使用了大量从公开网络平台爬取的用户原创内容，未获得内容权利人许可，也未采取措施脱敏处理训练数据中的用户个人信息，根据《生成式人工智能服务管理暂行办法》，下列说法正确的是（）。A.只要是公开爬取的内容就可以无偿用于大模型训练B.仅需要在AI生成内容中标注来源即可，无需提前取得权利人许可C.训练数据涉及个人信息的，应当依法取得个人同意，遵循合法、正当、必要原则D.生成式AI提供者不承担训练数据的合规责任，由内容存储平台承担全部责任答案：C解析：《生成式人工智能服务管理暂行办法》第六条规定，训练生成式人工智能模型应当使用合法来源的训练数据，保护知识产权和权利人的合法权益，训练数据涉及个人信息的，应当遵守个人信息保护相关法律法规，依法取得个人同意，保障全流程数据处理活动合规。3.根据《数据出境安全评估办法》，下列哪种数据处理活动不需要申报数据出境安全评估（）。A.处理100万人以上个人信息的数据处理者向境外提供个人信息B.出境数据中包含1万条以上敏感个人信息C.关键信息基础设施运营者向境外提供个人信息D.跨国企业境内子公司，因集团内部生产协同需要，向境外总部提供本企业非敏感一般信息，累计出境个人信息不满8万人答案：D解析：《数据出境安全评估办法》第四条明确规定应当申报安全评估的情形包括：（一）关键信息基础设施运营者向境外提供个人信息；（二）处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）向境外提供10万人个人信息或者1万人敏感个人信息的；（四）国家网信部门规定的其他需要申报评估的情形，D选项累计出境不满10万人个人信息，且不属于其他应当申报的情形，不需要申报安全评估，可以通过签订标准合同或者完成个人信息出境认证的方式实现合规出境。1.数据处理者开展全流程数据合规管理工作，应当覆盖数据全生命周期的全部处理环节，下列属于合规管控覆盖范围的环节有（）。A.数据收集B.数据存储C.数据加工D.数据传输E.数据删除销毁答案：ABCDE解析：数据合规的全生命周期管理要求覆盖数据从产生到最终销毁的所有环节，包括收集、存储、使用、加工、传输、提供、公开、删除销毁等，每个环节都需要匹配对应的合规管控要求，避免出现遗漏型合规风险。2.根据《网络安全法》《数据安全法》以及各行业重要数据目录的规定，下列属于重要数据范畴的有（）。A.国家政务服务产生的未公开政务数据、能源行业关键运行数据B.工业、金融、交通、水利等领域，除核心数据以外，一旦泄露会危害国家安全、公共利益的业务数据C.所有能够识别特定自然人身份的个人信息都自动属于重要数据D.医疗卫生领域涉及大规模公众健康信息的汇总数据E.企业内部公开传阅的普通行政办公文档都属于重要数据答案：ABD解析：重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，会直接危害国家安全、公共利益的数据，普通单个个人信息不属于当然的重要数据，企业普通非涉密办公文档也不属于重要数据范畴，因此CE选项错误。3.下列属于个人信息处理活动中，符合法律规定的免责/合法情形的有（）。A.突发重大传染病疫情时，疾控机构为了流调溯源，紧急处理涉疫人员个人信息保护公众生命健康B.处理已经被权利人合法公开的个人信息，在合理范围内开展处理，且个人未明确拒绝C.依法开展新闻舆论监督，在合理范围内处理涉事主体的个人信息D.只要十年前取得过个人一次性同意，后续所有不同目的的个人信息处理活动都当然合法E.为了维护公共安全，在公共场所安装公共视频监控采集个人信息，符合法定要求答案：ABCE解析：根据《个人信息保护法》规定，个人信息处理目的、处理范围发生变更的，应当重新取得个人同意，不能以多年前的一次性概括同意当然覆盖所有后续不同目的的处理活动，因此D选项错误，ABCE均符合法律规定的合法处理情形。1.数据合规管理仅需要管控企业自身主动收集的数据，第三方合作方带入的数据，合作企业不需要承担合规责任。（）答案：错误解析：根据《个人信息保护法》规定，共同处理个人信息的各方都需要承担对应合规责任，委托第三方处理个人信息的，委托方对受托方的处理活动负有监督义务，企业需要对第三方合作带来的数据合规风险承担管控责任。2.根据《个人信息保护法》，个人有权要求个人信息处理者对其个人信息处理规则进行解释说明，也有权随时撤回之前作出的同意处理个人信息的意思表示，个人信息处理者不得设置不合理条件拒绝撤回。（）答案：正确解析：《个人信息保护法》明确赋予个人知情权与决定权，撤回同意是个人的法定权利，个人信息处理者不得拒绝，且撤回同意不影响此前基于合法同意开展的处理活动的效力。3.中小企业规模较小，处理的数据量少，开展数据处理活动不需要做任何数据合规管理，只有大型互联网企业才需要搭建数据合规体系。（）答案：错误解析：数据合规是所有开展数据处理活动的市场主体的法定义务，无论企业规模大小，只要处理数据尤其是个人信息都需要符合合规要求，中小企业可以根据自身规模和数据处理量级，搭建适配性的合规管理体系，并非不需要建设合规机制。某线下连锁购物中心A，为了提升精准招商和客流营销效果，和第三方商业科技公司B合作，由B在购物中心各出入口、停车场、品牌店铺门口安装人脸识别设备，采集所有进入购物中心的顾客人脸信息，用于分析顾客年龄层次、消费习惯、到访频次，进而向入驻品牌收取客流分析费用，同时向顾客推送购物中心的个性化优惠广告。该项目仅在购物中心大门角落张贴了一张A4纸大小的提示，未单独取得顾客同意，也未明确告知顾客采集的人脸信息的存储期限、共享范围，采集到的人脸信息全部存储在B公司自有云服务器中，未做加密分级防护，也未定期开展安全测评。A公司认为自己只是提供场地，所有数据采集和处理都是B公司独立操作，自己不需要承担任何合规责任。问题1：本案中A公司和B公司的个人信息处理活动存在哪些违规点？问题2：A公司主张自身无需承担合规责任的说法是否成立？请说明理由。参考答案：违规点包括：第一，人脸信息属于生物识别类敏感个人信息，处理敏感个人信息未依法取得个人的单独同意，仅张贴笼统提示不构成合法有效的同意；第二，未依法履行个人信息处理的告知义务，未向个人明确告知人脸信息的处理目的、处理方式、存储期限、安全保护措施、共享范围等法定应当告知的内容；第三，未针对敏感个人信息采取符合要求的安全保护措施，人脸信息存储未做加密防护，存在严重泄露风险；第四，未明确划分双方