数据合规审计师考试试卷及答案

数据合规审计师考试试卷及答案试题部分一、填空题（每题1分，共10分）1.欧盟《通用数据保护条例》的英文缩写是______。2.我国《个人信息保护法》自______年11月1日起施行。3.数据合规审计中，“最小必要”原则属于______保护的核心原则之一。4.数据生命周期包括采集、存储、使用、传输、______、销毁等环节。5.审计证据的可靠性判断中，外部证据比______证据更可靠。6.数据合规审计报告的使用者不包括______（填“管理层”“监管机构”“外部审计师”“竞争对手”）。7.我国《数据安全法》将数据分为一般数据、______数据、核心数据三类。8.个人信息主体有权要求数据处理者删除其个人信息，这一权利称为______权。9.数据合规审计的第一步通常是______。10.审计工作底稿的保存期限自审计报告日起不得少于______年（审计准则要求）。二、单项选择题（每题2分，共20分）1.下列哪项不属于个人信息范畴？A.身份证号B.邮箱地址C.匿名化浏览记录D.手机号2.GDPR中，数据控制者罚款上限为全球年收入的______。A.2%B.4%C.5%D.10%3.我国《个人信息保护法》规定，处理敏感个人信息需取得个人______同意。A.书面B.口头C.单独D.默示4.数据合规审计最常用的方法是______。A.访谈B.检查C.分析程序D.函证5.数据安全审计的核心目标是______。A.确认数据处理合法B.提升数据处理效率C.降低存储成本D.优化数据结构6.“被遗忘权”最早源于哪项法规？A.GDPRB.PIPLC.CCPAD.APPI7.公开数据的特点是______。A.需授权访问B.无访问限制C.仅内部使用D.需加密保护8.数据处理未遵循“最小必要”原则，应出具______审计意见。A.无保留B.保留C.否定D.无法表示9.我国重要数据出境需经______批准。A.国务院数据管理部门B.省级政府C.行业协会D.企业自行决定10.下列不属于数据合规审计内容的是______。A.采集合法性B.存储安全性C.使用效率D.销毁合规性三、多项选择题（每题2分，共20分）1.个人信息保护核心原则包括（）。A.最小必要B.透明公开C.目的限制D.权责一致2.数据合规审计流程包括（）。A.审计计划B.现场审计C.审计报告D.后续跟踪3.下列属于敏感个人信息的有（）。A.生物识别信息B.健康医疗信息C.宗教信仰D.工作单位4.GDPR规定的数据处理者义务包括（）。A.匿名化所有数据B.记录处理活动C.breach通知D.数据安全保护5.我国《数据安全法》适用范围包括（）。A.境内数据处理B.境外影响境内安全的处理C.政府公开数据D.企业内部数据6.数据合规审计证据类型包括（）。A.书面证据B.口头证据C.实物证据D.电子证据7.个人信息主体权利包括（）。A.查阅权B.更正权C.转移权D.限制处理权8.数据销毁合规方式包括（）。A.物理销毁B.逻辑擦除C.加密存储D.丢弃硬盘9.数据合规审计主体可以是（）。A.内部审计部门B.外部第三方机构C.监管机构D.数据处理者自身10.数据安全风险包括（）。A.数据泄露B.数据篡改C.数据丢失D.数据滥用四、判断题（每题2分，共20分）1.匿名化后的个人信息仍受PIPL保护。（）2.GDPR适用于所有在欧盟境内处理个人信息的组织。（）3.数据合规审计无需考虑数据处理效率。（）4.个人信息主体同意可以是默示的。（）5.核心数据保护优先级高于重要数据。（）6.审计工作底稿可由审计人员自行销毁。（）7.GDPR要求数据breach后72小时内通知监管机构。（）8.数据分类仅需考虑敏感性，无需考虑业务价值。（）9.内部审计部门可独立开展数据合规审计。（）10.处理个人信息必须取得个人同意。（）五、简答题（每题5分，共20分）1.简述“最小必要”原则的定义及应用。2.简述数据合规审计报告的核心内容。3.简述我国敏感个人信息的定义及处理要求。4.简述数据生命周期各环节的合规要点。六、讨论题（每题5分，共10分）1.结合案例，讨论企业数据出境的合规要点。2.讨论内部审计与外部审计在数据合规中的区别及协作方式。答案部分一、填空题答案1.GDPR2.20213.个人信息4.共享5.内部6.竞争对手7.重要8.删除9.确定审计范围10.10二、单项选择题答案1.C2.B3.C4.B5.A6.A7.B8.B9.A10.C三、多项选择题答案1.ABC2.ABCD3.ABC4.BCD5.ABD6.ABCD7.ABCD8.AB9.ABC10.ABCD四、判断题答案1.×2.√3.×4.×5.√6.×7.√8.×9.√10.×五、简答题答案1.最小必要原则：处理个人信息限于实现目的必需的最小范围，不得过度收集/使用。应用：①采集仅收必要字段（如仅需手机号则不收集身份证号）；②存储仅保留必要期限，到期销毁；③使用限于约定目的，不超范围。2.审计报告核心：①审计概况（范围、依据、对象）；②审计发现（合规问题、风险点）；③审计结论（是否合规、风险等级）；④整改建议（具体改进措施）；⑤审计人员及日期。3.敏感个人信息：泄露/非法使用可能导致个人严重损害（如生物识别、健康、金融账户）。处理要求：①取得单独同意；②说明必要性及影响；③采取更严格保护；④不得非法处理（法律另有规定除外）。4.合规要点：①采集：合法正当必要，明确告知目的；②存储：加密、权限控制；③使用：限于约定目的；④传输：境内合规，出境需评估/审批；⑤共享：仅向合规主体共享；⑥销毁：安全销毁、记录过程。六、讨论题答案1.案例示例：某电商将用户数据传至境外，需注意：①判断数据类型（重要/核心数据需国务院审批）；②评估出境风险（影响国家安全需评估）；③取得个人单独同意；④与境外方签责任协议；⑤遵守目的地法规（如GDPR）。未合规将面临最高5%年收入罚款